IT Professional Security - ΤΕΥΧΟΣ 58

More documents

Recommendations

Info

T5801/02.2019 Issue Οι 5 σπουδαιότεροι λόγοι για να επενδύσετε σε μία λύση EDR Τα εργαλεία ανίχνευσης και απόκρισης endpoint (EDR) αναπτύχθηκαν για να λειτουργούν συμπληρωματικά στην υπάρχουσα προστασία τερματικών συσκευών, προσφέροντας πρόσθετες δυνατότητες ανίχνευσης, διερεύνησης και απόκρισης. στόσο, η έντονη διαφήμιση και ρητορική που Ω περιβάλλει τα εργαλεία του είδους, έχει μάλλον καταστήσει δύσκολη την κατανόηση των μεθόδων που μπορούν να χρησιμοποιηθούν καθώς και των λόγων που σήμερα καθίστανται απολύτως απαραίτητα για τις σύγχρονες επιχειρήσεις. Το ζήτημα μάλιστα φαίνεται να χειροτερεύει όταν βλέπουμε ότι υπάρχουν λύσεις EDR στην αγορά που όχι μόνο αποτυγχάνουν να προσφέρουν προστιθέμενη αξία σε οργανισμούς και εταιρείες εξαιτίας της δυσχρηστίας τους αλλά και προστασίας που προσφέρουν που είναι ανεπαρκής. Επιπροσθέτως, είναι και απαιτητικές σε πόρους. Παρακάτω θα βρείτε 5 σημαντικούς λόγους για να εξετάσετε το ενδεχόμενο να επενδύσετε σε μια πραγματικά καλή λύση EDR, σαν αυτή του Intercept X Advanced με EDR από τη Sophos. Αναφέρετε με αυτοπεποίθηση την στάση ασφαλείας σας οποιαδήποτε στιγμή Η λειτουργία των ομάδων πληροφορικής και ασφάλειας συχνά καθοδηγείται ή υποκινείται από μετρήσεις και αξιολογήσεις επιθέσεων και άμυνας, ωστόσο, το δυσκολότερο ερώτημα στο οποίο καλούνται οι περισσότερες ομάδες να απαντήσουν είναι: "είμαστε ασφαλείς τώρα;" Αυτό οφείλεται στο γεγονός ότι τα περισσότερα δίκτυα έχουν αρκετά τυφλά σημεία που δυσκολεύουν τις ομάδες πληροφορικής και ασφάλειας να έχουν πλήρη εικόνα για το τι πραγματικά συμβαίνει στο περιβάλλον της εταιρείας τους. Η έλλειψη ορατότητας είναι ο πρωταρχικός λόγος που οι οργανισμοί και επιχειρήσεις δυσκολεύονται να κατανοήσουν το εύρος και τον αντίκτυπο των επιθέσεων. Κάτι τέτοιο γίνεται άμεσα αντιληπτό στην περίπτωση που συμβεί κάποιο περιστατικό και η ομάδα ασφαλείας ή πληροφορικής υποθέσει ότι η εταιρεία τους είναι ασφαλής από την ώρα που εντοπίστηκε το συγκεκριμένο συμβάν. Το Intercept X Advanced με EDR παρέχει πρόσθετη πληροφόρηση και διορατικότητα που προσδιορίζει αν έχουν επηρεαστεί και άλλα μηχανήματα. Για παράδειγμα, εφόσον εντοπιστεί κάποιο ύποπτο εκτελέσιμο αρχείο στο δίκτυο, θα αντιμετωπιστεί και θα αποκατασταθεί. Ένας αναλυτής ωστόσο μπορεί να μην γνωρίζει αν το ίδιο εκτελέσιμο αρχείο βρίσκεται και κάπου αλλού στο εταιρικό περιβάλλον. Με το Intercept X Advanced με EDR, η συγκεκριμένη πληροφόρηση είναι άμεσα διαθέσιμη. Έχοντας εικόνα και για τις υπόλοιπες τοποθεσίες όπου παραμονεύουν απειλές, η ομάδα ασφαλείας είναι σε θέση να δώσει προτεραιότητα στο να 26 security
