Spoločnosť Kaspersky Lab nedávno vydala štúdiu venovanú finančným vplyvom IT bezpečnosti na podnikanie. Z jej výsledkov vyplýva, že rýchla reakcia na incidenty vedúce k narušeniu bezpečnosti môže priamo ovplyvniť výšku nákladov, ktoré je nutné vynaložiť na obnovu narušeného systému. Takto môže firma ušetriť až 100 tisíc eur denne. Podľa odhadov Kaspersky Lab táto suma predstavuje priemernú čiastku, o ktorú môže firma prísť za každý deň neodhalenia bezpečnostného rizika.
Celkový účet za obnovu narušeného systému sa tak po týždni môže vyšplhať pokojne až na jeden milión eur. Pritom, ak by firma investovala do bezpečnostného riešenia, ktoré by detekovalo hrozbu krátko po jej preniknutí do systému, stálo by ju to menej než 400 tisíc eur. To si samozrejme vyžaduje zavedenie účinnej detekčnej stratégie postavenej na vyspelom systéme sledovania hrozieb.
„Zhromažďovanie informácií o súčasných hrozbách tvorí podstatu našich aktivít. Sledovanie hrozieb je viac než len prevenciou. Podnikom tak môžeme poskytnúť elektronické dáta, ktoré umožnia ich systémovým operačným centrám (Security Operation Center, SOC) identifikovať a vyriešiť aj pokročilé a cielené útoky. Sme radi, že sa nám podarilo dokončiť platformu Machine-Readable Threat Intelligence, ktorá sa stala súčasťou nášich služieb v oblasti sledovania hrozieb a ktorá je aj vďaka podpore troch celosvetovo najlepších systémov SIEM ( Security Information and Event Management, správa bezpečnostných informácií a udalostí) schopná rýchlej implementácie do systémov podnikov,“ oznámil Veniamin Levtsov, viceprezident spoločnosti Kaspersky Lab.
Platforma Machine-Readable Threat Intelligence (MRTI) poskytuje dátové feedy hrozieb (Threat Data Feeds) a nástroje, ktoré sú kompatibilné s najobľúbenejšími SIEM platformami. Táto kombinácia dáva spoločnostiam nový rozmer ako nazerať na prostredie hrozieb. Navyše poskytuje bezpečnostným informačným centrám vzácne ukazovatele známe ako Indicators of Compromise, ktoré sú potrebné na identifikáciu a blokovanie množstva kybernetických útokov tak rýchlo ako to je len možné. Dátové feedy hrozieb obsahujúce balíky malvérových indikátorov pre desktopy a mobilné zariadenia, ako aj zoznam škodlivýcn URL adries, boli doplnené funkciou tzv. IP Reputation. Predstavujú nový dátový prúd, pomocou ktorého sa sledovanie hrozieb vo veľkých podnikoch posúva o úroveň vyššie.
Rýchle odhalenie bezpečnostných incidentov
Rozšírené dátové feedy hrozieb dokážu v rámci platformy MRTI promtne zareagovať na incident a okamžite tak spustiť jeho analýzu. Využívajú pritom množstvo rozličných metód. Zatiaľ čo bežné nástroje prevencie sú zamerané na aktivity na koncových bodoch, ukazuje sa, že je nevyhnutné mať v systéme zabezpečenú aj ďalšiu – dodatočnú vrstvu. Pretože v prípade, že sa hackerom podarí obísť ochranu koncových bodov, bezpečnostný systém musí byť schopný rozpoznať útok aj na ďalších úrovniach. A práve túto ochranu poskytujú Threat Data Feeds, konkrétne ide o:
- indikátory škodlivých programov (tzv. Malware hashes) – vďaka pravidelným aktualizáciám poskytujú podnikom prehľad hrozieb v reálnom čase;
- dátový tok so škodlivými URL adresami (Malicious URLs, Phishing and Command & Control URLs) – môže slúžiť ako prvý záchytný bod na rozpoznanie pravidelnej aktivity z dobre zamaskovaného kybernetického útoku. Zhromažďuje údaje o URL adresách prepojených na malvérové, phishingové a botnetové operácie zamerané na počítače a mobilné zariadenia;
- mobilné hrozby (Mobile Threats) – špeciálny dátový feed zameraný na telekomunikačný sektor, zhromažďuje informácie o aktuálnych škodlivých programoch zameraných na mobilné zariadenia;
- IP Reputation data – najnovší dátový feed, ktorý je dostupný od augusta 2016. Táto funkcia je neoceniteľná pri identifikácií aktívnych bezpečnostných narušení detekovaných spoločnosťou Kaspersky Lab po celom svete. Zhromaždené údaje sú neustále aktualizované a odosielané do riadiacich centier a databáz kybernetických útokov.
Všetky dátové feedy obsahujú aj doplnkové kontextuálne údaje, ktoré pomáhajú podnikom správne nastaviť algoritmus na detekciu hrozieb, definovať priority ich bezpečnostných operačných centrier a zrýchliť proces reakcie na incidenty. Obsahujú predovšetkým časové známky zaznamenaných udalostí, zoznam najviac postihnutých krajín, súvisiace IP pre URL adresy a domény a mnohé ďalšie užitočné informácie.
Threat Data Feeds ako súčasť služieb v oblasti bezpečnostného vyšetrovania, sú dostupné na všetkých trhoch, vrátane Slovenska. Viac informácií nájdete na webe Kaspersky Lab.
