Datanet » NOUTĂȚI ȘI EVENIMENTE » Știri și noutăți » Threat Intelligence, elementul cheie pentru o protecție cibernetică eficientă
SOITRON GROUP
Menu
Datanet » NOUTĂȚI ȘI EVENIMENTE » Știri și noutăți » Threat Intelligence, elementul cheie pentru o protecție cibernetică eficientă
Threat Intelligence, elementul cheie pentru o protecție cibernetică eficientă

Atacatorii de astăzi sunt tot mai sofisticați, reușind să dispună de resursele necesare pentru a utiliza tehnologii de top, inclusiv Cloud și Inteligență Artificială. Însă, de cealaltă parte a baricadei, organizațiile publice şi private se bazează pe aceleaşi silozuri IT lipsite de interconectivitate și alcătuite din soluţii eterogene. Complementar, în majoritatea cazurilor, departamentele IT nu au resurse specializate pe securitate informatică. În această conjunctură, companiile au nevoie de Threat Intelligence, o abordare nouă care se bazează pe colectarea, procesarea și analiza datelor pentru a înțelege motivația, țintele și comportamentul atacatorilor.

 

Prezentă la seminarul ”THE GLOBAL THREAT LANDSCAPE” organizat de Datanet Systems, Valentine Ouaki, Strategic Threat Advisor pentru Europa de Sud-Est la CrowdStrike, afirmă că:

în securitatea cibernetică actuală, elementul cheie este cunoașterea adversarului, a motivației acestuia, a tacticilor și tehnicilor folosite. Doar astfel o companie poate avea o perspectivă corectă asupra amenințărilor, pentru a-şi putea adapta rapid măsurile de protecție şi a reacționa în timp util.

Utilizarea ”threat intelligence” permite companiilor să înțeleagă mai bine riscurile asociate securității cibernetice și să treacă de la un comportament reactiv la unul proactiv în lupta împotriva atacatorilor.

 

Cunoașterea adversarilor prin Threat Intelligence

În ultimii ani, motivația atacurilor cibernetice s-a schimbat profund. Însă, pentru că peste 60% dintre breșele de securitate sunt fără malware, identificarea atacatorilor şi a motivelor acestora devine tot mai dificilă. De aceea, serviciile de Threat Intelligence reprezintă singura cale de culegere a informaţiilor despre atacatori şi pregătirea unei protecții adecvate. În mod curent, există trei mari categorii de atacatori:

  • Hackeri, care reprezintă interesele unei națiuni, vizând cu precădere instituțiile publice şi infrastructura critică. Au devenit foarte activi în contextul geopolitic actual și sunt susținuți atât de Rusia (focus pe instituții publice şi reţele de energie) cât şi de China ( focus pe spionaj industrial cu precădere pe obiective tehnologice, furt de proprietate intelectuală şi crearea unor curente de opinie);
  • Grupări de tip cyber-crime, motivate cu precădere de câştiguri financiare prin furt de date și solicitare de recompense. Aceste grupări sunt responsabile pentru creșterea cu 82% a atacurilor de tip Ransomware și DataExtorsion în 2021.
  • Hacktiviști sau hackeri cu motivație ideologică sau politică. Aceștia utilizează frecvent atacuri de tip DDoS pentru a bloca site-urile unor organizații publice sau private. Grupul Killnet, responsabil de mai multe atacuri împotriva unor entități europene și americane, este cel mai cunoscut.

 

 

Conform datelor de Threat Intelligence colectate de CrowdStrike, în România sunt prezente toate aceste categorii, informații care pot fi confirmate, de altfel, și prin comunicările oficiale ale autorităților. Rapoartele CrowdStrike arată însă că, de cele mai multe ori, aceste grupări colaborează ca într-o structura de tip ”spider” pentru a avea rezultate mai bune şi au obiective specifice în funcţie de regiune sau țară.

În general, atacurile sunt coordonate de mai multe grupuri şi foarte rar sunt realizate izolat. Sarcinile în cadrul unui spider sunt bine definite, unii membri (acces brokers) ocupându-se de obținerea accesului inițial la resursele unei organizaţii: compromit reţele, exploatează vulnerabilități şi colectează date primare. Aceștia vând oportunitățile către alți membri ai grupului, care generează efectiv breșele și ulterior monetizează datele furate sau solicită răscumpărarea pentru sistemele IT criptate.

Conform CrowdStrike există un adevărat comerț în interiorul acestor grupări, cumpărătorii şi vânzătorii postează oferte cu oportunităţi de atac şi seturi de date furate. Un ecosistem de tip ”cybercrime as a service”, împotriva căruia abordările tradiționale de securitate au prea puţine efecte.

 

Protecție proactivă cu serviciile CrowdStrike

CrowdStrike s-a adaptat la acest peisaj şi s-a transformat dintr-un furnizor nișat pe „incident response” într-un pionier care a unificat soluţiile antivirus de nouă generaţie, cu Endpoint Detection and Response şi servicii 24/7 de Threat Intelligence şi Threat Hunting, într-o platformă unică și unitară. Funcționalitățile CrowdStrike sunt livrate prin intermediul unui agent light, care utilizează sub 1% din resursele sistemului şi se conectează la servicii cloud. Majoritatea funcționalităților adăugate în platformă sunt dezvoltate in-house, iar aria de Threat Intelligence a fost îmbogățită prin achiziția unor companii precum Humio, care este specializată în soluții de log-management avansat.

Un serviciu care exploatează Threat Intelligence este Digital Risk Monitoring. Specialiştii CrowdStrike monitorizează permanent sursele din darkweb şi livrează beneficiarilor alerte timpurii atunci când numele companiei sau al unor parteneri de afaceri, domeniul de activitate sau țara apar în schimburile de informaţii dintre grupurile de cybercrime. Aceste informaţii ajută companiilor să înțeleagă peisajul cyber-crime specific domeniului în care activează, atacatorii, precum și unelte şi tipurile de atac.

 

Complementar, CrowdStrike oferă CrowdStrike Falcon, o soluție din categoria EDR (Endpoint Detection and Response) pentru protecția echipamentelor terminale, prin blocarea proactivă a breșelor de securitate. Soluția colectează și corelează automat date de pe toate palierele de securitate: stații de lucru, e-mail, server, cloud și rețea și acoperă în egală măsură Windows, Mac și multiple distribuții Linux.

Platforma CrowdStrike oferă o imagine de ansamblu asupra sistemului IT şi permite responsabililor de securitate să identifice modul concret de utilizare a oricăror resurse. Mai mult, platforma generează rapoarte care evaluează nivelul de risc şi impactul potențial şi face recomandări asupra măsurilor ce trebuie adoptate. Este un real ajutor pentru a fi cu un pas înaintea atacatorilor, printr-o corelare eficientă între inteligență şi tehnologie”, afirmă Tomica Mozina , Regional Alliances Manager în cadrul CrowdStrike.

De altfel, combinația de inteligență şi tehnologie este principalul diferențiator pentru CrowdStrike, alături de numeroși experți ai companiei care sunt foști angajați ai unor agenţii de investigații (FBI, spre exemplu). Astfel, CrowdStrike reușește să livreze nu doar o unealtă de securitate cibernetică, ci un mod de lucru flexibil și proactiv, adaptat la peisajul cybercrime actual.

Datanet Systems, în calitate de membru al Soitron Group, este partener CrowdStrike și vă poate oferi informații tehnice despre soluțiile Falcon, suportul necesar pentru punerea acestora în producție, precum și maximizarea securității organizației dumneavoastră.