Колись спосіб проникнення зловмисників в організацію був досить простим. Зловмисник знаходив вразливість, наприклад, не оновлений пристрій або скомпрометований обліковий запис, проникав у систему, шифрував файли або викрадав дані, а організації залишалось лише розгрібати наслідки та шукати кращих способів захисту.
Сьогодні організації являють собою сукупність поверхонь атак, що на папері може здаватися складнішим для зловмисників. Проте, в міру того, як організації стають розумнішими, такими самими стають і зловмисники. Тепер атаки не такі лінійні; зловмисники можуть знайти вразливість, залягти на дно, перестрибнути з однієї поверхні атаки на іншу, знову залягти на дно, а потім розпочати повноцінну атаку на бізнес. Іноді буває вже занадто пізно, і організаціям доводиться витрачати мільйони доларів на відновлення та усунення наслідків.
Хоча це може здаватися марним, але це не означає, що ми не можемо випередити сучасну криву виявлення загроз. Ось п'ять способів, за допомогою яких найкращі Центри операційної безпеки випереджають зловмисників.
1. Інвестуйте у технології
Єдина технологія, яка дозволить організаціям випередити зловмисників, – це штучний інтелект (ШІ). Ми не говоримо про великі мовні моделі (LLM), які просто допомагають аналітикам будувати запити для їхніх розслідувань. Ми не говоримо про підходи ШІ/ML, які лише виявляють аномалії та потребують постійного людського обслуговування.
Ми говоримо про використання ШІ для побудови сигналу атаки, який виявляє найкритичніші та найнагальніші загрози, специфічні для кожного унікального клієнтського середовища, надаючи при цьому повну картину атаки. У Vectra AI ми називаємо цей ШІ нашим "Attack Signal Intelligence" (Розвідка сигналів атаки).
Протягом десяти років Vectra досліджує, розробляє, впроваджує та патентує ШІ безпеки, орієнтований на забезпечення найкращого сигналу атаки на планеті. Розвідка сигналів атаки виходить за рамки сигнатур та аномалій, щоб зрозуміти поведінку зловмисника та зосередитися на TTP (тактика, техніка та процедури) зловмисника на всьому ланцюжку атаки після її здійснення. Вона аналізує поведінку зловмисника та шаблони трафіку, унікальні для середовища клієнта, щоб зменшити шум від оповіщень та виявляти лише релевантні справжні позитивні події. Озброєні контекстом щодо повної картини атаки, аналітики безпеки витрачають свій час і талант на те, що вони вміють робити найкраще – пошук, розслідування та запобігання переходу атак у витоки даних.
2. Впровадьте стратегію XDR (Розширене виявлення та реагування)
Мати стратегію XDR є критично важливим для боротьби з сучасними гібридними атаками, які охоплюють різноманітні поверхні атак. Завдяки стратегії XDR ви зможете досягти:
-
Покриття: Інтегроване високоякісне покриття виявлення загроз на всій гібридній поверхні атаки – мережі, IoT/OT, публічні хмари, ідентифікатори, SaaS-застосунки, кінцеві точки та електронна пошта. Захисникам потрібні гарантії, що вони мають необхідну видимість.
-
Чіткість: Інтегрований сигнал, який співвідносить виявлення для пріоритизації реальних атак у режимі реального часу. Захисникам потрібно знати, на чому зосередитись спочатку – з чого почати роботу.
-
Контроль: Інтегровані, автоматизовані, керовані дії з розслідування та реагування, які дозволяють командам Центрів операцій безпеки (SOC) діяти з такою ж швидкістю та масштабом, як і гібридні зловмисники. Захисникам потрібні компетенції та впевненість, щоб встигати за обсягом та швидкістю загроз.
3. Регулярно оцінюйте ризики втручання
Захист організації – це постійно мінлива мішень, зважаючи на постійно мінливе ІТ-середовище. Тому необхідно регулярно оцінювати свою вразливість до атак.
Це передбачає вивчення основних моментів, включаючи перегляд брандмауерів периметра та інтернет-шлюзів, захисту від програм-шкідників, управління патчами, списків дозволів і контролю виконання, безпечної конфігурації, політик паролів і контролю доступу користувачів. Інтеграція цих основних моментів у вашу програму безпеки має життєво важливе значення, поряд з регулярними оновленнями.
Крім того, вивчіть поверхні атаки, до яких ваша організація може бути потенційно схильна. У деяких випадках є ресурси для проведення навантажувальних тестів та аналізу прогалин у ваших поверхнях атаки.
