Identifikácia kybernetických hrozieb je čoraz zložitejšia, pretože organizácie rozšírili svoju cloudovú stopu, pripojili k internetu viac zariadení a prešli na hybridné pracovisko. Aktéri hrozieb využívajú tento rozšírený priestor a roztrieštenosť bezpečnostných nástrojov pomocou nasledujúcich typov taktík:
- Kampane neoprávneného získavania údajov. Jedným z najčastejších spôsobov, ako zlí aktéri preniknú do spoločnosti, je zasielanie e-mailov, ktoré zamestnancov podvedú, aby si stiahli škodlivý kód alebo poskytli svoje prihlasovacie údaje.
- Škodlivý softvér. Mnohí kybernetickí útočníci používajú softvér, ktorý je určený na poškodenie počítačov a systémov alebo na zhromažďovanie citlivých informácií.
- Ransomvér. Útočníci ransomvéru držia kritické systémy a údaje ako rukojemníkov a hrozia, že uvoľnia súkromné údaje alebo ukradnú cloudové zdroje na ťažbu bitcoinov, kým sa nezaplatí výkupné. V poslednom čase sa čoraz väčším problémom pre bezpečnostné tímy stáva ransomware ovládaný ľuďmi, pri ktorom skupina kybernetických útočníkov získa prístup do celej siete organizácie.
- Distribuované útoky zahltením servera služby (DDoS útoky). Pomocou série botov narúšajú aktéri hrozieb webové stránky alebo služby tým, že ich zaplavujú návštevnosťou.
- Hrozba zvnútra. Nie všetky kybernetické hrozby prichádzajú zvonka. Existuje tiež riziko, že dôveryhodné osoby s prístupom k citlivým údajom môžu neúmyselne alebo so zlým úmyslom poškodiť organizáciu.
- Útoky založené na identite. Väčšina narušení zahŕňa kompromitáciu identít, čo znamená, že kybernetickí útočníci ukradnú alebo uhádnu poverovacie údaje používateľa a použijú ich na získanie prístupu do systémov a k údajom organizácie.
- Útoky na internet vecí (IoT). Zariadenia internetu vecí sú tiež zraniteľné voči kybernetickým útokom, najmä staršie zariadenia, ktoré nemajú zabudované bezpečnostné kontroly ako moderné zariadenia.
- Útoky na dodávateľský reťazec. Niekedy sa aktér hrozieb zameria na organizáciu tým, že manipuluje so softvérom alebo hardvérom, ktorý dodáva dodávateľ tretej strany.
- Injekcia kódu. Využitím zraniteľností v spôsobe, akým zdrojový kód spracúva externé údaje, môžu kybernetickí zločinci do aplikácie vložiť škodlivý kód.
Detekcia hrozieb Aby organizácie predstihli rastúci počet kybernetických bezpečnostných útokov, používajú modelovanie hrozieb na definovanie bezpečnostných požiadaviek, identifikáciu zraniteľností a rizík a stanovenie priorít nápravy. Pomocou hypotetických scenárov sa SOC snaží preniknúť do mysle kybernetických zločincov, aby mohla zlepšiť schopnosť organizácie predchádzať incidentom zabezpečenia alebo ich zmierňovať. Architektúra MITRE ATT&CK® je užitočný model na pochopenie bežných techník a taktík kybernetických útokov.
Viacvrstvová obrana si vyžaduje nástroje, ktoré zabezpečia nepretržité monitorovanie prostredia v reálnom čase a odhalia potenciálne bezpečnostné problémy. Riešenia sa tiež musia prekrývať, aby v prípade narušenia jednej metódy detekcie druhá metóda odhalila problém a upozornila bezpečnostný tím. Riešenia na detekciu kybernetických hrozieb používajú na identifikáciu hrozieb rôzne metódy vrátane:
- Detekcia založená na podpise. Mnohé bezpečnostné riešenia skenujú softvér a prevádzku s cieľom identifikovať jedinečné podpisy, ktoré sú spojené s konkrétnym typom škodlivého softvéru.
- Detekcia založená na správaní. Bezpečnostné riešenia, ktoré pomáhajú zachytiť nové a vznikajúce kybernetické hrozby, vyhľadávajú aj činnosti a správanie, ktoré sú bežné pri kybernetických útokoch.
- Detekcia založená na anomáliách. Umelá inteligencia a analýza pomáhajú tímom pochopiť typické správanie používateľov, zariadení a softvéru, aby mohli identifikovať niečo neobvyklé, čo môže znamenať kybernetickú hrozbu.
Hoci je softvér veľmi dôležitý, ľudia zohrávajú pri odhaľovaní kybernetických hrozieb rovnako dôležitú úlohu. Okrem triedenia a skúmania výstrah generovaných systémom analytici používajú techniky vyhľadávania kybernetických hrozieb na proaktívne vyhľadávanie
náznakov zneužitia, alebo hľadajú taktiky, techniky a postupy, ktoré naznačujú potenciálnu hrozbu. Tieto prístupy pomáhajú SOC rýchlo odhaliť a zastaviť sofistikované, ťažko odhaliteľné útoky
Sledujte zabezpečenie od spoločnosti Microsoft