Depistarea atacurilor informatice rămâne, încă, o provocare majoră pentru numeroase organizații. Conform analizelor realizate recent de către Institutul Ponemon, detectarea atacurilor informatice este înca prea lentă, durând în medie între 3 și 6 luni în sectoarele financiar-bancar și retail.
Realizat pe un esantion de 884 de profesionisti IT si specialisti in domeniul securitatii informatice din America de Nord si 14 tari din zona EMEA, studiul asupra vitezei de reactie in randul institutiilor financiare a relevat faptul ca acestea au nevoie, in medie, de 98 de zile pentru a depista un atac informatic avansat care a avut loc deja si de inca alte 26 pentru a remedia efectele acestuia, ceea ce inseamna un total de 124 de zile (peste 4 luni). In cazul sectorului de retail, rezultatele analizei Ponemon indica un interval de 197 de zile necesare pentru detectie, la care se mai adauga inca 39 pentru remediere, ceea inseamna un total de 236 de zile (aproximativ 8 luni) de la momentul lansarii atacului informatic.
Perceptii eronate
O posibila explicatie a intervalului de mare durata necesar depistarii atacurilor informatice o reprezinta diferenta majora dintre perceptia organizatiilor asupra nivelului lor de securitate si situatia reala. Decalaj evidentiat si confirmat de raportul anual Cisco pe zona de securitate, care a relevat faptul ca, desi 75% din cele 1.700 de companii participante la studiu si-au evaluat instrumentele si solutiile de securitate ca fiind “foarte” sau “extrem” de eficiente, doar 50% din acestea utilizau efectiv uneltele standard de update si instalare a patch-urilor pentru a preveni bresele de securitate si a rula versiunile actualizate ale aplicatiilor.
Confirmarea falsei perceptii vine si din partea unei recente analize RSA, a carei concluzie a fost ca 55% din companiile intervievate (170 de organizatii din 30 de tari) nu detin capabilitatile necesare depistarii si monitorizarii amenintarilor informatice avansate. Aceasta desi peste 90% dintre respondenti au indicat ca utilizeaza procese automatizate de actualizare a informatiilor pentru a reduce sansele unor posibile incidente de securitate, 72% ca dispun de solutii avansate de protectie malware, iar 42% ca folosesc instrumente complexe de analiza a retelei.
Linia Maginot reinventata
Ultimul studiu citat evidentiaza o a doua explicatie, complementara primeia: viteza redusa de reactie in cazul atacurilor informatice se datoreaza utilizarii unor tehnologii inadecvate. O situatie frecventa, pe care cei de la FireEye a exprima plastic prin analogia cu celebra Linie Maginot, demonstrand ca arhitecturile si solutiile de securitate traditionale nu mai sunt capabile sa faca fata amenintarilor informatice de noua generatie.
Pentru a valida acest verdict, FireEye a realizat o serie de studii-test care au urmarit verificarea nivelului de protectie in cazul unui atac informatic directionat. Rezultatul celei mai recente analize: 97% din sistemele informatice testate au fost compromise. (Testul a fost realizat pe un esantion de 1.214 de companii, din 63 de tari si peste 20 de industrii.)
Concluzia: noile tipuri de atacuri informatice reusesc sa “evite” instrumentele de securitate conventionale.
Tehnologii eficiente
Principiul actiunii si reactiunii functioneaza insa si in cazul securitatii informatice – noilor modele de atacuri informatice li se raspunde cu noi tehnologii de securitate.
Astfel, Cisco a reusit sa-si dezvolte rapid un portofoliu extins de solutii de securitate, capabil sa ofere o protectie completa in toate fazele atacului. Punctul forte ale firewall-urilor de noua generatie ASA propuse de Cisco consta in faptul ca acestea ofera nu doar o abordare proactiva a securitatii si o protectie ridicata in timpul atacurilor informatice, ci faciliteaza si interventia post-incident, permitand organizatiilor sa identifice rapid bresele de securitate si echipamentele si sistemele compromise, sa le izoleze si sa remedieze efectele in timp util.
O altfel de abordare a provocarilor de securitate este cea propusa de FireEye, care ofera prin intermediul solutiilor sale posibilitatea decelarii in timp cvasi-real a amenintarilor informatice, prin rularea traficului real de date dintr-o organizatie intr-un mediu complet izolat, care simuleaza mediul real de lucru. Tehnologia FireEye este astfel conceputa incat sa nu genereze nicio latenta in functionarea sistemelor informatice si este capabila sa ofere viteze de raspuns superioare in cazul decelarii unui incident informatic, de orice natura ar fi acesta, blocand dezvoltarea lui in stadiul incipient.
Sunt doar doua exemple dintr-o gama mai vasta si care se extinde constant, pentru ca echilibrul de forte se modifica rapid in domeniul securitatii informatice.
Solutiile si tehnologiile evolueaza continuu pentru a face noilor tipuri de provocari, insa, pentru le putea valorifica optim, la intregul lor potential, este nevoie interventia factorului uman, respectiv de specialisti cu competente si experienta reale.
Referinte:
- Advanced Threats in Financial Services: A Study of North America&EME – Ponemon Institute;
- Cisco 2015 Annual Security Report;
- RSA Breach Readiness Survey – Aprilie 2015;
- Cybersecurity’s Maginot Line: A Real-World Assessment of the Defense-in-Depth Model; Maginot revisited: More Real-World Results from Real-World Tests – FireEye;
Pentru mai multe informatii va rugam sa ne scrieti la adresa marketing@datanets.ro.