Close Menu
    Porady dla biznesu

    Czym jest analiza zagrożeń i jak pomaga w rozpoznawaniu cyberzagrożeń?

    Brak komentarzy5 Mins ReadUpdated:
    Analiza zagrożeń to wiedza, która pomaga w podejmowanie mądrzejszych decyzji działu IT
    Analiza zagrożeń służy przede wszystkim w podejmowaniu lepszych decyzji o bezpieczeństwie IT

    Najprościej ujmując, analiza zagrożeń to wiedza, która pomaga nie tylko w identyfikacji zagrożeń bezpieczeństwa, ale także w podejmowaniu odpowiednich decyzji. Pomaga też rozwiązać następujące problemy:

    • Jak trzymać rękę na pulsie przy zawrotnej ilości informacji na temat cyberzagrożeń (w tym na temat złych praktyk, metod, słabych punktów, celów, etc.)?
    • Jak działać proaktywnie w kwestii przyszłych cyberzagrożeń?
    • Jak poinformować swoich przełożonych o niebezpieczeństwach i następstwach cyberzagrożeń?

     Cyberzagrożenia. Z artykułu dowiecie się jak rozpoznawać zagrożenia

    Spis treści

    Analiza Zagrożeń: Co to jest?

    Analiza Zagrożeń znajduje się ostatnio w centrum zainteresowania. Istnieje wiele definicji tego zjawiska, ale tylko niektóre w pełni oddają sens zagadnienia:

    Analiza zagrożeń to (oparta na dowodach) wiedza o istniejącym lub kształtującym się zagrożeniu, której można użyć przy podejmowaniu decyzji o reakcji na to zagrożenie. Taka wiedza obejmuje kontekst, mechanizmy, wskaźniki a także konsekwencje i porady. – Gartner

    Jest to zestaw danych zebrany, oceniony i na podstawie, którego wdrożono odpowiednie wskaźniki podatności na cyberzagrożenia, oszustwa, exploity (ataki wykorzystujące luki w systemie zabezpieczeń) oraz złośliwe oprogramowanie. – SANS Institute

    Analiza zagrożeń zyskała na popularności z powodu szybkiego wzrostu cyberataków
    Jedne z najtrafniejszych definicji zaproponował SANS Institute oraz Gartner

    Dlaczego wszyscy o tym mówią?

    Verizon w swoim raporcie z 2015 roku szacuje stratę 400 milionów dolarów poprzez 700 milionów zagrożonych informacji, które wyciekły w wyniku 79790 incydentów związanych z bezpieczeństwem.

    Firmy będą szukać sposobów na ochronę swoich danych tak długo, jak będą występować zarówno zagrożenia jak
    i naruszenia bezpieczeństwa. Gama zagrożeń cały czas się zmienia, natomiast ryzyko dla biznesów stale wzrasta ze względu na ich zależność od systemów IT.

    Cyberzagrożenia mają swoje wewnętrzne jak i zewnętrze źródła. W rezultacie tego organizacje są pod olbrzymią presją związaną z odpowiednim zarządzaniem zagrożeniami. Mimo, iż informacje w postaci surowych danych są szeroko dostępne, wyciągnięcie tych istotnych jest trudne i czasochłonne ze względu na zastosowanie środków zapobiegawczych.

    To sprawia, że coraz więcej użytkowników jest zainteresowanych analizą zagrożeń, która pozwala na ustalenie odpowiedniego priorytetu zagrożeń wśród ogromnej ilości danych, alertów oraz ataków. Dostarcza też danych pozwalających podjąć odpowiednie kroki.

    Poniższa tabela zawiera przykłady typowych wskaźników zagrożenia, które mogą zostać zidentyfikowane poprzez analizę zagrożeń:

    KategoriaWskaźnik zagrożeniaPrzykłady
    Sieć
    • Adresy IP
    • Adresy URL
    • Nazwy domen
    		Złośliwe oprogramowanie atakuje wewnętrzne hosty, które komunikują się
    z oszustami
    Email
    • Adres nadawcy i tytuł emaila
    • Załączniki
    • Linki
    		Próby phishingu gdzie wewnętrzny host klika na zwykłego emaila, który kontaktuje się z ‘centralą’, wykonuje złośliwe komendy i przejmuje serwer
    Hosty
    • Nazwy plików oraz ich hash (np. MD5)
    • Klucze rejestru
    • Biblioteki łączone dynamicznie (Dynamic link libraries – DLL)
    • Nazwy mutex
    		Zewnętrzne ataki z hostów, które same mogą być zainfekowane lub są już znane ze szkodliwych działań

    Możliwości Analizy Zagrożeń

    Ataki można ogólnie skategoryzować, jako zagrożenia bazujące na użytkownikach, aplikacji lub infrastrukturze. Najbardziej powszechnymi zagrożeniami są SQL injections („wstrzykiwanie” kodu SQL), ataki DDoS, ataki poprzez aplikacje sieciowe oraz phishing.

