Jak podst臋p mo偶e zapewni膰 przewag臋 w walce z cyberatakami [Q&A]

Jak podst臋p mo偶e zapewni膰 przewag臋 w walce z cyberatakami [Q&A]

Firmy zaczynaj膮 zdawa膰 sobie spraw臋, 偶e ca艂kowite odci臋cie atakuj膮cych od ich sieci mo偶e by膰 niemo偶liwe, dlatego zaczynaj膮 szuka膰 sposob贸w skuteczniejszej walki z nimi.

Jednym ze sposob贸w na to jest u偶ycie wabik贸w do zwabienia napastnik贸w i umo偶liwienie uporania si臋 z zagro偶eniem, zanim wp艂ynie ono na 偶ywe systemy. Rozmawiali艣my z Carolyn Crandall, dyrektorem ds. Oszustw w Attivo Networks, aby dowiedzie膰 si臋 wi臋cej o tym, jak dzia艂a ta oszuka艅cza technologia i co mo偶e zrobi膰.

BN: Jak powszechne jest stosowanie technologii oszustwa?

CC: Lubi臋 Podziemny kr膮g, pierwsza zasada oszustwa m贸wi, 偶e nie m贸wisz o oszustwie, wi臋c jest ono obecne w znacznie wi臋kszej liczbie miejsc, ni偶 ludzie zdaj膮 sobie spraw臋. W ostatnich latach byli艣my 艣wiadkami ogromnego wzrostu na rynku.

BN: Jak dzia艂a oszustwo?

CC: 呕adna gra strategiczna nie mo偶e by膰 wygrana bez podst臋pu i 艣rodk贸w obronnych. Wiele os贸b czeka dzisiaj na incydent, a nast臋pnie reaguje na to. Oszustwo zmienia gr臋, poniewa偶 oznacza, 偶e 鈥嬧媘o偶emy by膰 proaktywni i lepiej zrozumie膰 cykl ataku. To pozwala nam zwin膮膰 atak, zanim b臋dzie mia艂 okazj臋 naprawd臋 si臋 rozpocz膮膰, w spos贸b, kt贸ry nie jest zale偶ny od sygnatury, dopasowywania wzorc贸w i tak dalej. Nie ma r贸wnie偶 ryzyka fa艂szywych alarm贸w. Je艣li kto艣 dotknie 艣rodowiska oszustwa, nie ma to 偶adnej warto艣ci dla pracownik贸w, wi臋c wiesz, 偶e jest z艂o艣liwe.

Innym problemem zwi膮zanym z odstraszaniem przeciwnik贸w jest to, 偶e ich wykrycie to jedno, ale je艣li nic o nich nie wiesz, mo偶e by膰 trudno upewni膰 si臋, 偶e jakiekolwiek z艂o艣liwe oprogramowanie zosta艂o prawid艂owo usuni臋te z sieci i 偶e nie mog膮 wr贸ci膰. Oszustwo zapewnia inteligencj臋 przeciwnika, mo偶emy okre艣li膰, gdzie zaczyna si臋 atak, przeprowadzi膰 pe艂n膮 analiz臋 ataku w 艣rodowiskach piaskownicy, aby艣my mogli zbada膰 atakuj膮cego i zrozumie膰 jego narz臋dzia, techniki i metody. Mo偶emy r贸wnie偶 podj膮膰 zdecydowane dzia艂ania poprzez integracj臋 z innymi systemami, aby zapobiec atakowi na aktywne sieci. Nawet je艣li atakuj膮cy w艂amie si臋 do us艂ugi Active Directory, mo偶emy zresetowa膰 powierzchni臋 ataku, aby zapobiec ponownemu wej艣ciu.

BN: Czy jest to co艣 tylko dla du偶ych przedsi臋biorstw, czy te偶 dzia艂a dla mniejszych firm?

CC: Oko艂o 35 procent naszej dzia艂alno艣ci to przedsi臋biorstwa z wy偶szej p贸艂ki, reszta to firmy 艣redniej wielko艣ci. Wiele firm zdaje sobie teraz spraw臋, 偶e tradycyjne podej艣cie obejmuj膮ce zapory ogniowe i systemy antywirusowe nie wystarcz膮. Atakuj膮cy si臋 przedostaj膮, mo偶na kupi膰 tani zestaw do ataku w ciemnej sieci i znale藕膰 spos贸b na dostanie si臋 do ma艂ej firmy, wykorzystuj膮c na przyk艂ad b艂膮d w konfiguracji.

