Securizarea infrastructurii împotriva ransomware-ului – Lideri de gândire

De Dr. Aviv Yehezkel, co-fondator și CTO, Cynamics

De la spitale la școli și până la fabrici de prelucrare a cărnii, nicio industrie nu este insignifiantă pentru atacatorii de ransomware. Ransomware-ul va costa companiile din SUA 3,68 miliarde de dolari anul acesta. Operatorii de rețea și securitate au nevoie de o acoperire de rețea de nivel înalt pentru a preveni și a atenua atacurile de ransomware. Complexitatea tot mai mare a arhitecturilor – care include componente legacy on-premises, virtuale și cloud care rulează pe rețea – a făcut ca obținerea unei vizibilități complete să fie aproape imposibilă. Status quo-ul nu funcționează. Este nevoie de o abordare nouă.

Soluțiile actuale nu pot satisface cerințele rețelei

În plus față de faptul că devin tot mai complexe, rețelele au crescut și în ceea ce privește mărimea, scala și volumul. În toate sectoarele, aceste rețele gestionează cantități masive de date care continuă să crească în volum și implică mai multe puncte de conectare, mai multă conectivitate (internă și externă) și mai multe site-uri de rețea (fizice și/sau logice). În timp ce rețelele cresc exponențial în ceea ce privește scala și complexitatea, majoritatea soluțiilor de securitate încă se bazează pe abordări tradiționale, cum ar fi dispozitive și agenți. Și acestea nu sunt concepute pentru nivelurile actuale de complexitate și volumele de date.

Soluțiile actuale de detectare și răspuns la rețea (NDR) se bazează încă pe o abordare destinată rețelelor dintr-o perioadă mai simplă. Soluțiile sunt laborioase, scumpe de implementat și din ce în ce mai puțin eficiente. Ele implică plasarea de dispozitive, senzori și/sau sonde care colectează și analizează datele de rețea. Cu toate acestea, nu este posibil să se acopere întreaga rețea cu aceste dispozitive. Ele necesită analiza a 100% din datele de rețea – ceea ce nu este practic. Acest lucru obligă companiile să facă compromisuri zilnice, limitând acoperirea și detectarea la porțiuni mici ale rețelei, lăsând cea mai mare parte a rețelei ca puncte oarbe vulnerabile.

În plus, majoritatea furnizorilor de NDR utilizează o abordare bazată pe dispozitive care tapinează sau spană porturile pentru a analiza traficul de rețea. Acest lucru nu se extinde ușor și mărește suprafața de atac a unei organizații ca o poartă directă în inima rețelei clientului, așa cum s-a observat de atâtea ori anul trecut cu atacurile “pandemice” de lanț de aprovizionare. În mediul digital interconectat de astăzi, această abordare nu oferă o transparență suficientă în rețelele inteligente din ce în ce mai complexe și lasă organizațiile vulnerabile la puncte oarbe.

Probleme cu vizibilitatea și noutatea

Majoritatea atacurilor de ransomware încep cu o încălcare a rețelei, care este de obicei facilitată de o vulnerabilitate în perimetrul rețelei. Și actorii răi vor începe să se deplaseze prin rețeaua dvs. și vor încerca să maximizeze daunele, să sară de la un loc la altul, până când vor infecta suficiente gazde pentru a fi utilizate pentru atac. Ei vor găsi punctele oarbe care nu sunt monitorizate – când lăsați zone neacoperite, creați mult spațiu pentru ca criminalii cibernetici să pătrundă.

Există o altă problemă semnificativă: cu majoritatea soluțiilor de detectare, noutatea nu este remarcată. Ele sunt antrenate să caute semnături și reguli foarte specifice asociate cu activitățile cunoscute de ransomware. Dar variațiile și tipurile noi de atacuri de ransomware sunt dezvoltate în permanență – și chiar o schimbare mică de la semnăturile pe care aceste instrumente le-au fost antrenate să le detecteze și să le semnaleze poate face ca atacul să nu fie remarcat.

Rolul AI și ML

Analistii umani, oricât de deștepți și capabili ar fi, pur și simplu nu pot monitoriza singuri rețelele de astăzi – și nu puteți acoperi întreaga rețea cu dispozitive și agenți. Dar lăsarea unor porțiuni ale rețelei neacoperite nu este o opțiune. Atacatorii și criminalii cibernetici sunt întotdeauna în căutarea unor modalități de a pătrunde și a intra.

Cum puteți depăși aceste provocări? Tehnicile de inteligență artificială (AI) și de învățare automată (ML) pot juca un rol cheie în detectarea și răspunsul la rețea. ML poate fi utilizat pentru a deduce comportamentul întregului trafic de rețea, pe baza mostrelor a doar o fracțiune mică din datele de rețea. Și apoi, poate învăța în mod automat dacă un model de rețea este legitim sau suspect și poate “înțelege” în mod autonom tendințele schimbătoare din rețea.

Ceea ce face ML și AI atât de utile este capacitatea lor de a detecta modelele ascunse care semnalează atacurile – de a dezvălui ce se întâmplă cu adevărat pe rețele în timp real. Acest lucru elimină nevoia impracticabilă și costisitoare de a acoperi întreaga rețea. Acest lucru ajută, de asemenea, la abordarea problemei menționate mai sus despre evoluția continuă a noilor forme de atacuri de ransomware.

Inovație necesară

Ransomware-ul este neîndurător. Este evident acum că soluțiile de securitate legacy nu funcționează sau nu țin pasul cu evoluția peisajului amenințărilor. Este o plagă care costă organizațiile miliarde de dolari; pare de neoprit, dar trebuie oprit. Dar acest lucru este mai ușor de spus decât de făcut, atunci când majoritatea rețelelor devin din ce în ce mai complexe și includ o combinație de componente legacy și noi.

Criminalii cibernetici fac cel mai bun uz de AI, așa că și operatorii de rețea trebuie să o facă. O nouă strategie de securitate ar trebui să includă NDR bazat pe AI, care utilizează mostre. Soluțiile de acest tip utilizează o mică parte din traficul de rețea pentru a învăța ce este normal pentru întreaga rețea, permițând o vizibilitate care nu este altfel posibilă. Este un exemplu al tipului de soluții inovatoare necesare pentru a rămâne înaintea ransomware-ului și a multor altor amenințări la adresa rețelei care operează astăzi.