    Bardzo ważne jest więc posiadanie rozwiązań z zakresu bezpieczeństwa IT, które umożliwiają zarządzanie takimi atakami poprzez działania zarówno zapobiegawcze jak i reakcyjne.

    Taktyki atakujących ciągle się zmieniają, aby pokonać systemy zabezpieczeń. Zatem uzyskanie odpowiednich narzędzi analizy zagrożeń jest konieczne dla wielu organizacji.

    Jedną ze sprawdzonych metod obrony przed atakami jest uprzednie wykrycie zagrożenia i odpowiedź na nie poprzez system SIEM (Security Information & Event Management – system zarządzania informacjami oraz zdarzeniami bezpieczeństwa).

    System SIEM jest używany do śledzenia wszystkich zdarzeń w danym środowisku by identyfikować anomalie. Pojedyncze incydenty mogą wydawać się niezwiązane ze sobą, jednak za sprawą analizy zagrożeń oraz korelacji zdarzeń, obraz tego, co dzieje się w środowisku jest wyraźny.

    W dzisiejszych czasach, pracownicy związani z bezpieczeństwem IT muszą działać przy założeniu, że doszło do naruszenia tego bezpieczeństwa. Wynikające z analizy zagrożeń porównanie monitorowanych systemów i działań znanych złoczyńców może pomóc w wykrywaniu ataków.

    Może to, jednakże, oznaczać ręczną i czasochłonną pracę. Integracja wskaźników bazujących na analizie zagrożeń do systemu SIEM może pomóc w identyfikacji zagrożonego systemu a nawet w zapobieganiu atakom.

    System SIEM używa się do śledzenia wszystkich zdarzeń w danym środowisku by identyfikować anomalie
    Najbardziej powszechnymi zagrożeniami są SQL injections, DDoS, ataki przez aplikacje sieciowe oraz Phishing

    Najlepsze praktyki

    Integracja analizy zagrożeń oraz odpowiadanie na ataki nie wystarczy w walce przeciwko ciągle zmieniającemu się środowisku tych zagrożeń. Konieczna jest analiza sytuacji oraz określenie zagrożeń, z jakimi możemy mieć styczność. To pozwoli nam określić odpowiednie środki bezpieczeństwa.

    Oto kilka najlepszych praktyk:

    • Stwórz białą listę (dozwolonych) i czarną listę (zabronionych) aplikacji. Pomoże to zapobiegać włączaniu złośliwego oprogramowania takiego jak pliki DLL, skrypty czy instalatory.
    • Dokładnie sprawdzaj logi – próba ataku była pojedynczym incydentem, czy może raczej to słaby punkt, który był już wykorzystywany?
    • Określ, co zmieniło się po próbie ataku.
    • Przeglądaj logi i zidentyfikuj przyczynę incydentu – przyczyną może być zarówno słaby punkt jak i nieaktualne sterowniki.

    Jakie problemy rozwiązuje system SIEM z Analizą Zagrożeń?

    System SIEM, taki jak SolarWinds Log & Event Manager, zbiera i normalizuje dane z logów monitorowanych systemów i automatycznie oznacza podejrzane zdarzenia.

    Dzięki zintegrowanej analizie zagrożeń oraz wbudowanym regułom, monitorowane zdarzenia mogą być porównywane z zaktualizowaną listą zagrożeń.

    Możesz szybko i w czasie rzeczywistym wyszukiwać i monitorować ataki ze strony oszustów z poziomu logów by wychwycić wspólne wskaźniki zagrożenia.

    Możesz od razu reagować np. poprzez blokadę danego adresu IP (w przypadku złośliwego ataku).

    Więcej na temat zagrożeń w internecie tutaj.

    Źródło: //thehackernews.com

    ___

    Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVAST Internet Security to dobry program antywirusowy. Zaufało nam już 300 milinów ludzi na całym świecie!

    antywirus avast logo

     

    Oceń artykuł
    [Głosów: 1 Średnia: 5]
    Subskrybuj
    Powiadom o
    guest
    0 komentarzy
    Najstarsze
    Najnowsze Najwięcej głosów
    Opinie w linii
    Zobacz wszystkie komentarze