מחקר חושף את הגורמים הקריטיים במניעת פרצות אבטחה
על פי מחקר של אינטל הגורמים הקריטיים בבלימה פעילה של איומים הם: תגובה בזמן אמת, מודיעין משולב ומודעות ל-8 אינדיקאטורים של מתקפה
עוד כותרות ב-nrg:
- כל התכנים הכי מעניינים - בעמוד הפייסבוק שלנו
סקר שהוזמן על ידי אינטל סקיוריטי ובוצע על ידי Evaluserve, במקביל למחקר, קובע שברוב החברות קיים חוסר אמון ביכולתן לזהות מתקפות מכוונות במועד. אפילו חברות שמוכנות בצורה מיטבית להתמודדות עם תקיפות מכוונות, מקדישות זמן רב מאוד לחקירת מצבור רב של אירועים, דבר התורם לתחושת הדחיפות והצורך בהתמקדות ויצירתיות ארגונית בזיהוי מוקדם ותגובה אפקטיבית יותר.
עיקרי הממצאים:
74% מהנשאלים ציינו כי מתקפות מכוונות הן סוגיה מדאיגה מרכזית בארגוניהם. 58% מהארגונים שנסקרו חוו 10 מתקפות או יותר בשנה החולפת. רק 24% מהחברות מאמינות ביכולת שלהן לזהות מתקפה תוך דקות וכמחצית מהן ציינו כי ייקח להן ימים, שבועות, או אפילו חודשים להבחין בהתנהגות חשודה. ל-74% מהחברות שמסוגלות לזהות מתקפות תוך דקות יש מערכת פעילה לאבטחת מידע ולניהול אירועים בזמן אמת – SIEM (Security Information and Event Management). מחצית החברות שנסקרו ציינו שיש להן כלים וטכנולוגיות לתגובה מהירה יותר לאירועים אך לעתים אינדיקאטורים קריטיים אינם מבודדים ממצבור ההתראות הכללי, דבר המטיל עומס על מנהלי ה-IT שנדרשים לנפות התראות ונתונים בהיקף רחב.
משה אסרף, מנהל הפעילות העסקית, מקאפי ישראל אמר בעקבות המחקר והסקר כי "הדרך היחידה לגבור על התוקפים היא להתמודד עם אתגר משך הזמן הנדרש לגילוי. כדי להגיע להבנה מהירה ועמוקה יותר של אירועים רלבנטיים ולנקוט בצעדי בלימה מהירים יותר, יש לפשט את תהליך הסינון של ים התראות והאינדיקאטורים – וליישם כלי מודיעין ואנאליזה בזמן אמת". לדבריו "טכנולוגיות כגון SIEM, שהן Intelligence Aware, מצמצמות למינימום את זמן הגילוי ומניעת הפרצות באופן אקטיבי. זאת בהתבסס על מיצוב האינדיקאטורים בהקשר רחב המתבצע תוך כדי תהליך הזיהוי והתגובות האוטומאטיות המבוססות על מדיניות שנקבעה. היכולת להאיץ את הזיהוי, התגובה והלימוד מאירועים מאפשרת לארגונים לשנות מהיסוד את מצב האבטחה ולהפוך מניצודים לציידים".
המחקר של אינטל סקיוריטי מציג את 8 פעילויות המתקפה הנפוצות ביותר שארגונים בעלי יכולת מסוגלים לעקוב אחריהן ולהדוף מתקפות מכוונות:
1. שרתי אירוח פנימיים שמתקשרים עם יעדים שידועים כבעיתיים או עם ארץ זרה שהארגון אינו מקיים בה קשרים עסקיים.
2. שרתי אירוח פנימיים שמתקשרים עם שרתי אירוח חיצוניים תוך שימוש בכניסות (ports) לא סטנדרטיים או בפרוטוקולים/כניסות לא תואמים, כמו שליחת SSH במקום תעבורת HTTP דרך כניסה 80 – שהוא ברירת המחדל של כניסת אינטרנט.
3. שרתי אירוח נגישים לציבור או מתחמים לא מוגנים (DMZ – Demilitarized Zone) שמתקשרים עם שרתי אירוח פנימיים. הדבר מאפשר קפיצות מבחוץ פנימה ובחזרה החוצה. כך מתאפשרת זליגת נתונים וגישה מרחוק לנכסים באופן שמנטרל את הערך של DMZ.
4. זיהוי נוזקות בשעות שחורגות
5. סריקות רשת על ידי שרתי אירוח פנימיים המתקשרים עם מספר גדול של שרתי אירוח בטווח זמן קצר עשויות להעיד על פורץ שנע בתוך הרשת. לעתים רחוקות מערכות הגנה לרשת כמו פיירוול או IPS מוגדרות לתצורה של ניטור תעבורת הרשת הפנימית (אך ניתן לעשות זאת).
6. אירועים רבים של אזעקה משרת אירוח בודד או אירועי אזעקה משוכפלים ממכונות רבות באותה תת רשת במשך 24 שעות, כמו כישלונות אימות שחוזרים על עצמם.
7. אחרי תהליך ניקוי, המערכת נדבקת שנית בנוזקה תוך 5 דקות. הידבקות חוזרת מעידה על נוכחות של Rootkit או על פריצה עמוקה.
8. חשבון משתמש שמנסה להתחבר למשאבים רבים תוך דקות ספורות מ/אל אזורים שונים – הדבר מעיד כי נתוני האימות של המשתמש נגנבו או שהוא עומד לבצע פעולה עוינת.
נא להמתין לטעינת התגובות