Rozszerzanie się powierzchni ataku sprawia, że w obszarze bezpieczeń-stwa dla krytycznej infrastruktury krajowej (CNI) wciąż przybywa złożonych wyzwań. Eksperci Vectra AI dzielą się swoimi doświadczeniami, przybliża-jąc problemy oraz opisując niezbędne kroki, które zespoły ds. bezpieczeń-stwa powinny podjąć w celu zwiększenia skuteczności.
| REKLAMA | ||
 |
Organizacje krytycznej infrastruktury krajowej nigdy wcześniej nie były tak bardzo na-rażone na ataki, których liczba podwoiła się w ciągu ostatniego roku. Przed zespołami ds. bezpieczeństwa wiele wyzwań – Christian Putz, Country Manager w Vectra AI, wy-różnił pięć obszarów, na które należy zwrócić szczególną uwagę:
Najlepiej przygotowane do wyprzedzania dzisiejszych ataków są obecnie zespoły bezpieczeństwa, które do korelacji i priorytetyzacji najbardziej krytycznych i pilnych zagrożeń wykorzystują AI lub uczenie maszynowe. Rozwiązania oparte na sztucznej inteligencji pozwalają wyjść poza wykrywanie oparte na sygnaturach i anomaliach, w celu zrozumienia zachowania atakującego i wyłapania ich TTP w całym łańcuchu cy-ber kill chain.
5 zasad skutecznej obrony:
Wykrywanie: Myśl jak atakujący
Aby powstrzymać naruszenia, zespoły ds. bezpieczeństwa CNI muszą myśleć jak ata-kujący. Wykrywanie oparte na sztucznej inteligencji pozwala wykraczać poza sygnatu-ry i anomalie, aby zrozumieć zachowanie atakującego i wyłapać TTP w chmurze, Sa-aS, tożsamości i sieciach. Łącząc wykrywanie, analizę danych, algorytmy uczenia maszynowego i analitykę behawioralną można wykrywać złośliwe zachowania, nawet gdy ruch jest szyfrowany.
Ustalanie priorytetów: dowiedz się, które zachowania są złośliwe, skup się na sprawach pilnych
Zespoły SOC codziennie mają do czynienia z dużą ilością alertów. Najważniejsza jest wiedza o tym, co jest szkodliwe. Segregacja oparta na sztucznej inteligencji szybko analizuje wzorce unikalne dla danego środowiska, aby zredukować szum powiado-mień i wyłowić zdarzenia istotne i pozytywne. Zapewnia to analitykom niezrównaną przejrzystość sygnałów, dzięki czemu mogą oni skupić się na pilnych zagrożeniach.
Badanie: Konsolidacja i integracja
Analitycy SOC, uzbrojeni w widok zagrożeń ustawionych wg priorytetu, mogą prze-prowadzać dogłębną analizę za pomocą jednego interfejsu, zapewniając jednocze-śnie warsztat do proaktywnych działań związanych z wykrywaniem zagrożeń.
Reakcja: Zintegrowana, ukierunkowana, elastyczna
Zespoły SOC i Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) muszą mierzyć się z coraz dłuższym czasem reakcji na zagrożenia (średnio od 9 do 10 miesięcy) – wynika to z nadmiernego polegania na ręcznych działaniach oraz brak orkiestracji przepływów pracy i automatyzacji procesów. Dzięki wdrożeniu rozwiązań, które umożliwiają natywną integrację technologii EDR, SIEM, SOAR i ITSM, można szybko, w sposób wysoce skoordynowany i ukierunkowany reagować na zagrożenia, z elastycznością ręcznej lub automatycznej kontroli powstrzymywania ataku.
Polowanie: proaktywne i programowe
W organizacjach krytycznej infrastruktury krajowej, zespoły uzbrojone w narzędzia wykrywania oparte na sztucznej inteligencji, które „myślą jak atakujący”, narzędzia zaawansowanej analizy, bogate w kontekst dane i metadane pozyskiwane z sieci, chmury publicznej, SaaS, kontroli tożsamości i punktów końcowych, mogą wdrażać proaktywne i programowe działania, aby skutecznie wykrywać i reagować na zagro-żenia. Dzięki temu wzrasta ich wydajność.
Źródło: vectra.ai
- Przyspieszenie zdolności do identyfikacji, ochrony, wykrywania, reagowa-nia i odzyskiwania danych od napastników, którym udało przeniknąć do ich systemów. Ręcznej analizie i wykrywaniu brakuje skali i szybkości potrzebnych do skutecznego wykrywania dzisiejszych ataków i reagowania na nie/przeciwdziałaniu dzisiejszym atakom.
- Spowolnienie zdolności napastników do przejmowania ważnych danych uwierzytelniających i przeprowadzenia ataków. Atakujący unikają wykrywa-nia opartego na sygnaturach i oznaczania anomalii, przyjmując zachowania użytkowników w celu naśladowania normalnej aktywności.
