Najprościej ujmując, analiza zagrożeń to wiedza, która pomaga nie tylko w identyfikacji zagrożeń bezpieczeństwa, ale także w podejmowaniu odpowiednich decyzji. Pomaga też rozwiązać następujące problemy:
- Jak trzymać rękę na pulsie przy zawrotnej ilości informacji na temat cyberzagrożeń (w tym na temat złych praktyk, metod, słabych punktów, celów, etc.)?
- Jak działać proaktywnie w kwestii przyszłych cyberzagrożeń?
- Jak poinformować swoich przełożonych o niebezpieczeństwach i następstwach cyberzagrożeń?
Cyberzagrożenia. Z artykułu dowiecie się jak rozpoznawać zagrożenia
Spis treści
- Analiza Zagrożeń: Co to jest?
- Dlaczego wszyscy o tym mówią?
- Możliwości Analizy Zagrożeń
- Najlepsze praktyki
- Jakie problemy rozwiązuje system SIEM z Analizą Zagrożeń?
Analiza Zagrożeń: Co to jest?
Analiza Zagrożeń znajduje się ostatnio w centrum zainteresowania. Istnieje wiele definicji tego zjawiska, ale tylko niektóre w pełni oddają sens zagadnienia:
Analiza zagrożeń to (oparta na dowodach) wiedza o istniejącym lub kształtującym się zagrożeniu, której można użyć przy podejmowaniu decyzji o reakcji na to zagrożenie. Taka wiedza obejmuje kontekst, mechanizmy, wskaźniki a także konsekwencje i porady. – Gartner
Jest to zestaw danych zebrany, oceniony i na podstawie, którego wdrożono odpowiednie wskaźniki podatności na cyberzagrożenia, oszustwa, exploity (ataki wykorzystujące luki w systemie zabezpieczeń) oraz złośliwe oprogramowanie. – SANS Institute
Dlaczego wszyscy o tym mówią?
Verizon w swoim raporcie z 2015 roku szacuje stratę 400 milionów dolarów poprzez 700 milionów zagrożonych informacji, które wyciekły w wyniku 79790 incydentów związanych z bezpieczeństwem.
Firmy będą szukać sposobów na ochronę swoich danych tak długo, jak będą występować zarówno zagrożenia jak
i naruszenia bezpieczeństwa. Gama zagrożeń cały czas się zmienia, natomiast ryzyko dla biznesów stale wzrasta ze względu na ich zależność od systemów IT.
Cyberzagrożenia mają swoje wewnętrzne jak i zewnętrze źródła. W rezultacie tego organizacje są pod olbrzymią presją związaną z odpowiednim zarządzaniem zagrożeniami. Mimo, iż informacje w postaci surowych danych są szeroko dostępne, wyciągnięcie tych istotnych jest trudne i czasochłonne ze względu na zastosowanie środków zapobiegawczych.
To sprawia, że coraz więcej użytkowników jest zainteresowanych analizą zagrożeń, która pozwala na ustalenie odpowiedniego priorytetu zagrożeń wśród ogromnej ilości danych, alertów oraz ataków. Dostarcza też danych pozwalających podjąć odpowiednie kroki.
Poniższa tabela zawiera przykłady typowych wskaźników zagrożenia, które mogą zostać zidentyfikowane poprzez analizę zagrożeń:
Kategoria | Wskaźnik zagrożenia | Przykłady |
Sieć |
| Złośliwe oprogramowanie atakuje wewnętrzne hosty, które komunikują się z oszustami |
| Próby phishingu gdzie wewnętrzny host klika na zwykłego emaila, który kontaktuje się z ‘centralą’, wykonuje złośliwe komendy i przejmuje serwer | |
Hosty |
| Zewnętrzne ataki z hostów, które same mogą być zainfekowane lub są już znane ze szkodliwych działań |
Możliwości Analizy Zagrożeń
Ataki można ogólnie skategoryzować, jako zagrożenia bazujące na użytkownikach, aplikacji lub infrastrukturze. Najbardziej powszechnymi zagrożeniami są SQL injections („wstrzykiwanie” kodu SQL), ataki DDoS, ataki poprzez aplikacje sieciowe oraz phishing.
