угроз
Инвестиции в управление жизненным циклом угроз могут позволить ор-
ганизации остановить атаки, когда они происходят. Сегодня это достойная
инвестиция для любой компании, т. к. статистика показывает, что рост ки-
берпреступлений не замедляется. В период с 2014 по 2016 г. число кибератак
увеличилось на 760 %. Рост киберпреступности обусловлен тремя факторами.
Начнем с того, что существуют более мотивированные субъекты угрозы. Для
некоторых киберпреступность стала бизнесом с низким уровнем риска и вы-
сокой доход ностью. Несмотря на увеличение числа нарушений, количество
обвинительных приговоров очень небольшое, что свидетельствует о том, что
удается поймать далеко не всех киберпреступников.
В то же время организации теряют миллиарды из-за этих мотивирован-
ных злоумышленников. Еще одной причиной увеличения числа нарушений
является зрелость экономики киберпреступности и цепочки поставок. Сегод-
ня киберпреступники могут получить доступ к многочисленным эксплойтам
и вредоносным программам, которые предназначены для продажи, при том
68 Жизненный цикл атаки
условии, что они могут платить соразмерные суммы денег. Киберпреступность
стала бизнесом, в котором достаточно поставщиков и покупателей. Покупа-
тели множатся с появлением хактивизма и кибертерроризма, что приводит
к беспрецедентному росту числа нарушений.
Наконец, количество нарушений растет из-за расширения поверхностей
атак со стороны организаций. Были разработаны технологии, которые выяв-
ляют новые уязвимости и, следовательно, расширяют область, которую могут
атаковать киберпреступники.
Интернет вещей (IoT), одно из последних дополнений к организационным
технологиям, уже привел к взлому ряда компаний. Будущее печально, если
организации не предпринимают необходимых мер предосторожности, чтобы
защитить себя.
Лучшие инвестиции, которые они могут сделать сейчас, – это управление
жизненным циклом угроз, позволяющее им адекватно реагировать на атаки
в зависимости от фазы, в которой они находятся. В 2015 г. в исследовательском
отчете Verizon утверждалось, что из всех атак 84 % оставили улики в журналах
данных. Это означает, что с помощью соответствующих инструментов и об-
раза мыслей эти атаки можно было бы нейтрализовать на достаточно ранней
стадии, чтобы предотвратить ущерб. Существует шесть этапов управления
жизненным циклом угрозы.
Первый этап – сбор данных компьютерной криминалистики. До того мо-
мента, как угроза проявится во всей красе, некоторые ее проявления можно
наблюдать в IT-среде. Угрозы могут проникать через любую из семи сфер (do-
mains) IT-инфраструктуры. Речь идет о User Domain, Workstation Domain, LAN
Domain, LAN-to-WAN Domain, Remote Access Domain, WAN Domain и System/Ap-
plication Domain. Таким образом, чем больше IT-инфраструктуры организация
наблюдает, тем больше угроз она может обнаружить.
На этом этапе есть три момента. Для начала организации должны собрать
данные об эффективности мониторинга безопасности и тревожных сигна-
лах. Сегодня организации используют бесчисленные средства обеспечения
безопас ности, которые призваны помочь им поймать злоумышленников
и предотвратить их атаки. Некоторые из этих инструментов только выдают
предупреждения и, следовательно, просто генерируют события и сигналы тре-
воги. Некоторые мощные инструменты могут не озвучивать угрозу при проб-
лемах невысокой серьезности, но будут генерировать события безопасности.
Тем не менее ежедневно могут генерироваться десятки тысяч оповещений
о событиях, что приводит в замешательство организацию: на чем же сосредо-
точиться? Еще один момент на этом этапе – сбор журналов и машинных дан-
ных. Этот тип данных может обеспечить более глубокое представление о том,
что фактически происходит в организационной сети на уровне отдельного
пользователя или приложения. Последний момент на этом этапе – сбор дан-
ных низкоуровневых сенсоров. Такие сенсоры, как сенсоры сети и конечных
точек, собирают еще более низкоуровневую информацию, которая пригодит-
ся, если журналы недоступны.
Управление жизненным циклом угроз
Do'stlaringiz bilan baham: |