Передова технологія боротьби з кіберзлочинністю, яка роками використовувалася великими організаціями, тепер доступна для невеликих компаній: мережеве виявлення та реагування.
Захист себе під час нинішньої бурі кіберзлочинності є проблемою для малого та середнього бізнесу, який часто має обмежені бюджети та ресурси. Загрози розвиваються швидше, ніж існуючі рішення кібербезпеки, і невеликі ІТ-відділи не встигають за ними.
Програми-вимагачі можуть вразити будь-кого
Атаки програм-вимагачів поширені повсюдно, але на цьому низка загроз не закінчується: розширені постійні загрози, інсайдерські загрози та атаки на ланцюги поставок є одними з багатьох повсякденних загроз. Зловмисники використовують ті самі передові технології, що й постачальники засобів кібербезпеки, наприклад штучний інтелект (AI), шифрування та сканування вразливостей. Ви отримуєте переваги від зрілого чорного ринку зловмисного програмного забезпечення та програм-вимагачів як послуги. Вони отримують вигоду від постійно зростаючої поверхні атаки, яка зростає завдяки швидкому впровадженню хмарних рішень, Інтернету речей та федерації ідентифікації. Наприклад, нещодавні атаки на ланцюги поставок, такі як атаки на Solarwinds і Kaseya, здаються цілком законними для традиційних інструментів безпеки. Пристрої Інтернету речей, некеровані або персональні пристрої, а також забуті віртуальні машини чи контейнери створюють сліпі зони безпеки.
Ресурси зібрані на одній інформаційній панелі
Коли малому бізнесу пощастило мати аналітиків безпеки, цим ресурсам потрібно звернутись до кількох інформаційних панелей, щоб виявити та зрозуміти комплексну загрозу чи атаку. Ось типові речення, які можна почути від тих, хто відповідає за ІТ-безпеку в менших компаніях: «Я добре знаю, що у нас є сліпі зони в мережі та великі прогалини в нашій архітектурі безпеки. Ми бачимо лише частину мережі та пристроїв». З такою кількістю інструментів безпеки вони не знають, як визначити пріоритетність сповіщень: «Що я повинен зробити в першу чергу, а що ігнорувати?» А коли реагують на загрози, їм доводиться вручну копатися в різних системах і журналах, щоб отримати значущий результат. «Це настільки неефективно і займає надто багато часу, щоб розслідувати першопричину інциденту безпеки».
Виявлення загроз в мережі
Протягом багатьох років одна річ залишалася незмінною: кожен великий пролом у безпеці включає мережевий трафік. Наприклад, якщо хакери хочуть викрасти дані, їм потрібно віднести свою здобич у певне місце. Нещодавні атаки, такі як атака "Sunburst" на ланцюжок поставок, можна виявити лише шляхом (а) усвідомлення того, що з мережевим трафіком щось не так, і (б) можливості негайно відреагувати на цю активність і припинити її.
Для цього потрібне виявлення й автоматичне реагування на мережевому рівні, що сьогодні впроваджено дуже небагато організацій, як правило, великих підприємств. Gartner визначає виявлення та реагування мережі (NDR) як рішення, які «в основному використовують методи, не засновані на сигнатурах... для виявлення підозрілого трафіку в корпоративних мережах». За словами аналітиків, інструменти NDR «безперервно аналізують необроблений трафік та/або записи потоків... для створення моделей, які відображають нормальну поведінку мережі», і система видає сповіщення, «коли виявляє підозрілі шаблони трафіку». Іншими ключовими функціями рішень NDR є автоматичні або ручні відповіді (див. Gartner, «Посібник із виявлення та реагування на ринку», опублікований 11 червня 2020 р.).
Рішення NDR ідентифікує активи в мережі
Іншими словами, рішення NDR ідентифікує всі активи в мережі, включаючи пристрої Інтернету речей і некеровані пристрої. Він аналізує повні мережеві метадані та мережевий трафік – як схід/захід, так і північ/південь (тобто внутрішній трафік і трафік, що перетинає периметр мережі). Використовуючи датчики, розміщені в мережі, він відстежує трафік, відстежує всі метадані мережі та інтегрує ці дані з журналами інших існуючих рішень безпеки, таких як безпека кінцевих точок, EDR, брандмауер, рішення SIEM і SOAR. Оскільки NDR працює з копіями цих даних, агенти чи інші зміни в мережі не потрібні.
Огляд мережі на 360 градусів
У результаті організації отримують 360-градусний огляд, щоб зрозуміти зовнішні чи внутрішні загрози. Вони бачать, коли дані залишають їхню мережу в підозріле місце за кордоном. Вони помічають, коли ПК отримує доступ до шкідливих доменів або URL-адрес. Ви помічаєте, коли зловмисне програмне забезпечення розміщує зашифровані копії даних у мережі. Вони повідомляють аналітиків безпеки, коли веб-сервер IP-камери виявляється вразливим. І вони можуть миттєво зупинити та пом’якшити багато з цих загроз за допомогою можливостей автоматичного реагування.
Томас Краузе, регіональний директор DACH-NL у ForeNova Technologies (Зображення: ForeNova).
NDR не нова і вже зазнала деяких змін. Раніше він називався NTA (аналіз мережевого трафіку) або NTSA (аналіз безпеки мережевого трафіку). Зараз цей підхід зрілий і має більш витончений елемент реагування. Тим не менш, це все ще досить рідкісний інструмент, який зараз використовується майже виключно у дуже великих компаніях. Чому так?
