Czym jest analiza zagrożeń i jak pomaga w rozpoznawaniu cyberzagrożeń?

0

Najprościej ujmując, analiza zagrożeń to wiedza, która pomaga nie tylko w identyfikacji zagrożeń bezpieczeństwa, ale także w podejmowaniu odpowiednich decyzji. Pomaga też rozwiązać następujące problemy:

  • Jak trzymać rękę na pulsie przy zawrotnej ilości informacji na temat cyberzagrożeń (w tym na temat złych praktyk, metod, słabych punktów, celów, etc.)?
  • Jak działać proaktywnie w kwestii przyszłych cyberzagrożeń?
  • Jak poinformować swoich przełożonych o niebezpieczeństwach i następstwach cyberzagrożeń?

Analiza Zagrożeń: Co to jest?

Analiza Zagrożeń znajduje się ostatnio w centrum zainteresowania. Istnieje wiele definicji tego zjawiska, ale tylko niektóre w pełni oddają sens zagadnienia:

Analiza zagrożeń to (oparta na dowodach) wiedza o istniejącym lub kształtującym się zagrożeniu, której można użyć przy podejmowaniu decyzji o reakcji na to zagrożenie. Taka wiedza obejmuje kontekst, mechanizmy, wskaźniki a także konsekwencje i porady. – Gartner

Jest to zestaw danych zebrany, oceniony i na podstawie, którego wdrożono odpowiednie wskaźniki podatności na cyberzagrożenia, oszustwa, exploity (ataki wykorzystujące luki w systemie zabezpieczeń) oraz złośliwe oprogramowanie. – SANS Institute

Analiza zagrożeń zyskała na popularności z powodu szybkiego wzrostu cyberataków

Jedne z najtrafniejszych definicji zaproponował SANS Institute oraz Gartner

Dlaczego wszyscy o tym mówią?

Verizon w swoim raporcie z 2015 roku szacuje stratę 400 milionów dolarów poprzez 700 milionów zagrożonych informacji, które wyciekły w wyniku 79790 incydentów związanych z bezpieczeństwem.

Firmy będą szukać sposobów na ochronę swoich danych tak długo, jak będą występować zarówno zagrożenia jak
i naruszenia bezpieczeństwa. Gama zagrożeń cały czas się zmienia, natomiast ryzyko dla biznesów stale wzrasta ze względu na ich zależność od systemów IT.

Cyberzagrożenia mają swoje wewnętrzne jak i zewnętrze źródła. W rezultacie tego organizacje są pod olbrzymią presją związaną z odpowiednim zarządzaniem zagrożeniami. Mimo, iż informacje w postaci surowych danych są szeroko dostępne, wyciągnięcie tych istotnych jest trudne i czasochłonne ze względu na zastosowanie środków zapobiegawczych.

To sprawia, że coraz więcej użytkowników jest zainteresowanych analizą zagrożeń, która pozwala na ustalenie odpowiedniego priorytetu zagrożeń wśród ogromnej ilości danych, alertów oraz ataków. Dostarcza też danych pozwalających podjąć odpowiednie kroki.

Poniższa tabela zawiera przykłady typowych wskaźników zagrożenia, które mogą zostać zidentyfikowane poprzez analizę zagrożeń:

Kategoria Wskaźnik zagrożenia Przykłady
Sieć
  • Adresy IP
  • Adresy URL
  • Nazwy domen
Złośliwe oprogramowanie atakuje wewnętrzne hosty, które komunikują się
z oszustami
Email
  • Adres nadawcy i tytuł emaila
  • Załączniki
  • Linki
Próby phishingu gdzie wewnętrzny host klika na zwykłego emaila, który kontaktuje się z ‘centralą’, wykonuje złośliwe komendy i przejmuje serwer
Hosty
  • Nazwy plików oraz ich hash (np. MD5)
  • Klucze rejestru
  • Biblioteki łączone dynamicznie (Dynamic link libraries – DLL)
  • Nazwy mutex
Zewnętrzne ataki z hostów, które same mogą być zainfekowane lub są już znane ze szkodliwych działań

Możliwości Analizy Zagrożeń

Ataki można ogólnie skategoryzować, jako zagrożenia bazujące na użytkownikach, aplikacji lub infrastrukturze. Najbardziej powszechnymi zagrożeniami są SQL injections („wstrzykiwanie” kodu SQL), ataki DDoS, ataki poprzez aplikacje sieciowe oraz phishing.

