Тільки активний пошук погроз дозволить протистояти кіберзлочинцям
"Не запобігати, а попереджати" - запорука успішної ІБ-стратегії. Як на практиці реалізувати цей принцип і як працюють мисливці за погрозами, розповідає Гавел Миколайчик, керівник операційного центру з інформаційної безпеки (Security Operation Centre) компанії Cisco.
Загрози ховаються за великими цифрами
Кіберзлочинність сьогодні переросла у великий бізнес, добре організований та дуже інноваційний. Інформаційні системи більшості компаній постійно перебувають під загрозою атаки. У цьому частка точкових дій, вкладених у конкретного користувача, порівняно невелика: кіберзлочинці вважають за краще ховатися за великими цифрами. У результаті ми маємо справу з величезною хвилею потенційно небезпечних об'єктів (таких як email-повідомлення, що містять посилання), серед яких важко виявити ті, що завдають реальної шкоди. Той самий випадок голки у стозі сіна.
Наведу приклад. Середньостатистичне велике підприємство стикається близько 70 000 подій безпеки на тиждень, кожна з яких вимагає перевірки. Необхідно з'ясувати, чи за ним ховається реальне порушення безпеки. Деякі з цих подій можуть виявитися хибною тривогою. Один із клієнтів Cisco, наприклад, стикається з приблизно 5 млн подій безпеки на рік, проте лише 500 з них призводять до підтверджених порушень. Перевірка такої кількості помилкових тривог потребує значних витрат грошей та часу.
Проте невиявлені порушення можуть коштувати бізнесу набагато дорожче. Тому в кібербезпеці час переходити від пасивної оборонної ролі до активного пошуку загроз.
Пошук кіберзагроз без перерв на обід та сон
Цунамі кіберзагроз уже минуло ту стадію, на якій його могла нейтралізувати людина. Ідентифікація тапідтвердження порушень займають надто багато часу, залишаючи поганим хлопцям свободу сіяти хаос. А ліквідація наслідків перетворюється на нескінченну гонку з часом.
Тому доцільно доручити полювання на загрози технологіям, таким як сервіс Cisco Advanced Threat Analytics, який працює в режимі активного пошуку, постійно аналізуючи мережу на предмет аномалій. Наведу приклад аномалії: якщо сервер стає вчетверо активнішим, ніж зазвичай, за цим цілком може ховатися кіберзлочинець, який викрадає дані. А оскільки шахраї не дотримуються стандартного офісного розпорядку, пошук погроз має здійснюватися в режимі 24 х 7, без перерв на сон. Через це Cisco працює цілодобово — за так званою моделлю «Слідкуй за сонцем», виявляючи кіберзагрози в наших трьох центрах безпеки, розташованих у різних куточках планети.
Захист користувачів від «вбивчого кіберланцюжка»
Реалізація семи кроків цього ланцюжка займає лише кілька хвилин. Середній показник у промисловості для ідентифікації порушення становить понад сто днів. Тільки уявіть, яку шкоду можна завдати системі за більш ніж три місяці вільного доступу! Тому наш підхід до виявлення загроз поєднує інтелект, аналітику, спеціалістів та технології для надшвидкого виявлення порушень. Ця комбінація дозволила зменшити середнє виявлення небезпеки до хвилин. Для досягнення таких показників наші мисливці за погрозами ніколи не сплять!