Analytika se jako nejnovější populární pojem v oblasti IT šíří různými součástmi systémů IT. Mezi případy použití patří analýzy dat, sítí a chování uživatelů. Možnosti využití těchto informací jsou nekonečné.
Pokud však chcete využít tato data k informovaným rozhodnutím v oblasti zabezpečení, je zde otázka – jak užitečné je velké množství informací, které mohou obsahovat i falešně pozitivní případy? Chcete-li se vyvarovat pádu do analytické pasti, využijte rady bezpečnostních profesionálů.
- Úprava prostředí pro častější detekci „skutečně pozitivních“ případů
Jeff Schilling, ředitel zabezpečení společnosti Armor, je zastáncem analýz malých objemů dat. „Je nutné upravit prostředí, tak aby se sledovaly jen události, které mají nejvyšší pravděpodobnost, že jsou skutečně pozitivní. Zablokujte známé hrozby dříve, než se vůbec dotknou vašeho zabezpečení.“
To lze zajistit prostřednictvím správy reputace IP a monitorováním a blokováním DNS, čímž se zastaví až 80 procent necílených útoků proti vašemu podniku.
- Vylaďte svůj systém SIEM (správa událostí a incidentů zabezpečení)
Schilling dodává, že mnoho bezpečnostních týmů uvízne ve zkoumání tisíců událostí, které SIEM reportuje jako kritické, ale jsou to jen falešně pozitivní případy nebo jen upozornění, že bezpečnostní opatření fungují (např. dojde k využití pravidla firewallu).
Je možné, že budete potřebovat profesionální služby pomoci od vašeho dodavatele SIEM, ale investice se vyplatí – váš tým zabezpečení se nebude muset zabývat nekritickými varováními.
Zaměřte své zabezpečení na nejdůležitější část vašeho podnikání. Je těžké přesvědčit vlastníky firmy, že ne všechno, co dělají, stojí za to chránit, abyste se dozvěděli, co je pro vaši firmu skutečně rozhodující.
- Zachyťte hrozby v počátečních fázích
Andrew Wertkin, technologický ředitel firmy BlueCat, tvrdí, že se nestačí spoléhat výhradně na preventivní metody pro zmírnění známých rizik. Bezpečnostní analytika se stala nezbytným nástrojem k vykonávání forenzní analýzy po narušení bezpečnosti.
V případě správného vykonávání však bezpečnostní analýzy mohou organizacím pomoci identifikovat podezřelé chování, a to jak interně, tak i externě, a proaktivně zablokovat potenciální hrozby předtím, než se mohou projevit, stejně jako mohou včas varovat před hrozbami, které se stále vyvíjejí.
- Větší množství dat není výhoda
Stan Black, ředitel zabezpečení společnosti Citrix, radí: Než budete vytvářet jezera, cloudy a clustery bezpečnostních dat, zaměřte se na účel pro vaši společnost, jako je například identifikace podvodů, insiderů, osob se zlými úmysly, chyb, nesprávného chování a tak dále.
Jakmile podle něj upřednostníte požadovaný soubor výsledků, zaměřte se na to, co nepotřebujete analyzovat. Technologie se nedopouští kyberzločinu, to dělají lidé.
S ohledem na to se analytici často zaměří na analýzy rolí, empirické kvantifikování toho, co uživatelé mohou, nebo co by nikdy neměli dělat – to vytvoří základnu pro uživatele. Definováním „známého dobrého“ se bezpečnostní analytika zaměří na neznámé a na anomálie, aby tak odhalila potenciální hrozby.
- Snižte příliv upozornění zabezpečení sítě
Ravi Devireddy, technologický ředitel v E8 Security, je přesvědčen, že starší technologie zabezpečení často způsobují příliš mnoho upozornění a falešně pozitivních výsledků.
Bezpečnostní analýzy, které využívají modelování chování a základy pro to, co je normální pro každého uživatele, systém, aplikaci a koncový bod v síti, přinášejí v úsilí organizace předcházet hrozbám nejvyšší stupeň přesnosti.
Detekce aktivit útočníka, jako jsou například kompromitované přihlašovací údaje, řídicí přenosy, zadní vrátka a boční pohyb uvnitř organizace, se tak už v šumu neztrácejí.
- Využijte kontext ke snížení doby odezvy na incidenty
Týmy provozu zabezpečení a reakce na incidenty potřebují znát při vyšetřování bezpečnostního incidentu kontext. Nástroje pro bezpečnostní analýzy poskytují kontext behaviorální inteligence pro bezpečnostní výstrahy a vyšetřování incidentů.
Schopnost rychle a interaktivně analyzovat současné a historické chování, vzory a anomálie ve více datových silech umožňuje rychlejší analýzu incidentů, omezit závislost na kvalifikovaném personálu a ručních analýzách.
- Nejprve omezte rozsah útoku a pak doplňte analýzy
Lucas Moody, manažer bezpečnosti ve firmě Palo Alto Networks, tvrdí, že bezpečnostní analýzy nabízejí příslib lepší a efektivnější identifikace a možnost rychlé reakce na hrozby, překažení úsilí útočníků a v ideálním případě odražení útočníků.
Přestože je cíl vznešený, problémem této strategie je rozsah. Bezpečnostní analýzy by měly sloužit k omezení rozsahu útoku se silným strategickým základem v prevenci hrozeb.
Organizace, které berou bezpečnost vážně, musejí podle něj vyvolat moře změn ve způsobu, jak se v současné době využívají technologie a uskutečňují preventivní kontroly. To na oplátku umožní analýzám řešit následné riziko zvládnutelným škálovatelným způsobem. Kvalitní analytiky hrozeb je těžké sehnat a je nutné je nechat pracovat na „kritických případech“, a ne na „šumu.“
- Dejte pozor na falešně pozitivní případy
Podle Ryana O’Learyho z centra výzkumu hrozeb WhiteHat Security je získání správných bezpečnostních metrik z důvěryhodného zdroje jedním z nejsložitějších aspektů vlastnictví bezpečnostního programu v každé společnosti.
Mnoho organizací podle něj tvrdí, že nabízejí bezpečnostní analýzy, ale jen málo jich nabízí smysluplné ověřené bezpečnostní statistiky. To platí zejména v oblasti webových aplikací.
Hlavním problémem je, že bezpečnostní nástroje často generují neuvěřitelně vysoký počet falešně pozitivních výsledků. Než tedy koupíte jakékoli analytické řešení, zajistěte, aby společnost prověřila zranitelnosti před dokončením statistik. Informujte se také o míře falešně pozitivních výstupů, abyste zjistili, jak přesné budou analýzy.
- Použijte analytické nástroje k podpoře výdajů
Jednou z nejtěžších částí zabezpečení je podle O’Learyho zdůvodňování výdajů na něco, co nevytvoří žádné příjmy – a právě analytika s tím může pomoci. Chcete-li zdůvodnit výdaje, musíte znát rizika a finanční důsledky. Pomocí analýz lze ukázat pravděpodobnost útoku a náklady na implementaci zabezpečení a odstranění problémů.
Tento příspěvek vyšel v Computerworldu 9/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.