Исследования показывают, что в течение 2022 года атаки программ-вымогателей регистрировались каждые 11 секунд. Это привело к глобальным ежегодным затратам для бизнеса в размере 20 миллиардов долларов США, и эта цифра продолжает расти. Для всех организаций это вопрос «когда», а не «если» они станут жертвой нападения.
Перекрывающиеся поля видимости
Чтобы решить эту постоянную проблему, организациям необходимо расширить свои возможности по отслеживанию и выявлению потенциальных угроз безопасности, прежде чем они смогут вызвать сбои и ущерб. Одним из наиболее успешных способов достижения этого является принятие так называемой «триады видимости центра управления безопасностью (SOC)».
Этот подход включает три элемента: платформу управления информацией и событиями безопасности (SIEM), инструменты сетевого обнаружения и реагирования (NDR) и возможности обнаружения и реагирования конечных точек (EDR).
Вместе эти компоненты обеспечивают группу безопасности с перекрывающимися областями видимости. Они максимизируют вероятность того, что угрозы будут обнаружены на ранней стадии, что позволяет принимать превентивные меры, которые значительно снижают шансы на успешную атаку.
Роль SOC
Одной из наиболее важных ролей SIEM является постоянный мониторинг журналов в ИТ-среде организации. Это может обнаруживать подозрительный трафик в нескольких областях — от операционных систем до сетей и приложений — и максимально быстро предупреждать службы безопасности.
Хорошо обеспеченный ресурсами SOC также может помочь, когда речь идет об эффективном мониторинге сети. Поскольку большинство атак, как правило, начинаются на сетевом уровне, очень важно уметь обнаруживать их на ранних стадиях.
Здесь также могут помочь инструменты машинного обучения, поскольку они способны выявлять потенциально аномальное поведение в сети и помечать его для более тщательного изучения. Это означает, что службы безопасности могут сосредоточить свое время и ресурсы на потенциально серьезных событиях, а не постоянно отслеживать большие объемы трафика.
В качестве третьего элемента SOC должен помочь организации добиться эффективного мониторинга всех конечных точек в своей сети. Это позволит надежно и поэтапно сдерживать угрозы и устранять их с устройств до того, как они смогут причинить вред.
Поскольку инструменты мониторинга конечных точек установлены на устройствах, они могут отслеживать и сообщать обо всех действиях на этом устройстве, даже если оно работает в автономном режиме. Это особенно важно, когда рабочая сила распределена и пользователи не всегда могут быть подключены к центральной сети.
Принятие стратегии мониторинга
Приступая к разработке и внедрению эффективной стратегии мониторинга безопасности, команда безопасности организации должна знать о том, что стало известно как три «P»: процесс, люди и партнеры.
процесс элемент включает в себя тщательное рассмотрение того, как именно будут обрабатываться предупреждения, генерируемые инструментами мониторинга. Во-первых, нет смысла в мониторинге, если команда не оснащена для быстрого и эффективного реагирования.
Для этого организациям следует обратить внимание на устоявшиеся структуры, такие как NIST и ITIL, которые документируют наиболее эффективные способы создания процессов, которые принесут наибольшую пользу.
Второй элемент люди и это включает в себя назначение сотрудников группы безопасности для выполнения конкретных функций мониторинга. К ним относится сортировка первоначальных предупреждений для определения наиболее важных.
Затем вторая группа должна нести ответственность за проведение подробных расследований, чтобы определить, какой ответ требуется, прежде чем передать наиболее важные вопросы третьей группе, которая предпримет соответствующие шаги по исправлению положения.
Третьим элементом стратегии мониторинга является партнеры. Организации должны понимать, что не существует универсального решения, которое может обеспечить эффективный мониторинг, и поэтому компоненты необходимо приобретать у нескольких поставщиков.
Команды безопасности должны сосредоточиться на том, как лучше всего интегрировать эти отдельные компоненты, чтобы создать максимально эффективную инфраструктуру мониторинга.
Постоянная проблема
Необходимо признать, что эффективная стратегия мониторинга безопасности потребует постоянной эволюции. Ландшафт угроз постоянно меняется, поэтому методы, используемые для обнаружения и смягчения атак, также постоянно меняются.
Зная об этом и используя наилучшие инструменты и стратегии, специалисты по безопасности смогут защитить свою организацию как от текущих угроз, так и от угроз, которые появятся в ближайшие месяцы и годы.
Читать полную новость на сайте
/cloudfront-us-east-2.images.arcpublishing.com/reuters/4ZMEF4JH2ZNA3ENKFKQD4RXWAQ.jpg "Объяснение: По каким обвинениям был приговорен Сэм Бэнкман-Фрид?")
