Analityka cyberbezpieczeństwa. A dokładniej…?

Home / Aktualności / Analityka cyberbezpieczeństwa. A dokładniej…?

Świat IT obfituje w zasady i dobre praktyki utrzymania cyberbezpieczeństwa – NIST Cybersecurity Framework, ISO 270001 czy SABSA, a to tylko początek. Zespoły ds. bezpieczeństwa IT są dosłownie bombardowane wymaganiami dotyczącymi utrzymania odpowiedniego poziomu bezpieczeństwa infrastruktury IT w organizacji. Bombardowane do tego stopnia, że potrzebny jest filtr pozwalający dopasować wymagania do poziomu zagrożenia. I tu wkraczają technologie analityki bezpieczeństwa skoncentrowane na dostarczaniu danych w celu zwiększenia możliwości oceny, analizy i zarządzania zagrożeniami bezpieczeństwa. W rezultacie organizacje coraz częściej zwracają się do analityków i konsultantów bezpieczeństwa, by uzyskać pomoc we wdrażaniu i utrzymywaniu ram bezpieczeństwa.


Termin „analityka bezpieczeństwa” nie odnosi się do konkretnej technologii ani fragmentu oprogramowania. Nie ma ujednoliconego narzędzia ani platformy do analizy bezpieczeństwa typu „wszystko w jednym”. Każda firma ma określone wyzwania techniczne i słabości infrastruktury. Obejmuje ona zestaw metod i technologii gromadzenia i agregowania danych w celu wykrywania i blokowania potencjalnych zagrożeń. Na przykład analiza bezpieczeństwa może obejmować używanie narzędzi do analizy zachowania w celu wykrywania zagrożeń i monitorowania bezpieczeństwa.


Analityka pozwala uzyskać obraz obecnego statusu w zakresie cyberbezpieczeństwa poprzez przejście następujących kroków:


  • Zebrania danych z istniejących systemów bezpieczeństwa IT.


  • Dopasowanie danych do założeń obecnej strategii bezpieczeństwa IT.


  • Identyfikacja luk w aktualnym stanie bezpieczeństwa IT.


  • Dobór rozwiązań uzupełniających.


  • Monitorowanie wyników po wdrożeniu i oszacowanie stopnia poprawy.


Podążając za dobrą praktyką zarządzania, która priorytetyzuje planowanie na podstawie dostępnych danych, przyjrzymy się punktowi pierwszemu. Jest on najbardziej wyczerpujący, ponieważ zakłada dogłębną analizę i korelację outputu ze wszelkich dostępnych systemów stanowiących jakiekolwiek wsparcie w informatyce śledczej.


Obejmuje to wyszukiwanie, gromadzenie, przechowywanie i korelowanie danych bezpieczeństwa z wielu źródeł, w tym:


  • Logów serwera i aplikacji.


  • Urządzeń sieciowych i logów ruchu sieciowego.


  • Serwerów fizycznych.


  • Różnorodnych punktów końcowych.


  • Maszyn wirtualnych i hypervisorów.


  • Danych kontekstowych niezwiązanych z IT (ale to temat na oddzielny artykuł).


  • Narzędzi do zarządzania tożsamością i dostępem.


  • Analiz behawioralnych, które identyfikują wzorce aktywności użytkowników różniące się od wartości bazowej.


Rozprzestrzenianie się coraz bardziej zaawansowanych zagrożeń cyberbezpieczeństwa wymaga od organizacji znalezienie kompromisu i założenia, że ktoś już jest w systemie. Mityczny srebrny pocisk nigdy nie istniał w cyberbezpieczeństwie a tradycyjne narzędzia są tak skuteczne tylko w ograniczonym obszarze, który obejmują.


Dla przykładu – SIEM skoreluje wydarzenia zarejestrowane przez kilka systemów – ale stworzony incydent będzie tak dobry jak dobre są dane z tych systemów. Możliwe, że atak zostanie wyłapany przez Firewall i EDR – ale brak systemu DLP sprawi, że uzyskanie informacji o tym, co dokładnie było celem ataku zostanie opóźnione. Ponadto bez odpowiedniej konfiguracji i procesów zarządzania danymi ryzykujesz utonięcie w zalewie fałszywych alertów. Dlatego organizacja potrzebuje zbudowania silnej podstawy bezpieczeństwa poprzez wdrożenie analizy bezpieczeństwa dla całego zakresu funkcji bezpieczeństwa: identyfikacji, ochrony, wykrywania, reagowania i odzyskiwania.


Najczęstsze przypadki użycia analityki bezpieczeństwa to:


  • Identyfikacja i likwidacja luk w zabezpieczeniach.


  • Monitorowanie systemu pod kątem zagrożeń wewnętrznych.


  • Wyszukiwanie anomalii w ruchu sieciowym i operacjach na urządzeniach końcowych.


  • Blokowanie wycieków danych.


  • Utrzymanie zgodności z regulacjami.


  • Informatyka śledcza.



Aby zbudować skuteczną strategię analityki bezpieczeństwa, firmy muszą uchwycić, opisać i skategoryzować swoje przypadki użycia oraz wyznaczyć jasne cele, które chcą osiągnąć. Im bardziej złożony przypadek użycia, tym trudniej będzie rozpoznać i przewidzieć zagrożenia i tym bardziej złożona będzie Twoja strategia i operacje bezpieczeństwa IT.


Oto kilka najlepszych praktyk, które należy wziąć pod uwagę podczas eksploracji różnych narzędzi i metod analizy bezpieczeństwa

  • Zdefiniuj, ustal priorytety i sklasyfikuj kluczowe przypadki użycia dla Twojej organizacji.


  • Dokonaj ewidencji możliwości swojego istniejącego oprogramowania.


  • Poszukaj rozwiązań, które uzupełniają i rozszerzają istniejące systemy.


Zacznij prosto. Zidentyfikuj luki w aktualnej analizie bezpieczeństwa, które kolidują z twoją wizją cyberbezpieczeństwa w organizacji.


Następnie poszukaj rozwiązania, które wzbogaci Twoje obecne rozwiązania i pozwoli odpowiedzieć na następujące pytania:


  • Które informacje są wrażliwe? Gdzie to się znajduje? Czy to jest zagrożone?


  • Kto ma dostęp do wrażliwych danych? Jak mogę zaradzić nadmiernemu dostępowi?


  • Kto ma dostęp do wrażliwych danych? Czy jest jakaś niewłaściwa aktywność użytkownika uprzywilejowanego?


  • Czy muszę zgłaszać naruszenie danych? Jak mogę szybciej podjąć świadomą decyzję?


  • Jakie dane należałoby odzyskać w przypadku naruszenia bezpieczeństwa? Jak można było zatrzymać incydenty?


Dzięki wdrożeniu systemów dających Ci odpowiedzi na powyższe pytania, możesz usprawnić dochodzenie, skrócić czas reakcji na przewidywane zagrożenia, określić wagę naruszenia i przekształcić wszystkie informacje zebrane podczas włamania w spostrzeżenia, które wzmocnią Twoją infrastrukturę bezpieczeństwa przed podobnymi incydentami w przyszłości. Powodzenia!

Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.