Je niekto, kto o tom ešte nepočul Porušenie zákona Equifax ? Išlo o najväčšie porušenie ochrany údajov v roku 2017, pri ktorom bolo ohrozených 146 miliónov používateľských účtov. Čo na útok z roku 2018 Aadhar , portál indickej vlády na ukladanie informácií jeho obyvateľov. Systém bol napadnutý a vystavených 1,1 miliardy používateľských údajov. A teraz len pred pár mesiacmi Toyota predajná kancelária v Japonsku bola napadnutá a boli zverejnené údaje o používateľoch pre 3,1 milióna klientov. Je to iba niekoľko hlavných porušení, ku ktorým došlo za posledné tri roky. A je to znepokojujúce, pretože sa zdá, že sa časom zhoršuje. Kybernetickí zločinci sú čoraz inteligentnejší a prichádzajú s novými metódami, ako získať prístup k sieťam a prístup k údajom používateľov. Sme v digitálnom veku a dáta sú zlato.
Čo je však znepokojujúcejšie, je to, že niektoré organizácie neriešia tento problém s takou vážnosťou, akú by si zaslúžila. Je zrejmé, že staré metódy nefungujú. Máte bránu firewall? Dobre pre teba. Pozrime sa však, ako vás brána firewall chráni pred útokmi zasvätených osôb.
Insider Threats - Nová veľká hrozba
Štatistika kybernetickej bezpečnosti
V porovnaní s minulým rokom sa počet útokov pochádzajúcich zo siete výrazne zvýšil. Skutočnosť, že podniky v súčasnosti uzatvárajú zmluvy na prácu s outsidermi, ktorí pracujú buď na diaľku alebo zvnútra organizácie, príliš nepomohla. Nehovoriac o tom, že zamestnanci majú teraz povolené používať osobné počítače na pracovné účely.
Škodliví a skorumpovaní zamestnanci tvoria väčšie percento útokov zasvätených osôb, ale niekedy sú tiež neúmyselné. Zamestnanci, partneri alebo externí dodávatelia, ktorí robia chyby, vďaka ktorým je vaša sieť zraniteľná. A ako si možno viete predstaviť, interné hrozby sú oveľa nebezpečnejšie ako externé útoky. Dôvodom je to, že ich vykonáva osoba, ktorá je dobre informovaná o vašej sieti. Útočník má pracovné znalosti o vašom sieťovom prostredí a politikách, a preto sú ich útoky adresnejšie, čo vedie k väčšiemu poškodeniu. Zistenie vnútornej hrozby tiež bude vo väčšine prípadov trvať dlhšie ako vonkajšie útoky.
Najhoršou vecou na týchto útokoch navyše nie je ani okamžitá strata v dôsledku prerušenia služieb. Je to zranenie reputácie vašej značky. Kybernetické útoky a porušenia údajov sú často nasledované poklesom cien akcií a hromadným odchodom vašich klientov.
Pokiaľ je teda jasné, že na zabezpečenie úplnej bezpečnosti vašej siete budete potrebovať viac ako firewall, proxy server alebo antivírusový softvér. A práve táto potreba tvorí základ tohto príspevku. Postupujte podľa pokynov a zvýrazním 5 najlepších softvérov na monitorovanie hrozieb na zabezpečenie celej vašej IT infraštruktúry. IT Threat Monitor spája útoky s rôznymi parametrami, ako sú IP adresy, URL, ako aj podrobnosti súborov a aplikácií. Výsledkom je, že budete mať prístup k ďalším informáciám o bezpečnostnom incidente, napríklad o tom, kde a ako bol vykonaný. Ale predtým sa pozrime na ďalšie štyri spôsoby, ako môžete zvýšiť zabezpečenie siete.
Ďalšie spôsoby zvýšenia bezpečnosti IT
Monitorovanie činnosti databázy
Prvá vec, na ktorú sa útočník zameria, je databáza, pretože práve tam máte všetky údaje o spoločnosti. Je logické, že máte vyhradený databázový monitor. Zaznamená všetky transakcie vykonané v databáze a môže vám pomôcť odhaliť podozrivé činnosti, ktoré majú vlastnosti hrozby.
