Внутрішній захист: кібербезпека з поглядом всередину. Через небезпеку організації посилюють захист від кібератак ззовні. Однак вони часто забувають заглянути всередину. Нові технології допомагають зупинити зловмисників, які вже є в мережі.
Для кіберзлочинців коронакриза та її наслідки означають настрій золотої лихоманки – ніколи раніше багато компаній не були настільки вразливими, як сьогодні. Однак ІТ-безпека повільно наздоганяє, щоб захистити збільшену поверхню атак, спричинену розподіленими співробітниками, і посилює стіни безпеки навколо компанії та її співробітників, які працюють вдома. Багато організацій не помічають того факту, що використовувані рішення спрямовані лише назовні, а не всередину, де іноді ховаються більші небезпеки.
Кібер-вимагачі стають все більш і більш цільовими
Шифрування даних програмами-вимагачами є хорошим прикладом зовнішніх загроз. Вони широко поширюються зловмисниками за принципом лійки, і успіх для злочинців, як правило, випадковий, залежно від того, який співробітник натиснув на фішинговий електронний лист. Але навіть якщо дані були зашифровані, компанії можуть використовувати інструменти дешифрування, програмне забезпечення для відновлення або прості резервні копії для протидії та відновлення даних.
У відповідь багато кібервимагачів стають більш цільовими. Вони все частіше націлюють свої атаки на організації, чиї дані вважаються більш цінними або де потенційна репутаційна шкода найбільша. Тому що ці компанії охочіше платять викуп – навіть за те, щоб дані не стали публічними. З цією метою злочинці детально вивчають потенційних жертв окремо, щоб точно оцінити можливість успішного нападу. Зрештою, вони вирішують, які організації атакувати, виходячи з очікуваного прибутку. Ці нові, набагато більш цілеспрямовані загрози вимагають іншої реакції, ніж більш невибіркові атаки програм-вимагачів.
Нові загрози вимагають розумнішої відповіді
З точки зору операцій безпеки ІТ, велика частина виклику захисту від кіберзлочинців полягає у виявленні та розслідуванні потенційних атак за допомогою індикаторів компрометації (IOC). Це можуть бути підозрілі та/або занесені до чорного списку IP-адреси, відомі фішингові URL-адреси та сигнатури шкідливих файлів. В ідеалі класичні інструменти безпеки, які використовують ці IOC, такі як виявлення вторгнень, брандмауери та безпека кінцевих точок, запобігають тому, щоб організації стали жертвами успішної атаки раніше, ніж вони самі.
Класичні інструменти для класичних атак
Цей підхід може працювати для програм-вимагачів, де дані шифруються одразу після успішної атаки. За допомогою цілеспрямованих атак злочинцям доводиться деякий час оглядати мережу, щоб знайти потрібні дані, які варто викрасти. Компанії можуть зберігати петабайти даних у багатьох різних місцях. Щоб дістатися до цих цінних даних, злочинцям доводиться витрачати значно більше часу та зусиль. Однак зовнішні інструменти безпеки не можуть виявити скомпрометованих інсайдерів, оскільки, на перший погляд, вони цілком легітимні в мережі. Для виявлення атак на цьому етапі організаціям потрібні інші інструменти безпеки. І оскільки злочинці іноді можуть залишатися в мережі тривалий час, важливо виявити їх якомога раніше, перш ніж вони можуть завдати ще більшої шкоди.
Фактор часу надає перевагу ІТ-безпеці
Егон Кандо є регіональним віце-президентом із продажів у Центральній, Південній та Східній Європі Exabeam (фото: Exabeam).
Часом злочинці можуть проводити місяці чи навіть роки в інфраструктурі, доклавши чимало зусиль, щоб залишитися непоміченими, пробираючись через ланцюг захисту до коштовності даних компанії. Однак це також надає захисту невеликі переваги: з одного боку, вони мають більше часу для пошуку зловмисників порівняно з програмами-вимагачами, а з іншого боку, злочинці залишають сліди, пересуваючись у мережі.
