09.02.2018

Big Data Security Analytics - silna broń przeciwko rosnącym atakom cybernetycznym.



Dzięki rosnącemu zastosowaniu usług w chmurze i telefonii komórkowej pojęcie bezpieczeństwa korporacyjnego straciło nieco na swoim znaczeniu. Bezpieczeństwo informacji uległo bowiem ewolucji przechodząc z modelu obejmującego tradycyjne narzędzia ochrony na monitorowanie i wykrywanie złośliwych działań w sieciach korporacyjnych. Coraz bardziej wyrafinowane metody ataków wykorzystywane przez cyberprzestępców oraz często spotykany udział „szkodliwych użytkowników wewnętrznych” wyraźnie wskazują, że tradycyjne podejście do bezpieczeństwa informacji już nie wystarcza.

Firmy muszą zredefiniować dotychczasowe koncepcje bezpieczeństwa cybernetycznego.
Analityka jest kluczowym elementem zwiększania odporności cybernetycznej. Biorąc pod uwagę poziom zaawansowania ataków oraz fakt, że każda organizacja musi chronić się przed wszystkimi rodzajami szkodliwych zdarzeń, natomiast atakujący potrzebują tylko jednej udanej próby, organizacje muszą zrewidować własną strategię działania w tym zakresie. Przedsiębiorstwa powinny wyjść poza zwykłą prewencję w kierunku paradygmatu PDR: Zapobiegaj - Wykrywaj - Odpowiadaj.

Big Data Security Analytics - nowa generacja narzędzi bezpieczeństwa.
U podstaw tego podejścia znajduje się ulepszona detekcja - i właśnie tu do akcji wkracza Big Data Analytics. Wykrywanie musi umożliwiać identyfikację zmieniających się wzorców użycia, wykonywanie skomplikowanej analizy niemal natychmiast oraz złożonych korelacji między różnymi źródłami danych, poczynając od logów serwera i aplikacji, a kończąc na zdarzeniach sieciowych i działaniach użytkownika. Wymaga to zarówno zaawansowanej analityki wykraczającej poza proste podejścia oparte na regułach, jak i zdolności do przeprowadzania analiz na bazie dużych zbiorów danych bieżących i historycznych - Big Data Security Analytics. Łączenie obecnego stanu analityki z bezpieczeństwem pomaga organizacjom skutecznie zwiększać odporność cybernetyczną.

W ostatnich latach pojawiła się nowa generacja rozwiązań analitycznych, które są w stanie gromadzić, przechowywać i analizować ogromne ilości danych z zakresu bezpieczeństwa w całym przedsiębiorstwie w czasie rzeczywistym. Ulepszone o dodatkowe dane kontekstowe i zewnętrzną analizę zagrożeń, informacje te są następnie analizowane za pomocą różnych algorytmów korelacji w celu wykrycia anomalii, a tym samym identyfikacji możliwych szkodliwych działań. W przeciwieństwie do tradycyjnych rozwiązań SIEM, narzędzia te działają w czasie zbliżonym do rzeczywistego i są wzbogacone o dodatkowe funkcje kryminalistyczne, upraszczając pracę analityka ds. bezpieczeństwa dzięki szybkiemu wykrywaniu i łagodzeniu cyberataków.

Dlaczego Big Data Security Analytics jest możliwe.
Największym przełomem technologicznym, który umożliwił rozkwit Big Data Security Analytics jest analityka Big Data. Osiągnięto punkt, w którym algorytmy analizy biznesowej do przetwarzania danych na dużą skalę, (wcześniej dostępne tylko dla dużych korporacji), stały się bardziej skomercjalizowane. Wykorzystując łatwo dostępne frameworki takie jak Apache Hadoop i niedrogi sprzęt, dostawcy mogą teraz tworzyć duże rozwiązania do gromadzenia, przechowywania i analizowania ogromnych ilości nieustrukturyzowanych danych w czasie rzeczywistym.

