top of page

Zpravodajství o taktických hrozbách: Jak chránit data před pokročilými útoky

Aktualizováno: 2. 1. 2022



V souvislosti s realitou vzdálené kooperace musely společnosti přehodnotit svou obchodní strategii i infrastrukturu. To vedlo mnoho velkých společností a veřejných organizací k restrukturalizaci svých datových modelů, přičemž na první místo se dostala centralizace a dostupnost. Tato změna sice znamenala vyšší flexibilitu, ale přinesla také zvýšenou zranitelnost.


V důsledku toho došlo k nárůstu a diverzifikaci kybernetických útoků, takže rok 2021 se stal rokem několika největších úniků dat a útoků ransomwaru v historii. Tyto útoky se navíc staly organizovanějšími, nabyly podoby tolik obávaného Ransomware-as-a-Service, a začaly se zaměřovat na organizace, které obvykle nebyly v hledáčku útočníků.


Centralizovaná data činí ze zdravotnictví atraktivní cíl kybernetických útoků.

Podle společnosti Comparitech zažilo v loňském roce útok ransomwaru více než 600 zdravotnických podniků, což mělo za následek náklady ve výši více než 21 miliard dolarů a více než 18 milionů postižených uživatelů. Společnost Cybertalk uvádí, že počet útoků na zdravotnická zařízení vzrostl o 470 %, přičemž každá třetí taková organizace se setkala s nějakým druhem ransomwaru.


Proč jsou tedy zdravotnická zařízení tak atraktivním cílem? Je to jednoduché: centralizovaná data, ke kterým je třeba často přistupovat, a nedostatečné zabezpečení. Tyto dva problémy se týkají mnoha dalších odvětví, s tím rozdílem, že zdravotnické společnosti jsou ochotnější platit výkupné.


Vzhledem k tomu, že práce na dálku zde bude i do budoucna, budou se tyto problémy s největší pravděpodobností zhoršovat, nebo jak říká společnost HFS Research: "centralizovaná data znamenají centralizované ohrožení". Co tedy mohou dodavatelé zabezpečení dělat, zejména když decentralizace není možná nebo dokonce není žádoucí? Řešení je poměrně jednoduché: taktická prevence nebo, přesněji řečeno, Tactical Threat Intelligence.


Zpravodajství o hrozbách vs. taktické zpravodajství o hrozbách

Threat Intelligence (TI) je téma, kterému jsme se již podrobně věnovali. Zjednodušeně řečeno se jedná o organizovaný, zpřesněný a tříděný tok informací o potenciálních a aktuálních kybernetických hrozbách. Takovéto toky umožňují dodavatelům zabezpečení a podnikovým SOC porozumět bezpečnostním rizikům, a také jim předcházet.


Běžná klasifikace TI zahrnuje její tři hlavní aspekty: taktický, strategický a operativní, což jsou aspekty, které se často používají k definici stejného produktu nebo sady produktů.


Strategické zpravodajství o hrozbách se většinou používá k identifikaci velkých hrozeb ohrožujících finanční zdroje organizace (problémy s infrastrukturou, zranitelní partneři, nezabezpečené platformy) a je velmi užitečné pro manažery a vedoucí pracovníky. Operativní TI se zaměřuje na samotné zranitelnosti a umožňuje IT oddělením posílit svou obranu a porozumět svému nepříteli.


Naproti tomu taktické zpravodajství o hrozbách je hlavním typem TI, které používají poskytovatelé bezpečnostních zařízení, SOC a MSSP. Tactical TI se spoléhá na okamžité a aktuální informace, a poskytuje podrobnosti o více indikátorech napadení (IOC). Tactical TI může také nabídnout přehled o rozšířenosti těchto IOC a geolokacích, odkud pocházejí, což umožňuje bezpečnostním zařízením automaticky aktualizovat obranu, a bezpečnostním expertům přehled o tom, co se děje v reálném čase.


Na webové úrovni pokrývá Tactical TI vše od správy reputace IP a URL, až po upozornění na phishing. Na úrovni souborů poskytuje informace o škodlivých typech souborů a hashech, zatímco mobilní TI upozorňuje na reputaci aplikací a zranitelnosti mobilních operačních systémů. Informace o IoT jsou relativně novým přírůstkem a zaměřují se na známé zranitelnosti zařízení IoT.


