BIZIT 11 - prvi dan

Tri nivoa zaštite od cyber napada

Živimo u vremenu u kojem se čak i ratovi između zemalja sele u digitalnu sferu. U okruženju u kojem broj cyber napada neprestano raste, organizacije se ne mogu više oslanjati na tradicionalni pristup zaštiti poput anti-malware softvera.

PCPress.rs Image

Danas je jasno da instalirani antivirusni softver ne garantuje sigurnost. Za početak, postavlja se pitanje jesu li svi računari i uređaji (endpoints) propisno zaštićeni najnovijom verzijom anti-malware alata. Samo kontinuirano praćenje pokrivenosti endpoint okoline je izazovno za IT osoblje. Čak i ako postoji instalirani anti-malware softver, detekcija i prevencija sofisticiranih napada dodatni su izazov. U pravilu, IT administratori neće dobiti trenutni uvid u to što se događa ili pregled što se dogodilo prilikom nekog sigurnosnog proboja. Samim tim, neće znati kako najbolje da reaguju.

S obzirom na eskalaciju cyber pretnji, mali broj organizacija ima dovoljno osoba koje se mogu nositi s analizom i proverom mnoštva incidenata i sumnjivih događaja.

Na primer, sama detekcija malwarea u nekoj datoteci ne pruža dovoljno kontekstualnih informacija o tome kako je došlo do pretnje ili čak proboja. Je li detekcija rezultat akcije korisnika koji je otvorio attachment u e-mail poruci? Možda je ranije neki drugi korisnik preuzeo istu datoteku, ali tada anti-malware nije bio ažuriran, pa nije ni bilo detekcije? Ko su drugi zahvaćeni korisnici? Ili ništa od toga nije povezano s otvaranjem priloga u e-mailu, već je detekcija rezultat “surfovanja” legitimnim news portalom koji je kompromitovan i isporučuje malware kroz Chrome pretraživač? Ili detekcija nije uopšte rezultat “kliktanja” korisnika, već maliciozni napadač ima udaljeni pristup našoj mreži kao rezultat isporuke maliciozne datoteke na disk računara kroz LAN mrežu udaljene kancelarije (eng. lateral movement)?

Ovakvi i mnogi drugi scenariji su mogući kod svake detekcije malwarea. Stoga je važno osloniti se na automatsku analizu koja IT administratorima i analitičarima daje brzi uvid u to što se događa ili se događalo kod neke pretnje. Kontekst detekcije je ključan  jer daje uvid u stvarni nivo rizika, a u vezi s time nam tradicionalni anti-malware i drugi analitički sigurnosni alati neće puno pomoći.

Pročitajte i:  Hakeri ubacuju lažna sećanja u ChatGPT

Tri nivoa zaštite

Znamo da anti-malware nije dovoljan, ali postavlja se pitanje šta ustvari organizacije treba da preduzmu kako bi poboljšale svoju zaštitu. Kako bi dobile najveću vrednost od sigurnosnih rešenja, organizacije se moraju fokusirati na glavne izvore rizika, odnosno tri nivoa zaštite.

1. Zaštita korisnika od malicioznog sadržaja uz XDR: Od osobnog računara do e-maila 

Content zaštita pretpostavlja pravovremenu detekciju svog zlonamernog sadržaja, automatsku korelaciju događaja i kontekstualizaciju detekcije – od endpoint računara do email prometa. Umesto individualnih detekcija, govorimo o novoj proaktivnoj tehnologiji – XDR (Extended Detection and Response) -koja pruža efikasan odgovor na moderne pretnje. XDR donosi automatizaciju i samim tim olakšava analizu podataka. Kad postoji sumnja na pretnju, korisnik vrlo lako može pristupiti istorijskom sledu događaja i saznati što je dovelo do uzbune. Istovremeno se eliminiše potreba za pretragom log zapisa iz različitih izvora, štedi se vreme i dobija se pravi uvid u rizike koji proizlaze iz pojedine detekcije (ili kombinacije detekcija) malicioznog sadržaja.

Iako su XDR rešenja donedavno bila rezervisana samo za organizacije s “dubljim džepom”, danas je XDR jednako dostupan i malim i srednjim kompanijama. Umesto da se oslanjaju na klasični anti-virus, kompanije će uz XDR spojiti više proizvoda u jedinstven alat i značajno smanjiti rizik.

PCPress.rs Image

“Pandemijska” digitalna transformacija je promenila krajolik pretnji

Digitalna transformacija omogućila je nastavak poslovanja tokom pandemije. Istovremeno se promenio krajolik pretnji. Dok su kompanije preduzele korake u smeru transformacije poslovanja, cyber kriminalci su spremno čekali svoju priliku i iskorišćavali nove mogućnosti napada na organizacije.

Trend Micro, proizvođač antimalware rešenja, u svom godišnjem izveštaju o najznačajnijim tipovima sigurnosnih pretnji u 2021. daje nam smernice za ponašanje i odbranu od cyber napada u narednim razdobljima.

U 2021. je uočen rastući trend udruživanja hakerskih grupa s ciljem isporuke modernih ransomware napada. To je u suprotnosti sa spray-and-pray metodom ranije popularnih tipova ransomware napada. Pre nego što izvrše napad, ovakve grupe uzimaju dovoljno vremena za izviđanje situacije i proučavanje organizacije.