Analýza sieťového toku
Tento koncept zahŕňa analýzu dátových paketov odosielaných medzi rôznymi komponentmi vo vašej sieti. Je to vynikajúci spôsob, ako zabezpečiť, aby vo vašej IT infraštruktúre neboli nainštalované žiadne podvodné servery, ktoré by sifónovali informácie a posielali ich mimo sieť.
Správa prístupových práv
Každá organizácia musí mať jasné pokyny, kto môže prezerať a pristupovať k rôznym systémovým prostriedkom. Týmto spôsobom môžete obmedziť prístup k citlivým údajom organizácie iba na potrebných ľudí. Správca prístupových práv vám umožní nielen upraviť oprávnenia používateľov vo vašej sieti, ale tiež vám umožní zistiť, kto, kde a kedy pristupuje k údajom.
Biela listina
Toto je koncept, keď v uzloch vo vašej sieti je možné spustiť iba autorizovaný softvér. Teraz bude zablokovaný akýkoľvek ďalší program, ktorý sa pokúša získať prístup k vašej sieti, a budete o tom okamžite informovaní. Potom opäť existuje jedna nevýhoda tejto metódy. Neexistuje jasný spôsob, ako určiť, čo softvér kvalifikuje ako bezpečnostnú hrozbu, takže budete musieť pri navrhovaní rizikových profilov trochu tvrdo pracovať.
A teraz k našej hlavnej téme. 5 najlepších monitorov sieťových hrozieb IT. Prepáčte, trochu som odbočil, ale myslel som si, že by sme mali najskôr vybudovať pevný základ. Nástroje, o ktorých teraz budem diskutovať, spájajú všetko dokopy a dotvárajú pevnosť, ktorá obklopuje vaše IT prostredie.
1. Monitor hrozieb SolarWinds
Vyskúšať Je to vôbec prekvapenie? SolarWinds je jedným z tých mien, pri ktorých máte istotu, že nesklamete. Pochybujem, že existuje nejaký správca systému, ktorý produkt SolarWinds v určitom období svojej kariéry nepoužíval. A ak ste to neurobili, môže to byť čas, aby ste to zmenili. Predstavujem vám SolarWinds Threat Monitor.
Tento nástroj vám umožňuje sledovať vašu sieť a reagovať na bezpečnostné hrozby takmer v reálnom čase. A pre taký nástroj bohatý na funkcie vás urobí dojem, aké jednoduché je jeho použitie. Inštalácia a nastavenie bude trvať len chvíľu a potom budete pripravení začať s monitorovaním. Monitor hrozieb SolarWinds možno použiť na ochranu miestnych zariadení, hostených dátových centier a verejných cloudových prostredí, ako sú Azure alebo AWS. Je vhodný pre stredné a veľké organizácie s veľkými možnosťami rastu vďaka svojej škálovateľnosti. A vďaka svojim schopnostiam viacerých nájomcov a označovania bielym štítkom bude tento monitor hrozieb tiež vynikajúcou voľbou pre poskytovateľov spravovaných bezpečnostných služieb.
Monitor hrozieb SolarWinds
Vzhľadom na dynamickú povahu kybernetických útokov je nevyhnutné, aby spravodajská databáza o kybernetických hrozbách bola vždy aktuálna. Takto máte väčšiu šancu prežiť nové formy útokov. Program SolarWinds Threat Monitor používa na udržanie svojich databáz k dnešnému dňu viac zdrojov, ako sú databázy reputácie adries IP a domén.
Má tiež integrovaný nástroj Security Information and Event Manager (SIEM), ktorý prijíma údaje protokolu z viacerých komponentov vo vašej sieti a analyzuje údaje z hľadiska hrozieb. Tento nástroj využíva pri detekcii hrozieb priamy prístup, aby ste na identifikáciu problémov nemuseli strácať čas hľadaním v protokoloch. Dosahuje to porovnaním protokolov s viacerými zdrojmi informácií o hrozbách s cieľom nájsť vzory označujúce potenciálne hrozby.
