У компаніях завжди важливо виявляти хакерські атаки якомога раніше. Аналіз поведінки допомагає скоротити «час перебування» успішних атак.
Зломи часто зображують у фільмах як різновид цифрового пограбування банку: хакери драматично зламують механізми захисту своєї цілі, а потім мають лише кілька хвилин, щоб викрасти бажані дані, тоді як ІТ-служба безпеки відчайдушно намагається зупинити зловмисників . Реальність зовсім інша, оскільки більшість кіберзлочинців справді відчувають себе в мережі як вдома й іноді проводять там місяці чи роки, перш ніж їх виявляють. Якщо у вас є стільки часу, ви, звичайно, можете завдати великої шкоди, а час витримки є одним із найважливіших показників під час аналізу успішних зломів, щоб визначити, наскільки серйозною була атака. У багатьох випадках навіть кілька годин доступу можуть призвести до скомпрометації значної кількості даних.
Зловмисники проводять 56 днів у цільовому середовищі до виявлення
У нещодавньому звіті середній глобальний час перебування кіберзлочинців до виявлення становив 56 днів. Це значення було значно кращим, ніж минулого року, коли зловмисникам залишалося цілих 78 днів, перш ніж їх виявили. Однак у деяких випадках порушення залишалися непоміченими протягом кількох років із серйозними наслідками для всіх учасників. Однією з причин того, що атаки можуть залишатися непоміченими так довго, є зростаюче розповсюдження мереж більшості організацій. Чим більшими, розосередженішими та неорганізованими стають такі мережі, тим легше злочинцям залишатися прихованими. Опинившись там, зловмисники переміщуються мережею непоміченими, скануючи та викрадаючи дані на ходу. Звичайно, для компаній, які зберігають конфіденційні дані про клієнтів або секретні дані дослідження, кошмарно уявити, що зловмисники можуть залишатися непоміченими в мережі місяцями або навіть роками. Численні приклади показують, наскільки серйозні такі тривалі витоки даних для відповідних компаній.
Кошмар ІТ-безпеки: зловмисників у мережі не виявляють роками
Є незліченна кількість прикладів компаній, які стали жертвами успішних хакерів, які завдали мільярдних збитків. Американський постачальник фінансових послуг Equifax, наприклад, втратив 2017 відсотків своєї вартості на фондовому ринку після того, як у 35 році стало відомо про великий витік даних, змушений був визнати величезну шкоду своїй репутації та сплатити понад півмільярда доларів США штрафів. Випадок Cathay Pacific у 2018 році, в якому було зламано 9,4 мільйона даних пасажирів, також є легендарним і майже не має собі рівних за тривалістю перебування. Розслідування Cathay Pacific зайняло більше шести місяців, щоб виявити серію шокуючих викриттів: найраніша відома дата несанкціонованого доступу до мережі була майже чотири роки тому, у жовтні 2014 року. Таким чином, зловмисників не було помічено в мережі протягом повних чотирьох років! І наче це було недостатньо збентежено для ІТ-безпеки Cathay Pacific, вразливість, через яку проникли зловмисники, була легко використана, і, крім того, вона давно стала загальнодоступною.
Обидва випадки служать попередженням про те, що може статися в гіршому випадку, і прикладом того, що збиток можна обмежити, якщо порушення ІТ-безпеки буде виявлено якомога раніше. Давно відомо, що кожна організація є вразливою, і це лише питання часу, коли відбудеться порушення безпеки. У зв’язку з цим постає питання про те, які рішення та навички потрібні ІТ-безпеці, щоб мати змогу якомога раніше виявляти ці шкідливі дії.
Розширений аналіз поведінки забезпечує набагато кращу систему раннього попередження
Очевидно, навички та рішення, які використовуються в багатьох компаніях, не в належному стані, коли зловмисники мають у середньому два місяці, щоб почуватися комфортно в цільовому середовищі. Коли справа доходить до завдання або повністю запобігти атакам, або скоротити час їх перебування, багато команд безпеки знаходяться в доволі втраченій позиції. Тому що багато поширених рішень безпеки створюють перш за все одне: помилкові тривоги. Командам доводиться витрачати багато часу на обробку потоку тривог вручну. Це залишає небагато, якщо взагалі залишається, часу для участі в ще більш тривалому процесі пошуку зловмисників, які вже проникли в мережу, і їх усунення.
Поведінковий аналіз є значно ефективнішою технологією, ніж оцінка сповіщень безпеки вручну. Це може допомогти ефективніше ідентифікувати підозрілих користувачів або мережеву активність. Рішення для аналізу поведінки використовують уже існуючі журнали інцидентів безпеки, тобто вони вже знають повний обсяг і контекст пов’язаних деталей подій. У результаті аналітикам безпеки більше не потрібно переглядати велику кількість журналів подій, щоб вручну створити часові шкали інцидентів. Усуваючи цей трудомісткий процес, потенційні порушення безпеки можна виявити набагато швидше, дозволяючи командам безпеки швидко вистежувати зловмисників і практично виключаючи час перебування зловмисників.
Висновок: Аналіз поведінки користувачів і об’єктів дозволяє виявити загрози раніше
Сучасні правила конфіденційності жорсткіші, ніж будь-коли, а це означає, що компанії просто не можуть дозволити собі бути самовдоволеним питанням безпеки даних. Але оскільки мережі тепер більші та розосереджені, ніж будь-коли раніше, захистити їх за допомогою традиційних інструментів безпеки та ручного аналізу стало невигідно. Нові технології, такі як вдосконалений аналіз поведінки, усувають трудомістку роботу, яку вимагали старі інструменти, уникаючи помилкових спрацьовувань і допомагаючи виявити реальні загрози набагато раніше.
[starboxid=17]