Organizacje wiedzą, że nie mogą już zadowalać się programami antywirusowymi, systemami wykrywania włamań i tradycyjnym reagowaniem na incydenty, które były postrzegane jako „wystarczająca” ochrona online. Hakerzy zajmujący się zagrożeniami codziennie doskonalą swoje umiejętności, a analiza zagrożeń (TI) staje się koniecznością.
W 2020 roku zatrudniono więcej ekspertów ds. bezpieczeństwa niż kiedykolwiek wcześniej. Ale czy to wystarczy? Czy wywiad o zagrożeniach naprawdę polega na tym, że rzesze ludzi przeglądają niekończące się strumienie informacji? Bardziej prawdopodobne jest, że analiza zagrożeń polega na ewoluowaniu wraz z krajobrazem zagrożeń, a nawet na stawianiu czoła wyzwaniom, jakim jest pokonanie cyberprzestępców. Właśnie tam pojawia się antywirus z ukierunkowaną analizą zagrożeń jako kolejny poziom obrony.
Co to jest ukierunkowana analiza zagrożeń?
Ukierunkowana analiza zagrożeń to proaktywne rozwiązanie antywirusowe dla organizacji, które zdecydowały, że ślepe reagowanie już nie wystarcza. Ponieważ świat idzie do przodu na scenie cyfrowej, a łączność między wszystkimi rodzajami operacji jest coraz ważniejsza, dane organizacji są narażone na jeszcze więcej zagrożeń niż wcześniej, a tym bardziej jeśli nie są wyposażone w odpowiednią ochronę antywirusową. Haker może uzyskać dostęp do danych jako potencjalny klient (zewnętrzny), pracownik (wewnętrzny) lub jako jeden z wielu partnerów (strona trzecia).
Istnieje wyraźna luka między ogólną analizą zagrożeń, którą mógłby wykonać nawet początkujący członek zespołu ds. bezpieczeństwa, a ukierunkowaną analizą zagrożeń, do której potrzebni są ludzie z odpowiednią wiedzą i umiejętnościami. Osoby, których potrzebujesz na tym stanowisku, powinny być w stanie zrozumieć kontekst zagrożenia i potrzebę ukształtowania wyodrębnionych informacji w użyteczne narzędzia antywirusowe do odparcia ataków, a nawet całkowitego zapobiegnięcia ich wystąpieniu.
Nie zastępuje to zautomatyzowanych procesów dostarczaną przez rozwiązania antywirusowe, które istnieją w organizacjach, ale raczej uzupełnia je odpowiednim personelem do rozpowszechniania informacji i dobrego ich wykorzystania. Decyzje ekspertów są wymagane przy wykonywaniu prac konserwacyjnych i operacjach zarządzania analizą zagrożeń, takich jak usuwanie witryn (gdy liczba kopii wzrosła i mają one wpływ na reputację organizacji), identyfikowanie i ustalanie priorytetów analizy cyberprzestępców atakujących branżę na określonym obszarze geograficznym, proaktywne poszukiwanie wewnętrznych słabych punktów i ustalanie priorytetów właściwych reakcji na incydenty, oraz stałe konfigurowanie i obserwowanie naszego rozwiązania antywirusowego.
Ukierunkowaną analiza zagrożeń w antywirusie – jak korzystać?
Problem z inteligencją w każdej branży polega na tym, że sama w sobie jest nieistotna. Ale umieszczona w kontekście, a następnie ukierunkowana na prawidłowo ustawione cele wewnętrzne, może być bezcenna, tak jak odpowiednie rozwiązanie antywirusowe. Ogólne informacje o zagrożeniach muszą agregować wszystkie istniejące i dostępne dane o zagrożeniach, wyodrębniać je, szybko analizować i opracowywać odpowiednie działania. Idealnie byłoby, gdyby organizacja dysponowała wystarczającymi narzędziami antywirusowymi i automatyzacją badaną przez odpowiedni personel do sortowania tych informacji i przydzielania droższych zasobów ludzkich tylko wtedy, gdy konieczne jest podjęcie nietypowych działań.
Aby zwiększyć skuteczność analizy zagrożeń, zespół ds. bezpieczeństwa musi przede wszystkim wybrać znać swoje cele. Dopasowywanie informacji o zagrożeniach i działania związane z aplikacjami można uznać za udane na podstawie oceny KPI (kluczowych wskaźników wydajności), takich jak poniżej:
- Liczba wygenerowanych alertów TP (prawdziwie pozytywnych)?
- Liczba TP (true positive) obsługiwana automatycznie dzięki możliwościom integracji
- Liczba FP (fałszywie dodatnich) i dodatkowy generowany szum o niskim priorytecie?
- Poprawa czasów reakcji?
- Liczba zidentyfikowanych zagrożeń?
- Dostarczono dodatkowy odpowiedni kontekst umożliwiający właściwą selekcję i ustalenie priorytetów
Te wewnętrzne cele zapewnią Ci wgląd w rodzaj ukierunkowanej analizy zagrożeń, której powinieneś szukać.