Monitor hrozieb SolarWinds môže uchovávať normalizované a nespracované údaje denníka po dobu jedného roka. To bude celkom užitočné, ak chcete porovnať minulé udalosti so súčasnými. Potom existujú chvíle po bezpečnostnom incidente, keď potrebujete triediť protokoly a identifikovať zraniteľné miesta vo vašej sieti. Tento nástroj poskytuje jednoduchý spôsob filtrovania údajov, aby ste nemuseli prechádzať každým jednotlivým protokolom.
Výstražný systém sledovania hrozieb SolarWinds
Ďalším skvelým prvkom je automatická reakcia a náprava hrozieb. Okrem toho, že vám ušetrí úsilie, bude to účinné aj v tých chvíľach, keď nie ste v stave okamžite reagovať na hrozby. Očakáva sa, že monitor hrozieb bude mať samozrejme výstražný systém, ale systém v tomto monitore hrozieb je pokročilejší, pretože kombinuje viacúrovňové a vzájomne korelované poplachy s nástrojom Active Response Engine, ktorý vás upozorní na všetky významné udalosti. Podmienky spúšťania je možné nakonfigurovať manuálne.
2. Digitálny strážca
Vyskúšať Digital Guardian je komplexné riešenie zabezpečenia údajov, ktoré monitoruje vašu sieť od jedného konca k druhému, aby identifikovalo a zastavilo možné porušenia a exfiltráciu údajov. Umožňuje vám vidieť každú transakciu vykonanú s údajmi vrátane podrobností o používateľovi, ktorý k údajom pristupuje.
Program Digital Guardian zhromažďuje informácie z rôznych oblastí údajov, agenti koncových bodov a ďalšie bezpečnostné technológie ich analyzujú a pokúšajú sa vytvoriť vzory, ktoré môžu znamenať potenciálne hrozby. Potom vás upozorní, aby ste mohli podniknúť potrebné nápravné opatrenia. Tento nástroj je schopný poskytnúť viac informácií o hrozbách zahrnutím adries IP, adries URL a podrobností súborov a aplikácií, čo vedie k presnejšej detekcii hrozieb.
Digitálny strážca
Tento nástroj sleduje nielen vonkajšie hrozby, ale aj vnútorné útoky zamerané na vaše duševné vlastníctvo a citlivé údaje. Je to paralelné s rôznymi bezpečnostnými predpismi, takže program Digital Guardian štandardne pomáha preukazovať zhodu.
Tento monitor hrozieb je jedinou platformou, ktorá ponúka prevenciu straty dát (DLP) spolu s detekciou a odpoveďou na koncový bod (EDR). Funguje to tak, že agent koncového bodu zaznamenáva všetky udalosti systému, používateľov a údajov v sieti aj mimo nej. Potom je nakonfigurovaný na blokovanie akejkoľvek podozrivej aktivity skôr, ako stratíte údaje. Takže aj keď vniknete do systému, máte istotu, že sa údaje nedostanú von.
Program Digital Guardian je implementovaný v cloude, čo znamená, že je vyčerpaných menej systémových prostriedkov. Sieťové senzory a agenti koncových bodov streamujú údaje do pracovného priestoru schváleného bezpečnostným analytikom spolu s cloudovými monitormi analytiky a Reportingu, ktoré pomáhajú znižovať falošné poplachy a filtrovať prostredníctvom mnohých anomálií určiť, ktoré si vyžadujú vašu pozornosť.
3. Monitor zabezpečenia siete Zeek
Vyskúšať Zeek je nástroj na monitorovanie otvoreného zdroja, ktorý bol predtým známy ako Bro Network Monitor. Tento nástroj zhromažďuje údaje zo zložitých sietí s vysokou priepustnosťou a používa ich ako bezpečnostné spravodajstvo.
Zeek je tiež vlastný programovací jazyk a môžete ho použiť na vytváranie vlastných skriptov, ktoré vám umožnia zhromažďovať vlastné sieťové údaje alebo automatizovať sledovanie a identifikáciu hrozieb. Niektoré vlastné role, ktoré môžete vykonávať, zahŕňajú identifikáciu nezodpovedajúcich certifikátov SSL alebo použitie podozrivého softvéru.
