Snapchat, eBay, JP Morgan, Sony Pictures и даже Белый дом. Участившиеся в последние годы случаи взлома систем и хищения данных подтверждают тот факт, что даже крупные многонациональные компании и правительственные организации, которые тратят на безопасность миллионы, неспособны полностью защитить себя от новейших угроз и умнейших киберпреступников.
Злоумышленники могут получить желаемую информацию с помощью таргетированных атак. Все чаще их мишенью становится самое слабое звено в цепочке — пользователь. Причинами большинства атак являются украденные учетные записи, отсутствие на компьютере последних патчей или обычная халатность сотрудника. Используя эти лазейки, киберпреступники могут легко украсть ценные корпоративные данные. Но как это может происходить, если компании тратят миллионы долларов на кибербезопасность?
По данным исследования 2015 года «Издержки киберпреступлений», проведенного институтом Понемон, внедрение систем разведки в безопасности играет самую большую роль. Результаты этого исследования говорят о том, что компании, использующие такие технологии, более эффективно обнаруживают и отражают кибератаки. Кроме того, по сравнению с предприятиями, которые не используют системы разведки в безопасности, эти компании в 2015 году в среднем сэкономили 1,9 миллионов долларов и получили от этих технологий значительно более высокую рентабельность инвестиций (увеличение на 23%) по сравнению с технологиями других категорий.
Учитывая эти статистические данные, мы можем предположить, что организации должны быть склонны к использованию таких решений по ИТ-безопасности. Однако отчет института Понемон утверждает другое. В действительности больше всего средств бюджета тратится на обеспечение ИТ-безопасности в сети. Компании склонны придерживаться традиционного подхода и защищать свой периметр с помощью самых продуктивных контрольных решений.
Однако этот старый диктаторский подход больше неэффективен для обеспечения безопасности корпоративной среды. Сегодня критически важным является включение в этот периметр пользователей. Злоумышленники-инсайдеры, имеющие действительные учетные данные, имеют преимущество перед основными инструментами защиты компании, так как эти инструменты разработаны для защиты от внешних угроз, а не от доверенных сотрудников.
Что же могут предпринять компании, которые хотят защитить себя от этих современных угроз.
Во-первых, необходимо сбалансировать использование решений для контроля и мониторинга ИТ-безопасности. Традиционные контрольные решения не в состоянии предотвратить все случаи вторжения в систему, так как они в основном предназначены для защиты от известных угроз. Поскольку компаниям сейчас все чаще угрожают угрозы «со многими неизвестными», им необходимо уравновесить эти решения инструментами для мониторинга безопасности на основе машинного обучения. Высококачественные инструменты мониторинга, например, средства анализа пользовательского поведения или исследования сетевого трафика, могут обнаружить неизвестные угрозы и подать сигнал службе безопасности для немедленного инициирования контрмер.
Во-вторых, им необходимо тщательно проанализировать данные, полученные в ходе мониторинга. Анализ этих данных всего несколько лет назад потребовал бы огромных ресурсов, но появление алгоритмов машинного обучения в различных аналитических инструментах безопасности «больших данных» значительно упростили этот процесс. Решения на основе машинного обучения способны выявлять тренды и закономерность в данных с хорошей степенью приближения, что экономит много времени для аналитиков безопасности, которые постоянно ищут признаки потенциальных утечек данных.
В-третьих, критически важно найти идеальный баланс между использованием автоматических откликов на угрозы и действиями опытных специалистов — оба способа по-настоящему важны в инфраструктуре ИТ-безопасности. Одна из главных причин для использования аналитических решений безопасности — возможность разгрузить и без того занятых работой экспертов по безопасности. Большое число задач можно легко автоматизировать — например, анализ простых данных о сети и пользователях (это могут быть время входа/выхода из системы или местонахождение). Однако когда алгоритмы машинного обучения обнаруживают аномалию или отклонение, в дело должны вмешаться обученные эксперты по безопасности. Им необходимо будет проанализировать простые предупреждения безопасности для выявления настоящих атак, обнаружения первопричин проблем и принятия адекватных мер противодействия — например, отключения учетной записи пользователя.
Создание собственного аналитического решения безопасности и даже внедрение готового продукта требует много времени, тщательной подготовки и предварительных исследований. Однако все компании могут начать с простой меры — с формирования собственного аналитического мышления. Они могут изучать имеющиеся в наличии источники данных и выделять те из них, которые представляют наибольший интерес, поддаются анализу и позволяют отвечать с их помощью на актуальные вопросы. Внедрив этот процесс, они получат намного более качественный результат внедрения выбранного ими аналитического решения по безопасности и смогут выявлять «неизвестные» угрозы, исходящие от внутренних и внешних злоумышленников.
Автор: Золтан Дъёрку, генеральный директор компании Balabit
Фото: Igor Mojzes /123rf.com
Свежие комментарии