Bardzo ważne jest więc posiadanie rozwiązań z zakresu bezpieczeństwa IT, które umożliwiają zarządzanie takimi atakami poprzez działania zarówno zapobiegawcze jak i reakcyjne.

Taktyki atakujących ciągle się zmieniają, aby pokonać systemy zabezpieczeń. Zatem uzyskanie odpowiednich narzędzi analizy zagrożeń jest konieczne dla wielu organizacji.

Jedną ze sprawdzonych metod obrony przed atakami jest uprzednie wykrycie zagrożenia i odpowiedź na nie poprzez system SIEM (Security Information & Event Management – system zarządzania informacjami oraz zdarzeniami bezpieczeństwa).

System SIEM jest używany do śledzenia wszystkich zdarzeń w danym środowisku by identyfikować anomalie. Pojedyncze incydenty mogą wydawać się niezwiązane ze sobą, jednak za sprawą analizy zagrożeń oraz korelacji zdarzeń, obraz tego, co dzieje się w środowisku jest wyraźny.

W dzisiejszych czasach, pracownicy związani z bezpieczeństwem IT muszą działać przy założeniu, że doszło do naruszenia tego bezpieczeństwa. Wynikające z analizy zagrożeń porównanie monitorowanych systemów i działań znanych złoczyńców może pomóc w wykrywaniu ataków.

Może to, jednakże, oznaczać ręczną i czasochłonną pracę. Integracja wskaźników bazujących na analizie zagrożeń do systemu SIEM może pomóc w identyfikacji zagrożonego systemu a nawet w zapobieganiu atakom.

System SIEM używa się do śledzenia wszystkich zdarzeń w danym środowisku by identyfikować anomalie

Najbardziej powszechnymi zagrożeniami są SQL injections, DDoS, ataki przez aplikacje sieciowe oraz Phishing

Najlepsze praktyki

Integracja analizy zagrożeń oraz odpowiadanie na ataki nie wystarczy w walce przeciwko ciągle zmieniającemu się środowisku tych zagrożeń. Konieczna jest analiza sytuacji oraz określenie zagrożeń, z jakimi możemy mieć styczność. To pozwoli nam określić odpowiednie środki bezpieczeństwa.

Oto kilka najlepszych praktyk:

  • Stwórz białą listę (dozwolonych) i czarną listę (zabronionych) aplikacji. Pomoże to zapobiegać włączaniu złośliwego oprogramowania takiego jak pliki DLL, skrypty czy instalatory.
  • Dokładnie sprawdzaj logi – próba ataku była pojedynczym incydentem, czy może raczej to słaby punkt, który był już wykorzystywany?
  • Określ, co zmieniło się po próbie ataku.
  • Przeglądaj logi i zidentyfikuj przyczynę incydentu – przyczyną może być zarówno słaby punkt jak i nieaktualne sterowniki.

Jakie problemy rozwiązuje system SIEM z Analizą Zagrożeń?

System SIEM, taki jak SolarWinds Log & Event Manager, zbiera i normalizuje dane z logów monitorowanych systemów i automatycznie oznacza podejrzane zdarzenia.

Dzięki zintegrowanej analizie zagrożeń oraz wbudowanym regułom, monitorowane zdarzenia mogą być porównywane z zaktualizowaną listą zagrożeń.

Możesz szybko i w czasie rzeczywistym wyszukiwać i monitorować ataki ze strony oszustów z poziomu logów by wychwycić wspólne wskaźniki zagrożenia.

Możesz od razu reagować np. poprzez blokadę danego adresu IP (w przypadku złośliwego ataku).

Więcej na temat zagrożeń w internecie tutaj.

Źródło: //thehackernews.com

Podobał Ci się ten artykuł?

Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

Potrzebjesz pomocy z komputerem?

Skorzystaj z wiedzy ekspertów i zadaj pytanie.

Prowadzisz małą lub średnią firmę?

Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

Pobierz e-book teraz!

O Autorze

PR & Marketing Manager. Pasjonat wszelakich ewolucji, wynalazków i mutacji ochrzczonych mianem e-commerce. Z wykształcenia filolog. Miłośnik gier strategicznych i solidnej fantastyki. Uzależniony od systemu walki Krav Maga.

Podobał Ci się ten tekst? Dołącz do nas na Facebooku i nie przegap NOWYCH artykułów!
Polub AVG na Facebooku