Wykrywanie współczesnych, złożonych ataków wymaga analitycznego podejścia na najwyższym poziomie. Potrzebna jest technologia, która przekopie się przez ogromne ilości danych i pakietów, aby w ten sposób wykrywać potencjalne zagrożenia.

Firmy rutynowo zbierają duże ilości danych związanych z bezpieczeństwem, np. rejestrują zdarzenia sieciowe, pracę aplikacji czy działania podejmowane przez użytkowników. Tych danych będzie coraz więcej, ponieważ będą one rejestrowane również z nowych miejsc, np. środowisk chmurowych. Takie zbiory danych to źródło cennych informacji o potencjalnych zagrożeniach, ale trzeba umieć je wydobyć. Tradycyjne techniki analityczne nie sprawdzają się przy tak dużej skali, zgłaszają m.in. bardzo dużo fałszywych alarmów.

Zaawansowana analityka kluczem do wykrywania cyberataków

W ostatnich latach w różnych obszarach znajduje zastosowanie analityka Big Data. Zainteresowała się nią również branża bezpieczeństwa, dostrzegając możliwość wydajnego analizowania i korelowania na ogromną skalę danych związanych z bezpieczeństwem. Według ekspertów z firmy Gartner, analityka Big Data odegra kluczową rolę w wykrywaniu cyberataków. W 2016 r. więcej niż 25% globalnych organizacji będzie już korzystać z takich mechanizmów. Analiza ruchu sieciowego, logów systemowych i innych źródeł informacji umożliwia zidentyfikowanie zagrożeń i wykrycie podejrzanych aktywności w firmowej sieci. Narzędzia Big Data pozwalają przesiać ogromne ilości danych, aby dotrzeć do ukrytych relacji, wykryć anomalie i wzorce ataków.

Analityka bezpieczeństwa to połączenie analizy w czasie rzeczywistym bieżących danych z analizą danych historycznych. Wgląd w czasie rzeczywistym bardzo ułatwia wykrywanie nowych rodzajów zagrożeń. Jednocześnie trzeba mieć dostęp do danych historycznych, ponieważ wykrycie niektórych typów anomalii wymaga analizy danych z wielu tygodni. Są nawet typy danych, które warto trzymać 6 miesięcy, zanim będzie można je skasować.

Przewidywanie ataków i zapobieganie im w czasie rzeczywistym

Analityka Big Data nie ma zastąpić istniejących zabezpieczeń, jak firewalle i systemy IPS. Choćby dlatego, że zanim takie rozwiązanie zacznie działać, trzeba zgromadzić dużą ilość danych potrzebnych do analizy. Ich wartość polega jednak na tym, że pozwalają wykryć włamania, które inaczej pozostałyby niezauważone.

Przewidywanie ataków i zapobieganie im w czasie rzeczywistym oznacza też, że nowe zagrożenia mogą być bardzo wcześnie wykrywane i można na nie szybko zareagować, zanim zdążą się rozprzestrzenić. Analizowanie danych z Internetu (wiadomości e-mail, VoIP), urządzeń przenośnych (lokalizacja, zapisy informacji o połączeniach) oraz mediów społecznościowych przekłada się na lepsze wykrywanie cyberprzestępstw i zbieranie dokumentacji na ich temat. Zamiast czekać, aż dojdzie do włamania, firmy mogą aktywnie zwalczać zagrożenia.

Przykładowo, możliwe jest prowadzanie na bieżąco głębokiej analizy pakietów w celu monitorowania komunikacji z serwerami WWW, systemem DNS oraz wykorzystania określonych protokołów. Wyniki tej analizy mogą dokładnie wskazać, które serwery są zainfekowane, które domeny służą podejrzanej działalności, dotrzeć do wykradzionych dokumentów oraz dostarczyć danych przydatnych do analizy wzorców.

Jak wyodrębnić wartościowe informacje z ich zalewu?

Mówiąc o inteligencji narzędzi do wykrywania cyberataków, chodzi o wykorzystanie zaawansowanej analityki Bid Data do uzyskania dokładnego wglądu w krajobraz bezpieczeństwa firmy. Już dzisiaj konieczne jest pójście o krok dalej, niż tylko analiza logów, zdarzeń i alertów. Potrzebna jest analityka kolejnych typów informacji, włączając w to wiadomości e-mail, media społecznościowe, procesy biznesowe, pełną analizę pakietów czy informacji pochodzących z zewnętrznych źródeł informacji o zagrożeniach.

Jednak zbieranie danych to tylko połowa sukcesu. Potrzebne są jeszcze narzędzia, które są w stanie wyodrębnić z tych zbiorów wartościowe informacje wskazujące na potencjalnie niebezpieczne aktywności, określające przyczyny, jak doszło do ataku oraz pomagające zapobiec w przyszłości wystąpieniu podobnych zdarzeń. W branży bezpieczeństwa zaczyna funkcjonować pojęcie Security Analytics, wskazujące właśnie na rozwiązania łączące mechanizmy gromadzenia danych oraz „inteligencji” służącej rozpoznawaniu działania szkodliwego kodu lub włamywacza.

Dwie grupy narzędzi do analizy informacji

Narzędzia analityczne można podzielić na dwie grupy: analizatory danych oraz analizatory behawioralne. Analizatory danych przesiewają dane (pliki logów, przechwycone pakiety sieciowe) w celu zebrania dowodów. Są szczególnie przydatne w przypadkach badania potencjalnych ataków. Umożliwiają osobom odpowiedzialnym za bezpieczeństwo szybkie zebranie informacji na temat zagrożenia. Pod pewnymi względami analizatory danych to pewne forma automatyzacji systemów SIEM.

Zadaniem analizatorów behawioralne jest zaś wykrywanie ataków w środowisku IT. Często wykorzystują one połączenie analizy heurystycznej oraz uruchamiania kodu w zamkniętym środowisku (sandbox) w celu wykrywania aktywności typowych dla szkodliwego oprogramowania. Wykorzystują do tego celu zbiory informacji o symptomach zagrożeń. Są to katalogi kryteriów charakteryzujących podejrzane zdarzenia, jak adresy IP, kombinacje plików, zachowania systemów, czy dowolne zbiory zdefiniowanych charakterystyk.

Zintegrowanie pojedynczych narzędzi bezpieczeństwa w jedno kompleksowe rozwiązanie to kolejne podejście, które pomaga utrzymać przewagę w wyścigu z hakerami. Wdrażając zintegrowane rozwiązania, można zoptymalizować inwestycje w bezpieczeństwo, korelując i analizując informacje, które były przechowywane w oddzielnych silosach. Przykładowo, wykrycie przez narzędzia analityczne wzorca wskazującego, że jeden z komputerów w firmowej sieci został zainfekowany może spowodować przekazanie tej informacji do innych systemów (np. NAC), które automatycznie odetną ten komputer od sieci.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn