7 minut na decyzję - czy to atak czy nie

7 minut na decyzję - czy to atak czy nie

Dodano:   /  Zmieniono: 
fot. infoWire.pl Źródło: InfoWire.pl

BalaBit przedstawia wyniki badania menedżerów IT dotyczące procesów bezpieczeństwa IT, a w szczególności jak praktycy przetwarzają i wykorzystują na co dzień informacje otrzymane z alertów bezpieczeństwa.

 Organizacje mają średnio tylko siedem minut na ustalenie, czy są pod atakiem cybernetycznym, czy też nie. To wynik badania przeprowadzonego przez firmę BalaBit, światowego lidera monitoringu aktywności uprzywilejowanej i zarządzania logami. Przepytano praktyków IT o ich procesy bezpieczeństwa, a dokładniej, w jaki sposób są w stanie przetworzyć i wykorzystać cenne informacje z alertów zabezpieczeń otrzymywanych codziennie.

Miliony rejestrów do przejrzenia

Obecnie wiele organizacji gromadzi logi (rejestry zdarzeń), które zawierają informacje o licznych wydarzeniach dot. bezpieczeństwa - zbierane są z systemów operacyjnych, aplikacji oraz działań innych użytkowników. Według badania, dziennie gromadzone jest średnio 226 mln logów. Dla organizacji, która stara się przejrzeć je wszystkie i określić, prawdziwe i fałszywe alarmy, to może być zadanie tak trudne, jak znalezienie przysłowiowej igły w stogu siana. Alerty mogą pochodzić z IDS, DLP, SIEM i innych systemów monitorowania użytkownika - są generowane w celu zapobiegania potencjalnie szkodliwym działaniom dla środowiska informatycznego organizacji.

Przedsiębiorstwa gromadzą rejestry zdarzeń na wypadek śledztwa w przypadku naruszenia danych. Oczywiście, przetwarzanie i analizowanie takiej ilości logów wymagałoby ogromnych zasobów i byłoby bardzo kosztowne, a więc firmy muszą mieć wdrożone procedury. Pomagają one w określeniu, które komunikaty są ważne, a które nie są. 

Dylemat czy mniej to lepiej?

Firmy są w stanie przetworzyć tylko jedną trzecią swoich wszystkich komunikatów z rejestrów, zgodnie z wynikami badania BalaBit. Dlatego organizacje muszą zdecydować, gdzie skupią swoje wysiłki. Z jednej strony powinny skoncentrować się na dopracowaniu systemu ostrzegania i ciągłej aktualizacji reguł i wzorów. Oznacza to, że będzie mniej alertów, ale większy udział tych istotnych, co w rezultacie będzie łatwiejsze do zbadania. 

Z drugiej strony, jeśli analiza alertów jest zbyt nastawiona na zmniejszanie liczby fałszywie pozytywnych wyników to bardziej prawdopodobne jest, że poziom fałszywych negatywnych będzie wyższy. Bardzo ważne jest, aby znaleźć równowagę, a nie tylko ślepo optymalizować rezultaty analizy. 

,,Dobrą wiadomością jest to, że oba podejścia mogą działać. Ważne jest, żeby ten proces był dobrze wyważony i organizacja miała odpowiednio ustawione priorytety alertów bezpieczeństwa." - komentuje Márton Illés, Product Evangelist, BalaBit. 

Co trzeba zrobić w 7 minut?

Wyniki badania podkreślają, że przeciętnie 10-osobowy zespół bezpieczeństwa IT ma do zbadania dziennie średnio 578 alertów bezpieczeństwa. Oznacza to, że teoretycznie (jeśli nikt nie jest na urlopie i wszyscy zajmują się badaniem alertów) jedna osoba otrzymałaby 57,8 alertów dziennie, czyli 7 alertów bezpieczeństwa na godzinę. Z tych kalkulacji wynika, że (zakładając kilkuminutową przerwę) każda osoba ma średnio maksymalnie 7 minut na jeden alert bezpieczeństwa. W tym czasie musi zdecydować, czy jest to oznaka ataku (na przykład wyrafinowany atak APT) i wymaga dalszych badań, czy też nie. 

Automatyzacja priorytetów - gdzie maszyny wykonują większość prac, wybierając nietypowe działania oparte na zdefiniowanych regułach i algorytmach analizy danych biznesowych pozwalających na samodzielne uczenie - pozwoli ludziom skupić wysiłki na zadaniach, które wymagają ich inteligencji, i tym samym podnieść ogólną wydajność.

Fałszywe alarmy

Badanie wykazało również, że przeciętnie ponad 18% alertów organizacji jest fałszywych. Choć żadna firma nie chce tracić czasu i zasobów w pogoni za fałszywymi alarmami, jest to stosunkowo niewielki odsetek i sugeruje, że organizacje znajdują równowagę w zarządzaniu swoimi alertami. 

,,Oznacza to, że w sumie lepiej stracić trochę czasu na badanie fałszywych alarmów niż ignorować podejrzaną aktywność użytkownika. Kluczem do sukcesu jest szeregowanie każdej niezwykłej aktywności, w oparciu o potencjalne zagrożenie, jakie stanowi dla sieci IT przedsiębiorstwa. Dodanie kontekstowej informacji do rejestrów zdarzeń i analiza danych z wykorzystaniem algorytmów zapewnia krytyczne dowody niezbędne, aby pomóc priorytetowaniu działań oraz identyfikacji prawdziwych alarmów." - dodaje Márton Illés, BalaBit.

 

###

Informacje o ankiecie

W badaniu wzięło udział ponad 550 europejskich i amerykańskich menedżerów i praktyków bezpieczeństwa IT m.in. z Wielkiej Brytanii, Francji, Niemiec i Węgier czy USA. Reprezentowali oni przedsiębiorstwa z branży telekomunikacyjnej, finansowej, administracji państwowej i przemysłu wytwórczego, które muszą spełniać wiele przepisów związanych z bezpieczeństwem IT. Wielkość organizacji prezentowała się następująco: 24% respondentów pracuje w firmach zatrudniających ponad 5000 pracowników, 25% pomiędzy 500-5000 pracowników, 52% do 500 pracowników.

 


dostarczył infoWire.pl
Źródło: BalaBit

infoWire.pl