A biztonsági szakemberek számára egyre inkább nyilvánvalóvá vált, hogy drasztikusan csökkenteni kell a felderítési időt (time to detection – TTD), amely egy ismeretlen fájl első megfigyelésétől a fenyegetés felderítéséig eltelt időszakot jelenti. Ez az idő jelenleg átlagosan 100 és 200 nap közé esik, ami azt jelenti, hogy mire egy támadást azonosítanak, addigra az adatvesztés már régen bekövetkezett: a bankkártya adatok, számla információ, jelszavak – vagy legyen szó bármilyen digitális értékről – már illetéktelen kezekbe kerültek.

Természetesen léteznek olyan támadások, amelyek át tudnak jutni a biztonsági rendszeren, így a gyors észlelés és a mielőbbi beavatkozás képessége váltak a hatékony biztonság igazi mérőszámaivá. Kérdés, hogyan csökkenthetjük egy nap alá a felderítés idejét annak érdekében, hogy gyorsabban reagálhassunk és orvosolhassuk a felmerülő biztonsági problémákat?

Utólag is észlelni kell a kártevőket

Először is gyorsabban kell azonosítanunk az árucikként értékesített kártevőket. A kiberbűnözés iparosodása és a termékként megjelenő vírusok egyre szélesebb körű használata fontos szerepet játszik a TTD lerövidítésében. Ahogy egy fenyegetés iparosodik és árusíthatóvá válik, úgy lesz egyre elterjedtebb, és ezáltal könnyebben felismerhető. A közelmúltból a Cryptowall 3.0-át, az Upatre és a Dyre kártevőket említhetjük példaként.

Következő lépésként annyi információt kell összegyűjtenünk, amennyit csak lehet, majd a rendelkezésre álló adatok és a telemetria megoldások segítségével össze kell hasonlítani a viselkedési és forgalmi mintákat. Az így kapott eredményeket fel tudjuk használni a nulladik napi támadások azonosításához. Az elemzésnek folyamatosnak kell lennie, így utólag is észlelni tudjuk a kártevőket – olyan fájlokat, amelyek kezdetben ismeretlennek vagy ártalmatlannak tűnnek, de később rosszindulatú viselkedést mutatnak. Ez a képesség nagyon fontos a védelmi megoldásokat egyre nagyobb számban megkerülő kártevők elleni küzdelemben, ahogy azt az Angler exploit kit esetében is láthattuk.

További retrospektív biztonsági képességek közé tartozik az is, hogy feltérképezzük egy fájl útját a vállalaton belül, megértsük a támadás tartalmát, karanténba vegyük az összes érintett eszközt, és automatizált vagy manuális kármentesítést végezzünk, mielőtt újra csatlakoztatnánk a készüléket a hálózathoz. A retrospektív biztonság kritikusnak számít a kármentés, valamint a TTD felgyorsításának tekintetében.

A technológia még nem minden

Ahhoz, hogy következetesen és jelentős mértékben lecsökkenthessük az átlagos felderítési időt, a kifinomult fenyegetés elleni védelmi rendszer és a biztonsági szakemberek összehangolt munkája szükséges. Ezek a szakértők képesek arra, hogy proaktívan vizsgálják a globális fenyegetéseket, folyamatosan monitorozzák és összehasonlítsák az információkat, új adatforrásokat azonosítsanak, és többféle védelmi rendszert alkalmazzanak egyszerre.

Ha már értjük, hogy mi szükséges a felderítési idő drasztikus csökkentéséhez, és megvan hozzá a megfelelő technológiánk és képességünk, akkor azon kell dolgozzunk, hogy mindez a mindennapi rutin részévé váljon.

A Cisco, mint a hálózati piac vezetője, komoly fejlesztéseket és felvásárlásokat hajtott végre és teljesen megújította IT-biztonsági portfólióját. A Cisco informatikai biztonsággal foglalkozó weboldalán felveheti a kapcsolatot a cég szakembereivel, illetve információt kaphat az egyre komplexebb támadásokról és a hatékony védelmi eszközökről is.