Affordable Cutting Edge Γιώργος Καπανίρης Διευθυντής Στρατηγικής Ανάπτυξης, NSS www.nss.gr προχωρήσει μία διαδικασία πρόσθετης διερεύνησης ή και ενδεχομένως αποκατάσταση κάποιου προβλήματος. Η δημιουργία μιας σαφούς εικόνας της στάσης ασφαλείας ενός οργανισμού παρέχει επίσης το πρόσθετο πλεονέκτημα της δημιουργίας αναφορών για την κατάσταση συμμόρφωσης. Αυτές οι πληροφορίες μπορούν να βοηθήσουν στον εντοπισμό σημείων στην υποδομή που ενδέχεται να είναι ευάλωτα σε επιθέσεις. Επιτρέπει επίσης στους διαχειριστές να καθορίσουν αν το εύρος μιας επίθεσης επηρεάζει και περιοχές όπου εδρεύουν ευαίσθητα δεδομένα. Για παράδειγμα, αν ανιχνευτεί κακόβουλο λογισμικό που απομάκρυνε ή εξήγαγε δεδομένα από το δίκτυο, ένας αναλυτής θα πρέπει να προσδιορίσει αν τα μηχανήματα που επηρεάζονται περιέχουν πχ. ιατρικές πληροφορίες που υπόκεινται στον HIPAA (Νόμος περί φορητότητας και υπευθυνότητας της ασφάλισης υγείας - Κανονισμός των ΗΠΑ) ή δεδομένα προσωπικού χαρακτήρα (GDPR). Αυτό θα ήταν μια πολύ πιο απλή άσκηση με το Intercept X Advanced με EDR. Ως πρόσθετο πλεονέκτημα συμμόρφωσης, θα ήταν επίσης πολύ πιο εύκολο να αποδειχθεί ότι οι πληροφορίες των ασθενών ή άλλα προσωπικά δεδομένα προστατεύονται χάρη στην αυξημένη ορατότητα στις τερματικές συσκευές (endpoints). Εντοπίστε επιθέσεις που έχουν περάσει απαρατήρητες Όσον αφορά την ασφάλεια στον κυβερνοχώρο, ακόμη και τα πιο προηγμένα συστήματα μπορούν να ξεπεραστούν αν υπάρχει αρκετός χρόνος και πόροι, καθιστώντας πολύ δύσκολο να αντιληφθεί κάποιος πότε γίνονται οι επιθέσεις. Οι οργανισμοί συχνά βασίζονται αποκλειστικά στην πρόληψη για να παραμείνουν προστατευμένοι όμως παρόλο που η πρόληψη είναι ζωτικής σημασίας, μία λύση EDR προσφέρει ένα ακόμα επίπεδο δυνατοτήτων ανίχνευσης για να εντοπιστούν πιθανά περιστατικά που έχουν περάσει απαρατήρητα. Οι οργανισμοί μπορούν να εκμεταλλευτούν τα εργαλεία EDR για την ανίχνευση επιθέσεων, αναζητώντας δείκτες συμβιβασμού ή παραβίασης. Πρόκειται για ένα γρήγορο και απλό τρόπο για να «κυνηγήσετε» επιθέσεις που μπορεί να έχουν περάσει απαρατήρητες. Οι αναζητήσεις για απειλές συχνά ξεκινούν μετά από ειδοποίηση από κάποια τρίτη υπηρεσία πληροφοριών: για παράδειγμα, μια κυβερνητική υπηρεσία (όπως είναι στο εξωτερικό οι US-CERT, CERT-UK ή CERT Australia) ενδέχεται να ενημερώσει έναν οργανισμό ότι υπάρχει ύποπτη δραστηριότητα στο δίκτυό του. Η κοινοποίηση μπορεί να συνοδεύεται από κατάλογο δεικτών συμβιβασμού (ΙOC), που μπορούν να χρησιμοποιηθούν ως σημείο