Zdravstveni sektor, koji se u ranijim periodima uglavnom nije pojavljivao na popisu meta ovakvih napadača, sada je podjednako pogođen kao i ustanove državne uprave i banke. Njima je pridružen popis niza drugih sektora i industrija. U prevodu, niko nije pošteđen.

Uz mail, cyber napadači se fokusiraju na cloud

Kontinuitet poslovanja je tokom pandemije uveliko olakšan migracijom na cloud, SaaS i IaaS servise. Zlonamerni akteri, pak, spremno su iskoristili kompleksnosti cloud infrastrukture.

Email je bio i ostao najpopularniji kolaboracijski alat i ključna aplikacija svake organizacije. Stoga nije čudno da je i dalje najkorišćeniji pravac za napade. Phishing kampanje su sredstvo koje imaju veliki efekat za širenje malwarea. Broj blokiranih phishing napada od strane Trend Micro Cloud App Security se 2021. udvostručio u odnosu na prethodnu godinu.

Dve trećine takvih mailova klasifikovan je kao spam, a preostali kao krađa identiteta (credential-phishing). Uz pomoć naprednih alata poput analize autorstva, Cloud App Security je tokom 2021. ujedno detektovao i blokirao veću količinu BEC (Business Email Compromise) napada.

Važno je napomenuti da napadači podjednako iskorišćavaju stare i novootkrivene ranjivosti. Uprkos dostupnosti zakrpa, napadači su nastavili iskorišćavati mnoge stare ranjivosti. Prema Trend Micro istraživanju, za isporuku jedne trećine napada u 2021. iskorišćene su ranjivosti starije od tri godine.

Ovakvim se rešenjem jednostavno upravlja i automatski se eliminiše potrebno vreme analize. Trend Micro Vision One XDR, uveliko olakšava analizu pretnji u e-mail prometu, na mreži, u cloud infrastrukturi i, naravno, na samim endpoint računarima.

PCPress.rs Image

2. Upravljanje identitetima

Rastom broja javno dostupnih pristupnih tačaka u organizaciju (VPN, SSL VPN, RDP…), ali i sve većim brojem as-a-service web aplikacija, rastu i prilike za upad napadača u organizaciju. Krađa identiteta je zato jedan od glavnih pravaca napada za dobijanje neovlašćenog pristupa IT sastavu.

Potreba za udaljenim pristupom tokom pandemije povećala je površinu napada mnogih organizacija.  Pritom je posao napadača olakšan ako se koriste lozinke bez dodatnih provera ili faktora (npr. sertifikat, one time password, itd). Situaciju olakšava i ne korišćenje upravljanih identiteta za pristup svim poslovnim aplikacijama.

Rešenja za upravljanje identitetima donose multi-faktorsku autentifikaciju i single sign-on (SSO). Od korisnika traže što manje oslanjanje na lozinke. Aplikacije trebaju biti dostupne s bilo kojeg mesta, što je posebno došlo do izražaja tokom pandemije. Njihovo korišćenje pritom treba biti sigurno za organizaciju. Isto tako, administratori trebaju videti ko je i kada pristupio kojoj aplikaciji. Rešenja za multi-faktorsku autentifikaciju smanjuju ulogu lozinki, pa tako i neovlašćen pristup računima.

Identifikacija korisnika i provera autentičnosti je iznimno važna u vreme digitalne transformacije. Zero Trust Network (ZTNA) rešenja su zato sve traženija. Zaposlenima omogućavaju siguran udaljeni pristup do bilo koje aplikacije. Korisnik dobija pristup pravim resursima u pravo vreme, a potreba za lokalnim VPN-om je eliminisana.

3. Edukacija zaposlenih o cyber pretnjama

Zadnji stepen odbrane organizacije od napada su zaposleni. Naime, u mnogim se slučajevima sve svodi na to hoće li ili ne zaposleni kliknuti na link u e-mailu. Edukacija o napadima, posebno onima koji se isporučuju putem e-pošte, ključna je u stvaranju otpornosti organizacije na napade.

Velike organizacije su tradicionalno ovakve probleme rešavale uz sastavnu edukaciju zaposlenih o sigurnosnim pretnjama. Međutim, tradicionalne SAT (Security Awareness Training) inicijative podrazumevaju dovoljno novca i vremena, a to su ograničeni resursi. I to napadači dobro znaju i iskorišćavaju.

Ovakvi se problemi mogu zaobići uz softverom potpomognuta SAT rešenja. Njima je omogućena automatska i kontinuirana edukacija zaposlenih (i integracija sa onboardingom novih zaposlenih). Fokus je na aktuelnim pretnjama. Zaposleni nisu prekidani vremenski zahtevnim edukacijama, već kraćim trenucima učenja, često kao reakcija na otvaranje rizičnih linkova.

Uz linkove koji se šalju kao simulirani napadi od strane SAT rešenja, u SAT edukaciju su uključeni i povremeni testovi te kratki kursevi grupisani po temama. Uz zaposlene koji lakše prepoznaju cyber pretnje, organizacije stvaraju veću otpornost. Nešto što tradicionalno zahteva puno pripreme i vremena, svodi se na vrlo brzu implementaciju i kontinuirani proces.

PCPress.rs Image

Zainteresovani ste za više informacija? Treba vam demo rešenja? Kompanija Veracomp, kao ovlašćeni distributer Trend Micro rešenja, može vam pomoći u odabiru optimalnog rešenja za vaše poslovanje. Za više informacija, javite se na trendmicro@veracompadria.com.

Facebook komentari:
Računari i Galaksija
Tagovi: , , ,