//
czytasz...

Bezpieczeństwo danych

Siła integracji, czyli jak skrócić czas reakcji na incydenty bezpieczeństwa

mcafee logo

77% procent przedsiębiorstw gromadzi miesięcznie jeden terabajt danych istotnych z punktu widzenia bezpieczeństwa. Jednocześnie średni czas działania cyberprzestępców w firmowej sieci, zanim zostaną wykryci, wynosi od 3 do 12 miesięcy. Czy da się skuteczniej wykorzystać dane, aby przyspieszyć proces reakcji na incydenty naruszenia bezpieczeństwa?

W II kwartale 2018 roku Centrum McAfee Labs rejestrowało średnio pięć nowych cyberzagrożeń na sekundę. Wiele z aktywności cyberprzestępców wymierzona jest w przedsiębiorstwa i instytucje, w związku z czym działy ds. bezpieczeństwa muszą mierzyć się z ogromną ilością danych. Czasem jest ona tak duża, że nie pozwala na skuteczne wykrycie niebezpieczeństwa i zareagowanie na nie w odpowiednim momencie. Dodatkowo gromadzenie i przechowywanie danych jest kosztowne, dlatego część firm rezygnuje z tych, które mogłyby okazać się kluczowe w walce z cyberprzestępcami. Te czynniki sprawiają, że średni czas reakcji na zagrożenie wciąż jest niesatysfakcjonujący.

Co składa się na czas reakcji na incydent bezpieczeństwa?

• Czas na identyfikację, czyli czas potrzebny na wykrycie podejrzanego zdarzenia oraz nadanie odpowiedniego priorytetu tym, które wymagają dalszego badania
• Czas na dochodzenie, czyli czas potrzebny na sprawdzenie, czy doszło do incydentu (infekcja złośliwym oprogramowaniem, dostęp do roota lub administratora itp.), oraz określenie zasięgu problemu (liczba zainfekowanych systemów, liczba użytkowników itp.)
• Czas do zamknięcia, czyli czas potrzebny na powstrzymanie incydentu i zapobieżenie dalszemu rozprzestrzenianiu się go, zazwyczaj obejmujący blokowanie adresów IP, adresów URL, domen czy plików

Zadaniem centrów i działów ds. cyberbezpieczeństwa jest skrócenie tego czasu do minimum. Jest to możliwe dzięki odpowiedniemu połączeniu zasobów ludzkich, procesów i technologii.

Architektura bezpieczeństwa na miarę XXI wieku

Samo zarządzanie logami i korelacja zdarzeń nie wystarczają już dziś do tego, by ochronić się przed atakami cyberprzestępców. Ważną rolę w walce z hakerami odgrywać muszą także takie technologie jak sztuczna inteligencja, uczenie maszynowe i sieci neuronowe. Wszystko po to, aby szybko i w czasie rzeczywistym przetwarzać i analizować dane dotyczące bezpieczeństwa.

W architekturze bezpieczeństwa, polecanej dziś przez największych, czyli SOAPA (Security Operations and Analytics Platform Architecture) dominuje funkcjonalność podobna do SIEM, która często agreguje dane analityczne we wspólnym repozytorium. Jest jednak tylko jednym z narzędzi bezpieczeństwa w całej strukturze. Obok SIEM znajdują się w niej też rozwiązania do zabezpieczania urządzeń końcowych, platformy reagowania na incydenty, analityka bezpieczeństwa sieci, algorytmy uczenia maszynowego, skanery podatności, sandboxy itd.

Opierając się na dostępnych architekturach referencyjnych, McAfee zaproponował własny model operacji bezpieczeństwa, który – zastosowany w firmie – skróci czas reakcji na cyberataki. Eksperci McAfee wyjaśniali podczas konferencji SECURE 2018, na czym polega jego działanie.

McAfee proponuje model składający się z jednej strony z rozwiązań własnych firmy, ale też z rozwiązań firm partnerskich oraz – co chyba najistotniejsze – z dowolnych technologii dostępnych na rynku. Zdajemy sobie sprawę z tego, że firmy niekoniecznie chcą korzystać z gotowych integracji, często chcą stworzyć własne. To dlatego kilka lat temu udostępniliśmy szynę Data Exchange Layer (OpenDXL). Pozwala ona na połączenie ze sobą, czyli skomunikowanie dowolnych rozwiązań, niezależnie od producenta. Dzięki niej poszczególne narzędzia mogą wymieniać się między sobą danymi, co jest niezbędne w procesie walki z cyberzagrożeniami – tłumaczy Arkadiusz Krawczyk, Country Manager w McAfee Poland.

