Connect with us

Кібербезпека

Захист інфраструктури від програм-вимагальників – лідери думок

mm
Published
Updated

Від лікарень до шкіл та м’ясопереробних підприємств, жодна галузь не є незначною для нападників програм-вимагальників. Програми-вимагальники будуть коштувати американським компаніям 3,68 мільярда доларів цього року лише в США. Оператори мереж та безпеки потребують високорівневого покриття мережі для запобігання та пом’якшення атак програм-вимагальників. Все складніше архітектури – що включає спадкову локальну, віртуальну та хмарну складові, що працюють у мережі – зробило майже неможливим отримання повної видимості. Статус-кво не працює. Потрібен новий підхід.

Поточні рішення не можуть задовольнити вимог мережі

Крім того, що мережі стають все більш складними, вони також збільшуються в розмірі, масштабі та об’ємі. У різних галузях ці мережі обробляють величезні об’єми даних, які продовжують зростати в об’ємі та включають більше кінцевих точок, більше підключень (внутрішніх та зовнішніх) та більше мережевих сайтів (фізичних та/або логічних). Хоча мережі експоненційно зростають у масштабі та складності, більшість рішень безпеки все ще покладаються на традиційні підходи, такі як апаратура та агенти. І ці апаратура та агенти не створені для таких рівнів складності та об’ємів даних.

Поточні рішення виявлення та реагування на мережу (NDR) все ще базуються на підході, призначеному для мереж, що належать простішому часу. Ці рішення трудомісткі, дорогі у реалізації та все менше ефективні. Вони передбачають встановлення апаратних засобів, датчиків та/або зондів, які збирають та аналізують дані мережі. Однак неможливо покрити всю мережу цими апаратними засобами. їм потрібно аналіз 100% даних мережі – що не є практичним. Це змушує компанії щодня компрометувати себе, обмежуючи покриття та виявлення лише малими частинами мережі, залишаючи більшу частину мережі уразливою сліпою зоною.

Крім того, більшість постачальників NDR використовують апаратний підхід, який підключається або розгалужується до аналізу мережевого трафіку. Це не масштабується легко та розширює поверхню атаки організації як прямий бекдор у ядро мережі клієнта, як було помічено багато разів минулого року з “пандемією” атак на ланцюжок постачань. У сучасному інтерконектованому цифровому середовищі цей підхід не забезпечує достатньої прозорості у все складніше інтелектуальних мереж та залишає організації вразливими до сліпих зон.

Проблеми з видимістю та новизною

Більшість атак програм-вимагальників починаються з порушення мережі, яке зазвичай можливе завдяки уразливості в периметрі мережі. І зловмисники починають рухатися вашою мережею та намагатися максимізувати шкоду, стрибаючи з одного місця в інше, поки не інфікують достатньо хостів для використання в атаці. Вони знайдуть сліпі зони, які не відстежуються – коли ви залишаєте області непокритими, ви створюєте багато місця для кіберзлочинців, щоб проникнути всередину.

Є ще одна значна проблема: з більшості рішень виявлення новизна залишається непоміченою. Вони навчаються шукати дуже конкретні підписи та правила, пов’язані з відомими діями програм-вимагальників. Але нові варіанти та типи атак програм-вимагальників розробляються постійно – і навіть незначна зміна від підписів, які ці інструменти навчаються виявляти та позначати, може зробити атаку непоміченою.

Роль AI та ML

Людські аналітики, хоч би якими розумними та здатними вони були, просто не можуть самостійно моніторити сучасні мережі – і ви не можете покрити всю мережу апаратними засобами та агентами. Але залишення частини мережі непокритою не є варіантом. Нападники та кіберзлочинці завжди шукають способи проникнути та прослизнути всередину.

Як можна подолати ці виклики? Техніки штучного інтелекту (AI) та машинного навчання (ML) можуть відігравати ключову роль у виявленні та реагуванні на мережу. ML можна використовувати для висновку поведінки всього 100% мережевого трафіку на основі вибірки лише малої частини даних мережі. І потім воно може автоматично вивчити, чи є мережевий шаблон легітимним або підозрілим, і автономно “зрозуміти” зміни трендів у мережі.

Що робить ML та AI такими корисними, так це їхня здатність виявляти приховані шаблони, які сигналізують про атаки – щоб показати, що відбувається на мережах в реальному часі. Це усуває непрактичну та дорогу потребу покрити всю мережу. Це також допомагає вирішити проблему, відмічену вище, про постійну еволюцію нових форм атак програм-вимагальників.

Необхідність інновацій

Програми-вимагальники є невпинними. Чітко, що спадкові рішення безпеки не працюють або не справляються з еволюцією ландшафту загроз. Це бич, який коштує організаціям мільярди доларів; здається, що його неможливо зупинити, проте його потрібно зупинити. Але це легше сказати, ніж зробити, коли більшість мереж стають все складніше та включають суміш спадкових та нових компонентів.

Кіберзлочинці роблять максимум із штучного інтелекту, тому оператори мереж також повинні це робити. Нова стратегія безпеки повинна включати штучний інтелект, заснований на вибірці, NDR. Рішення цього типу використовують малу частину мережевого трафіку для вивчення того, що є нормальним для всієї мережі, забезпечуючи видимість, яка інакше неможлива. Це приклад тих інноваційних рішень, які потрібні для того, щоб випередити програми-вимагальники та інші мережеві загрози, що діють сьогодні.

Related Topics:
mm

Доктор Авів Єгезкель є співзасновником та технічним директором Cynamics, єдиною наступної генерації (NG) мережевої системи виявлення та реагування (NDR) на ринку сьогодні, яка використовує стандартні протоколи збору даних, вбудовані в кожну браму, патентовані алгоритми та штучний інтелект і машинне навчання, щоб забезпечити передбачення загроз і видимість на високій швидкості та масштабі.