Amenintari privilegiate: Tipuri de detectari ale atacurilor bune de stiut pentru prevenire

Amenintarile privilegiate sunt in crestere pentru intreprinderile din toate sectoarele industriei. Amenintarile pot proveni de la oricine are acces la date sensibile.

Fiti pregatit sa reduceti riscul prin detectarea si prevenirea activa a amenintarilor din interior.

Ce este o amenintare privilegiata?

Amenintarile privilegiate sunt definite ca amenintari de securitate cibernetica care provin din propria companie. Poate fi un angajat sau un vanzator – chiar si fosti angajati. Oricine are acces valabil la reteaua dvs. poate fi o amenintare privilegiata.

Tratarea amenintarilor privilegiate nu este usoara, deoarece persoanele de incredere in datele si sistemele dvs. sunt cele responsabile pentru acestea.

Tipuri de amenintari privilegiate

Exista trei tipuri de amenintari privilegiate: utilizatori compromisi, utilizatori nepasatori si utilizatori daunatori.

Utilizatori compromisi

Utilizatorii compromisi sunt cel mai important tip de amenintare privilegiata cu care te vei confrunta. Acest lucru se datoreaza faptului ca niciunul dintre voi nu stie ca sunt compromisi. Se poate intampla daca un angajat acorda acces unui atacator facand clic pe un link de phishing intr-un e-mail. Acestea sunt cele mai frecvente tipuri de amenintari privilegiate.

Angajati nepasatori

Angajatii nepasatori pot deveni tinte pentru atacatori. Lasarea unui computer sau terminalul deblocat timp de cateva minute poate fi suficienta pentru ca cineva sa obtina acces.

Acordarea permisiunilor DBA utilizatorilor obisnuiti (sau mai rau, folosirea conturilor de sistem software) pentru a efectua lucrari IT sunt, de asemenea, exemple de amenintari nepasatoare din interior.

Insiderul rauvoitor

Atacatorii rauvoitori pot lua orice forma. De obicei, au acces legitim al utilizatorilor la sistem si extrag in mod voit date sau proprietate intelectuala. Din moment ce sunt implicati in atac, isi pot acoperi si urmele. Acest lucru face si mai dificila detectarea.

Detectarea amenintarilor privilegiate

Majoritatea instrumentelor de securitate utilizate astazi incearca sa opreasca compromisul utilizatorilor legitimi. Acestea includ lucruri precum firewall-uri, scanare finala si instrumente anti-phishing. De asemenea, sunt cele mai frecvente tipuri de incalcari, astfel incat este logic sa depuneti eforturi pentru a le opri.

Celelalte doua tipuri de profiluri nu sunt atat de usor de abordat. Cu un comportament nepasator, cunoasterea unui anumit eveniment din sistem este aproape imposibila. Probabil ca administratorii de retea si securitate nu cunosc contextul din comportamentul unei aplicatii, asa ca nu vor observa nimic suspect inainte de a fi prea tarziu.

In mod similar, cu atacatorii rau intentionati, ei vor cunoaste elementele de siguranta ale sistemului de securitate al companiei dvs. Oferindu-le o sansa buna de a scapa fara a fi detectati.

Cele mai semnificative probleme cu detectarea amenintarilor privilegiate sunt:

  1. Utilizatori legitimi

Natura amenintarii este ceea ce face prevenirea dificila. Daca utilizatorul foloseste profilurile de autentificare autentice, nu exista niciun avertisment imediat. Accesarea in mod rar a fisierelor mari sau a bazelor de date poate fi o parte valabila a cerintelor lor de zi cu zi.

  1. Context de sistem si software

Pentru ca echipa de securitate sa stie ca se intampla ceva groaznic, trebuie sa stie cum arata ceva dubios. Nu este usor. De obicei, unitatile de afaceri sunt experte atunci cand vine vorba de software-ul lor. Fara contextul corect, detectarea unei amenintari reale din interior din centrul operatiunilor de securitate este aproape imposibila.

  1. Postati activitati de autentificare

Urmarirea activitatilor fiecarui utilizator dupa ce s-a conectat la sistem este dificila. In unele cazuri, jurnalele brute trebuie sa fie verificate si fiecare eveniment este studiat. Chiar si cu instrumentele Machine Learning (ML), aceasta pot fi inca greu de controlat.

Indicatori de atacuri privilegiate

Detectarea atacurilor este inca posibila. Unele semne sunt usor de reperat pentru a lua masuri.