Ці заходи покривають ваш ризик впливу до того, як потенційний компроміс може статися, але що вам слід робити після того, як зловмисник вже скомпрометував ідентифікатор і проникнув у середовище? Як тільки зловмисник потрапляє у вашу систему, це призводить до більшої складності у виявленні та реагуванні. Зловмисник може вжити безлічі заходів, щоб завдати шкоди вашому бізнесу, таких як компрометація кількох облікових записів, ескалація привілеїв ідентичності та невловимий латеральний рух – все це може призвести до інциденту, критичного для бізнесу.
Що ви можете зробити, щоб відповісти на цей виклик? Відповідь полягає у ваших технологіях виявлення та реагування – головне, щоб переконатися, що сигнали, які отримує ваша технологія, інтелектуально інформуватимуть вас про цю підозрілу поведінку, навіть перш ніж вона стане повноцінною атакою. Наприклад, Attack Signal Intelligence від Vectra AI може співвідносити хостів і сутності на різних атакуючих поверхнях з атрибуцією, що ґрунтується на ШІ та ML, яка точно заповнює інформаційні прогалини, що призводить до складнощів після компрометації. Отримання багатого та точного контексту того, як діє зловмисник, налаштує вас на успіх, навіть коли зловмисник може обійти ваш захист.
4. Співпрацюйте зі сторонніми експертами
Хоча інвестування в якісні технології може значно зменшити навантаження на вашу команду SOC, іноді цього недостатньо для боротьби з сучасними атаками, особливо в сучасних гібридних середовищах. Ось чому ми настійно рекомендуємо поєднувати технології штучного інтелекту з людським інтелектом, особливо зі сторонніми галузевими експертами, як додаткову лінію оборони проти гібридних нападників. Сторонні галузеві експерти можуть надавати послуги керованого виявлення та реагування, які надають глибокі знання про індустрію безпеки, а також є експертами в платформі та технології, які ви використовуєте. Зовнішнє обслуговування деяких рутинних, повсякденних завдань SOC стороннім експертам – це чудова інвестиція, особливо коли ці експерти добре знайомі з технологією та платформою, які ви використовуєте для виявлення та реагування на загрози.
Завдяки Vectra MXDR ви можете охопити всі ваші поверхні атаки – SaaS, хмару, ідентифікацію, мережу та кінцеві точки – за допомогою наших інтеграцій з CrowdStrike, SentinelOne і Microsoft Defender на глобальному рівні цілодобово 7 днів на тиждень протягом року. Vectra MXDR може зняти з вас години роботи, звільняючи час і таланти для більш цінних і критичних завдань.
5. Оптимізуйте час та бюджет
Останній спосіб, яким найкращі SOC випереджають сучасних зловмисників, – це оптимізація людей і ресурсів у своїх командах. Люди найкраще виконують те, що їм подобається – чи любить ваша команда SOC годинами щодня керувати оповіщеннями, налаштовувати правила та створювати звіти? Напевно, що ні. Натомість бюджет безпеки, який ви звільните, використовуючи службу керованого виявлення та реагування, можна інвестувати в ініціативи або програми безпеки, над якими ваша команда SOC хотіла б працювати – програми полювання на загрози, наставництво, дослідження, налагодження ділових стосунків та загальні високорівневі ініціативи, призначені для висококваліфікованих талантів.
Ось чому передача рутинних завдань SOC сторонній MDR-службі має вирішальне значення для сучасного SOC. Коли інша команда піклується про щоденні завдання, на які ваша команда SOC витрачає надто багато часу, це звільняє більше часу для того, щоб аналітики могли занурюватися у високоцінні проекти, тим самим оптимізуючи ваші таланти та бюджет безпеки.
Висновок
Залишатися попереду сучасних зловмисників – це постійний виклик, але за допомогою правильних інвестицій, стратегій і талантів ваша команда SOC може перемогти. Використовуючи вищезазначені п'ять порад, ви можете створити більш стійкий і ефективний SOC, який буде на крок попереду зловмисників і захищати вашу організацію від найновіших загроз.
VectraAl - надбання компанії NWU для кібербезпеки України
Vectra AI - це потужне рішення, яке може допомогти організаціям захиститися від атак на основі GenAI. Завдяки своїй здатності точно та швидко виявляти GenAI-атаки, а також забезпечувати видимість та простоту використання, платформа Vectra AI є цінним доповненням до будь-якої програми кібербезпеки.
Завдяки компанії NWU, що є офіційним дистриб'ютором VectraAl в Україні, відтепер на вітчизняному IT-ринку стало можливо купити NDR (Network Detection and Response) від світового лідера, що є невід'ємною частиною SOC-тріади.
Купити NDR для SOC або замовити тестування Vectra MXDR:
Продукти Vectra