TŘETÍ DÍL
V předchozích dílech jste viděli, jak vypadá kybernetický útok v připravené a nepřipravené organizaci.
| První díl | Druhý díl |
Dobře, v čem jste tedy lepší než naše stávající řešení, doporučované a certifikované?
Ke každému firemnímu síťovému prostředí se musí přistupovat jako k unikátnímu ekosystému. Ani certifikace nezaručuje spolehlivé odhalení problému, pouze osvědčuje schopnost dodržování nějakých postupů. Postupů, které mohou být zastaralé nebo nedostatečné.
Pokud někdo nabízí jediné „všezahrnující“ či „všespásné“ řešení kybernetické bezpečnosti, zamlžuje podstatu problému. Kouzlo co nejvyšší možné míry zabezpečení a minimalizace rizika napadení či útoku spočívá v rozumné kombinaci různých vrstev. Mnohé z nich jsou tu s námi celá desetiletí, jako antiviry a firewally. Prošly inovací a proměnou v inteligentní sandboxy, protokolové brány a pračky provozu.
Víc jak deset let mají “mladá” řešení, sbírající hlášení o aktivitách koncových prvků a stanic a vyhledávající vzorce škodlivého chování, ať už pro detekci nebo analýzu. Podobně jsou na tom monitory výkonu — Zabbix / Nagios / Incinga, které nejsou primárně bezpečnostním řešením. Všechny tyto přístupy spoléhají na velkou míru “neprůstřelnosti” prvků zapojených v ochraně. Prvků, které se podílejí na provozu a jsou jeho součástí. Prvků, na kterých uživatelé spouštějí software, otevírají přílohy e‑mailů, hrají hry, instalují software a aktualizace. Prvků, které navrhovali a programovali lidé, a to ke svému obrazu. Plné chyb, nedomyšlených součástí, záhadných poruch chování a nepředvídaných reakcí na podněty a chyby v datech. Taková zařízení by se měla sama chránit, pravdivě a důvěryhodně dokladovat svoje aktivity?
Analýza síťového provozu (NTA, Network Traffic Analysis) tímto neduhem netrpí. Vlastními prostředky analyzuje obdrženou kopii (příposlech, zrcadlo) provozu v síti. Je odpovědí na vývoj bezpečnostních hrozeb v posledních deseti letech. Nepodílí se na provozu, nekomunikuje s žádnými zařízeními a je proto neodhalitelné. NTA pouze analyzuje chování všech ostatních zařízení v síti, počítá metriky, eviduje komunikační matice, modeluje a předpovídá agregátní charakteristiky provozu ve sledované síti a upozorňuje na výskyt nových zařízení, komunikačních vektorů, spojení s protistranami pochybné pověsti, známých řídících středisek malwaru, úložišť škodlivého kódu, neobvyklých vzorců komunikace a jich kombinací.
Je to automatický systém, který nikdy nespí a nepoleví svoji pozornost. Systém, který automaticky uschová podezřelé fragmenty provozu a poskytne je k analýse spolu s hlášeným nálezem. Systém, který rozpozná citlivé údaje, jako jsou například hesla, a takový obsah automaticky zamaskuje. Protože ale není součástí souboru provozních zařízení, doplňuje jejich vnitřní a vzájemnou ochranu o další, nezávislou vrstvu, která zviditelňuje a dokladuje odhalené útoky a hrozby.
To umíte jenom ten ransomware?
Detekujeme celou řadu anomálií a incidentů. Ransomware je v současné době nejvíce vidět a vykazuje největší škodlivost. Další informace můžete najít ve starším článku: „Ransomware? 13+1 zásada, jak minimalizovat riziko napadení“
A co s tím má společného ten koronavirus?
V reálném světě právě stojíme proti nové neznámé a potenciálně smrtící hrozbě, na kterou nefungují snadno dostupné léky. Nedokážeme ji spolehlivě detekovat a tak provádíme preventivní opatření. Podobně už delší dobu stojíme proti pandemii různých forem malwaru. Proti této hrozbě můžeme udělat preventivní opatření ve svých sítích a ta můžeme doplnit detekcí nových, skrytých a neznámých hrozeb. Kybernetické hrozby, stejně jako biologické viry, potřebují čas na nalezení slabiny a průnik do systému, další čas na zahnízdění a rozšíření do celé dostupné sítě, pak vykonávají škodlivou operaci a teprve po nějaké době pozorujeme výsledky jejich “snažení”. Stejně jako u koronaviru platí, že prvotní nákaza probíhá bez viditelných příznaků. Když už čteme ve zprávách, že někdo “čelí útoku”, pak jsou to právě viditelné příznaky dlouho po úspěšném útoku a průniku.
S naším systémem GREYCORTEX Mendel umíme zachytit útok v prvotních fázích skryté aktivity. Preventivní ochranná opatření nenahrazujeme, ale účinně doplňujeme o zviditelnění skrytých komunikací škodlivého softwaru a včasné varování. Když budete připravení a včasně varováni, dokážete reagovat a napravovat důsledky úspěšného průniku rychle a efektivně.
Reagovali jste na aktuální omezení a částečně nebo zcela přešli na home office, přičemž během přechodu “nebyl čas ptát se, kdo je kdo”? Máte oprávněnou obavu, že v dříve správně segmentované a neprostupné infrastruktuře vznikly trhliny? Nejste si jistí, jak jste byli připraveni a pochybujete, že vše je udělané správně? Nechte Mendela, ať je v reálném čase odhaluje za vás a umožní vám je v klidu postupně zacelovat. Vždyť Řím také nebyl postaven za den.
Tak se tedy chraňte!
Je na čase myslet na správnou ochranu a silnou obranu. Když už ne hned, tak určitě brzy! Noste roušky, omezte styk s ostatními, pracujte z domu, používejte telekonference. A hlavně, zavolejte, napište nám, diskutujte, počítejte s námi a spolehněte se, že GREYCORTEX Mendel vidí více.
Kategorie
- Novinky (18)
- IT/OT bezpečnost (19)