Rozszerzanie się powierzchni ataku sprawia, że w obszarze bezpieczeństwa dla krytycznej infrastruktury krajowej (CNI) wciąż przybywa złożonych wyzwań. Eksperci Vectra AI dzielą się swoimi doświadczeniami, przybliżając problemy oraz opisując niezbędne kroki, które zespoły ds. bezpieczeństwa powinny podjąć w celu zwiększenia skuteczności.
Organizacje krytycznej infrastruktury krajowej nigdy wcześniej nie były tak bardzo narażone na ataki, których liczba podwoiła się w ciągu ostatniego roku. Przed zespołami ds. bezpieczeństwa wiele wyzwań – Christian Putz, Country Manager w Vectra AI, wyróżnił pięć obszarów, na które należy zwrócić szczególną uwagę:
- Przyspieszenie zdolności do identyfikacji, ochrony, wykrywania, reagowania i odzyskiwania danych od napastników, którym udało przeniknąć do ich systemów. Ręcznej analizie i wykrywaniu brakuje skali i szybkości potrzebnych do skutecznego wykrywania dzisiejszych ataków i reagowania na nie/przeciwdziałaniu dzisiejszym atakom.
- Spowolnienie zdolności napastników do przejmowania ważnych danych uwierzytelniających i przeprowadzenia ataków. Atakujący unikają wykrywania opartego na sygnaturach i oznaczania anomalii, przyjmując zachowania użytkowników w celu naśladowania normalnej aktywności.
- Wykrywanie zagrożeń w rozszerzających się, podatne na ataki środowiskach na tyle wcześnie, aby powstrzymać naruszenia wynikające z braku monitorowania i kontroli bezpieczeństwa urządzeń IoT i OT.
- Skuteczna obrona przed niemal nieskończoną liczbą narzędzi, które pomagają uporczywym napastnikom szpiegować, rozszerzać swoje działania i kraść w sieci.
- Osiągnięcie ciągłego wglądu w zabezpieczenia i monitorowanie sieci w celu szybkiego identyfikowania oznak aktywnych zagrożeń i reagowania na nie, przywracania sprawności po naruszeniach i zapobiegania nowym
Najlepiej przygotowane do wyprzedzania dzisiejszych ataków są obecnie zespoły bezpieczeństwa, które do korelacji i priorytetyzacji najbardziej krytycznych i pilnych zagrożeń wykorzystują AI lub uczenie maszynowe. Rozwiązania oparte na sztucznej inteligencji pozwalają wyjść poza wykrywanie oparte na sygnaturach i anomaliach, w celu zrozumienia zachowania atakującego i wyłapania ich TTP w całym łańcuchu cyber kill chain.
5 zasad skutecznej obrony:
Wykrywanie: Myśl jak atakujący
Aby powstrzymać naruszenia, zespoły ds. bezpieczeństwa CNI muszą myśleć jak atakujący. Wykrywanie oparte na sztucznej inteligencji pozwala wykraczać poza sygnatury i anomalie, aby zrozumieć zachowanie atakującego i wyłapać TTP w chmurze, SaaS, tożsamości i sieciach. Łącząc wykrywanie, analizę danych, algorytmy uczenia maszynowego i analitykę behawioralną można wykrywać złośliwe zachowania, nawet gdy ruch jest szyfrowany.
Ustalanie priorytetów: dowiedz się, które zachowania są złośliwe, skup się na sprawach pilnych
Zespoły SOC codziennie mają do czynienia z dużą ilością alertów. Najważniejsza jest wiedza o tym, co jest szkodliwe. Segregacja oparta na sztucznej inteligencji szybko analizuje wzorce unikalne dla danego środowiska, aby zredukować szum powiadomień i wyłowić zdarzenia istotne i pozytywne. Zapewnia to analitykom niezrównaną przejrzystość sygnałów, dzięki czemu mogą oni skupić się na pilnych zagrożeniach.
Badanie: Konsolidacja i integracja
Analitycy SOC, uzbrojeni w widok zagrożeń ustawionych wg priorytetu, mogą przeprowadzać dogłębną analizę za pomocą jednego interfejsu, zapewniając jednocześnie warsztat do proaktywnych działań związanych z wykrywaniem zagrożeń.
Reakcja: Zintegrowana, ukierunkowana, elastyczna
Zespoły SOC i Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) muszą mierzyć się z coraz dłuższym czasem reakcji na zagrożenia (średnio od 9 do 10 miesięcy) – wynika to z nadmiernego polegania na ręcznych działaniach oraz brak orkiestracji przepływów pracy i automatyzacji procesów. Dzięki wdrożeniu rozwiązań, które umożliwiają natywną integrację technologii EDR, SIEM, SOAR i ITSM, można szybko, w sposób wysoce skoordynowany i ukierunkowany reagować na zagrożenia, z elastycznością ręcznej lub automatycznej kontroli powstrzymywania ataku.
Polowanie: proaktywne i programowe
W organizacjach krytycznej infrastruktury krajowej, zespoły uzbrojone w narzędzia wykrywania oparte na sztucznej inteligencji, które „myślą jak atakujący”, narzędzia zaawansowanej analizy, bogate w kontekst dane i metadane pozyskiwane z sieci, chmury publicznej, SaaS, kontroli tożsamości i punktów końcowych, mogą wdrażać proaktywne i programowe działania, aby skutecznie wykrywać i reagować na zagrożenia. Dzięki temu wzrasta ich wydajność.
– Dzięki widoczności, w czasie rzeczywistym, zagrożeń w chmurze publicznej, SaaS, kontroli tożsamości i sieciach, zdecydowanie łatwiej wykryć oznaki aktywnych zagrożeń dla infrastruktury krytycznej. Wdrażając rozwiązania bezpieczeństwa oparte na sztucznej inteligencji, organizacje będą bardziej odporne na ataki dzięki funkcjom automatycznego wykrywania, selekcji i priorytetyzacji zagrożeń – umożliwią szybką analizę i będą miały zdolność powstrzymywania atakujących, którzy już się przedarli, zwiększając produktywność i przepustowość analityków SOC – zapewnia Christian Putz.