Wykrywanie cyberprzestępstw w czasie rzeczywistym - Computerworld

Wykrywanie cyberprzestępstw w czasie rzeczywistym



Według najnowszego raportu National Crime Agency (NCA), „przestępstwa możliwe do popełnienia dzięki technologiom cyfrowym” to obecnie największe zagrożenie pośród wszystkich form przestępstw w Wielkiej Brytanii.

Z raportu Cyber Crime Assessment 2016 wynika, że 36% spośród wszystkich zgłaszanych przestępstw zaliczało się właśnie do tej grupy. Kolejne 17% było związane z niezgodnym z prawem użyciem komputera.

Te statystyki są interesujące same w sobie, ale ważniejsze są jednak wnioski z nimi związane. Na podstawie raportu szacuje się, że w 2015 roku było 2,46 mln przypadków „cyberincydentów”. Jednak tylko 716 tys. z nich zostało zgłoszonych. To znacząca różnica, która wymaga postawienia ważnego pytania: Jak wiele ofiar tych “cyberincydentów” jest w ogóle świadomych, że stało się ofiarami naruszenia bezpieczeństwa? Kiedy na pierwszy rzut oka niczego nie brakuje, nie ma wyłamanego zamka w drzwiach czy zbitej szyby w oknie, a alarm się nie włączył, trudno stwierdzić, że w ogóle coś się wydarzyło.

Wzrost częstotliwości i złożoności

Pomimo znaczących sum wydawanych na cyfrową ochronę, liczba firm, które padły ofiarą naruszenia bezpieczeństwa, nadal rośnie.

Sponsorowane przez brytyjski rząd badanie Information Security Breaches Survey 2015 pokazuje, że prawie trzy czwarte (74%) małych i średnich przedsiębiorstw (MŚP) miało do czynienia z naruszeniem bezpieczeństwa. To więcej niż w latach 2013-2014. W przypadku dużych firm, które mają znacznie większe budżety na bezpieczeństwo, a także know-how, liczba ta wynosiła 90%.

Można rozsądnie założyć, że Twoją firmę także dotknie ten problem. Może to być pracownik, który umieści wrażliwe dane na przenośnej pamięci, a następnie ją zgubi. Może to być również złośliwe oprogramowanie albo tzw. techniki social engineering (coraz częstsza praktyka w Wielkiej Brytanii), za których pośrednictwem wykradzione zostaną dokumenty, albo ludzie nieświadomie udostępnią komuś dane osobowe. Najważniejsze jest, żeby wykryć takie zdarzenie najszybciej jak to możliwe. Albo jeszcze lepiej: w tej samej chwili, czyli w czasie rzeczywistym.

Rosnąca złożoność zagrożeń cyfrowych sprawia, że wykrywanie przestępstw w czasie rzeczywistym jest kluczowe.

Analiza danych z całej sieci to ochrona proaktywna. Logowania, raporty o incydentach i alarmy systemowe są potwierdzane przy użyciu zewnętrznych informacji. Dzięki temu można w każdej chwili uzyskać komplet szczegółowych informacji o tym, co dzieje się z Twoimi danymi.

Pełny obraz sytuacji

Analityka Big Data pozwala na przeciwdziałanie działającym w sposób błyskawiczny cybernapastnikom. Dzięki integracji systemów monitorowania wyciekających danych oraz alarmowania z resztą sieci, usuwa się ściany, które spowalniają dostęp do informacji. W ten sposób skraca się czas potrzebny do zidentyfikowania i odparcia ataku.

Współcześni cyberprzestępcy często bardzo szybko zdobywają nieautoryzowany dostęp do sieci. Nie potrzeba już długiego okresu „szpiegowania”. O ironio, dzieje się tak dlatego, że systemy ochronne stały się tak bardzo zaawansowane.

Big Data pozwala na analizowanie typowego zachowania w skali całej sieci, identyfikowanie zdarzeń określanych jako tzw. fałszywe-pozytywy oraz pomijanie nieistotnego tła, szumu związanego z bieżącymi działaniami w obszarze bezpieczeństwa.

Niemniej, wiele najpoważniejszych naruszeń bezpieczeństwa nie ma charakteru pojedynczego, wielkiego wybuchu. Zwykle jest to wstępne włamanie, po którym następuje pewnego rodzaju wyciek trwający dni lub tygodnie. Okres upływający pomiędzy tymi dwoma etapami może spowodować, że każdy element pojedynczego, złożonego ataku traktowany jest jako izolowany incydent.

Sieć uwolniona od silosów informacyjnych może podlegać analizie holistycznej. Działania podejmowane przez aplikacje analityczne mogą wykrywać powiązanie pomiędzy takimi zdarzeniami.

Jednak choć analiza danych ma potencjał do znacznego skrócenia czasu potrzebnego do rozpoznania ataku, a nawet prognozowania przyszłych ataków, to na niewiele się przyda, jeśli ludzie nie będą w stanie odczytać tego, co „mówią” im dane.

Eric Ahlm, dyrektor ds. badań w firmie Gartner, ostrzegał w raporcie z 2015 r.: „To, w jaki sposób użytkownicy wchodzą w interakcję z wynikami analiz na dużych zbiorach danych, w znacznym stopniu determinuje, czy dana technologia zostanie zaakceptowana, czy będzie uznana za dostarczającą przydatne informacje w rozsądnym czasie. Podobnie jak w przypadku innych dyscyplin, które wykorzystują duże zbiory danych do odkrywania nowych rzeczy czy tworzenia nowej wiedzy, wizualizacja danych w znacznej mierze wpływa na adopcje technologii”.

Wbudowane bezpieczeństwo

Systemy oferujące ciągły monitoring zapewniają ochronę po stronie sieci. Ale co z urządzeniami pracowników? Czy tak jak Lenovo Ideapad Miix 700 Business Edition oferują elastyczność tablet klasy premium oraz bezpieczeństwo klasycznego desktopa – to ostatnie dzięki modułowi TPM (Trusted Program Module).

Tikiri Wanduragala z Lenovo wyajśnia: „Pozwala to sprawdzać mikrokod, który jest wykonywany na serwerze; jest on wbudowany w płytę główną”.

Co to oznacza? Każdy fragment kodu, kiedy mikrokod jest aktualizowany, jest sprawdzany, żeby upewnić się, że to właściwy kod działający na właściwej maszynie. Warto dodać, że odbywa się to w czasie rzeczywistym”.

„TPM odgrywa znaczącą rolę, ponieważ część włamań do systemów handlu detalicznego – o których zapewne wszyscy czytaliśmy w mediach – miała miejsce za pośrednictwem mikrkodu. Mikrokod uznawany jest za bezpieczny, dlatego jeśli przestępcy się do niego dostaną, zostają uznani za zaufanych, bezpiecznych użytkowników… w tym momencie przegraliśmy”.

Efektywne zabezpieczenie sieci to wielowarstwowy proces wymagający inwestowania w edukację i szkolenia pracowników, ochronę przed phishingiem i oprogramowaniem znanym jako ransomware, a także wiele innych środków ochrony. Jeśli jednak mielibyśmy dokonać priorytetyzacji, to uzyskanie klarownego obrazu całej sieci, w chwili gdy dochodzi do naruszenia bezpieczeństwa, znalazłoby się na szczycie długiej listy… podobnie jak urządzenia, które mogą samodzielnie dokonać uwierzytelnienia.