Łączenie danych a przewidywanie podejrzanej aktywności.
Łączenie analizy w czasie rzeczywistym i analizy historycznej oraz identyfikowanie nowych incydentów, które mogą być związane ze zdarzeniami mającymi miejsce w przeszłości umożliwia wykrywanie podejrzanych aktywności. W połączeniu z zewnętrznymi źródłami informacji wywiadowczych, które dostarczają bieżących informacji na temat najnowszych luk w zabezpieczeniach, może to znacznie ułatwić identyfikację trwających zaawansowanych cyberataków w sieci. Posiadanie dużej ilości danych historycznych pod ręką znacznie upraszcza także początkową skalowalność do normalnych wzorców aktywności danej sieci, które są następnie wykorzystywane do identyfikacji anomalii. Istniejące rozwiązania są już w stanie zautomatyzować kwestie związane ze skalowalnością przy bardzo niewielkim nakładzie pracy ze strony administratorów.

Identyfikacja istotnych incydentów.
W oparciu o sprawdzone algorytmy Big Data Analytics, rozwiązania tego typu mogą identyfikować wartości wzbudzające obawy oraz  inne anomalie w obszarze bezpieczeństwa, które bardzo często wskazują na wątpliwą, bądź podejrzaną aktywność. Odfiltrowując szum statystyczny, analiza danych zabezpieczających duże ilości zbiorów może zredukować masowe przepływy zdarzeń związanych z bezpieczeństwem do łatwej w kontekście zarządzania liczby alertów. Dzięki wykorzystywaniu historycznych informacji do późniejszych analiz eksperci mają wgląd w szczegółowe informacje dotyczące incydentów oraz ich relacje względem innych historycznych anomalii.


Automatyzacja przepływów pracy.

Wreszcie, nowoczesne rozwiązania analityki bezpieczeństwa Big Data zapewniają wiele zautomatyzowanych przepływów pracy w celu reagowania na wykryte zagrożenia, takie jak zakłócenie wyraźnie zidentyfikowanych ataków złośliwego oprogramowania lub przesłanie podejrzanego zdarzenia do zarządzanej usługi bezpieczeństwa w celu dalszej analizy.


Jak działają analizy bezpieczeństwa i narzędzia analityczne, oraz w jaki sposób dostarczają przedsiębiorstwom cennych informacji o zbliżających się atakach lub zagrożeniach.

Firmy reagują na rosnącą złożoność i liczbę zagrożeń bezpieczeństwa informacji poprzez wdrażanie narzędzi, które rozszerzają możliwości ich obecnej infrastruktury. Dla mniejszych firm oznacza to wdrożenie zabezpieczeń sieci oraz punktów końcowych sięgających znacznie głębiej. Dla dużych i średnich przedsiębiorstw oznacza to wdrożenie narzędzi do analizy bezpieczeństwa i oprogramowania analitycznego do gromadzenia, filtrowania, integrowania i łączenia różnych typów informacji o zdarzeniach związanych z bezpieczeństwem w celu uzyskania holistycznego obrazu bezpieczeństwa infrastruktury.

Aplikacje tego typu wykraczają poza tradycyjne narzędzia bezpieczeństwa i zarządzania zdarzeniami (SIEM) w celu włączenia dodatkowych danych i zastosowania bardziej dogłębnej analizy. W związku z tym korelują zdarzenia występujące na poziomie wielu różnych platform w celu wykrycia podejrzanych wzorców aktywności obejmujących wiele urządzeń. Narzędzia z obszaru Security Analytics nie zastępują istniejących mechanizmów kontroli bezpieczeństwa i aplikacji, lecz raczej je uzupełniają. W rzeczywistości narzędzia analityki bezpieczeństwa analizują dane dziennika i zdarzeń z aplikacji, kontroli punktów końcowych i zabezpieczeń sieci. Utrudnia to analizę naruszenia w toku, a nawet utrudnia ocenę jego wpływu. Co więcej, według raportu Ponenom Institute, 55% respondentów, którzy doświadczyli utraty danych, nie było w stanie określić, jaka pula danych została skradziona. Poprawa szybkości wykrywania i analizowanie wpływu ataku są kluczowymi czynnikami w podejmowaniu analiz pod kątem bezpieczeństwa.

