Само активното търсене на заплахи ще направи възможно противодействието на киберпрестъпниците
„Не да предотвратяваме, а да предупреждаваме“ е ключът към успешната стратегия за информационна сигурност. Как да приложим този принцип на практика и как работят ловците на заплахи, казва Хавел Миколайчик, ръководител на Центъра за операции по сигурността на Cisco.
Заплахите се крият зад големи числа
Днес киберпрестъпността се превърна в голям бизнес, добре организиран и много иновативен. Информационните системи на повечето компании са постоянно под заплаха от атаки. В същото време делът на целенасочените действия, насочени към конкретен потребител, е сравнително малък: киберпрестъпниците предпочитат да се крият зад големи числа. В резултат на това имаме работа с огромна вълна от потенциално опасни обекти (като имейл съобщения, съдържащи връзки), сред които е трудно да се идентифицират тези, които причиняват реална вреда. Този случай на игла в купа сено.
Ще дам ясен пример. Средно голямото предприятие се сблъсква с около 70 000 събития за сигурност на седмица, всяко от които изисква проверка. Трябва да разберете дали зад това има реален пробив в сигурността. Някои от тези събития може да се окажат фалшиви аларми. Един клиент на Cisco, например, вижда около 5 милиона събития за сигурност годишно, но само 500 от тях водят до потвърдени пробиви. Проверката за толкова много фалшиви аларми е скъпа и отнема време.
Неоткритите нарушения обаче могат да струват много повече на бизнеса. Следователно е време киберсигурността да премине от пасивна отбранителна роля към активно търсене на заплахи.
Търсете кибер заплахи без обедни почивки и сън
Цунамито от киберзаплахи вече е преминало етапа, в който може да бъде неутрализирано от човек. Идентификация иотнема твърде много време, за да се потвърдят нарушенията, оставяйки лошите момчета свободни да сеят хаос. А премахването на последствията се превръща в безкрайна надпревара с времето.
Следователно има смисъл да се повери търсенето на заплахи на технологии - като услугата Cisco Advanced Threat Analytics, която работи в режим на активно търсене, като постоянно анализира мрежата за аномалии. За да дадем пример за аномалия, ако сървърът стане четири пъти по-активен от обикновено, това може да е кражба на данни от киберпрестъпник. И тъй като измамниците не следват стандартните офис процедури, ловът на заплахи трябва да се извършва 24x7, без паузи за сън. Поради това Cisco работи денонощно в това, което нарича модел „Следвай слънцето“, идентифицирайки кибер заплахи в нашите три центъра за сигурност по света.
Защита на потребителите от „киберверигата убиец“
Изпълнението на седемте стъпки от тази верига отнема само няколко минути. Средната стойност за индустрията за идентифициране на нарушение е над сто дни. Само си представете какви щети могат да бъдат нанесени на системата за повече от три месеца безплатен достъп! Ето защо нашият подход за откриване на заплахи съчетава интелигентност, анализи, експерти и технология за идентифициране на нарушения по изключително бърз начин. Тази комбинация намали средното време за откриване на опасност до минути. За да постигнат такива показатели, нашите "ловци на заплахи" никога не спят!