Jak se chránit před pokročilými kybernetickými hrozbami?

cybersecurity hacker endpoint security

Čas potřebný k detekci kybernetického bezpečnostního incidentu může mít dopad na následky útoku. Například podle nejnovějšího výzkumu, malé a středně velké firmy (do 1 000 zaměstnanců), jimž se podařilo identifikovat útok ihned poté, co je někdo napadl, snížily o 17 % finanční škody způsobené únikem dat.

Stejný průzkum zjistil, že pouze 10 % malých a středně velkých podniků dokázalo okamžitě detekovat průnik do svého systému. Jak je možné, že to firmy přehlédnou?

Pokročilé útoky jsou čím dál lacinější…

Kyberzločinci provádějí pokročilé útoky pouze v takových případech, kdy jsou náklady na organizaci útoku nižší než potenciální zisk, což může být například suma obdržená za dešifrování souborů nebo za prodej odcizených citlivých dat. To je důvod, proč sofistikované útoky směřují obvykle na velké firmy – zločinci mají větší šanci „vyhrát jackpot“.

Avšak poslední dobou se začínají vyplácet i útoky na malé a středně velké firmy, nikoli jen na korporace. Už není potřeba, aby si zločinci vyvíjeli vlastní malware, který se vyhne detekci bezpečnostních řešení. Stačí použít „osvědčené postupy“ svých „kolegů“ – například tím, že nakoupí potřebnou sadu nástrojů. Za úsilí tedy stojí i pokročilé útoky na středně velké podniky.

Kyberzločinci navíc nemusejí vůbec použít malware. K získání autorizačních údajů nebo citlivých informací můžou zneužít běžnou funkci operačního systému nebo softwaru vzdálené správy, aniž by je produkty ochrany koncových bodů detekovaly. Náš tým pro řešení incidentů odhaduje, že podobný druh softwaru byl zapojen téměř do třetiny požadavků zákazníků (30 %).

Takové hrozby jsou nejen obtížně rozpoznatelné, ale často je nelze ani automaticky blokovat, protože jsou příliš podobné každodenním činnostem správce zabezpečení IT. Bez další analýzy může reakce v podobě opatření narušit důležité firemní procesy.

…a zdroje firem jsou stále omezené

Celkově vzato, k úspěšnému řešení těchto hrozeb potřebují podniky jak pokročilá řešení, která dokážou shromažďovat a analyzovat data související se zabezpečením, tak i zkušený bezpečnostní tým, který umí situaci správně vyhodnotit a vhodně na ni reagovat.

Firemní rozpočty v IT bezpečnosti ale výrazně zaostávají za potřebami ochrany napadených společností. Podle našeho výzkumu, firmy méně než s 1 000 zaměstnanců loni utratily za ochranu IT v průměru 275 000 dolarů. Tato částka se oproti předchozímu roku 2019 příliš nezvýšila. To není vzhledem k obtížným ekonomickým podmínkám překvapující. Vypovídá to o tom, že společnosti víc investují do oblastí podnikání, které jsou pro ně zdrojem příjmů.

Pokud jde o kvalifikovaný personál, malé firmy musejí zvládnout víc činností s méně lidmi. V případě, že je ve firmě pouze jeden zaměstnanec zodpovědný za kyberbezpečnost, což je obvyklé u 49 % malých a středně velkých firem, jen těžko se může zabývat podezřelými případy 24 hodin denně.

Za těchto okolností by nákladově nejefektivnější možností bylo sdílet náklady na bezpečnostní operační centrum (SOC – Security Operation Center) nebo specializovanou jednotku odpovědnou za proaktivní vyhledávání potenciálních hrozeb a analýzu výstrah s ostatními společnostmi. To je přesně to, co nabízí spravovaná detekce a reakce (MDR). Externí analytici kontrolují informace a data z bezpečnostních řešení instalovaných ve firmách klientů a navrhují způsoby, jakými by společnost měla reagovat na konkrétní útok.

