Novinky

Čo SOC zaťažuje? Alebo bezpečnostné riešenia inak

Podľa inštitúcie Verizon vyše 48 % narušení bezpečnosti dát v roku 2018 vzniklo priamym následkom hekerských útokov cielených na webové aplikácie. Webové aplikácie predstavujú pre hekerov atraktívny cieľ, lebo veľakrát ide o verejné aplikácie, ktoré vyžadujú otvorenosť voči internetu, aby stimulovali elektronické obchodovanie a biznis.

Firewall, VPN, antivírus, IPS, antispam, web filtering... Tieto tradičné, samostatné bezpečnostné riešenia, ktoré by mala mať každá vyspelejšia spoločnosť, pracujú v izolovanom priestore so samostatným riadiacim rozhraním bez zmysluplného spôsobu získavania či zdieľania informácií o hrozbách inými zariadeniami v sieti. Neboli určené na ochranu dnešných distribuovaných architektúr naprieč všetkými možnosťami útoku. Nedokážu ponúknuť dosah, výkonnosť ani synchronizovanosť reakcie, ktoré prirodzene poskytuje bezpečnostná spleť. Nedostatočná integrácia spomaľuje odozvu na hrozby. Práca s týmito izolovanými a nesúrodými bezpečnostnými systémami preťažuje SOC.

 

Podľa inštitúcie Verizon vyše 48 % narušení bezpečnosti dát v roku 2018 vzniklo priamym následkom hekerských útokov cielených na webové aplikácie. Webové aplikácie predstavujú pre hekerov atraktívny cieľ, lebo veľakrát ide o verejné aplikácie, ktoré vyžadujú otvorenosť voči internetu, aby stimulovali elektronické obchodovanie a biznis. Hlavným úložiskom citlivých informácií, ako napríklad čísla kreditných kariet, osobne identifikovateľné informácie (PII) a dôverné informácie, na ktoré sa vzťahuje duševné vlastníctvo, sú back-end databázy pripojené na webové aplikácie.

(Zdroj: „Správa z prešetrovania narušení bezpečnosti dát z roku 2018“, Verizon, 10. 4. 2018)

 

 

 

Ako dosiahnuť vyššiu efektivitu bezpečnostných tímov?

 

Aby sa moderné útoky vyhýbali detekcii a mohli infikovať systémy, využívajú nové distribučné kanály, ako napríklad sociálne inžinierstvo, a nasadzujú nové techniky, akými sú viacstupňové a bezsúborové útoky. K narušeniu môže dôjsť v priebehu niekoľkých minút alebo len sekúnd. Na účinnú detekciu a obranu proti týmto útokom je potrebné koordinovať, automatizovať bezpečnosť a zabezpečiť automatickú reakciu na potenciálne hrozby tak, aby útoky a incidenty bolo možné identifikovať a izolovať v reálnom čase. Spoločnosti investujú do rôznych nekoncepčných systémov. Chýba im automatizácia zaisťujúca maximálne využitie prostriedkov a schopnosť rýchlej detekcie a reakcie na dnešné kybernetické hrozby. Bezpečnostní pracovníci potrebujú jednotný systém vytvorený iba na účely detekcie a reakcie, ktorý im poskytne:

 

  • hĺbkovú viditeľnosť diania na sieti aj koncových bodoch v reálnom čase
  • hĺbkovú viditeľnosť diania na sieti aj koncových bodoch retrospektívne
  • rôzne koordinované techniky na detekciu hrozieb v každej fáze útoku (Cyber Kill Chain)
  • automatickú koreláciu a vyhodnocovanie hrozieb, ktoré prešli sieťou a skutočne napadli koncové body
  • zoskupovanie redundantných a súvisiacich bezpečnostných alarmov do conclusion, ktorý je možné ďalej spracovávať ako jediný alarm
  • všetky informácie vrátane kontextu, nástroje potrebné na prešetrenie a zablokovanie útoku na jednej obrazovke

 

Aby bolo možné obstáť v dobe kybernetických útokov, je potrebné zavádzať Automated  Detection and Response (ADR) systémy ako hlavný bezpečnostný nástroj bezpečnostných tímov.

 

Čo vám ADR prinesie?

 

Rýchla identifikácia podozrivého konania, validácia hrozieb podľa množstva kritérií, automatizácia nápravných opatrení a postupnosť krokov analýz či proaktívne vyhľadávanie hrozieb vám prinesie zníženie nákladov na reakciu, ľudské zdroje, menšie ohrozenie reputácie spoločnosti, menšie a kratšie narušenie chodu spoločnosti, hmatateľné výsledky po pár dňoch a zvýšenie efektivity SOC.

 

Veracomp Vás má rád

A preto si nenechajte ujsť vychytávky,
ktoré pre vás pripravujeme každý mesiac.

Ďalšie články

RSS

Naši partneri o nás