Oszustwo to 艂atwy i skuteczny spos贸b dzia艂ania nawet dla mniejszych organizacji. Zosta艂 zaprojektowany tak, aby wszystko by艂o 艂atwe i intuicyjne, i mo偶e pom贸c w raportowaniu i 艣ledzeniu zgodno艣ci. Mo偶e by膰 r贸wnie偶 dostarczany jako us艂uga zarz膮dzana w zakresie oszustw i zapobiegania, zmniejszaj膮c potrzeb臋 posiadania w艂asnej wiedzy i bez konieczno艣ci posiadania fizycznego urz膮dzenia na miejscu w odleg艂ych lokalizacjach.

BN: Czy sztuczna inteligencja jest cz臋艣ci膮 procesu?

CC: Niekt贸rzy gracze w oszustwo m贸wi膮 o u偶ywaniu sztucznej inteligencji do wykrywania atakuj膮cego. W Attivo nie uwa偶amy, 偶e jest to najskuteczniejszy spos贸b radzenia sobie z oszustwami, poniewa偶 do tego momentu jest ju偶 za p贸藕no. Chcemy u偶y膰 pu艂apki, aby przyci膮gn膮膰 i zwabi膰 napastnika. Nie ma uczenia maszynowego zastosowanego w wabiku ani przyn臋cie, jednak jest ono u偶ywane w sposobie, w jaki przygotowujesz oszustwo, aby pozna膰 艣rodowisko. U偶ywamy tych samych system贸w operacyjnych i 艣rodowisk, kt贸re s膮 u偶ywane w produkcji w systemie wabika, aby uzyska膰 pe艂n膮 autentyczno艣膰. Uczenie maszynowe mo偶e zrozumie膰 艣rodowisko i zaleci膰, jakie oszustwo jest potrzebne, skracaj膮c czas sp臋dzony na analizowaniu systemu i budowaniu wabika. We wczesnych dniach oszustwa w garnku miodu by艂o to zbyt trudne do opanowania, zbyt trudne do zbudowania i nie艂atwe do skalowania.

BN: Jak skuteczne jest oszustwo w przypadku zagro偶e艅 wewn臋trznych?

CC: Jest u偶ywany regularnie mi臋dzy osobami z wewn膮trz, wykonawcami i dostawcami. Nawet osoba wtajemniczona niekoniecznie wie, gdzie znajduj膮 si臋 rzeczy w sieci, wi臋c b臋d膮 musieli zajrze膰. Je艣li pracownik przeprowadza rekonesans w cz臋艣ci sieci, do kt贸rej nie jest upowa偶niony, otrzymasz powiadomienie. Je艣li u偶yj膮 skradzionych danych uwierzytelniaj膮cych i spr贸buj膮 dosta膰 si臋 na serwer, r贸wnie偶 otrzymasz alert. Je艣li pr贸buj膮 zebra膰 dane uwierzytelniaj膮ce, aby uzyska膰 dost臋p do celu, r贸wnie偶 zostan膮 tam z艂apani. 艢ledzenie i rejestrowanie oznacza, 偶e 鈥嬧媤szelkie pr贸by s膮 uzasadnione i mo偶na je przekaza膰 zespo艂om HR i prawnym, aby umo偶liwi膰 im podj臋cie dzia艂a艅. Pokazanie, 偶e masz zainstalowany mechanizm wykrywania, mo偶e r贸wnie偶 pom贸c w takich kwestiach, jak uzyskanie ubezpieczenia cybernetycznego.

BN: Jak komplementarne jest oszustwo w stosunku do innych technologii bezpiecze艅stwa?

CC: Obecnie mamy ponad 30 natywnych integracji. Ka偶dy chce na艂o偶y膰 wi臋cej mechanizm贸w zapobiegawczych. Uwa偶amy, 偶e zasadniczo osoby atakuj膮ce mog膮 dosta膰 si臋 do sieci i w ni膮 wkrocz膮. Prawie ka偶da sie膰 na planecie ma jak膮艣 form臋 wykrywania, wi臋c wczesne wykrycie staje si臋 kwesti膮.

Je艣li atakuj膮cy omin膮艂 zapory ogniowe lub inne narz臋dzia prewencyjne, mo偶emy wykry膰 t臋 aktywno艣膰 i przekaza膰 analiz臋 ataku z powrotem do tych system贸w lub do pulpit贸w bezpiecze艅stwa lub utworzy膰 zg艂oszenie serwisowe i mo偶emy to zrobi膰 w spos贸b automatyczny. Jednym z produkt贸w ubocznych jest to, 偶e uczenie maszynowe mo偶e wychwyci膰 takie rzeczy, jak stare po艣wiadczenia lub b艂臋dne konfiguracje i oznaczy膰 je do dzia艂ania.

Kredyt obrazu: alphaspirit / depositphotos.com