Webová stránka používa súbory cookie na poskytovanie služieb v súlade so Zásadami používania súborov cookie. Vo svojom prehliadači môžete definovať podmienky pre ukladanie alebo prístup k mechanizmu cookies.
Zatvorte výber krajiny
-
O nás
-
Výrobcovia
-
IT riešenia
-
Automatizácia a riadenie
- Automatizácia služieb
- BAS | Breach and Attack Simulation
- CEM | Critical Event Management
- CTEM | Continuous Threat Exposure Management
- RMM | Remote Monitoring and Management & helpdesk
- SIEM | Security Information and Event Management
- SOAR | Security Orchestration, Automation and Response
- UEM/MDM | Unified Endpoint & Mobile Device Management
- Správa zraniteľností
-
Zabezpečenie Siete a Služieb
-
E-mail a Komunikácia
-
Monitorovanie Siete a Aplikácií
-
Zabezpečenie Udajov
-
Zabezpečenie Koncových Bodov
-
Automatizácia a riadenie
-
Pre partnera
- Udalosti
- Novinky
- Kontakt
15.10.2024Kybernetické hrozby sa stále viac sofistikujú, čo predstavuje významné výzvy pre tradičné metódy kybernetickej bezpečnosti. Každý deň kyberzločinci, hackeri a štátni aktéri vyvíjajú nové taktiky, techniky a procedúry (TTP), ktoré tradičným prístupom sťažujú držať krok. Tímy v Centrách bezpečnostných operácií (SOC) hrajú kľúčovú úlohu pri identifikácii škodlivých aktivít vo veľkom množstve upozornení a logov, ktoré spravujú systémy Security Information and Event Management (SIEM). Tento proces je však často narušený množstvom prekážok a zložitostí, čo vedie k oneskoreniam a komplikáciám v oblasti včasnej a účinnej detekcie a reakcie na hrozby.
Tri hlavné výzvy, ktorým čelia tímy SOC
Tu sú tri hlavné výzvy, s ktorými sa tímy SOC stretávajú:
Challenge 1: Preťaženie upozorneniami
Tímy SOC často čelia obrovskému množstvu bezpečnostných upozornení generovaných rôznymi monitorovacími nástrojmi. Tento príliv dát môže zatieniť skutočné hrozby a sťažiť tak priorizáciu a rýchlu reakciu na skutočné bezpečnostné incidenty.
Challenge 2: Rýchla evolúcia kybernetických hrozieb
Kybernetické hrozby sa neustále vyvíjajú a štátni aktéri a kyberzločinci rýchlo prijímajú nové sofistikované taktiky.
Podľa Red Report 2024 došlo u 600 000 analyzovaných vzoriek malwéru k 333% nárastu používania hunter-killer malwéru. Tento typ malwéru je navrhnutý tak, aby identifikoval a deaktivoval obranné prvky, čo sťažuje jeho detekciu. Keď útočníci opúšťajú tradičné metódy útokov a vyvíjajú pokročilejšie techniky, bezpečnostné systémy majú čoraz väčší problém držať krok.
Challenge 3: Komplexnosť integrácie
Účinná detekcia a reakcia na hrozby závisí od bezproblémovej integrácie a koordinácie rôznych bezpečnostných nástrojov a systémov, ako sú SIEM, systémy detekcie prienikov (IDS) a systémy ochrany zariadení (EDR). Zložitosť pri integrácii rôznych systémov a zabezpečení ich efektívneho fungovania môže byť časovo aj kapacitne náročná a môže potenciálne oddialiť reakčné úsilie.
Úvod do kontinuálneho monitorovania
V reakcii na tieto výzvy sa organizácie obracajú ku kontinuálnemu monitorovaniu v oblasti kybernetickej bezpečnosti. Kontinuálne monitorovanie je proces nepretržitého sledovania, hodnotenia a analýzy systémov organizácie na detekciu a reakciu na kybernetické hrozby a zraniteľnosti v reálnom čase alebo takmer v reálnom čase. Vďaka nepretržitému monitorovaniu svojich digitálnych aktív môžu organizácie včas odhaliť problémy, znížiť riziká a zvýšiť celkovú odolnosť.
Napríklad kontinuálne monitorovanie pomáha prioritizovať a spravovať bezpečnostné upozornenia tým, že poskytuje informácie o potenciálnych hrozbách v reálnom čase. Okrem toho umožňuje organizáciám prispôsobiť sa rýchlemu vývoju kybernetických hrozieb tým, že rýchlo identifikujú a reagujú na nové taktiky a techniky.
Kontinuálne monitorovanie a Picus Detection Analytics
Picus Detection Analytics je automatizovaný modul integrovaný so SIEM, EDR a XDR, ktorý identifikuje rozdiely medzi očakávanými a skutočnými udalosťami.
