W ciągu miesiąca w firmach wykrywanych jest nawet ok. 500 mln zdarzeń związanych z cyberbezpieczeństwem. Firmy inwestują w wykrywanie cyberataków, ale czy potrafią na nie reagować?

W ciągu miesiąca w firmach wykrywanych jest nawet ok. 500 mln zdarzeń związanych z cyberbezpieczeństwem. Po szczegółowej analizie tylko 7 z nich okazuje się prawdziwymi zagrożeniami[1]. Badacze z F-Secure wskazują na istotną rolę procesu zarządzania detekcją i reakcją (ang. Managed Detection and Response, MDR) w skutecznej ochronie przed ukierunkowanymi atakami.

44% firm[2] inwestuje więcej środków w wykrywanie oraz zapobieganie cyberatakom niż w narzędzia reagowania na zagrożenia. Jednak zapory sieciowe i standardowe zabezpieczenia urządzeń końcowych są omijane nawet przez 10% incydentów[3]. Na uchwycenie tych ataków i odpowiednią reakcję pozwalają usługi z zakresu MDR.

– Pytanie nie brzmi już „czy”, ale „kiedy” nastąpi atak. Dlatego organizacje powinny zmienić podejście do zarządzania bezpieczeństwem, kłaść większy nacisk na szybkie opanowywanie oraz powstrzymywanie zagrożeń. Narzędzia umożliwiające sprawne wykrycie i zareagowanie na atak pozwalają zyskać na czasie, ale też zrozumieć szerszą perspektywę działania przestępców czy luki we własnych zabezpieczeniach. Mechanizmy te muszą być jednak na tyle zaawansowane, aby atakujący nie wiedział, że został wykryty. Z tego powodu powinien nimi zarządzać kompetentny zespół – wskazuje Tim Orchard, dyrektor zarządzający F-Secure Countercept[4].

O krok przed cyberprzestępcami

Dla wielu firm zatrudnienie kadry analityków, administratorów i specjalistów zarządzających incydentami jest nieosiągalne z powodów organizacyjnych lub finansowych. Mogą jednak skorzystać z zewnętrznych rozwiązań MDR, które zapewniają całodobowe monitorowanie zagrożeń. Za pomocą specjalnych czujników zbierane i analizowane są dane z systemów, a administratorzy natychmiast informowani w przypadku wykrycia ataku. Mogą wtedy skorzystać z zewnętrznych zespołów szybkiego reagowania, które przeprowadzą dochodzenie i zbiorą dowody, a także udzielą wskazówek dotyczących dalszych działań.

– Cyberbezpieczeństwo to proces. Kluczem do skutecznego reagowania na zagrożenia jest ciągła aktywność oraz założenie, że cyberatak już się wydarzył. Takie podejście pozwala szybko i skutecznie opanować incydent oraz zapobiegać próbom powtórzenia ataku – podsumowuje Tim Orchard.

^[1] Dane pochodzą z czujników F-Secure zainstalowanych w sieci jednego z klientów, złożonej z 325 urządzeń, w ramach rozwiązania Rapid Detection & Response. Analizę danych i detekcję zagrożeń przeprowadzono z wykorzystaniem mechanizmu Broad Context Detection™.

[2] Według badania firmy MWR Infosecurity, nabytej przez F-Secure w 2018 roku.

[3] Źródło: Gartner, Answers to Questions About 3 Emerging Security Technologies for Midsize Enterprises, 25 February 2019.

[4] Działający w strukturach F-Secure zespół konsultantów i analityków zagrożeń monitorujących i badających incydenty w trybie 24/7.