Киберпреступность представляет все большую опасность для бизнеса и правительств. Данные свидетельствуют о быстром росте числа (на 11% больше с каждым годом 1) и изощренности атак, а также о понесенных деловых затратах. (5,52 миллиона долларов-это средняя общая стоимость нарушения для предприятий с численностью сотрудников более 25 000 человек и 2,64 миллиона долларов для организаций с численностью сотрудников менее 500 человек). Хотя увеличение инвестиций в кибербезопасность (+10%, 60,2 млрд долл.3) привело к повышению уровня защиты, абсолютной безопасности не существует, и организации не могут позволить себе ждать атаки, а затем предпринимать действия, давая злоумышленникам время для получения доступа к корпоративной сети.
Один раз проникнув внутрь периметра, для достижения своих целей злоумышленники часто используют законные механизмы и скрывают свою деятельность в обычном сетевом трафике. В зависимости от уровня безопасности сети, противнику часто предоставляется достаточно времени для выполнения своей работы.
Киберохота активно ищет киберугрозы, которые остаются незамеченными в корпоративной сети. Чтобы найти злоумышленников в вашей среде поиск угроз необходимо углублять. После проникновения злоумышленник может незаметно оставаться в сети в течение нескольких месяцев, терпеливо ожидая возможности украсть данные, раскрыть конфиденциальную или личную информацию или обнаружить ключевые идентификаторы и получить учетные данные для входа, которые позволят ему перемещаться по среде . Как только противнику удается избежать обнаружения и атака началась, многие организации, которым не хватает необходимого бюджета, технологий, процессов, и, прежде всего, команды экспертов, не в состоянии предотвратить и обнаружить атаку. Это делает невозможным создавать и наращивать свою оборону с той же скоростью, с какой развивается киберпреступность. По мере роста числа успешных кибератак крайне важно занимать активную позицию для их обнаружения. Вы не можете просто пассивно подходить и надеяться на автоматическое оповещение, которое сообщит вам, что вы были взломаны. Вам необходимо активно выявлять потенциально вредоносное поведение в вашей сети, выслеживая индикаторы атаки (IoAs), чтобы вы могли как можно быстрее обнаружить и локализовать инцидент.
Непрерывный мониторинг активности конечных точек от WatchGuard позволяет агенту действовать в качестве датчика и информировать облачную платформу не только о запускаемых файлах, но и об их контексте выполнения (что произошло непосредственно перед этим, какие пользователи пытаются запустить, какую команду или приложение, какой сетевой трафик генерируется, к каким файлам данных осуществляется доступ, параметры и т.д.). Это позволяет вашей Службе поиска угроз идентифицировать аномальное поведение и подозрительную активность и их без ложных срабатываний. Чтобы повысить производительность аналитиков и предотвратить нарушения мы внедрили платформу MITRE ATT&CK ™ (доступную во всем мире базу знаний о тактике и методах противника, основанную на реальных наблюдениях) в несколько процессов и функций безопасности конечных точек WatchGuard. Приняв эту структуру, мы включили следующие конкретные этапы IoAs в решения WatchGuard EPDR и WatchGuard EDR.
Даже если конечные точки, возможно уже были скомпрометированы, о бнаружение IOAS до того, как данные будут эксфильтрированы (или зашифрованы в случае атаки вымогателей), является очень эффективным механизмом защиты, особенно от атак типа LotL. WatchGuard EDR и WatchGuard EPDR интегрируют в рамках одного и того же агента защиты полный технологический стек для обнаружения IOAS на разных этапах атаки. Это не статичные технологии, они постоянно обновляются новыми моделями атак и методами, которые обнаруживаются Службой поиска угроз. Хакеры запускают чрезвычайно сложные кибератаки. Нет никаких мер безопасности, которые могли бы обеспечить 100% - ную защиту. В частности, все большую озабоченность вызывают атаки без файлов, которые все труднее обнаружить. Но хакеры все еще могут оставлять следы, которые позволяют нам обнаруживать неизвестные атаки.
Служба автоматического поиска угроз WatchGuard непрерывно отслеживает все, что происходит в конечных точках в режиме реального времени в виде телеметрии событий. В случае подтвержденного нарушения с использованием неизвестной техники атаки, индикатор атаки отображается и записывается в веб-консоли. Атаки грубой силы RDP, повышение привилегий, атаки без файлов и перемещения являются примерами IOAS, обнаруженных благодаря службе поиска угроз.
Наша служба поиска угроз, включенная в WatchGuard EDR и WatchGuard EPDR, основана на наборе правил поиска, созданных специалистами по угрозам, которые автоматически обрабатываются на основе всех данных, собранных с помощью телеметрии, что запускает IOAS с высокой степенью достоверности и низким уровнем ложных срабатываний для минимизации MTTD и MTTR (Среднее время обнаружения и Среднее время реагирования).Эти показатели атаки являются результатом непрерывного процесса выявления субъектов угроз с использованием расширенной аналитики данных, нашей собственной информации об угрозах и опыта наших аналитиков.
Эта услуга использует всю информацию о кибератаках, которую мы усовершенствовали благодаря нашему многолетнему опыту в области исследований угроз, обеспечиваемой реестром поведения приложений, в котором более 10 миллиардов событий в день от разных пользователей и машин в течение более 30 лет. У нас есть стратегические альянсы с международными организациями, такими как Альянс по киберугрозам, где мы обмениваемся показателями атак (IoAs), показателями компромисса (IOC) и их соответствующими ответными мерами. Если они сталкиваются с аномальной ситуацией, клиент уведомляется через веб-консоль, показывая подробную информацию и графики аномалии, предоставляя анализ затронутых систем, происхождение атаки и используемые методы. Они также дают рекомендации о том, как смягчить атаку и уменьшить площадь атаки, чтобы избежать попадания в будущие атаки.
Более подробную информацию о решении запросить тут: https://b24-qjb185.bitrix24.site/registratsiya/