Siła integracji i wymiany informacji o zagrożeniach

Dobrze przygotowana infrastruktura bezpieczeństwa pozwala zrealizować 3 najważniejsze cele:

1. Zbierać, agregować i weryfikować dane z wielu źródeł
2. Udoskonalać i przyspieszać proces wykrywania zagrożeń
3. Automatycznie poprawiać ochronę urządzeń końcowych i sieci

Architektura Intelligent Security Operations proponowana przez McAfee automatyzuje wiele kluczowych zadań związanych z cyberbezpieczeństwem i tym samym przyspiesza czas realizacji tych celów. W jaki sposób? Przede wszystkim łączy ze sobą wszystkie aktywne wewnątrz firmowej sieci systemy bezpieczeństwa, centralne bazy danych IOC (takie jak MISP, czyli Malware Information Sharing Platform) oraz narzędzia do orkiestracji. Dzięki temu poszczególne elementy odpowiedzialne za walkę z zagrożeniami przestają działać w oderwaniu od innych. Zamiast tego w czasie rzeczywistym wymieniają się informacjami, ucząc się i reagując automatycznie na pojawiające się niebezpieczeństwa.

Ekosystem bezpieczeństwa, który stworzyliśmy w McAfee, polega na ciągłym przepływie danych, informacji, analiz pomiędzy wszystkimi narzędziami połączonymi szyną OpenDXL. Podejrzane pliki znalezione w sieci wewnętrznej wysyłane są do centralnego repozytorium danych, sprawdzane i – jeśli zachodzi taka potrzeba – blokowane. I odwrotnie. Każda informacja o nowym zagrożeniu, która zostaje zapisana w MISP, przesyłana jest do systemów bezpieczeństwa firmy z informacją o tym, aby sprawdziły, czy mają lub miały już do czynienia z tego typu plikiem, oraz z instrukcją, co zrobić, gdy takie zagrożenie się pojawi. Dzięki narzędziom do orkiestracji wszystkie te kroki wykonywane są automatycznie, bez ingerencji człowieka. System sam się uczy i jest bardzo uniwersalny – wyjaśnia Arkadiusz Krawczyk.

Co istotne – rozwiązanie to jest dostępne dla wszystkich i nie wymaga dodatkowych nakładów finansowych. OpenDXL łączy ze sobą te systemy, które już funkcjonują w firmie czy instytucji. Sprawia, że cała infrastruktura zaczyna nadążać za nowymi zagrożeniami.

Skomunikowanie wszystkich systemów bezpieczeństwa i połączenie ich z centralną bazą informacji o zagrożeniach oraz narzędziami do orkiestracji pozwala zautomatyzować proces reakcji na incydent w 95%, a czas tego procesu skraca nawet do 6 minut.

Jeśli chcemy wyprzedzić cyberprzestępców w walce o bezpieczeństwo naszych danych, musimy coraz sprawniej i bardziej automatycznie zarządzać całą infrastrukturą w firmach. Tym bardziej że zmagamy się z brakiem odpowiednio wykwalifikowanych ludzi. Widząc taką potrzebę, McAfee proponuje coraz więcej rozwiązań, dzięki którym reakcja na zagrożenia jest łatwiejsza i szybsza. Temu służy między innymi MVISION, czyli nowy pakiet rozwiązań dla biznesu, który wprowadziliśmy w tym roku – dodaje Arkadiusz Krawczyk.

McAfee MVISION obejmuje McAfee MVISION ePO, McAfee MVISION Endpoint oraz McAfee MVISION Mobile. Rozwiązania te pozwalają na zbudowanie kompleksowego i elastycznego systemu ochrony, a także zarządzanie nim w oparciu o aktualne i przyszłe potrzeby klientów, w miarę jak będą oni migrować do nowoczesnych systemów operacyjnych i do chmury.

Źródło: McAfee

Podziel się: Podziel się z innymi za pomocą portali społecznościowych.
  • Facebook
  • Twitter
  • Google Bookmarks
  • LinkedIn
  • MySpace
  • Wykop
  • Print

Dyskusja

Nie dodano jeszcze komentarzy.

Napisz komentarz