Jak działają narzędzia analityki bezpieczeństwa.
Narzędzia z zakresu analityki bezpieczeństwa zbierają, filtrują, integrują i łączą różnorodne zbiory danych, aby uzyskać całościowy obraz bezpieczeństwa infrastruktury organizacji. Prawie każda firma z dużą liczbą urządzeń - od komputerów stacjonarnych do urządzeń mobilnych po serwery i routery  - może korzystać z dobrodziejstwa tej technologii.

Narzędzia analityki bezpieczeństwa pomagają organizacjom monitorować w czasie rzeczywistym serwery, punkty końcowe i ruch sieciowy, konsolidować i koordynować różnorodne dane zdarzeń z dzienników aplikacji i sieci, a także wykonywać stosowne analizy, aby lepiej zrozumieć metody ataku i luki systemowe. Łącznie funkcje te pomagają specjalistom ds. bezpieczeństwa ocenić, w jaki sposób systemy zostały zaatakowane i które z nich zostały naruszone oraz czy atak jest nadal w toku. Narzędzia do analizy bezpieczeństwa wykonują tego typu zadania, zapewniając szereg usług, aby sprostać potrzebom osób odpowiedzialnych za bezpieczeństwo w firmie. Obejmują one ciągły monitoring, wykrywanie szkodliwego oprogramowania, wykrywanie incydentów i zgłaszanie utraty danych. W przypadku wykrycia naruszenia bezpieczeństwa lub zagrożenia oprogramowanie może pomóc w zbieraniu danych sieci, dziennika i punktów końcowych. Umożliwia to analizę osi czasu oraz sesji, które mogą rzucić światło na to, w jaki sposób doszło do naruszenia i które systemy zostały dotknięte atakiem.

Wspólne funkcje narzędzi analitycznych.
Wiele funkcji jest wspólnych dla oprogramowania analityki bezpieczeństwa. Systemy te zbierają dane z dzienników serwera i aplikacji, urządzeń końcowych, pakietów sieciowych i NetFlow. Ponadto obejmują zaawansowane możliwości analityczne w odniesieniu do pakietu i analizy NetFlow, a także korelację zdarzeń. Metody analityczne  oparte są  m.in. na analizie statystycznej. Metoda oparta na statystykach może na przykład wykrywać nietypowe zachowania, takie jak wyższy niż standardowo ruch między serwerem a komputerem. Może to wskazywać na podejrzany zrzut danych. W innych przypadkach klasyfikator działający w oparciu o  mechanizm machine learning może wykrywać wzorce ruchu, które były wcześniej widziane w przypadku określonego fragmentu złośliwego oprogramowania.

Narzędzia służce do analityki bezpieczeństwa oferują także pojedynczy punkt dostępu do danych zdarzeń. Widok skonsolidowany jest przydatny do implementowania funkcji - takich jak rekonstrukcja osi czasu i analiza kryminalistyczna, które obsługują przepływy pracy dla analityków bezpieczeństwa. Zwykle oferują również narzędzia do raportowania zgodności, a ponieważ metody wizualizacji są prawie zawsze wymagane w przypadku dowolnej złożonej analizy, należy się spodziewać, że będą one uwzględnione we wszelkich analizach bezpieczeństwa, które warto rozważyć. Jednym z najważniejszych aspektów oprogramowania analityki bezpieczeństwa jest integrowanie danych z różnych urządzeń i aplikacji, ponieważ pojedyncze źródło danych może dostarczyć niewystarczających informacji do lepszego poznania ataku. Na przykład analityk bezpieczeństwa może potrzebować synchronizacji danych pakietów sieciowych z danymi dziennika aplikacji i danymi urządzenia końcowego, aby uzyskać pełny obraz kroków użytych do wykonania ataku. Wsparcie w zakresie zgodności z przepisami jest kolejną wspólną cechą narzędzi do analityki bezpieczeństwa, ponieważ ważne jest, aby móc wykazać, że zastosowano odpowiednie mechanizmy kontroli bezpieczeństwa, funkcjonujące i - co najważniejsze - wykorzystywane w celu ograniczenia ryzyka naruszeń.

