• 22 478 45 80
  • Adres mailowy 4Sync
Responsive image

Jak skutecznie zapobiegać włamaniom?

5 warunków skutecznej ochrony przed włamaniami

opisanych przez Kurta Bertone, dyrektora technicznego firmy Fidelis Network.

 

Wersja polska: https://www.fidelissecurity.com/sites/default/files/5%20Requirements%20for%20Stopping%20Modern%20Intrusions_PL_Final.pdf
Wersja angielska: http://www.threatgeek.com/2017/03/5-requirements-for-stopping-modern-intrusions.htm

 

 ------------------------------------------------------------------------------------------------------------- 

 

Warunek 1. Dogłębny wgląd w zawartość sieci (nie tylko pakiety) w czasie rzeczywistym

Znaczna większość skutecznych ataków odbywa się nie na poziomie pakietów i ataków po stronie serwera, tylko na poziomie zawartości i ataków po stronie klienta — na przykład e-mail spear-phishingowy i stosowanie działających na dokumentach exploitów, które wykorzystują luki w zabezpieczeniach aplikacji komputerowych. Nowoczesny system zapobiegania włamaniom musi wykrywać w czasie rzeczywistym zagrożenia głęboko osadzone na poziomie zawartości i w razie czego podejmować działania obronne (blokady).

Warunek 2. Widoczność, wykrywanie i zapobieganie na każdym etapie ataku

Nowoczesne ataki to całe procesy, a nie pojedyncze zdarzenia. Są to serie działań podejmowanych przez jakiś czas i realizowanych etapowo. Koncentracja na jednej czy dwóch fazach ataku oznacza pewną przegraną. Aby udaremnić atak, trzeba mieć możliwości wglądu, wykrywania i zapobiegania w każdej fazie jego trwania - nie tylko podczas początkowego przenikania do środowiska, co jest jedynym etapem objętym kontrolą w przypadku tradycyjnych systemów zapobiegania włamaniom.

Warunek 3. Wykrywanie i zapobieganie w CZASIE RZECZYWISTYM oraz w PRZESZŁOŚCI

Tradycyjne systemy zapobiegania włamaniom skupiają się na wykrywaniu i zapobieganiu w czasie rzeczywistym. Brakuje im nie wybiórczej pamięci sieciowej ani funkcji umożliwiających analizy przeszłych zdarzeń. To prawdziwy problem, jeśli chodzi o obronę przed nowoczesnymi atakami. Jeśli ktokolwiek twierdzi, że jest w stanie wykryć — nie wspominając już o udaremnieniu— wszystkie ataki w czasie rzeczywistym, niewątpliwie mija się z prawdą. Dlatego obrona przed atakami nowej generacji wymaga możliwości „cofania się w czasie”, która pozwala stosować nowe informacje o zagrożeniach do przeszłych zdarzeń w sieci i na punktach końcowych. 

Warunek 4. Rozszerzenie i weryfikacja zautomatyzowanych alertów

Tradycyjne systemy zapobiegania włamaniom często krytykuje się za „generowanie zbędnego szumu”. Emitują one mnóstwo alertów, nie wskazując, które są najważniejsze. Nie udostępniają też wystarczająco dużo informacji, aby umożliwiać podejmowanie odpowiednich kroków.

Warunek 5. Wszystkie powyższe w przypadku sieci ORAZ punktów końcowych

Bez względu na to jak sprawnie wykrywasz zagrożenia w sieci, nigdy nie będziesz w stanie wykryć (ani udaremnić) wszystkich ataków wyłącznie dzięki analizie ruchu w sieci. Trzeba zwracać uwagę również na punkty końcowe. Atakujących, którzy obierają za cel dane, interesuje aktywność w punktach końcowych. Exploity są uruchamiane w punktach końcowych. Złośliwe oprogramowanie działa w punktach końcowych, gdzie pozostawia ślady i furtki. Naprawy są wykonywane w punktach końcowych. To dlatego skuteczna obrona przed atakami nowej generacji wymaga możliwości śledzenia i blokowania ataków na punktach końcowych.