Podejście do zarządzania antywirusem z analizą zagrożeń w celu poprawy wydajności
Połącz wszystkie swoje zasoby, aby stworzyć silny system obronny
Napływ informacji spoza Twojej organizacji jest ważną częścią zarządzania antywirusem z analizą zagrożeń, ale to nie wystarczy. Informacje zebrane wewnętrznie z interwencji incydentów, plików dziennika, alertów i raportów są cenne, ponieważ ujawniają luki w zabezpieczeniach wykryte przez cyberprzestępców, punkty dostępu, które inni mogą wykorzystać do włamania się do Twojego systemu, oraz powiązane wskaźniki i złośliwe oprogramowanie. Zacznij od rozwiązania Security Intervention Event Management (SIEM), ponieważ zawiera ono nieprzetworzone dane o zdarzeniach.
Zoptymalizowano alerty i blokowanie zawarte w rozwiązaniu, a także planowanie bezpieczeństwa, z ulepszoną alokacją zasobów dzięki automatyzacji opartej na kontekście.
Skoncentrowane podejście do analizy zagrożeń, a mianowicie ukierunkowany sposób działania, oznacza łączenie informacji wewnętrznych i zewnętrznych wraz z ustalonymi celami organizacji w celu filtrowania informacji. W związku z tym można wyciągnąć wnioski z wcześniejszych ataków, przestudiować hakera stanowiącego zagrożenie i dowiedzieć się jak najwięcej o jego motywach, celach, celach, metodologii itp. Informacje te są dostępne w dobrze ustrukturyzowanych formatach, takich jak MITRE ATT&CK Framework. Po uzyskaniu wszystkich tych informacji kolejne ruchy cyberprzestępcy mogą stać się przewidywalne. Cyberprzestępcy w dużej mierze polegają na elemencie zaskoczenia i braku zabezpieczeń w postaci m.in systemu antywirusowego, jednak ze względów ekonomicznych i skalowania ponownie wykorzystują część swojej infrastruktury, narzędzi i TTP.
Wybierz odpowiednie źródła danych
Źródła danych są ważne, ponieważ nie wszystkie dane są równie wartościowe. Otrzymujesz ukierunkowane informacje o zagrożeniach tylko z wyselekcjonowanych danych, z wiarygodnych, stale aktualizowanych źródeł. Dobra wiadomość: jeśli jesteś organizacją wspieraną przez zespół doświadczonych ekspertów ds. bezpieczeństwa, możesz sobie pozwolić na zainwestowanie w filtrowanie tych informacji, aby szybciej uzyskać trafniejsze spostrzeżenia.
Jeśli chodzi o źródła, oto czego powinieneś szukać:
- Maksymalny zasięg przy minimalnej redundancji. Niektóre nakładanie się informacji jest w porządku, jeśli nie jest ich zbyt wiele, ale należy zminimalizować luki w zasięgu. Oznacza to akceptację dla siebie pewnych nieznanych i słabych punktów.
- Dokładna ocena ryzyka: profile ryzyka pomagają określić priorytety inwestycji w bezpieczeństwo.
- Należytej staranności wobec każdej organizacji, z którą współpracujesz w celu analizy zagrożeń: zapytaj o strategię gromadzenia danych, narzędzia do filtrowania oraz o niezawodność ich programów.
Analiza zagrożeń jest koniecznością dla wszystkich organizacji, ale nie jest to uniwersalna umowa dla wszystkich. Jest to jedno z najbardziej konfigurowalnych rozwiązań i ma wiele ruchomych części. Wchodząc w to, musisz dokładnie zrozumieć potrzeby swojej firmy i rzeczywiste zagrożenia – niektóre z nich odkryjesz dopiero po uruchomieniu rozwiązania antywirusowego do analizy zagrożeń, wraz z rzeczywistym poziomem narażenia Twojej organizacji. Musisz wziąć pod uwagę poziom dojrzałości swojego zespołu SOC, a także ograniczenia budżetowe.
Specjalistyczne rowiązanie, takie jak Bitdefender, może chronić Cię przed cyberzagrożeniami dzięki obszernej bibliotece funkcji, w tym:
- Ciągła, wszechstronna ochrona antywirusowa przed robakami, trojanami, wirusami, oprogramowaniem szpiegującym, rootkitami, exploitami zero-day i innymi zagrożeniami elektronicznymi
- Moduł antyphishingowy, który wykrywa i blokuje strony internetowe udające legalne w celu kradzieży danych uwierzytelniających lub zasobów
- Technologia antyspamowa, która filtruje nieistotne, potencjalnie niebezpieczne wiadomości w skrzynce odbiorczej lokalnego klienta poczty (Thunderbird, Outlook)
- Zaawansowany moduł które ochroni cię przed zagrożeniami, monitoruje aktywne aplikacje w systemie i podejmuje natychmiastowe działania po wykryciu podejrzanej aktywności