Na co se při výběru poskytovatele MDR zaměřit

Jak si vybrat poskytovatele MDR? Klíčovým faktorem, který je třeba vzít v úvahu, je především kvalifikace k vyhledání potenciálních útoků. Zjevným důkazem odbornosti je provádění vlastního výzkumu dodavatele. Vlastní výzkum umožňuje analytikům SOC rychle najít nové hrozby v infrastruktuře zákazníka, protože nové škodlivé taktiky znají z první ruky a nemusí čekat, až budou tyto informace veřejně dostupné.

Doporučuje se také věnovat pozornost technologiím, na kterých je služba postavena. Primárně by měly být dostatečně účinné, aby bylo možné předcházet většině hrozeb bez zapojení externích bezpečnostních analytiků nebo interních pracovníků kybernetické bezpečnosti. Někteří dodavatelé navíc kvůli zpracovávání výstrah implementují algoritmy strojového učení. Protože automatizace přebírá rutinní úkoly, můžou bezpečnostní analytici řešit skutečné incidenty, což ve výsledku zkracuje čas potřebný k reakci na útok.

Dále stojí za zvážení výše nákladů na řešení a jednoduchost jeho nasazení. Poskytovatel MDR často pracuje s informacemi shromážděnými ze sofistikovaného řešení detekce a ochrany koncových bodů (Endpoint Detection and Response), které data z koncových bodů poskytuje analytikům, aby měli lepší přehled o zabezpečení. Takový nástroj může být pro firmu příliš vysokým nákladem a vzhledem k nedostatku jejích vlastních zkušeností je pravděpodobné, že ho budou používat pouze odborníci MDR. Tento přístup není nákladově efektivní a neguje veškeré finanční výhody outsourcingu.

Musíte také věnovat pozornost možnostem odezvy, které prodejce nabízí. V ideálním případě by řešení mělo být flexibilní a kombinovat dvě možnosti: v některých případech tým MDR provádí opatření na dálku, zatímco v jiných můžou interní zaměstnanci reagovat sami na základě dodaných instrukcí a využití souboru nástrojů. Druhá varianta je vhodná ze začátku spolupráce, protože se zákazník ujistí, že doporučení fungují dobře, a zároveň zohledňují specifika jeho sítě a obchodních procesů. Někteří zákazníci raději opatření provádějí sami, obzvlášť v případě, že incidenty zasáhnou kritické položky, například počítače patřící vrcholovým manažerům. Takový postup poskytuje užší kontrolu nad situací a minimální dopady na podnikání, protože i hodina vrcholového manažera s počítačem offline může vést ke ztrátě obchodních příležitostí.

Doporučujeme také zajištění toho, aby smlouva definovala jasný reakční čas v dohodách o úrovni poskytovaných služeb v závislosti na přiřazené prioritě detekovaného incidentu. Je důležité vybrat poskytovatele MDR, který je schopen co nejrychleji reagovat na incidenty, které můžou způsobit obrovské škody. Zásadní je kontrola non-stop, která umožní zastavit útoky ještě v rané fázi.

Dalším důležitým faktorem je možnost konzultace s týmem MDR a analytiky SOC. Pomůže to v situacích, když interní tým potřebuje komplexnější pomoc nebo radu.

EDR, MDR nebo obojí?

MDR může pomoct organizacím, které potřebují rychle zlepšit schopnosti své detekce a reakce na hrozby. Neznamená to však, že by společnost měla přestat rozvíjet interní odborné znalosti. Vše záleží na strategii konkrétního podniku.

Pokud chce firma rozvíjet svou interní kyberbezpečnost, pak MDR poskytne potřebnou pomoc. Později může být MDR podpůrnou silou, která umožní interním kyberbezpečnostním analytikům, aby se zaměřili na kritické incidenty.

V případě, že společnost dává přednost outsourcingu ochrany před hrozbami, stojí za to vyladit spolupráci s třetími stranami a zajistit co nejlepší řešení pro konkrétní firmu.

Zdroj: Kaspersky/TZ

@RadekVyskovsky

Napsat komentář