Великі обсяги даних можуть генерувати помилкові спрацьовування
Ключовим моментом є те, що ці великі компанії точно знають, що поставлено на карту. Усвідомлюючи життєвий ризик, з яким стикається їхній бізнес, і нескінченну поверхню атак, вони просто не бажають платити будь-яку ціну за рішення, яке справді допомагає. Вони також надають будь-яку робочу силу, необхідну для роботи експертів. Основна проблема полягає в тому, що інструменти NDR мають тенденцію повертати багато помилкових спрацьовувань через великий обсяг даних, які вони перевіряють. Тож до цього часу, щоб фінансувати команду, яка впоралася з хвилею помилкових спрацьовувань, якщо ви хотіли отримати вигоду від NDR, вам потрібен був значний бюджет на кібербезпеку. Крім того, лише великі компанії бажали і могли впоратися з цим потоком помилкових спрацьовувань.
Зробіть NDR керованим і доступним для МСП
Нещодавні досягнення зробили NDR більш керованим для невеликих компаній. Коротко кажучи, наступні сім інновацій NDR змінюють правила гри:
- Штучний інтелект. Традиційні інструменти NDR виявили багато відхилень від змодельованої поведінки мережі. Але не всі вони становили реальну загрозу.Насправді більшість із них були помилковими тривогами. Знадобилося багато спеціалістів, щоб подбати про ці помилкові спрацьовування. Використовуючи штучний інтелект, сучасні інструменти NDR тепер можуть працювати для малих і середніх підприємств, звужуючи сповіщення до тих подій, на які дійсно потрібно діяти автоматично або які потребує розслідування спеціаліст.
- Машинне навчання. Сучасне машинне навчання може моделювати нормальну поведінку мережевого трафіку набагато точніше, ніж попередні покоління. Різні алгоритми навчання ідентифікують і співвідносять сотні факторів у мережевих даних, що призводить до набагато більш детальних моделей.
- Добре візуалізований інтерфейс користувача: ніщо не економить більше часу аналітиків безпеки, ніж чистий і візуалізований інтерфейс користувача. Вам набагато простіше отримати загальне уявлення про те, що важливо та що потрібно зробити. Крім того, їм набагато легше пояснити керівництву, що сталося, коли вони отримають чіткі візуалізовані звіти.
- Автоматичне виявлення всіх активів у мережі: сліпі зони в мережі є ідеальною точкою входу для хакерів і шкідливих програм. Ви не можете захистити те, чого не бачите. Завдяки автоматичному виявленню сучасні інструменти NDR усувають сліпі зони на ранній стадії та дають аналітикам системи безпеки в режимі реального часу уявлення про мережу.
- Інтеграція із захистом кінцевої точки, брандмауером, SIEM, EDR та іншими інструментами: інтеграція працює двома способами. З одного боку, агрегація файлів журналу з існуючих технологій безпеки допомагає моделювати нормальний стан. З іншого боку, це може прискорити реакцію. Наприклад, попередньо визначені посібники можуть автоматизувати негайний карантин для зараженої кінцевої точки або переривання вихідного трафіку на брандмауері. Якщо вас зламали, час має важливе значення для пом’якшення наслідків. А інтеграція з іншими системами безпеки може заощадити час.
- Автоматизоване розслідування інцидентів і кореляція подій: складна атака завжди складається зі складного ланцюжка атак. Коли їхню систему було зламано або щось здається підозрілим, аналітики безпеки повинні з’ясувати, звідки походить загроза, поки годинник цокає. Завдяки сучасним механізмам кореляції вони можуть легко відстежити будь-яку подію до її першопричини та усунути будь-яку вразливість або прогалину.
- Стандартні заходи реагування: оскільки ресурси ІТ-безпеки обмежені, що стосується майже всіх малих і середніх підприємств, компаніям необхідно максимально автоматизувати реагування на загрози. Використання попередньо визначених відповідей за замовчуванням, наприклад розміщення заражених мережевих ресурсів у карантині, може пом’якшити атаки майже в реальному часі. Інструменти NDR можуть визначати підручники, які запускають декілька дій одночасно, починаючи від електронних листів і SMS членам команди до скидання паролів і оновлення правил брандмауера.
Завдяки останнім розробкам NDR набагато більше малих підприємств тепер можуть виявляти дедалі складніші загрози на зростаючій поверхні атак. Рішення NDR потребують менше ресурсів, оскільки вони розрізняють реальні загрози та помилкові спрацьовування, визначають пріоритети дій і автоматизують усунення загроз. Це все ще ідеальний шторм, але за допомогою NDR малі та середні підприємства набагато краще підготовлені, щоб утримувати свої позиції.
Більше на ForeNova.com
Про ForeNova ForeNova — американський спеціаліст із кібербезпеки, який пропонує компаніям середнього розміру доступні та комплексні засоби виявлення та реагування на мережу (NDR) для ефективного пом’якшення збитків від кіберзагроз і мінімізації бізнес-ризиків. ForeNova керує центром обробки даних для європейських клієнтів у Франкфурті. M. і розробляє всі рішення, сумісні з GDPR. Європейська штаб-квартира знаходиться в Амстердамі.