企業では、ハッカーの攻撃をできるだけ早く検出することが常に重要です。 動作分析は、成功した攻撃の「滞留時間」を短縮するのに役立ちます。
映画では、ハッキングは一種のデジタル銀行強盗として描かれることがよくあります。ハッカーはターゲットの保護メカニズムを劇的な方法で突破し、わずか数分で切望されたデータを盗むことができますが、IT セキュリティは攻撃者を必死に阻止しようとします。 . 現実は大きく異なります。ほとんどのサイバー犯罪者は実際にネットワーク上でくつろぎ、発見されるまで数か月から数年を過ごすこともあります。 それだけの時間があれば、もちろん多くの損害を引き起こす可能性があります。滞留時間は、成功したハッキングを分析して攻撃の深刻度を判断する際の最も重要な指標の XNUMX つです。 多くの場合、数時間のアクセスでさえ、大量のデータが危険にさらされる可能性があります。
攻撃者は、検出される前にターゲット環境で 56 日間過ごします
最近のレポートによると、サイバー犯罪者が検出されるまでの世界の滞在時間の中央値は 56 日でした。 この値は、攻撃者が発見されるまでになんと 78 日も残っていた前年よりも大幅に改善されました。 ただし、場合によっては、侵害が数年間検出されず、関係者全員に深刻な結果をもたらしました。 攻撃が長期間にわたって検出されない理由の XNUMX つは、ほとんどの組織のネットワークが無秩序に拡大していることです。 このようなネットワークが大規模で分散し、組織化されていないほど、犯罪者が隠れ続けることが容易になります。 そこに到達すると、攻撃者は検出されずにネットワークをナビゲートし、データをスキャンして盗み出します。 もちろん、機密性の高い顧客データや秘密の研究データを保持している企業にとって、攻撃者がネットワーク内で数か月または数年にわたって検出されないままになると想像するのは悪夢です。 このような長期にわたるデータ漏洩が、関係する企業にとってどれほど深刻であるかは、多くの例が示しています。
IT セキュリティの悪夢: 何年も検出されていないネットワーク内の攻撃者
ハッキングに成功し、数十億ドルの損害を被った企業の例は無数にあります。 たとえば、米国の金融サービス プロバイダーである Equifax は、2017 年に大規模なデータ漏洩が判明した後、株式市場価値の 35% を失い、評判への甚大な損害を受け入れ、2018 億米ドル以上の罰金を支払わなければなりませんでした。 9,4 年に 2014 万人の乗客データが侵害されたキャセイ パシフィック航空のケースも伝説的であり、滞在期間に関してはほとんど比類のないものです。 キャセイ パシフィック航空の調査では、一連の衝撃的な事実が明らかになるまでに XNUMX か月以上かかりました。ネットワークへの不正アクセスが最初に確認されたのは、ほぼ XNUMX 年前の XNUMX 年 XNUMX 月でした。つまり、攻撃者は XNUMX 年間、ネットワーク上で検出されませんでした。 キャセイ パシフィック航空の IT セキュリティにとって、これは恥ずべきことではありませんでしたが、攻撃者が侵入した脆弱性は簡単に悪用でき、しかも長い間一般に知られていました。
どちらのケースも、最悪の場合に起こり得ることを警告するものであり、IT セキュリティ侵害をできるだけ早く検出すれば被害を限定できるという例です。 すべての組織が脆弱であり、セキュリティ違反が発生するのは時間の問題であることは長い間認識されてきました。 これにより、これらの悪意のあるアクティビティをできるだけ早く検出できるようにするために、IT セキュリティにどのソリューションとスキルが必要かという問題が生じます。
高度な行動分析により、はるかに優れた早期警告システムが提供されます
どうやら、攻撃者が標的の環境で快適に過ごせるまでに平均 XNUMX か月かかる場合、使用されるスキルとソリューションは多くの企業で適切な状態にあるとは言えません。 攻撃を完全に防止するか、攻撃の滞留時間を短縮するかということになると、多くのセキュリティ チームはかなり不利な立場に置かれています。 多くの一般的なセキュリティ ソリューションは、何よりも重要なことを XNUMX つ生成します。それは誤報です。 チームは大量のアラームを手動で処理するのに多くの時間を費やさなければなりません。 これにより、すでにネットワークに侵入している攻撃者を見つけて排除するというさらに長いプロセスに従事する時間は、あったとしてもほとんどありません。
セキュリティ アラートを手動で評価するよりもはるかに効果的なテクノロジの XNUMX つは、行動分析です。 不審なユーザーまたはネットワーク アクティビティをより効果的に特定するのに役立ちます。 行動分析ソリューションは、既存のセキュリティ インシデント ログを活用します。つまり、関連するイベントの詳細の完全な範囲とコンテキストを既に把握しています。 その結果、セキュリティ アナリストは、インシデントのタイムラインを手動で作成するために、多数のイベント ログをふるいにかける必要がなくなりました。 この時間のかかるプロセスを排除することで、潜在的なセキュリティ違反をはるかに迅速に検出できるようになり、セキュリティ チームが攻撃者を迅速に追跡できるようになり、攻撃者の滞留時間を実質的になくすことができます。
結論: ユーザーとエンティティの行動を分析すると、脅威を早期に検出できます
現代のプライバシー規制はかつてないほど厳しくなっています。つまり、企業はもはやデータ セキュリティについて満足しているわけにはいきません。 しかし、ネットワークがかつてないほど大規模化し、分散している現在、従来のセキュリティ ツールや手動分析でネットワークを保護することは採算が取れなくなっています。 高度な動作分析などの新しいテクノロジーにより、古いツールで必要だった時間のかかる面倒な作業が不要になり、誤検知を回避して実際の脅威をより早期に検出できるようになります。
[スターボックス=17]