A szervezetek napról napra egyre több fenyegetéssel küzdenek meg, és rendkívül rövid idő alatt kell észlelniük, illetve elhárítaniuk a támadásokat.
A Micro Focus szakértői szerint az átfogó, mindenre kiterjedő biztonsági stratégia, illetve a fejlett SIEM megoldások nyújtják a megfelelő előnyt az idővel és a kiberbűnözőkkel folytatott versenyfutásban.
A kiberfenyegetés egyre nagyobb probléma, ezt támasztja alá egy nemrégiben megjelent kutatás is. A felmérést végző vállalat szakemberei 2018-ban 240 milliárd incidenst észleltek naponta, ez több mint két és félszeres növekedés a 2017-ben tapasztalt 90,1 milliárd esethez képest. Megfigyeléseik szerint másodpercenként hárommillió olyan esemény történt, amely átlagos besorolást kapott, míg tavalyelőtt csupán egymillió. A szakemberek által a „csúcs” kategóriába sorolt, veszélyes incidensek száma pedig 2018-ban másodpercenként 3,8 millió volt, míg egy évvel korábban 1,4 millió.
Az elemzés szerint az úgynevezett „kitörési idő” átlagosan 4 óra 37 percre volt tehető a tavalyi év során. Ez azt jelenti, hogy a behatolás után körülbelül négy és fél órába telt, amíg a támadók megkezdték mozgásukat és káros tevékenységeiket a feltört szervezeten belül. Vagyis a vállalatoknak csupán néhány órájuk van arra, hogy észleljék és kezeljék a támadásokat.
Van hova fejlődni
A Micro Focus kutatása azt mutatja, hogy a szervezetek egy része még nem áll erre készen. A vállalat minden évben elkészíti State of Security Operations jelentését, amelyben 144 biztonsági műveleti központ (Security Operations Center – SOC) működését vizsgálják összesen 33 országban, valamint értékelik, mennyire érett és fejlett kiberbiztonsági képességekkel rendelkeznek a szervezetek.
A legfrissebb jelentés szerint a központok érettségének szintjében 7 százalékos növekedést tapasztaltak az előző évhez képest. A szervezetek 20 százaléka ugyanakkor még az első érettségi szintet sem éri el a Micro Focus értékelése szerint, ami azt jelenti, hogy eleget tesznek ugyan a biztonsági események monitorozásához szükséges minimális követelményeknek, de nem készítenek semmilyen dokumentációt, és a tevékenységeik is ad-hoc jellegűek.
A vizsgált központoknak mindössze öt százaléka működik az ajánlott szinten. Ezeken a helyeken pontos meghatározásokat készítenek arról, milyen műveletekre van szükség a biztonság fenntartásához, és azok alapján végzik tevékenységeiket. A folyamatok azonban rugalmasak és proaktív módon változtathatók, így a hatékonyság optimalizálható. Szükség esetén tehát gyorsan tudnak reagálni az eseményekre, mivel nem fordítanak felesleges időt a túlszabályozott környezetek felügyeletére és működtetésére.
Minden perc és minden információ számít
A Micro Focus szakértői szerint a megfelelő védelemhez átfogó biztonsági stratégiára van szükség, amely kiterjed az adatok, az alkalmazások, az eszközök és a személyazonosságok védelmére, illetve a biztonsági események kezelésére, ezeknek pedig összhangban kell állniuk egymással.
Érdemes például integrálni a személyazonosságokat kezelő és irányító rendszereket a biztonsági információ- és eseménykezelő (SIEM) megoldással, így ugyanis könnyebben azonosíthatók a gyanús tevékenységek. Ennek köszönhetően az illetékes szakemberek rövid idő alatt észlelik, ha egy alkalmazott (vagy az online személyazonossága mögé bújt támadó) olyan rendszerekbe lép be és olyan bizalmas fájlokat és adatokat nyit meg, amelyekhez nincs szüksége a mindennapi munkájához.
Ez természetesen azt jelenti, hogy óriási mennyiségű információt és eseményt kell figyelemmel kísérni. Erről azonban egy fejlett SIEM-megoldás képes automatikusan gondoskodni, ami lehetővé teszi a szakembereknek, hogy csak azokkal az incidensekkel foglalkozzanak, amelyek valóban figyelmet érdemelnek.
Az ArcSight például az iparágban vezetőnek számító, elosztott korrelációs motorjának köszönhetően másodpercenként akár százezer esemény adatait képes megfigyelni és elemezni. Így pillanatok alatt azonosítja azokat a tevékenységeket és fenyegetéseket, amelyek nem felelnek meg a platformban előzetesen beállított szabályoknak. Ezáltal a szervezetek még azelőtt elháríthatják a támadásokat, hogy a kiberbűnözőknek lehetőségük lenne kárt okozni a rendszerekben.