Najnowszy raport o naruszeniach danych przygotowany przez firmę Verizon (Verizon 2015 Data Breach Investigations Report) jednoznacznie wskazuje, że w 60% przypadków hakerom wystarczy zaledwie kilka minut, by skutecznie przeprowadzić atak.

Tymczasem, wykrycie naruszenia zajmuje średnio kilka dni aż w 75% przypadków. Co więcej, „deficyt wykrywalności” rośnie – atakującym coraz częściej udaje się umknąć, zanim ich działania zostaną wykryte. Zdaniem firmy Verizon, taka dysproporcja jest i pozostanie jednym z głównych wyzwań dla sektora bezpieczeństwa IT.

Zobacz również:

• Cyberobrona? Mamy w planach
• IDC CIO Summit – potencjał drzemiący w algorytmach

W żargonie informatycznym czas postoju (ang. dwell time) to czas spędzony w jednej pozycji, jednym obszarze lub na jednym etapie procesu, co w kontekście reagowania na naruszenia danych oznacza czas między wystąpieniem naruszenia a jego wykryciem. Ograniczenie tego „postoju” ma kluczowe znaczenie dla skutecznej ochrony przed atakami cybernetycznymi i ich odparcia.

Z najnowszego raportu przygotowanego przez Verizon wynika, że głównym powodem opóźnień w wykrywaniu naruszeń danych jest nadmierna koncentracja na obronie przed intruzami. Zdaniem firmy, niezbędne jest wdrożenie nowych i skuteczniejszych metod, które pozwolą na błyskawiczną identyfikację ataków cybernetycznych. Nowe metody powinny umożliwiać lepsze zrozumienie skomplikowanych operacji mających miejsce w sieci i rozpoznawanie „dobrych” zjawisk w cyberprzestrzeni. By zrealizować ten cel, konieczne jest zbadanie wszystkich źródeł aktywności sieciowej, czyli zachowania użytkowników i urządzeń.

W tym kontekście, analiza behawioralna ma kolosalne znaczenie. Udowodniono bowiem, że to właśnie użytkownicy stanowią najsłabsze ogniwo w łańcuchu bezpieczeństwa i największe zagrożenie dla środowisk komputerowych. Niestety, najcenniejsza wiedza na temat zachowania użytkowników leży tam, gdzie najtrudniej zajrzeć, zwłaszcza w odniesieniu do rodzaju danych, do których dostęp uzyskują użytkownicy, oraz sposobów użytkowania przez nich zasobów sieciowych.

Monitorowanie działań użytkowników i wyciąganie wniosków z informacji o tym, do jakich elementów sieci uzyskują dostęp i w jaki sposób je użytkują, może pomóc przewidzieć zagrożenia. Wczesne identyfikowanie sygnałów ostrzegawczych ma kluczowe znaczenie dla ochrony przed zaawansowanymi zagrożeniami, takimi jak złośliwe oprogramowanie wewnątrz sieci czy zewnętrzne ataki, w których hakerzy przejmują konta pełnoprawnych użytkowników.

Warto zatem przeanalizować kroki niezbędne do wdrożenia skutecznych systemów reagowania, opartych na analizie zachowania użytkowników i wzorców użytkowania.

W pierwszej kolejności należy przeanalizować wszystkie dane związane z bezpieczeństwem, gromadzone w procesie logowania użytkownika. By dogłębnie zrozumieć wnioski płynące z analizy tych danych, należy określić bazę, w oparciu o którą użytkownik uzyskuje dostęp i wykonuje poszczególne czynności (lub nie). Pozwoli to na wychwycenie martwych punktów w procesie zbierania danych.

Następnie, należy zastosować odpowiednie metody analityczne, które pozwolą na zrozumienie zgromadzonych danych i określenie, jak powinna wyglądać „dobra” aktywność w sieci. Ułatwi to wyizolowanie podejrzanych zachowań użytkowników, które należy dokładnie monitorować i badać. Takim podejrzanym zachowaniem może być, na przykład, niewłaściwe korzystanie z uprzywilejowanego dostępu lub bardziej uśpione zagrożenia, takie jak naruszenia danych.