Jak wykryć cyberatak? 8 wskazówek dla firm
2014-11-21 11:31
Firmy zdają sobie sprawę z zagrożenia, jakim są cyberataki © frank peters - Fotolia.com
Firmy zdają sobie sprawę z zagrożenia, jakim są cyberataki, ale wciąż znaczna część z nich nie umie sobie z nimi radzić. Wczesne wykrycie zagrożenia i podjęcie działań zapobiegawczych jest rzeczą kluczową, aby ochronić cenne dane organizacji. Raport „When Minutes Count” zawiera osiem wskaźników cyberataku oraz skuteczne sposoby reagowania na nie.
Przeczytaj także: Bezpieczeństwo IT w małych firmach
Raport pokazuje, że firmy, które analizują zagrożenia w czasie rzeczywistym, uwzględniając wiele zmiennych, dużo skuteczniej radzą sobie z wyrafinowanymi i ukierunkowanymi cyberatakami. Wyniki badania dowodzą, że większość firm nie ufa swoim zdolnościom wykrywania ukierunkowanych ataków w odpowiednim momencie. Co więcej, nawet firmy najlepiej przygotowane na takie ataki potrzebują czasu, aby zbadać dużą liczbę zdarzeń.Najistotniejsze wnioski z badania:
- 74% ankietowanych przyznało, że ukierunkowane ataki to główny problem w ich organizacjach.
- 58% organizacji twierdzi, że w ubiegłym roku poddawało analizie 10 lub więcej ataków.
- Tylko 24% firm jest przekonanych co do własnych zdolności wykrycia ataku w ciągu kilku minut, natomiast prawie połowa przedsiębiorstw potrzebowałaby dni, tygodni, a nawet miesięcy na identyfikację podejrzanych zachowań.
- 78% organizacji będących w stanie wykryć atak w ciągu minuty posiada proaktywny i działający w czasie rzeczywistym system zarządzania informacjami dotyczącymi bezpieczeństwa i zdarzeniami (SIEM).
- Połowa ankietowanych firm uznała, że ma adekwatne narzędzia i technologie, aby zapewnić szybkie reagowanie na incydenty, ale często krytyczne wskaźniki nie są oddzielone od bardzo licznych, jednak mniej istotnych zdarzeń, przez co zespoły IT muszą przesiewać ogromne ilości danych.
fot. frank peters - Fotolia.com
Firmy zdają sobie sprawę z zagrożenia, jakim są cyberataki
Przewagę nad atakującymi można uzyskać tylko poprzez skrócenie czasu wykrywania. Trzeba uprościć to skomplikowane filtrowanie "morza" alertów i wskaźników właśnie poprzez wykrywanie i analizę w czasie rzeczywistym. Tylko wtedy lepiej zrozumiemy istotne zdarzenia i szybciej podejmiemy działania zapobiegawcze – powiedział Ryan Allphin, wiceprezes i dyrektor generalny w Dziale Zarządzania Bezpieczeństwem, Intel Security.
Raport Intel Security przedstawia osiem najczęstszych działań sygnalizujących atak i pozwalających organizacjom na jego wykrycie. Z tych ośmiu wskaźników pięć dotyczy śledzenia zdarzeń na przestrzeni minionego czasu, co pokazuje, jak ważna jest korelacja kontekstowa:
- Host wewnętrzny komunikuje się ze znanymi złymi lokalizacjami docelowymi lub z krajem, w którym firma nie prowadzi działalności.
- Host wewnętrzny komunikuje się z hostami zewnętrznymi za pomocą niestandardowych portów lub przy niezgodności protokołu z portem, np. wysyłanie poleceń powłoki systemowej (SSH) zamiast ruchu HTTP poprzez port 80, czyli domyślny port.
- Host publicznie dostępny lub host strefy zdemilitaryzowanej (DMZ) komunikuje się z hostami wewnętrznymi. To umożliwia przeskakiwanie z zewnątrz do wewnątrz sieci i na odwrót, a tym samym eksfiltrację danych i zdalny dostęp do zasobów. Wartość strefy DMZ zostaje zneutralizowana.
- Wykrycie złośliwego oprogramowania poza godzinami pracy. Sygnalizacja aktywności poza normalnymi godzinami pracy (w nocy lub w weekendy) może świadczyć o infekcji komputera.
- Skanowanie sieci przez hosta wewnętrznego komunikującego się z wieloma hostami w krótkim czasie może wskazywać na próby rozprzestrzeniania się infekcji w sieci. Obwodowa ochrona sieci, np. zapora sieciowa i system IPS (do wykrywania i zapobiegania włamaniom), jest rzadko konfigurowana tak, aby monitorować ruch w sieci wewnętrznej (a jest to możliwe).
- Liczne zdarzenia alarmujące od pojedynczego hosta lub duplikujące się zdarzenia na wielu maszynach w tej samej sieci w ciągu 24 godzin, np. powtarzające się niepowodzenie uwierzytelnienia.
- Jeśli po wyczyszczeniu system zostaje ponownie zainfekowany w ciągu kilku minut, wskazuje to na obecność ukrytego złośliwego oprogramowania typu rootkit lub trwałe uszkodzenie.
- Próby logowania z konta użytkownika do wielu zasobów w ciągu kilku minut z/do różnych regionów to znak, że dane uwierzytelniające użytkownika zostały skradzione lub że użytkownik działa na szkodę firmy.
Działające w czasie rzeczywistym technologie SIEM minimalizują czas potrzebny na wykrycie ataku i zapobiegają naruszeniom bezpieczeństwa. Dzięki przyspieszeniu wykrywania, reagowania oraz wyciągania właściwych wniosków ze zdarzeń firmy przestają być ściganą ofiarą i przejmują rolę myśliwego – powiedział Arkadiusz Krawczyk, Country Manager w McAfee, part of Intel Security, Poland.
Przeczytaj także:
Ataki ddos: jak chronić firmę?
oprac. : Agata Fąs / eGospodarka.pl
Więcej na ten temat:
zagrożenia internetowe, ochrona danych firmowych, cyberataki, ataki internetowe, bezpieczeństwo IT
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)