Bardzo ważne jest więc posiadanie rozwiązań z zakresu bezpieczeństwa IT, które umożliwiają zarządzanie takimi atakami poprzez działania zarówno zapobiegawcze jak i reakcyjne.
Taktyki atakujących ciągle się zmieniają, aby pokonać systemy zabezpieczeń. Zatem uzyskanie odpowiednich narzędzi analizy zagrożeń jest konieczne dla wielu organizacji.
Jedną ze sprawdzonych metod obrony przed atakami jest uprzednie wykrycie zagrożenia i odpowiedź na nie poprzez system SIEM (Security Information & Event Management – system zarządzania informacjami oraz zdarzeniami bezpieczeństwa).
System SIEM jest używany do śledzenia wszystkich zdarzeń w danym środowisku by identyfikować anomalie. Pojedyncze incydenty mogą wydawać się niezwiązane ze sobą, jednak za sprawą analizy zagrożeń oraz korelacji zdarzeń, obraz tego, co dzieje się w środowisku jest wyraźny.
W dzisiejszych czasach, pracownicy związani z bezpieczeństwem IT muszą działać przy założeniu, że doszło do naruszenia tego bezpieczeństwa. Wynikające z analizy zagrożeń porównanie monitorowanych systemów i działań znanych złoczyńców może pomóc w wykrywaniu ataków.
Może to, jednakże, oznaczać ręczną i czasochłonną pracę. Integracja wskaźników bazujących na analizie zagrożeń do systemu SIEM może pomóc w identyfikacji zagrożonego systemu a nawet w zapobieganiu atakom.
Najlepsze praktyki
Integracja analizy zagrożeń oraz odpowiadanie na ataki nie wystarczy w walce przeciwko ciągle zmieniającemu się środowisku tych zagrożeń. Konieczna jest analiza sytuacji oraz określenie zagrożeń, z jakimi możemy mieć styczność. To pozwoli nam określić odpowiednie środki bezpieczeństwa.
Oto kilka najlepszych praktyk:
- Stwórz białą listę (dozwolonych) i czarną listę (zabronionych) aplikacji. Pomoże to zapobiegać włączaniu złośliwego oprogramowania takiego jak pliki DLL, skrypty czy instalatory.
- Dokładnie sprawdzaj logi – próba ataku była pojedynczym incydentem, czy może raczej to słaby punkt, który był już wykorzystywany?
- Określ, co zmieniło się po próbie ataku.
- Przeglądaj logi i zidentyfikuj przyczynę incydentu – przyczyną może być zarówno słaby punkt jak i nieaktualne sterowniki.
Jakie problemy rozwiązuje system SIEM z Analizą Zagrożeń?
System SIEM, taki jak SolarWinds Log & Event Manager, zbiera i normalizuje dane z logów monitorowanych systemów i automatycznie oznacza podejrzane zdarzenia.
Dzięki zintegrowanej analizie zagrożeń oraz wbudowanym regułom, monitorowane zdarzenia mogą być porównywane z zaktualizowaną listą zagrożeń.
Możesz szybko i w czasie rzeczywistym wyszukiwać i monitorować ataki ze strony oszustów z poziomu logów by wychwycić wspólne wskaźniki zagrożenia.
Możesz od razu reagować np. poprzez blokadę danego adresu IP (w przypadku złośliwego ataku).
Więcej na temat zagrożeń w internecie tutaj.
Źródło: //thehackernews.com
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVAST Internet Security to dobry program antywirusowy. Zaufało nam już 300 milinów ludzi na całym świecie!
Podobał Ci się ten artykuł?
Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!