Nieodpowiednie rejestrowanie i monitorowanie poważnym problemem dla cyberbezpieczeństwa przedsiębiorstw

Rejestrowanie i monitorowanie są nierozłączne - a raczej powinny być.

Kluczową częścią cyberbezpieczeństwa jest generowanie dzienników audytu zmian wprowadzanych w wrażliwych danych i krytycznych systemach oraz monitorowanie tych dzienników pod kątem oznak potencjalnych zagrożeń cyberbezpieczeństwa. Rejestrowanie i monitorowanie powinno obejmować całą infrastrukturę IT, ponieważ wszędzie tam, gdzie użytkownicy mogą wprowadzać zmiany, istnieje ryzyko naruszenia bezpieczeństwa.

Problemy, z jakimi boryka się wiele organizacji, polegają na tym, że gdy umożliwiają rejestrowanie inspekcji swojej krytycznej infrastruktury IT, są one szybko bombardowane niemożliwą do zarządzania ilością surowych informacji z dzienników w związku z ciągłymi zmianami. Do tego stopnia, że wyciągnięcie jakichkolwiek znaczących wniosków z ich monitorowania może być niezwykle trudne.

Co można uznać za niewłaściwe rejestrowanie i monitorowanie?

Celem powinna być automatyzacja jak największej części procesów rejestrowania i monitorowania. Mówiąc najprościej, próba przeszukania surowych dzienników w poszukiwaniu zmian, które mogłyby potencjalnie zaszkodzić bezpieczeństwu Twojej organizacji, po prostu nie jest wystarczająco dobra. Rzadko kiedy znajdziesz się w sytuacji, w której możesz wystarczająco szybko wykryć potencjalnie szkodliwą zmianę, aby podjąć działania zapobiegawcze. O wiele częściej zdarza się, że organizacje korzystają z tej ręcznej metody, aby reaktywnie zbadać incydent po fakcie.

Zautomatyzuj tak bardzo, jak to możliwe. Jednym z przykładów mogą być systemy kontroli dostępu, którym można nadać własne zasady monitorowania. Możesz ustawić automatyczną regułę uniemożliwiającą użytkownikowi zalogowanie się na swoje konto, jeśli osiągnie określoną liczbę prób logowania w sesji. System automatycznie blogowałby adres IP przez określony czas. Zespół ds. bezpieczeństwa lub IT zostanie wówczas powiadomiony o fakcie wystąpienia tego zdarzenia.

Jednak nawet tego rodzaju automatyzacja rejestrowania może być problematyczna, ponieważ nadal wymaga ręcznego monitorowania generowanych alertów. Jeśli nie zauważysz tych alertów, możesz znaleźć się w tym samym scenariuszu, co poprzednio.

Jak poważny jest problem?

Jeśli kiedykolwiek próbowałeś ręcznie zarządzać dziennikami audytu w celu zbadania zdarzenia, wiesz, jak zła jest obecnie sytuacja, a ona tylko się pogarsza. Cyberataki rosną zarówno pod względem dotkliwości, jak i częstotliwości, nawet do tego stopnia, że obecnie widzimy je jako sponsorowane przez państwo (rzekomo). Ataki te często mają na celu ominięcie natywnego oprogramowania do monitorowania logów i pozostawienie ich niezauważonymi - w ten sposób nie generują żadnego alertu, który mógłby zostać łatwo wykryty przez zespół ds. bezpieczeństwa lub IT.

Nieodpowiednie rejestrowanie i monitorowanie, choć samo w sobie nie jest bezpośrednią przyczyną naruszeń danych, wpływa na zdolność szybkiego i skutecznego reagowania na wszelkiego rodzaju zagrożenia cyberbezpieczeństwa. Jeśli podejrzana lub nieautoryzowana zmiana w Twojej infrastrukturze IT pozostanie niezauważona z powodu niewłaściwych praktyk monitorowania logów, Twoja szansa na zajęcie się zagrożeniem dla Twojego cyberbezpieczeństwa zniknie.

W przypadku większości różnych typów naruszeń danych, z którymi może spotkać się Twoja organizacja, w tym ataków hakerskich, ataków typu phishing, oprogramowania ransomware i zagrożeń wewnętrznych, dokładne rejestrowanie i monitorowanie pomoże Ci szybciej wykryć i zareagować. Z badania kosztów naruszeń danych przeprowadzonego w 2017 r. przez Ponemon Institute wynika, że średni czas wykrycia naruszenia bezpieczeństwa danych wynosi 191 dni. Nie muszę ci mówić, jakie to niepokojące. Rejestrowanie i monitorowanie to pierwszy krok do rozwiązania tego problemu.

Co przedsiębiorstwa mogą zrobić, aby poprawić cyberbezpieczeństwo?

Jednym ze sposobów sprawdzenia, czy logowanie i monitorowanie wymagają ulepszenia, jest sfałszowanie incydentu cyberbezpieczeństwa. Poproś użytkownika o usunięcie ważnego pliku z miejsca w Twojej infrastrukturze IT. Ile czasu zajmuje Ci zidentyfikowanie tego, co zostało usunięte i cofnięcie zmiany? Dzięki temu procesowi prawdopodobnie zdasz sobie sprawę, jak nieprzygotowany jesteś na incydent naruszenia danych, jeśli nie masz żadnego rozwiązania do rejestrowania i monitorowania.

Gartner przewiduje, że w ciągu najbliższych kilku lat analityka odegra kluczową rolę w zmniejszaniu dotkliwości i częstotliwości cyberataków. Analiza zachowań użytkowników jest kluczową częścią zapewnienia możliwości ciągłego monitorowania sposobu, w jaki użytkownicy wchodzą w interakcję z krytycznymi danymi i proaktywnego ostrzegania o wszelkich podejrzanych lub nietypowych zachowaniach. Ale tego po prostu nie można zrobić za pomocą natywnych narzędzi audytu, takich jak Podgląd zdarzeń.

Zrób sobie ogromną przysługę i zainwestuj w rozwiązanie do analizy zachowań użytkowników, takie jak Lepide Data Security Platform, które agreguje informacje z nieprzetworzonych logów i przedstawia je w czytelnych, przydatnych raportach. Tego typu rozwiązania wykonują większość pracy za Ciebie, co oznacza, że nie będziesz już musiał przeszukiwać szumu generowanego przez natywny audyt i będziesz automatycznie powiadamiany, gdy zmiana w Twoim środowisku może potencjalnie wpłynąć na Twoje cyberbezpieczeństwo.

Jeśli prowadzisz organizację korporacyjną, która ma do czynienia z dużą ilością poufnych informacji (czy to danych osobowych, czy tajemnic firmowych), to tylko kwestia czasu, zanim zostaniesz ofiarą cyberataku. Lepiej upewnij się, że jesteś gotowy!