Indicatorii comuni ai amenintarilor privilegiate sunt:

  • Castig financiar neexplicat
  • Abuzul din conturile de servicii.
  • Mai multe autentificari esuate.
  • Cereri de acces software incorecte.
  • Transferuri mari de date sau fisiere.

Utilizarea sistemelor si instrumentelor care cauta aceste articole poate ajuta la ridicarea alarmei pentru un atac, in timp ce scanarile obisnuite zilnice vor asigura ca statiile de lucru raman curate de virusi si malware.

Identificarea incalcarilor din sistem

Identificarea incalcarilor incepe cu echipa de securitate care intelege comportamentul normal.

Comportamentul normal ar trebui sa fie asociat cu cel mai scazut acces si activitate. In jurnalele incluse trebuie sa fie ID-ul utilizatorului, adresa IP a statiei de lucru, IP-ul serverului accesat, departamentul angajatilor si software-ul utilizat.

In plus, stiind ce baza de date a fost accesata, ce scheme si tabele citesc si ce alte operatiuni SQL au fost efectuate, va ajuta echipa de securitate sa identifice incalcarile.

Detectati amenintarile privilegiate cu invatarea automata

O zona in care invatarea automata da un ROI masiv este in detectarea amenintarilor in retea. Desi nu este magic, poate evidentia unde va indreptati resursele.

Prin furnizarea informatiilor despre starea si comportamentul sistemului unui algoritm de invatare automata, actiunile ciudate si suspecte pot fi identificate rapid. Informatii precum tipurile de utilizator si conexiune, drepturile de acces la rol si de aplicatie, timpii de lucru si tiparele de acces, pot fi transmise prompt aplicatiilor ML.

Cunoasterea a ceea ce nu se incadreaza in starea normala a sistemului de mai sus se poate face prin maparea urmatoarelor elemente in procesul de alertare:

  • Prezentarea drepturilor de acces pe tabela pentru fiecare aplicatie.
  • Precizarea credentelor contului de serviciu si a schemelor utilizate.
  • Monitorizarea locatiilor obisnuite de stocare a datelor.

Preveniti amenintarile privilegiate prin scoruri de amenintare

Corelarea tipurilor de informatii de mai sus va permite sa creati scoruri de amenintare pentru fiecare activitate a utilizatorului. Cuplandu-l cu datele utilizatorului, puteti alerta echipa de securitate imediat dupa constatarea unei incalcari.

Utilizarea acestui tip de analiza este noua pentru industrie. Implementarile timpurii au reusit sa ajute companiile sa castige avantajul rivalilor lor.

Vanzatorii incep sa ofere solutii personalizate de gestionare a riscurilor de securitate care includ:

  • Analitica comportamentala
  • Inteligenta amenintarilor
  • Detectarea anomaliilor
  • Alerte predictive

Statistici privind amenintarile privilegiate

33% dintre organizatii s-au confruntat cu un incident de amenintare privilegiata.

Doua din cele trei incidente privilegiate se intampla din neglijenta antreprenorului sau a angajatilor.

69% din organizatii au cunoscut o tentativa, o amenintare reusita sau coruptie de date in ultimele 12 luni.

Este nevoie de o medie de 72 de zile pentru a admite o amenintare privilegiata.

Folositi o abordare proactiva a amenintarilor privilegiate

Utilizarea datelor istorice va poate ajuta sa creati rapid profiluri de risc pentru fiecare dintre utilizatorii dvs. Maparea interactiunilor lor zilnice cu datele pe care le gestionati va va anunta unde sunt profilurile cu risc ridicat. Acest lucru va va permite sa va implicati proactiv in zonele in care aveti cele mai mari preocupari.

Desi orice punct din retea prezinta un risc, drepturile crescute de acces au cel mai mare potential de abuz. Implementarea monitorizarii indicatorilor cheie pe aceste profiluri de utilizator cu politici directoriale active va reduce riscul cu care va confruntati.

Auditul angajatilor care ies, asigurarea revocarii acreditarilor lor si faptul ca nu pleaca cu datele companiei este, de asemenea, vital. Aproape 70% din angajatii iesiti recunosc ca au luat unele date cu ei atunci cand au iesit pe usa. Gestionarea accesului privilegiat este o modalitate excelenta de a gestiona utilizatorul.

Cu toate ca amenintarile interioare neintentionate raman cea mai mare preocupare, cele rau intentionate pot fi cele mai grave.

Protectia datelor Stategii de securitate

    Leave a Reply