Jak wykryć cyberatak na firmę przed dokonaniem przez niego szkód?

15-02-2019, 11:56

Z danych zgromadzonych w raporcie ,„Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście” wynika, że w 2017 r. aż 82% krajowych przedsiębiorstw odnotowało co najmniej jeden incydent w zakresie cyberbezpieczeństwa. Dziś atakujący z łatwością potrafią obejść tradycyjne systemy zabezpieczeń. Jednak firmy coraz chętniej sięgają po rozwiązania, które są w stanie rozpoznać niepożądane działania i poinformować o nich, zanim zaszkodzą przedsiębiorstwu.

Według danych z raportu „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście”  aż 44% przedsiębiorstw w naszym kraju w 2017 r. poniosło straty finansowe w wyniku cyberataku, co stanowi wzrost aż o 9 p. p. w porównaniu do roku 2016. Do najpoważniejszych konsekwencji należały: przestój w funkcjonowaniu firmy, zaszyfrowanie bądź całkowita utrata przetwarzanych danych, ale też naruszenie reputacji wśród klientów i kontrahentów czy wyciek poufnych informacji. Rzeczywistość pokazuje, że ofiarą ataku może paść każdy podmiot – w styczniu br. przestępca bądź grupa dzięki wykorzystaniu ataku typu ransomware zablokował/zablokowała pracę urzędu w Sammamish w USA. Pod koniec 2018 r. podobna historia spotkała urząd w Atlancie, gdzie koszt przywrócenia infrastruktury informatycznej wyniósł prawie 3 mln dolarów.

Połowa polskich firm nie jest chroniona

Na wysoki odsetek firm, które doświadczyły incydentów związanych z ochroną systemów IT, ma wpływ to, iż wiele z nich takiej ochrony zwyczajnie nie posiada. Raport PwC wskazuje, iż spośród wszystkich polskich firm 53% podmiotów stosuje zabezpieczenia typu Firewall, 52% – system detekcji włamań, a 51% filtruje ruch sieciowy. Co ważne – tylko 54% firm posiada opracowane i wdrożone systemy reagowania na incydenty. Z powyższych statystyk wyłania się obraz polskiej rzeczywistości, w której prawie co druga firma jest bardzo podatna na ataki.

Czy można przewidzieć atak zanim tak naprawdę nastąpi?

Tradycyjne systemy ochrony sieci IT w firmach (np. Firewall) opierają się na okresowo aktualizowanych bazach danych zagrożeń (tj. wirusów, malware etc.), co oznacza, że przy bardziej złożonym ataku (np. klasy APT) istnieje duża szansa na ich obejście. Dlatego też, w starciu ze złośliwym oprogramowaniem firmy coraz mocniej stawiają na bardziej kompleksowe rozwiązania z zakresu Security Information and Event Management, czyli w skrócie – SIEM. 

SIEM zbiera informacje z dzienników zdarzeń (tzw. logów), a także sprawdza przepływ informacji pomiędzy poszczególnymi węzłami sieci oraz same pakiety informacji. Zgrupowane w jednym miejscu dane są następnie poddawane analizie w celu wychwycenia korelacji. Innymi słowy – system ten uczy się, jakie działania i ruchy wewnątrz sieci doprowadziły do naruszenia jej bezpieczeństwa, dzięki czemu przy kolejnej próbie będzie on w stanie skojarzyć sekwencje ataku i zawiadomić o nim, zanim ten w ogóle będzie miał miejsce. Na szczęście przedsiębiorstwo nie musi uczyć systemu od zera, ponieważ SIEM dostępne w portfolio dużych integratorów posiada wbudowany pakiet korelacji.

Źródło:  MCX PRO


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930