Priešakinis saugumas – kodėl apgaulė tampa esminiu gynybos strategijos elementu?

Daug metų kibernetinio saugumo strategija daugiausia rėmėsi reaktyviu požiūriu – pirmiausia įvykdavo incidentas, jis buvo aptinkamas, analizuojamas ir tik tada atliekami taisomieji veiksmai. Tais laikais, kai atakos buvo mažiau pažangios, toks modelis dažnai buvo pakankamas. Tačiau didėjant grėsmių skaičiui ir IT infrastruktūros sudėtingumui, vien tik reagavimas į incidentus tampa neefektyvus. Todėl dauguma organizacijų į gynybos strategijų kūrimą ima žiūrėti remdamiesi prevencinio kibernetinio saugumo požiūriu.

Prevencinės saugos tikslas yra ne tik atakos aptikimas, bet, svarbiausia, numatyti, blokuoti arba bent jau žymiai vėlinti įsibrovėlių veiksmus dar prieš jiems padarant realią žalą. Šio pokyčio mastą gerai parodo Gartner prognozės. Anot analitikų, jau iki 2030 metų apie 50% kibernetinio saugumo išlaidų bus skiriamos prevenciniam kibernetiniam saugumui, t. y. tokioms technologijoms kaip grėsmių numatymo intelektas, pažangus dezinformacijos sprendimai ar automatizuoti apsaugos mechanizmai. Palyginimui, net 2024 metais tokių įrankių dalis saugumo biudžetuose sudarė mažiau nei 5%.

Tai aiškus signalas, kad kibernetinio saugumo pramonė žengia į naują etapą, kuriame pagrindinį vaidmenį atliks sprendimai, leidžiantys aplenkti atakuojančiųjų veiksmus, o ne tik reaguoti į jų operacijų pasekmes.

Priešakinis saugumas – kodėl apgaulė tampa esminiu gynybos strategijos elementu? - vaizdas 1

GRĖSMIŲ NUMATYMO INTELEKTAS

Tarp pagrindinių Gartner išskiriamų tendencijų aiškiai matyti, kad organizacijos pradeda koncentruotis į atakos aptikimą jau ankstyvosiose jos stadijose. Pagrindinės vystymosi kryptis apima:

Grėsmių numatymo intelektas – vis svarbesnį vaidmenį atlieka technologijos, padedančios numatyti atakuojančiųjų veiksmus ir dinamiškai keisti atakos paviršių, apsunkinant jų operacijų planavimą.

Aptikimas rekonskino ir lateralaus judėjimo metu – vietoje to, kad reaguotų tik po kritinių sistemų pažeidimų, organizacijos stengiasi aptikti įsibrovėlius jau rekonskano ar judėjimo tinkle metu.

Specializuoti įrankiai skirtingoms aplinkoms – šiuolaikinė IT infrastruktūra yra labai įvairi – apima debesiją, cloud-native programas ar OT/ICS aplinkas. Todėl vienas universalus saugumo įrankis nebe pakankamas, o organizacijos vis dažniau diegia specializuotus sprendimus konkrečioms sritims.

Savarankiškos kibernetinės imunės sistemos (ACIS) – vis dažniau kalbama apie šią koncepciją, susijusią su autonominėmis kibernetinės atsparumo sistemomis, kurios gali dinamiškai reaguoti į grėsmes su minimalia žmogiškojo įsikišimu.

DEZINFORMACIJOS TECHNOLOGIJA

Dezinformacijos technologija reiškia IT aplinkoje kurti netikrus išteklius, programas, pažeidžiamumus ir artefaktus, kurie atakuojančiajam atrodo kaip tikros sistemos. Kai įsibrovėlis pradeda su jais bendrauti:

atskleidžia savo buvimą,
atskleidžia naudojamas technikas,
leidžia aptikti ataką žymiai anksčiau nei tradicinėse saugumo sistemose.

Kas taip pat svarbu, dezinformacija leidžia žymiai sutrumpinti vadinamąjį buvimo laiką, t. y. laiką, per kurį įsibrovėlis lieka neaptiktas organizacijos tinkle.

LABYRINTH DEZINFORMACIJOS PLATFORM

Platforma Labyrinth naudoja dezinformacijos technologiją aktyviam grėsmių aptikimui IT aplinkoje. Ji į tinklą diegia realistinės išvaizdos, tačiau netikrus infrastruktūros elementus, tokius kaip išteklius, programas, pažeidžiamumus ar sisteminius artefaktus, kurie atakuojančiajam atrodo kaip vertingi taikiniai. Kiekvienas bandymas sąveikauti su tokiu elementu yra labai stiprus signalas, kad aplinkoje yra įsibrovėlis, todėl galima aptikti veiksmus jau ankstyvoje atakos stadijoje.

Labyrinth mechanizmai lieka pasyvūs iki to momento, kol juos aktyvuoja atakuojantysis, kas žymiai sutrumpina klaidingų signalų skaičių. Todėl SOC komandos gauna patikimesnius pranešimus ir neprivalo analizuoti tūkstančių nereikšmingų įvykių. Anot gamintojo, klaidingų teigiamų signalų platformoje lygis yra mažesnis nei 1%.

Greita reakcija ir visiškas atakos matymas yra dar vienas svarbus platformos veikimo elementas. Paleidus gaudyklę, platforma Labyrinth renka detalią informaciją apie incidentą, tokią kaip grėsmių šaltinis, naudotos technikos, rekonskino keliai, bandymai naudotis kredencialais ar lateralinis judėjimas tinkle. Sprendimas taip pat integruojamas su incidentų reagavimo įrankiais ir infrastruktūros apsaugos sistemomis, leidžiančiu automatiškai izoliuoti pažeistus hostus ir greitai pranešti saugos komandai.

Platforma užtikrina taip pat žvilgsnį į atakuojančiųjų veikimą. Be paties incidento aptikimo, ji leidžia suprasti, kaip įsibrovėlis atranda aplinką, kokias sistemas bando išnaudoti, kaip eskaluoja privilegijas ir kaip juda organizacijos tinkle. Tokia informacija padeda geriau suprasti priešininko veiklos metodus ir efektyviau stiprinti gynybos mechanizmus ateityje.

SUSISIEKITE SU MUMIS

Požiūrio į kibernetinį saugumą keitimas iš reaktyvaus į prevencinį kibernetinį saugumą tampa šiandien viena svarbiausių pokyčių pramonėje. Technologijos, kaip dezinformacija, leidžia aptikti įsibrovėlių veiksmus jau ankstyvosiose atakos stadijose, sutrumpinti jų buvimo laiką aplinkoje ir geriau suprasti naudojamas technikas. Labyrinth Deception Platform yra sprendimas, kuris ne tik padeda aptikti įsibrovėlius, bet ir suteikia vertingą informaciją apie jų veikimo būdą. Dėl to organizacijos gali greičiau reaguoti į grėsmes ir efektyviau apsaugoti savo IT infrastruktūrą.

Jei norite sužinoti daugiau apie dezinformacijos technologijos galimybes ir apie tai, kaip platforma Labyrinth gali sustiprinti jūsų organizacijos saugumą, susisiekite su mumis. Kaip Labyrinth sprendimų platintojas, mielai parodysime, kaip atrodo platformos įdiegimas praktikoje ir padėsime pasirenkti tinkamą apsaugos strategiją jūsų IT aplinkai ➡️ Kontaktai

Naujienos