Zjednodušeně řečeno, Tactical TI je to, co umožňuje bezpečnostním týmům a poskytovatelům bezpečnostních zařízení a služeb, být o krok napřed před útočníky. Poskytuje včasné informace a umožňuje jim konsolidovat slabá místa a připravit se na potenciální hrozby. A co je na tom nejlepší? TI je nezávislý na infrastruktuře společnosti nebo jejích stávajících bezpečnostních řešeních, se kterými se může snadno integrovat.


Ačkoli totiž Threat Intelligence sama o sobě nestačí k zabránění škod, její kombinace s nejmodernější detekcí koncových bodů ano. Kde tedy začít hledat kompetentní TI?


Správná volba řešení pro vyhodnocování hrozeb

I když některé společnosti mohou mít možnost vybudovat vlastní zpravodajskou infrastrukturu, obecně se doporučuje licencovat ji od poskytovatelů, kteří pro ni mají data i zkušenosti z terénu. Proč? Protože jakákoli efektivní zpravodajská služba o hrozbách se opírá o více výkonnostních kritérií:


Kvalita zdrojů - zkušený poskytovatel TI by měl být schopen kombinovat více zdrojů znalostí a úložišť, od jednotlivých počítačů až po databáze s otevřenými zdroji, pasti, honeypoty a monitorování botnetů.


Odbornost - Je těžké poskytovat ostatním komplexní Threat Intelligence, pokud sami nejste renomovaným poskytovatelem bezpečnostních služeb.


Kontextualizace a korelace - Pokud jde o Threat Intelligence, je zásadní přidávat k IOC kontext, od četnosti určitého útoku až po jeho preferované cíle a rychlost nasazení. Kromě toho by vám taktická TI měla také pomoci najít souvislosti mezi podobnými nebo opakujícími se hrozbami.


Snadné použití a integrace - K čemu je vám TI, když ji nemůžete snadno interpretovat nebo integrovat do stávajících bezpečnostních řešení?


Globální charakter - Hrozby mohou pocházet z jakéhokoli regionu a váš poskytovatel by měl být schopen porozumět celému prostředí hrozeb, nejen konkrétnímu regionu nebo odvětví.


Přesnost - Threat Intelligence by měla být poskytována v mnoha formátech a měla by obsahovat vybrané hrozby pro každou konkrétní oblast.


Včasnost - prevence hrozeb je časově náročný proces, který je závislý na tom, jak rychle dokážete dodat správné informace. To se projeví zejména v případě hrozeb typu zero-day.



Proč si vybrat Bitdefender?

Služby Bitdefender Threat Intelligence, podporované 20 lety zkušeností a zásobované stovkami milionů senzorů, pomáhají odstranit dlouholeté nedostatky u poskytovatelů řízených bezpečnostních služeb (MSSP), společností zabývajících se řízenou detekcí a reakcí (MDR), bezpečnostních poradenských firem a velkých podniků se SOC.


Náš jedinečný, platformově orientovaný přístup, umožňuje bezpečnostním profesionálům integrovat naše kanály během několika minut do jakékoli infrastruktury. Naše řešení nabízejí přehled o vyhýbavém malwaru, APT, zero-days a C&C, o kterých analytici často nemají dostatečný přehled.


Naše zpravodajské informace získáváme ze stovek milionů systémů, které chráníme ve více než 170 zemích. Naše cloudová infrastruktura zpracovává více než 30 miliard požadavků denně a více než 6 TB dat denně, čímž udržuje efektivní a globálně vyváženou detekci.


S naším řešením Threat Intelligence můžete zvýšit důvěru svých zákazníků a chránit je před útoky od prvního dne, a také rozšířit své stávající možnosti o komplexní přehled o složitých IOC.


V loňském roce jsme se dočkali očekávaného vydání hodnotícího rámce MITRE ATT&CK™, a podle očekávání naše bezpečnostní řešení dosáhla nejvyššího počtu detekcí ve všech krocích a dílčích krocích útoku, což poskytuje 100% vizibilitu a kontext. Díky tomu se platforma Bitdefender stala lídrem s téměř o 50 % vyšším průměrem detekcí než ostatní zúčastnění dodavatelé. Jinými slovy, náš přehled o prostředí hrozeb je bezkonkurenční.


Proč tedy nezavolat našim konzultantům a nezjistit, jak může Tactical Threat Intelligence pomoci vám a vašim zákazníkům chránit jejich data?


15 zobrazení0 komentářů

Opmerkingen


bottom of page