Атаките срещу зловреден софтуер започват да набират сила в глобалния пейзаж на киберсигурността в продължение на месеци, а тяхното непрекъснато развитие е едно от водещите прогнози на PandaLabs за 2019 година.
В този вид операции, нападателят приема самоличността на администратор на дадена система. След като придобие неговите пълномощия по един или друг начин започва зловредната си дейност.
Тъй като не се използва никакъв зловреден софтуер, системите за сигурност трябва да могат да разпознават този вид атака, като откриват аномално поведение на потребителите в корпоративната мрежа. Технологиите, способни да изпълняват тези задачи, са неразделна част от концепцията за ловуване на заплахи.
По-малко инфекции със зловреден софтуер и повишаване на „живото“ хакерство.
През 2016 г. е имало 40% по-малко инфекции, отколкото през 2015 г., а през 2017 г. понижението е дори по-значително, със 70%. През 2018 г. инфекциите, дължащи се на тенденцията за злонамерен софтуер са сведени до нула. Като такъв, проблемът със зловредния софтуер изчезва, а новият проблем е професионализирането на киберпрестъпниците.
Има десетки хиляди хакери в света, обучени от правителства, компании за сигурност и престъпни организации. Те извършват целенасочени атаки със собствен зловреден софтуер и дори използват законни приложения и добронамерен софтуер, за да останат скрити. Всичко това изисква адекватен отговор, за да се запазят мрежите в безопасност.
След като обяснихме защо ловуването на заплахи е необходимо и като разгледахме какъв е процесът на проактивно търсене на заплахи, тук ще анализираме какви предизвикателства са включени в осъществяването на тази дейност и присъщите й предимства за нашите компании.
Предизвикателствата на Лова на заплахи
Главното предизвикателство, което спира ИТ екипите от извършването на Лов на заплахи, е времето. За съжаление, ИТ екипите често са ограничени по размер и един човек вероятно едновременно изпълнява ролята на ИТ администратор, техник и CISO. Всичко това означава, че вероятно нямате необходимото време, за да изпълните всички тези задачи.
Необходимо е време за търсене на заплахи, за събиране на данни и за създаване на валидни хипотези. Нещо повече, необходимо е също така да се проучат показателите за атака – IOAs и IOCs – и модели на атака. Като времето е от ключово значение.
Платформите за ловуване на заплахи трябва да са способни, наред с други неща, да наблюдават поведението на компютрите, приложенията, които работят върху тях, и по-специално техните потребители. Технически погледнато, процесът на ловуване на заплахи се основава на огромно количество данни относно поведението на наблюдаваните компоненти и се актуализира в реално време при възникване на нови събития.
Използваната платформа трябва да може да изследва този огромен запас от информация, за да разработи нови хипотези за вероятна атака. В този момент системите за машинно обучение ще приоритизират потенциалните инциденти, които веднъж задействани, трябва да бъдат анализирани подробно с помощта на инструменти за дистанционен анализ, интегрирани в платформата.
Всички тези изисквания, са още едно предизвикателство като се има предвид факта, че човешкият фактор е ключът към допълването на процеса на автоматизация: наемането на квалифицирани експерти може да бъде друг труден и скъп процес, както и изграждането или експлоатацията на необходимите инструменти, са още един значителен разход, който много ИТ отдели не могат да си позволят.
Ако нямате времето, ресурсите или ноу-хау, как можете да се възползвате от Лова на заплахи?
Отговорът е да имате управлявана услуга, като Panda Threat Hunting & Investigation Service. Нашият екип от експерти-анализатори идентифицира атаки, които използват напълно нови методи и механизми за изпълнение на техните атаки. Целта на тази услуга е да открие атаки, за които няма известни IOCs (индикатори за компрометиране) или IOAs (индикатори за атака). Това не е проста задача на корелация на събитията постъпили в SIEM системата; тя се върти около откриването и създаването на нови показатели за атака.
Всъщност, ние търсим хакери в реално време, които се представят за системни администратори, без да използват злонамерен софтуер, без персонализирани инструменти (които биха били изключително лесни за идентифициране), а по-скоро с помощта на административни инструменти, скриптове, PowerShells и др. Търсим също злонамерени служители или небрежни потребители, които се опитват да навредят на компанията, да крадат информация или да причинят някаква вреда.
Поради всичко това използваме профилите на идентичността и нашият план е да включим и идентичността на потребителя и контрола на данните в обучението. Защото не трябва да има извинения, когато трябва да се защити най-ценното – крайната точка – с управлявана услуга за ловуване на заплахи.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08