Firmowe bezpieczeństwo IT w rękach łowcy zagrożeń
2017-08-14 09:26
Łowca zagrożeń © Giulio_Fornasar - Fotolia.com
Przeczytaj także: Bezpieczeństwo IT: trendy 2019
Walka z nękającymi firmę cyberprzestępcami to chleb powszedni każdego specjalisty od zabezpieczeń. Praktyka pokazuje, że atakującym niemal zawsze udaje się zaskoczyć swoją ofiarę. Element zaskoczenia można jednak zminimalizować. I w tym m.in. tkwi rola threat huntingu, czyli polowania na zagrożenia.Najnowsze opracowanie McAfee wyraźnie dowodzi, że zatrudnienie łowcy zagrożeń to właściwy krok w kierunku bezpieczeństwa IT i identyfikacji zagrożeń.
- Co do tego, że branża cyberbezpieczeństwa dojrzewa i za pięć lat będzie wyglądała już zupełnie inaczej niż dziś, nie ma żadnych wątpliwości. Batalia o bezpieczeństwo IT stała się coraz trudniejsza. Według nas przyszłością w walce z cyberprzestępcami jest tworzenie nowych modeli zespołów ds. bezpieczeństwa IT w firmach, tzw. operacyjnych centrów bezpieczeństwa (ang. Security Operation Center, SOC), które oparte będą na interakcji człowiek-maszyna – mówi Arkadiusz Krawczyk, Country Manager w McAfee Poland. – Dużą rolę w nich będą spełniać właśnie doświadczeni łowcy zagrożeń i zaawansowana technologia, która w naszym przypadku koncentruje się na całym cyklu życia procesu ochrony przed atakiem.
Specjaliści przygotowujący raport McAfee zbadali pracę operacyjnych centrów bezpieczeństwa (SOC) na czterech etapach rozwoju (minimalnym, proceduralnym, innowacyjnym i wiodącym) i doszli do wniosku, że zaawansowane centra poświęcają o 50% więcej czasu na wykrywanie zagrożeń w porównaniu z innymi zespołami.
fot. Giulio_Fornasar - Fotolia.com
Łowca zagrożeń
Łowca zagrożeń
Polowanie na zagrożenia staje się kluczową strategią w cybernetycznej walce. Łowca zostaje częścią zespołu ds. bezpieczeństwa IT i bada zagrożenia, korzystając z różnych wskazówek, śladów, podpowiedzi, hipotez i przede wszystkim bazując na swoim doświadczeniu z wielu lat ścigania cyberprzestępców. Zdobytą podczas wewnętrznego śledztwa wiedzę przekształca na skrypty i reguły – automatyzuje infrastrukturę w obszarze zabezpieczeń i personalizuje technologię.
- Organizacje muszą opracować plan działania ze świadomością, że zostaną zaatakowane przez cyberprzestępców – tłumaczy Raja Patel, wiceprezes i dyrektor generalny Corporate Security Products w McAfee. – Łowcy zagrożeń pozwalają zdobyć przewagę nad hakerami i cyberprzestępcami, ale sukces osiągną tylko wtedy, gdy interakcja człowiek-maszyna, czyli połączenie wiedzy i doświadczenia łowcy zagrożeń z innowacyjną technologią, pozwoli efektywnie wykrywać i eliminować zagrożenia.
Badania pokazują, że tego modelu operacji w zakresie identyfikacji, reagowania i zapobiegania cybernetycznym zagrożeniom wiodące organizacje używają ponad dwa razy częściej w procesie dochodzenia niż organizacje na minimalnym etapie zaawansowania (75% / 31%).
Kluczowe wnioski z raportu
Wyniki
- 71% operacyjnych centrów bezpieczeństwa (SOC) zamyka dochodzenia w sprawie incydentów szybciej niż w tydzień. 37% potrzebuje na to mniej niż 24 godziny.
- Wiodący specjaliści w zakresie polowania na zagrożenia są w stanie określić przyczynę ataku w 90% przypadków (u mniej zaawansowanych łowców wykrycie przyczyny ma wskaźnik 20%).
- W zakresie wykorzystania sandboxingu, usprawnienia przepływu pracy, oszczędności czasu i pieniędzy oraz gromadzenia informacji niedostępnych z innych rozwiązań bardziej zaawansowane operacyjne centra bezpieczeństwa generują o 45% więcej wartości niż centra na minimalnym poziomie rozwoju.
Strategie
- 68% ankietowanych uważa, że lepsza automatyzacja i usprawnione procedury wykrywania zagrożeń mają kluczowe znaczenie w organizacji.
- Dojrzalsze operacyjne centra bezpieczeństwa dwa razy częściej automatyzują elementy śledztwa w sprawie przeprowadzonego ataku.
-
Łowcy zagrożeń w rozwiniętych centrach poświęcają o 70% więcej czasu na personalizację narzędzi oraz technik.
Taktyka
- Łowcy zagrożeń w dojrzałych operacyjnych centrach bezpieczeństwa poświęcają o 50% więcej czasu na swoje kluczowe działanie, czyli polowanie na zagrożenia.
- Sandboxing jest narzędziem numer 1 dla analityków pierwszej i drugiej linii w operacyjnym centrum bezpieczeństwa, natomiast osoby wyżej w hierarchii w pierwszej kolejności używają zaawansowanego narzędzia do analizy złośliwego oprogramowania oraz rozwiązań typu open source. Inne standardowe narzędzia to SIEM, wykrywanie i reagowanie w punkcie końcowym (Endpoint Detection and Response) oraz analiza zachowania użytkowników.
- Centra na wyższym poziomie zaawansowania używają sandboxingu dwa razy częściej niż centra na etapie początkowym, namierzając nie tylko te zagrożenia, które trafiają do sieci ukryte w plikach.
Metodologia badania
Badanie zostało przeprowadzone wiosną 2017 roku. Ankietę wypełniło 700 pracowników z sektora IT i bezpieczeństwa z różnych krajów, branż i rozmiarów organizacji. Uczestnicy ankiety pracowali dla firm zatrudniających ponad 1000 osób. Respondenci to łowcy zagrożeń pochodzący z Australii, Kanady, Niemiec, Singapuru, Wielkiej Brytanii i Stanów Zjednoczonych.
oprac. : eGospodarka.pl
Przeczytaj także
-
Nawet 50 dni potrzeba firmom na wykrycie cyberataku
-
Jak dbać o bezpieczeństwo danych w sieci?
-
Cyberbezpieczeństwo: groźny trojan atakował nawet 100 tys. ofiar dziennie
-
W walce z cyberatakami przeszkadza niewiedza i brak pieniędzy
-
Ile kosztuje atak na bezpieczeństwo IT?
-
Uwaga! Już co 3. bot jest złośliwy
-
Cyberbezpieczeństwo firm cierpi przez brak pracowników
-
Na cyberataki i kradzież tożsamości podatny jest już każdy
-
Polskie firmy nie są liderami cyberbezpieczeństwa
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)