Každá simulovaná hrozba a technika útočníka vytvára log v príslušných bezpečnostných kontrolách. Ak je detekovaná alebo zablokovaná, modul Detection Analytics môže pomocou pokročilých algoritmov porovnať výsledky dotazu so skutočnými vzorkami hrozieb a technikami simulovanými modulom Security Control Validation (SCV).
Modul Detection Analytics identifikuje neodhalené útoky. Vďaka tomu Picus pomáha firmám s včasnou detekciou problémov, znižovaním rizík a zvyšovaním celkovej odolnosti.
.png)
Výhody modulu Picus Detection Analytics zahŕňajú:
- Pravidelná validácia logovacích mechanizmov: Modul Detection Analytics zabezpečuje konzistentnú validáciu logovacích mechanizmov v celej sieti, čím zvyšuje integritu a presnosť zaznamenaných udalostí a zlepšuje celkovú kybernetickú bezpečnosť.
- Pravidelná validácia upozorňovacích mechanizmov: Modul Detection pomáha hodnotiť a zlepšovať schopnosti upozornení na platformách SIEM, čo zabezpečuje, že bezpečnostné tímy sú okamžite informované o potenciálnych hrozbách.
- Skracovanie doby setrvávania útočníkov: Doba setrvania (t.j. čas, počas ktorého útočníci zostávajú v sieti bez povšimnutia) je skrátená vďaka schopnosti modulu Detection Analytics rýchlo identifikovať a reagovať na hrozby, čím sa minimalizuje potenciálna škoda.
- Zvyšovanie detekčných schopností: Vďaka instrumentácii Mitigation Library zvyšuje modul Detection Analytics detekčné schopnosti existujúcich bezpečnostných kontrol, čo umožňuje organizáciám držať krok s novo vznikajúcimi hrozbami.
Príklad simulácie ransomwérového útoku: Kampaň Dagon Locker
V tejto časti predstavíme interaktívny prípad ransomvarovej kampane, ktorú vedie skupina hrozieb Dagon Locker.
Tímy Picus Labs neustále pridávajú simulácie útokov, ktoré napodobňujú správanie a taktiky, techniky a procedúry (TTP) najnovších hrozieb/malvarových kampaní. Tieto simulácie môžu byť nepretržite spúšťané podľa rozvrhu a dynamickej šablóny. Detekčné a preventívne analýzy sa vykonávajú po každej simulácii.
Táto prípadová štúdia sa zameria na kampaň Dagon Locker Ransomware 2024 a ukáže, ako integrácia Picus Detection Analytics zvyšuje detekčné schopnosti v systémoch SIEM a EDR.
Kampaň Dagon Locker Ransomware začala distribúciou malvaru IcedID. Obete boli nalákané na falošnú stránku na stiahnutie z platformy Azure, aby stiahli škodlivý súbor JavaScript, ktorý spustil viacstupňový útok. Tento útok zahŕňal stiahnutie a spustenie knižnice IcedID DLL, vytvorenie perzistencie prostredníctvom naplánovanej úlohy a pripojenie k serveru pre velenie a riadenie (C2). Malvare potom stiahol a spustil beacon Cobalt Strike.
Útočníci využili systémové utilitky na operácie prieskumu, získali prístup k prihlasovacím údajom prostredníctvom procesu LSASS a eskalovali oprávnenia pomocou príkazu GetSystem. Útočníci stiahli logy udalostí, spustili príkazy WMIC a pripravili a nasadili ransomware Dagon Locker v celej doméne, pričom deaktivovali služby a vymazali tieňové kópie.
Dôrazne odporúčame simulovať kampaň Dagon Locker Ransomware a ďalšie nové ransomwarové hrozby pomocou platformy Picus Complete Security Validation. Tento proaktívny prístup vám umožní dôkladne vyhodnotiť účinnosť vašich bezpečnostných kontrol a odhaliť akékoľvek neodhalené sofistikované kybernetické útoky vo vašom prostredí. Rozsiahla a aktuálna knižnica hrozieb tejto platformy vám umožní testovať vašu obranu proti stovkám variant ransomwaru, vrátane Phobos ALPHV a Play. Tieto schopnosti môžete vyskúšať na vlastnej koži so 14-dňovou skúšobnou verziou platformy Picus, ktorá poskytuje rýchle a komplexné hodnotenia počas niekoľkých minút.
Pre viac informácií nás kontaktujte: Vilém Raichel, vilem.raichel@bakotech.com, +420 734 542 498
Kontakt
Bakotech s.r.o.
Ružová 50
040 11 Košice
Údaje spoločnosti
IČO: 56126425
DIČ: 2122229758
IČ DPH SK2122229758
Kontakt
+421 950 548 010
Navštívte tiež
Zásady ochrany osobných údajov
Pripojte sa k odoberaniu newslettera
Chcete byť informovaní o najnovších novinkách v oblasti IT a dostávať informácie o podujatiach, ako sú webové semináre, školenia a konferencie? Zanechajte svoj e-mail:
© Bakotech - 2022. Všetky práva vyhradené.