Nevýhodou je, že Zeek vám neumožňuje prístup k údajom z koncových bodov vašej siete. Na to budete potrebovať integráciu s nástrojom SIEM. Je to však tiež dobrá vec, pretože v niektorých prípadoch môže byť obrovské množstvo údajov zhromaždených systémom SIEMS ohromujúce a viesť k mnohým falošným varovaniam. Namiesto toho Zeek používa sieťové dáta, ktoré sú spoľahlivejším zdrojom pravdy.
Monitor zabezpečenia siete Zeek
Namiesto spoľahnutia sa na sieťové dáta NetFlow alebo PCAP sa Zeek zameriava na bohaté, organizované a ľahko prehľadateľné dáta, ktoré poskytujú skutočný prehľad o zabezpečení vašej siete. Extrahuje viac ako 400 polí údajov z vašej siete a analyzuje ich, aby vytvoril údaje, na ktoré je možné sa obrátiť.
Schopnosť priradiť jedinečné ID pripojenia je užitočná funkcia, ktorá vám pomôže vidieť všetku aktivitu protokolu pre jedno pripojenie TCP. Údaje z rôznych súborov denníka sú tiež časovo označené a synchronizované. Preto v závislosti od času, kedy dostanete upozornenie na hrozbu, môžete zhruba v rovnakom čase skontrolovať protokoly údajov, aby ste rýchlo určili zdroj problému.
Ale rovnako ako v prípade všetkého softvéru s otvoreným zdrojovým kódom, je najväčšou výzvou používania softvéru s otvoreným zdrojom jeho nastavenie. Budete zvládať všetky konfigurácie vrátane integrácie Zeek s ostatnými bezpečnostnými programami vo vašej sieti. A mnohí to zvyčajne považujú za príliš veľa práce.
4. Monitor zabezpečenia siete Oxen
Vyskúšať Oxen je ďalší softvér, ktorý odporúčam na monitorovanie vašej siete kvôli bezpečnostným hrozbám, zraniteľnostiam a podozrivým aktivitám. A hlavným dôvodom je to, že neustále vykonáva automatizovanú analýzu potenciálnych hrozieb v reálnom čase. To znamená, že vždy, keď dôjde k kritickému bezpečnostnému incidentu, budete mať dostatok času na to, aby ste na ňom reagovali skôr, ako dôjde k jeho rozšíreniu. Znamená to tiež, že to bude vynikajúci nástroj na detekciu a potlačenie hrozieb nulového dňa.
Monitor zabezpečenia siete Oxen
Tento nástroj tiež pomáha pri zabezpečovaní súladu s predpismi vytváraním správ o bezpečnostnej pozícii siete, narušení údajov a zraniteľnosti.
Vedeli ste, že každý deň existuje nová bezpečnostná hrozba, o ktorej nikdy nebudete vedieť? Váš monitor hrozieb to neutralizuje a pokračuje v práci ako obvykle. Voly sú však trochu iné. Zachytáva tieto hrozby a dáva vám vedieť, že existujú, aby ste mohli napnúť svoje bezpečnostné laná.
5. Cyberprint's Argos Threat Intelligence
Vyskúšať Ďalším skvelým nástrojom na posilnenie vašej obvodovej bezpečnostnej technológie je Argos Threat Intelligence. Kombinuje vaše odborné znalosti s ich technológiou a umožňuje vám zhromažďovať konkrétne a použiteľné informácie. Tieto údaje o zabezpečení vám pomôžu identifikovať incidenty cielených útokov, únik údajov a odcudzené identity v reálnom čase, ktoré môžu ohroziť vašu organizáciu.
Spravodajstvo o hrozbe Argos
Argos identifikuje aktérov hrozieb, ktorí sa na vás zameriavajú v reálnom čase, a poskytuje o nich príslušné údaje. Má silnú databázu asi 10 000 aktérov ohrozenia, s ktorými je možné pracovať. Na zhromažďovanie bežne zameraných údajov navyše využíva stovky zdrojov vrátane IRC, Darkweb, sociálnych médií a fór.