εκκίνησης για να προσδιοριστεί τι ακριβώς συμβαίνει. Το Sophos Intercept X Advanced με EDR παρέχει μια λίστα με τα κορυφαία ύποπτα γεγονότα, και έτσι οι αναλυτές γνωρίζουν ακριβώς τι πρέπει να ερευνήσουν (διαθέσιμο μέσα στο 2019). Αξιοποιώντας τις δυνατότητες μηχανικής εκμάθησης εκ βαθέων (deep learning) της SophosLabs, παρουσιάζεται ένας κατάλογος των κορυφαίων ύποπτων συμβάντων, ο οποίος ταξινομείται με βάση το βαθμό απειλής. Χάρη σε αυτή τη δυνατότητα, καθίσταται απλούστερο για τους αναλυτές να βάλουν προτεραιότητες στη δουλειά τους και να επικεντρωθούν στα πιο σημαντικά συμβάντα. Τα ύποπτα συμβάντα επισημαίνουν επίσης ένα κοινότυπο σενάριο όπου οι αναλυτές καλούνται να προσδιορίσουν αν κάτι είναι πραγματικά κακόβουλο. Το παραπάνω αφορά δραστηριότητα που δεν φαίνεται να είναι κακόβουλη ώστε να καταδικαστεί αυτόματα, αλλά εξακολουθεί να μοιάζει αρκετά ύποπτη ώστε να δικαιολογεί μια βαθύτερη ανάλυση. Σκεφτείτε το σαν να υπάρχει μία "γκρίζα περιοχή", όπου χρειάζονται πρόσθετες αναλύσεις για να επιβεβαιωθεί αν πρόκειται για κάτι που είναι κακόβουλο, καλοήθες ή ανεπιθύμητο. Ανταποκριθείτε ταχύτερα σε πιθανά περιστατικά Μόλις ανιχνευθούν περιστατικά, οι ομάδες IT και ασφάλειας αναλαμβάνουν άμεσα δράση για την όσο το δυνατόν ταχύτερη αποκατάσταση, με στόχο να μειωθεί ο κίνδυνος εξάπλωσης των επιθέσεων και να περιοριστούν τυχόν ζημιές. Φυσικά, το πιο σημαντικό ερώτημα είναι πως μπορείτε να απαλλαγείτε από κάθε απειλή. Οι ομάδες IT & ασφάλειας κατά μέσο όρο φαίνεται πως δαπανούν περισσότερο από τρεις ώρες στην προσπάθεια τους να αποκαταστήσουν κάθε περιστατικό. Τα εργαλεία EDR μπορούν να βοηθήσουν για να επιταχυνθεί σημαντικά αυτή η διαδικασία. Το πρώτο βήμα που μπορεί να κάνει κάποιος αναλυτής κατά τη διαδικασία αντιμετώπισης περιστατικών θα ήταν να σταματήσει μια επίθεση από το να εξαπλωθεί. Το Intercept X Advanced με EDR security 27
Page 1: www.itsecuritypro.gr 01/02.2019 •
Page 5 and 6: security 3
Page 7 and 8: security 5
Page 9 and 10: ESET: Για την ασφάλει
Page 11 and 12: Μετατόπιση από την
Page 13 and 14: Νέα έκθεση επισημα
Page 15 and 16: έγινε γνωστό ότι γι
Page 17 and 18: Boldon James. Τι πρέπει ν
Page 19 and 20: σμένης πρόσβασης κ
Page 21 and 22: Αναζητούσαμε ένα σ
Page 23 and 24: Παναγιώτης Καλαντζ
Page 25 and 26: Στρατηγική αντιμετ
Page 27: security 25
Page 31 and 32: Αναλυτές κακόβουλο
Page 33 and 34: Αλεξία Χριστοφή Manag
Page 35 and 36: Ασφάλεια στην επαγ
Page 37 and 38: Γιώργος Δελαπόρτας

IT Professional Security - ΤΕΥΧΟΣ 58

Create successful ePaper yourself

Delete template?

Save as template?