Wdrażanie analityki i narzędzi analitycznych.
Narzędzia z zakresy Security Analytics są wdrażane jako oprogramowanie, urządzenia wirtualne lub urządzenia sprzętowe. Dedykowane urządzenie sprzętowe jest właściwym wyborem dla sieci o dużym natężeniu ruchu. Dostawcy mogą dostosować konfigurację sprzętu i oprogramowania do wymagań analityki bezpieczeństwa. Obejmują one konieczność przetwarzania dużych ilości ruchu sieciowego - ciągłego odbierania dużej ilości danych dziennika - oraz stosowania w odniesieniu do tych danych intensywnych obliczeniowo metod analitycznych.
Oprogramowanie i urządzenia wirtualne są opcją, wówczas gdy narzędzia analityki bezpieczeństwa są instalowane i wdrażane na istniejącym sprzęcie firmowym, który jest wyposażony w odpowiednią moc, aby sprostać obciążeniom. Opcje te są dobrze dopasowane do wymagań danej organizacji - zapewniają odpowiednią pojemność serwera i dysponują mocą obliczeniową umożliwiającą skalowanie w celu zaspokojenia jakiegokolwiek potencjalnego wzrostu obciążenia.

Zapotrzebowanie na narzędzia analityki bezpieczeństwa wciąż rośnie.
Rola narzędzi z zakresu analityki bezpieczeństwa wzrasta, ponieważ zautomatyzowane funkcje bezpieczeństwa, takie jak skanowanie złośliwego oprogramowania i luk w zabezpieczeniach, stają się coraz większym wyzwaniem w związku z rosnącą skalą oraz stopniem skomplikowania zagrożeń. Te aplikacje uzupełniają, ale nie zastępują istniejących mechanizmów kontroli bezpieczeństwa. Celem analityki bezpieczeństwa jest jak najszybsze wykrywanie ataków, umożliwienie specjalistom ds. IT skuteczne blokowanie lub eliminację ataku oraz dostarczenie szczegółowych informacji w celu jego odtworzenia. Odbywa się to dzięki gromadzeniu, korelacji i analizie szerokiego zakresu danych. Narzędzia te zapewniają również środowiska analityczne służące do oceny kryminalistycznej i rekonstrukcji ataków. W ten sposób firmy mogą badać stosowane metody i luki w zabezpieczeniach wykorzystywane w celu złamania ich systemów i usunięcia słabych stron.

Analityka staje się coraz ważniejszą częścią bezpieczeństwa informacji. Dowody wyraźnie pokazują, że cyberprzestępczość nadal ewoluuje, doskonaląc swoje możliwości. Dlatego przedsiębiorstwa muszą pójść tą samą drogą, optymalizując swoje strategie w zakresie ochrony danych oraz wybierając innowacyjne i skuteczne  narzędzia.

W przypadku pytań dotyczących narzędzi z zakresu Big Data Security Analytics , zapraszamy do kontaktu.

Symmetry Sp. z o.o.
Tel.: +48 22 203 46 00
e-mail: info@symmetry.pl
 www.symmetry.pl
Ciasteczka Ta strona wykorzystuje pliki cookies. Polityka prywatności
Rozumiem, zamknij.X