ІТ-безпека може використовувати ці можливості, щоб запобігти гіршим речам, за умови, що вона має необхідні інструменти, щоб спрямувати погляд на безпеку всередину. Оскільки IOC незмінно спрямовані назовні, що робить їх марними для виявлення зловмисників, які вже є в мережі.
SIEM та UEBA: ефективний центральний захист
Рішення SIEM (Інформація про безпеку та керування подіями) збирають журнали з різних джерел і аналізують їх на нормальну та підозрілу поведінку мережі. Останнє покоління SIEM базується на UEBA (User Entity Behavior Analytics), яка заснована на алгоритмах машинного навчання та постійно відстежує поведінку користувачів і пристроїв у мережі. Наприклад, коли доступ до незвичних файлів або запущені помітні програми. Цей аналіз даних журналу мережі має бути автоматизованим, оскільки їх просто забагато, щоб команди безпеки могли вручну перевірити їх ефективно та в режимі реального часу.
Скоротіть реакції на напади
Однак виявлення підозрілої поведінки — це лише частина роботи. Тому що зараз необхідно реагувати якомога швидше, щоб запобігти загрозливому збитку або максимально його обмежити. Для того, щоб мати можливість визначити масштаби реакції, інцидент має бути повністю розслідуваний. Це включає створення шкали часу, яка показує всі дії залучених користувачів і пристроїв і оцінює, чи є вони нормальними чи незвичними. Після того, як це буде зроблено, відповідь можна планувати та впроваджувати. Групи ІТ-безпеки підтримуються рішеннями SOAR (Security Orchestration, Automation and Response) для автоматизації та оркестровки необхідних заходів захисту з використанням різних продуктів безпеки. SOAR - це, так би мовити, ліберо захисту, який реагує на атаки цілеспрямовано якомога швидше після виявлення та аналізу.
Спеціальні посібники можуть повністю автоматизувати пом’якшення, наприклад ізолювати хост або забороняти IP-адресу для обмеження впливу. Окрім швидшого часу відповіді, це зменшує середній час відновлення (MTTR) у тих критичних сценаріях, де час має суттєве значення.
Ніколи не відчувай себе в безпеці
Навіть якщо зовнішні захисні рішення, такі як виявлення вторгнень, брандмауери та безпека кінцевих точок, не били тривогу, ІТ-безпека в компаніях завжди повинна очікувати, що кіберзлочинці якимось чином є в мережі, і зловмисники активно намагаються вистежити. Для цього йому потрібні рішення безпеки, спрямовані всередину».
Дізнайтеся більше на Exabeam.com
Про Exabeam Exabeam означає Smarter SIEM™. Exabeam дозволяє організаціям ефективніше виявляти, розслідувати та реагувати на кібератаки, щоб їхні команди з безпеки та внутрішніх загроз могли працювати ефективніше. Організаціям безпеки більше не доведеться жити із завищеними цінами, пропущеними розподіленими атаками та невідомими загрозами або ручними розслідуваннями та контрзаходами. За допомогою платформи управління безпекою Exabeam аналітики безпеки можуть збирати необмежену кількість даних журналів, використовувати аналіз поведінки для виявлення атак і автоматизувати реагування на інциденти як локально, так і в хмарі. Exabeam Smart Timelines, послідовності поведінки користувачів і об’єктів, створені за допомогою машинного навчання, ще більше скорочують час і спеціалізацію, необхідні для виявлення тактики, методів і процедур зловмисників. Exabeam приватно фінансується Aspect Ventures, Cisco Investments, Icon Ventures, Lightspeed Venture Partners, Norwest Venture Partners, Sapphire Ventures та відомим інвестором у безпеку Шломо Крамером. Більше інформації доступно на www.exabeam.com. Слідкуйте за Exabeam у Facebook, Twitter, YouTube або LinkedIn.