Connect with us

Cybersikkerhet

Sikring av infrastruktur mot ransomware – Tankeledere

mm
Published
Updated

Av Dr. Aviv Yehezkel, medgrunnlegger og CTO, Cynamics

Fra sykehus til skoler til kjøttkakerifabrikker, er ingen bransje uviktig for ransomware-angripere. Ransomware vil koste amerikanske selskaper 3,68 milliarder dollar i år alene. Nettskaps- og sikkerhetsoperatører trenger høy-nivå nettverksdekning for å forebygge og mildne ransomware-angrep. Den økende kompleksiteten i arkitekturer – som inkluderer legacy on-premises, virtuelle og skykomponenter som kjører på nettverket – har gjort det nesten umulig å få full visibilitet. Status quo fungerer ikke. En ny tilnærming er nødvendig.

Gjeldende løsninger kan ikke møte nettverkskrav

I tillegg til å bli mer komplekse, har nettverkene også økt i størrelse, skala og volum. Over sektorene håndterer disse nettverkene massive mengder data som fortsatt vokser i volum og omfatter flere endepunkter, mer tilkobling (internt og eksternt) og flere nettverkssteder (fysiske og/eller logiske). Mens nettverkene eksponentielt øker i skala og kompleksitet, er de fleste sikkerhetsløsningene fortsatt avhengige av tradisjonelle tilnærminger som applikasjoner og agenter. Og disse er ikke laget for disse nivåene av kompleksitet og disse datavolumene.

Gjeldende nettverksdeteksjon og respons (NDR) løsninger er fortsatt basert på en tilnærming ment for nettverk tilhørende en enklere tid. Løsningene er arbeidskrevende, dyre å implementere og decreasingly effektive. De innebærer plassering av applikasjoner, sensorer og/eller sonder som samler inn og analyserer nettverksdata. Men det er ikke mulig å dekke hele nettverket med disse applikasjonene. De krever analyse av 100% av nettverksdata – som ikke er praktisk. Dette tvinger selskaper til å kompromisse hver dag ved å begrense dekning og deteksjon til små deler av nettverket, og etterlater mesteparten av nettverket som en sårbar blindsoner.

I tillegg bruker de fleste NDR-leverandører en appliance-basert tilnærming som tapper eller spenner porter for å analysere nettverkstrafikk. Dette skalerer ikke lett og utvider en organisasjons angrepsflate som en direkte bakdør inn i kjerne av klientnettverket, som ble lagt merke til så mange ganger i fjor med supply-chain-angrepene “pandemi”. I dagens sammenkoblede digitale miljø, feiler denne tilnærmingen til å gi tilstrekkelig gjennomsiktighet over økende komplekse smarte nettverk og etterlater organisasjoner sårbare for blindsoner.

Problemer med visibilitet og nyskaping

De fleste ransomware-angrep starter med en nettverksbrudd som vanligvis er mulig via en sårbarhet i nettverksperimeteret. Og de onde aktørene vil begynne å flytte seg gjennom nettverket og prøve å maksimere skaden, hoppe fra ett sted til et annet, til de infiserer tilstrekkelig mange vertsmaskiner til å brukes for angrepet. De vil finne blindsonene som ikke overvåkes – når du lar områder være udekket, skaper du mye rom for cyberkriminelle å snike inn.

Det er et annet betydelig problem, også: med de fleste deteksløsningene, går nyskapingen ubemerket. De er trent til å se etter svært spesifikke signaturer og regler assosiert med kjente ransomware-aktiviteter. Men nye variasjoner og typer ransomware-angrep utvikles hele tiden – og selv en liten endring fra signaturer disse verktøyene er trent til å detektere og flagge, kan forårsake angrepet å gå ubemerket.

Rollen til AI og ML

Menneskelige analytikere, uansett hvor smarte og dyktige de måtte være, kan simpelthen ikke overvåke dagens nettverk på egen hånd – og du kan ikke dekke hele nettverket med applikasjoner og agenter. Men å la deler av nettverket være udekket, er ikke en mulighet. Angripere og cyberkriminelle er alltid på utkikk etter måter å infiltrere og snike seg inn.

Hvordan kan du overvinne disse utfordringene? AI og maskinlæring (ML) kan spille en nøkkelrolle i nettverksdeteksjon og respons. ML kan brukes til å slutte seg til atferden til hele 100% nettverkstrafikken, basert på sampling av bare en liten brøkdel av nettverksdata. Og så kan den automatisk lære om en nettverksmønster er legitimt eller mistenkelig og autonomt “forstå” endringstrender i nettverket.

Hva gjør ML og AI så nyttig, er deres evne til å detektere skjulte mønster som signaliserer angrep – å avsløre hva som virkelig skjer på nettverk i sanntid. Dette eliminerer det upraktiske og kostbare behovet for å dekke hele nettverket. Dette hjelper også å løse problemet notert ovenfor om den pågående utviklingen av nye former for ransomware-angrep.

Innovasjon kreves

Ransomware er uopphevlig. Det er åpenbart på dette tidspunktet at legacy-sikkerhetsløsninger ikke fungerer eller holder pace med den evoluerende trussellandskapet. Det er en plage som koster organisasjoner milliarder av dollar; det ser ut som om det er umulig å stoppe, men det må stoppes. Men det er lettere sagt enn gjort når de fleste nettverk blir stadig mer komplekse og inkluderer en blanding av legacy- og nye komponenter.

Cyberkriminelle utnytter AI, så nettverksoperatører må også. En ny sikkerhetsstrategi bør inkludere AI-drevet, sample-basert NDR. Løsninger av denne typen bruker en liten del av nettverkstrafikken til å lære hva som er normalt for hele nettverket, og muliggjør visibilitet som ellers ikke er mulig. Dette er et eksempel på den type innovative løsninger som trengs for å holde pace med ransomware og de mange andre nettverkstruslene i drift i dag.

Related Topics:
mm

Dr. Aviv Yehezkel er medgrunnlegger og CTO i Cynamics, den eneste neste generasjons (NG) nettverksdeteksjon og respons (NDR) løsningen på markedet i dag som bruker standard prøvetakingsprotokoller innebygget i hver gateway, patenterte algoritmer og AI og maskinlæring, for å gi trusselprediksjon og synlighet i hastighet og skala.