Bezpieczeństwo danych i sieci
Jak wykrywać nieautoryzowany ruch w sieci?
Wyzwanie
Firma świadcząca usługi telekomunikacyjne utraciła dostęp do ważnych danych. Okazało się, że kilka miesięcy wcześniej w zasobach chmurowych firmy został osadzony plik o niemal identycznej nazwie do pliku już istniejącego. Czekał tylko na moment wyznaczony przez cyberprzestępcę, aby rozpocząć swoje działanie.
Plik został rozpowszechniony po całej sieci firmowej, po czym zaszyfrował dane dysków, skutecznie blokując płynność działania całej firmy. Wiązało się to z ogromnymi stratami zarówno finansowymi, jak i wizerunkowymi.
Co było powodem udanego ataku?
- Brak narzędzi analizujących infrastrukturę sieciową
- Brak narzędzi automatyzujących pozwalających na wykrycie ataku
Rozwiązanie
Wykrycie nieautoryzowanego ruchu w sieci we współczesnym świecie pełnym zagrożeń cybernetycznych jest zadaniem niezwykle czasochłonnym. Dobrze wyposażone zespoły SOC (Security Operation Center) powinny mieć dostęp do narzędzi, dzięki którym konieczność ich zaangażowania ograniczona jest do minimum. Narzędziem, które zapobiegłoby problemom dotyczącym wspomnianej firmy świadczącej usługi telekomunikacyjne jest rozwiązanie klasy NDR – Network Detection & Response.
Rozwiązania klasy NDR umożliwiają pełny wgląd w infrastrukturę sieciową organizacji w czasie rzeczywistym. Dzięki analizie pakietów oraz analizie behawioralnej, wykrywają nietypowy ruch w sieci oraz niecodzienne zachowania użytkowników. Tym samym uniemożliwiają atak już na pierwszym etapie, czyli powstania zagrożenia. Alert wysłany do operatora SOC nadaje wysoki priorytet zdarzeniu, dzięki czemu jest on w stanie natychmiastowo zareagować na zdarzenie bezpieczeństwa. Tego typu rozwiązaniem NDR, które może skutecznie wykrywać nieautoryzowany ruch w sieci jest NetWitness Network.