- Wykrywanie zagrożeń w rozszerzających się, podatne na ataki środowiskach na tyle wcześnie, aby powstrzymać naruszenia wynikające z braku monitoro-wania i kontroli bezpieczeństwa urządzeń IoT i OT.
- Skuteczna obrona przed niemal nieskończoną liczbą narzędzi, które pomaga-ją uporczywym napastnikom szpiegować, rozszerzać swoje działania i kraść w sieci.
- Osiągnięcie ciągłego wglądu w zabezpieczenia i monitorowanie sieci w celu szybkiego identyfikowania oznak aktywnych zagrożeń i reagowania na nie, przywracania sprawności po naruszeniach i zapobiegania no-wym
Najlepiej przygotowane do wyprzedzania dzisiejszych ataków są obecnie zespoły bezpieczeństwa, które do korelacji i priorytetyzacji najbardziej krytycznych i pilnych zagrożeń wykorzystują AI lub uczenie maszynowe. Rozwiązania oparte na sztucznej inteligencji pozwalają wyjść poza wykrywanie oparte na sygnaturach i anomaliach, w celu zrozumienia zachowania atakującego i wyłapania ich TTP w całym łańcuchu cy-ber kill chain.
5 zasad skutecznej obrony:
Wykrywanie: Myśl jak atakujący
Aby powstrzymać naruszenia, zespoły ds. bezpieczeństwa CNI muszą myśleć jak ata-kujący. Wykrywanie oparte na sztucznej inteligencji pozwala wykraczać poza sygnatu-ry i anomalie, aby zrozumieć zachowanie atakującego i wyłapać TTP w chmurze, Sa-aS, tożsamości i sieciach. Łącząc wykrywanie, analizę danych, algorytmy uczenia maszynowego i analitykę behawioralną można wykrywać złośliwe zachowania, nawet gdy ruch jest szyfrowany.
Ustalanie priorytetów: dowiedz się, które zachowania są złośliwe, skup się na sprawach pilnych
Zespoły SOC codziennie mają do czynienia z dużą ilością alertów. Najważniejsza jest wiedza o tym, co jest szkodliwe. Segregacja oparta na sztucznej inteligencji szybko analizuje wzorce unikalne dla danego środowiska, aby zredukować szum powiado-mień i wyłowić zdarzenia istotne i pozytywne. Zapewnia to analitykom niezrównaną przejrzystość sygnałów, dzięki czemu mogą oni skupić się na pilnych zagrożeniach.
Badanie: Konsolidacja i integracja
Analitycy SOC, uzbrojeni w widok zagrożeń ustawionych wg priorytetu, mogą prze-prowadzać dogłębną analizę za pomocą jednego interfejsu, zapewniając jednocze-śnie warsztat do proaktywnych działań związanych z wykrywaniem zagrożeń.
Reakcja: Zintegrowana, ukierunkowana, elastyczna
Zespoły SOC i Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) muszą mierzyć się z coraz dłuższym czasem reakcji na zagrożenia (średnio od 9 do 10 miesięcy) – wynika to z nadmiernego polegania na ręcznych działaniach oraz brak orkiestracji przepływów pracy i automatyzacji procesów. Dzięki wdrożeniu rozwiązań, które umożliwiają natywną integrację technologii EDR, SIEM, SOAR i ITSM, można szybko, w sposób wysoce skoordynowany i ukierunkowany reagować na zagrożenia, z elastycznością ręcznej lub automatycznej kontroli powstrzymywania ataku.
Polowanie: proaktywne i programowe
W organizacjach krytycznej infrastruktury krajowej, zespoły uzbrojone w narzędzia wykrywania oparte na sztucznej inteligencji, które „myślą jak atakujący”, narzędzia zaawansowanej analizy, bogate w kontekst dane i metadane pozyskiwane z sieci, chmury publicznej, SaaS, kontroli tożsamości i punktów końcowych, mogą wdrażać proaktywne i programowe działania, aby skutecznie wykrywać i reagować na zagro-żenia. Dzięki temu wzrasta ich wydajność.
Dzięki widoczności, w czasie rzeczywistym, zagrożeń w chmurze publicznej, SaaS, kontroli tożsamości i sieciach, zdecydowanie łatwiej wy-kryć oznaki aktywnych zagrożeń dla infrastruktury krytycznej. Wdrażając rozwiązania bezpieczeństwa oparte na sztucznej inteligencji, organizacje będą bardziej odporne na ataki dzięki funkcjom automatycznego wykrywania, selekcji i priorytetyzacji zagro-żeń – umożliwią szybką analizę i będą miały zdolność powstrzymywania atakujących, którzy już się przedarli, zwiększając produktywność i przepustowość analityków SOC – zapewnia Christian Putz.
Źródło: vectra.ai
