Обнаружение вторжений и предотвращение кибератак в вашей организации

Опубликовано: 31 Марта, 2023
Обнаружение вторжений и предотвращение кибератак в вашей организации

МИТЧ: Джон, насколько часто в наши дни организации получают компрометацию своей ИТ-инфраструктуры, даже не подозревая об этом?

ДЖОН: Среднее время задержки кибератак по-прежнему превышает шесть месяцев. Это почти целая жизнь для злоумышленников, которые уже проникли в вашу сеть и теперь ищут свою добычу, все время находясь под радаром большинства решений безопасности. Многие современные атаки, начиная от программ-вымогателей и заканчивая APT, представляют собой многоэтапные атаки, следующие за тщательно спланированными шагами для проникновения и распространения атаки по всей сети. Если организациям не посчастливится обнаружить атаку в самом начале, они практически не заметят ее. К сожалению, следующее предупреждение или уведомление, которое организации получают об атаке, приходит, когда их конфиденциальная информация обнаруживается в открытом доступе, намного позже взлома. Дело в том, что сети и инфраструктура многих организаций уже взломаны. У них просто нет необходимых инструментов, опыта и ресурсов для точного отслеживания этих атак после их совершения.

МИТЧ: Вероятность того, что компании, использующие облачные технологии, окажутся в таком положении, меньше?

ДЖОН: Короче говоря, нет. Облако имеет свои плюсы и минусы в отношении общего кибер-риска. Увеличение частоты обновлений служб, а также возможность быстрого развертывания исправлений помогают поддерживать облачные службы в актуальном состоянии и повышать безопасность. Однако облако намного сложнее, и часто одной из самых больших проблем в облаке является просто знание того, какие активы и приложения развернуты, учитывая, что все является программным обеспечением. Когда видимость и инвентаризация являются проблемой, тогда безопасность становится проблемой, учитывая, что трудно защитить то, о существовании чего вы не знаете. Когда инвентарь ясен, облако представляет собой сложную модель услуг IaaS, PaaS и SaaS с новой архитектурой и динамически изменяющейся средой с большей площадью поверхности, что создает новые проблемы безопасности. Персонал службы безопасности должен быть обучен специально для работы в облаке. Естественно, некоторые решения для обеспечения безопасности лучше приспособлены для поддержки облачных и гибридных сетей, чем традиционные локальные сети.

Изображение 9921
Шаттерсток

МИТЧ: Киберпреступники часто начинают с использования ошибки в программном обеспечении, чтобы получить начальный доступ, а затем следуют другим действиям, чтобы повысить привилегии, получить контроль и замести следы. Почему важно уметь планировать шаги, предпринятые при вторжении в сеть?

ДЖОН: Когда происходит взлом, организации используют инструменты, чтобы начать собирать воедино историю о том, как злоумышленник проник в сеть, продвинулся в сети и в конечном итоге достиг своей цели. Как правило, это происходит после взлома, учитывая, что большинство инструментов на рынке сегодня не работают в режиме реального времени и недостаточно полны, чтобы создать точную последовательность атаки на несколько систем. Анализ обеспечивает необходимую информацию обо всех системах и службах, которые могли быть скомпрометированы, и используется для определения того, что и как было скомпрометировано. С помощью этой информации можно внедрить лучшую политику безопасности и защиту, чтобы предотвратить будущие события, распространение атаки будет пониматься как восстановление всех затронутых систем, а также могут быть предприняты все раскрытия и корректирующие действия.

МИТЧ: Какие инструменты и методологии можно использовать для пошагового отслеживания того, как происходило вторжение?

ДЖОН: При использовании традиционных инструментов, таких как SIEM и EDR, возникает проблема сопоставления событий. Задача сопоставления событий часто выполняется вручную, трудоемко и подвержена ошибкам. Хотя некоторые решения для управления могут помочь, эти решения требуют активного участия аналитиков безопасности. Одной из проблем является отслеживание боковых движений, а другой — отслеживание атак через большие промежутки времени, что позволяет злоумышленнику скрыть свой сигнал в море шума. Оказавшись внутри, злоумышленники могут сделать паузу, прежде чем сделать следующий шаг, на несколько часов, дней или даже недель. Многие решения для обнаружения и реагирования предлагают ограниченные окна обнаружения, и злоумышленники постоянно меняют свою тактику, чтобы быть за пределами этого окна. На рынке появилось новое поколение инструментов для облачного и гибридного обнаружения и реагирования, основанных на технологиях XDR, которые помогают решить эти проблемы.

Изображение 9922
Шаттерсток

МИТЧ: Позвольте мне закончить, спросив вас о том, что Confluera предлагает в этой области, которая представляет собой уникальную ценность для организаций, стремящихся защитить свою инфраструктуру от злоумышленников.

ДЖОН: Confluera — это передовое решение для обнаружения кибербезопасности и реагирования на него, разработанное специально для облачных, гибридных и современных архитектур приложений. Наш уникальный подход сократит время обнаружения и пресечения атаки, требуя менее сложных кибер-экспертиз; преодоление разрыва между облачной безопасностью и командами по обеспечению безопасности. Ключевым преимуществом, предлагаемым Confluera, является наша способность обеспечивать раскадровку угроз в реальном времени. Организации тратят время и ресурсы высококвалифицированных кибераналитиков на создание раскадровки угроз после того, как нарушение уже произошло, потому что инструменты не делают этого за них. Почему бы не создать раскадровку в режиме реального времени, когда разворачивается атака, чтобы вы могли остановить атаку в процессе? Это ценность, которую мы привносим в облачное и гибридное обнаружение и реагирование. Уникальная ценность также включает в себя многоступенчатую видимость бокового движения и лучшее обнаружение низких и медленных атак для сокращения затрат и времени на реагирование, смягчение или прекращение киберущерба.

МИТЧ: Джон, спасибо, что нашли время в своем плотном графике, чтобы поговорить со мной на эту важную тему.

ДЖОН: Пожалуйста!