Почему ознакомление с вашей информацией имеет решающее значение для успешной стратегии кибербезопасности
Опубликовано: 2022-01-06
Организационные сети могут создавать терабайты знаний на каждый рабочий день из типичных рутинных операций, сотовых устройств, связанных с сообществом, датчиков и облачных провайдеров. Существуют тысячи подробных функций из различных ресурсов, таких как всемирная паутина и отдельные журналы действий пользователей, метаданные, IP-адреса, журналы маршрутизаторов, сторонние антивирусы, и все они развиваются и размножаются. При этом увеличивается площадь атаки. В результате ИТ-команды вынуждены действовать быстро на основе собранной информации, чтобы защитить свои сети и ограничить ловушки кибератак.
Сложность в том, что с такими значительными объемами знаний специалисты по стабильности могут запутаться и бороться за то, чтобы сопоставить их для анализа. Как правило, сказав это, они обнаруживают, что трудно понять, что обычно означает каждый уровень информации, каковы его последствия и как преобразовать предупреждения в действия. Хотя мониторинг и получение журналов для проверки активности сообщества является превосходной практикой, имеет ли на самом деле смысл делать это, если никто их не понимает? Итак, как знания помогают улучшить подходы к кибербезопасности?
Защита сообщества
Прямо сейчас на одну конечную точку совершается очень пара кибератак. Практически всем приходится пересекать сеть, и если это сообщество не защищено должным образом, хакеры могут проникнуть внутрь и причинить серьезный ущерб, прежде чем выйти наружу. Тем не менее, независимо от того, разрешают ли они манипулировать журналами объектов или нет, хорошо подготовленные аналитики будут по-прежнему готовы просматривать информацию сообщества и определять, что именно произошло. Сети являются домом для самых важных доказательств, но также и лучшим путем к сердцу и мозгу компании. В случае компрометации они могут нарушить работу, что приведет к серьезным экономическим последствиям и потере статуса. Следовательно, важно, чтобы ИТ-команды знали, как выглядит исправная сеть, чтобы иметь возможность обнаруживать аномалии и устранять бреши с помощью стандартного мониторинга и упреждающего поиска угроз. Переход на дополнительные упреждающие методы кибербезопасности, основанные на знаниях, является наиболее эффективной практикой для защиты компаний от постоянно развивающихся и все более совершенных киберугроз.
Максимальная защита конечных точек
В то время как большинство хакеров сосредотачиваются на сообществе как таковом, чтобы получить доступ к корпоративному имуществу, некоторые действительно используют уязвимости конечных точек, чтобы затем проникнуть в сети. И эта собственность, и малые бизнес-подразделения удивительно склонны к киберпреступности. От обычных вредоносных программ до фишинговых атак — обычно достаточно одного подозрительного подключения, чтобы раскрыть вирус и методы взлома. С ростом количества единиц IoT, постоянно популярной моделью BYOD и модификацией рабочих версий ИТ-группам требуется глубокое знание каждой конечной точки, чтобы защитить ее от угроз, распространяющихся в корпоративном сообществе. Независимо от того, принимают ли группы решение об уникальном антивирусе, фильтрации URL-адресов или дополнительных элементах управления приложениями, эти решения должны приниматься на основе доказательств, чтобы гарантировать, что применяемые методы защиты действительно направлены на снижение риска кибератак.
Быстрое реагирование на инцидент
Поскольку подавляющее большинство людей в настоящее время работают в Интернете в той или иной степени своей жизни, вполне очевидно, что инциденты будут возникать. По мере их возникновения ни одним из них не следует пренебрегать. Здесь указана критическая информация, поскольку специалисты по реагированию на инциденты не могут начать расследование, за исключением случаев, когда у них есть данные для анализа. С другой стороны, даже если у них есть информация, что они могут с ней делать, если они просто не могут ее понять? Прискорбный факт: вообще ничего. По мере того, как расследования затягиваются, провайдеры сами подвергаются множеству опасностей. Имея больше времени, хакеры могут скомпрометировать системы, украсть или испортить дополнительные конфиденциальные данные или замаскироваться в сети. Медленные ответы также могут привести к опасному массивному отставанию, особенно если в кучу попадают предупреждения с существенным приоритетом и серьезные предупреждения. Таким образом, скорость реагирования на инциденты, несомненно, имеет решающее значение для защиты информации организации от злоумышленников.
Полезные судебные расследования
Будь то во всем серьезном мире или только в цифровом, расследование места преступления — дело не быстрое. Тем не менее, чрезвычайно важным аспектом каждой отдельной системы кибербезопасности является завершение рассказа о том, что произошло и почему. Фильтруя бесчисленное количество информационных журналов и извлекая метаданные, группам защиты потребуется получить как можно больше данных о сети, конечных точках и программах, чтобы закрыть сценарий. Наиболее эффективные приложения кибербезопасности помогут получить детализированные исторические данные и полностью понять их, чтобы рассказать историю инцидента, используя повествование для улучшения защиты сообщества и защиты от возможных взломов в будущем. В конце концов, каждый взлом и каждое нарушение знаний — это учебный опыт, который действительно следует использовать для настройки стратегий, инструментов и процессов, чтобы максимизировать видимость, ускорить поиск угроз и ускорить обнаружение.
Формирование чувства звука
Группы безопасности могут получать огромное количество предупреждений, информирующих их о возможном риске. Некоторые из них действительно будут применимы, другие люди имеют пониженный приоритет. Чем больше звуков получает группа, тем выше вероятность того, что у них не будет чего-то важного. Печально известный Концентрация на утечку информации могла бы быть предотвращена, если бы сотрудники службы безопасности не справились с объемом уведомлений от ряда методов обеспечения стабильности, указывающих на существенную трудность. В случае с Target элемент скорости имел решающее значение для остановки нарушения или, по крайней мере, сведения к минимуму его влияния, но экипаж не мог только обработать или отсортировать предупреждения. Эта проблема гораздо более распространена и по-прежнему актуальна в крупных организациях и небольших организациях.
Сказав это, сегодняшнее защитное оборудование предоставляет ИТ-отделам не только гораздо более высокую точность уведомлений, но также контекст знаний и больше вспомогательной информации для ускорения реагирования на инциденты и проведения гораздо более продуктивных расследований. Ограничение уровня шума и значительное повышение его качества помогает выполнять выбор лучше и быстрее. Показатели безопасности сложны, поэтому оборудование, используемое ИТ-группами, должно быть в определенной степени упрощено. Таким образом, доверие к стратегии кибербезопасности может развиваться по мере того, как данные превращаются в простые для понимания и действенные идеи. Обладая чувством собственного достоинства, простотой и гораздо лучшей расстановкой приоритетов предупреждений, группы кибербезопасности могут изменить свою технику с реактивной на упреждающую, никогда не пропуская затаившегося злоумышленника. Оснащение правильными инструментами может помочь группам лучше понять информацию о безопасности, должным образом избежать нарушений и защитить компании, сотрудников и покупателей в течение нескольких лет.
Винсент Стоффер, старший директор по управлению товарами, Corelight