In zilele noastre nu mai este suficienta simpla stabilire a unor mecanisme de securitate pentru a preveni amenintarile de tip malware – este la fel de important sa se implementeze masuri care ajuta la detectarea amenintarilor daca si cand apar.
Cu alte cuvinte, mecanismele de detectare va pot ajuta sa implementati metode eficiente de prevenire. Trebuie sa aveti la dispozitie politici si controale astfel incat sa fie detectate toate tipurile de intrusi – tehnici si non-tehnici.
Desi este dificil sa se detecteze amenintarile non-tehnice din interior prin utilizarea de software sau instrumente, o aplicatie software este cel putin capabila sa implementeze o logica asupra sistemelor tinta pentru a detecta amenintarile tehnice.
Exista mai multe produse disponibile care ofera mecanisme de detectare imbunatatite pentru a evita incalcarile si riscurile de securitate intr-un mediu de productie. De exemplu, prin activarea inregistrarii video, puteti fi avertizat de orice activitati suspecte care ar putea sa aiba loc in sistemele vizate. In mod similar, prin implementarea unor reguli cheie pentru a verifica modificarile aduse grupului de securitate, puteti fi avertizat cand sunt adaugati si eliminati membrii.
In timp ce puteti intotdeauna sa dezvoltati politici si proceduri robuste de securitate cibernetica, va trebui in continuare sa implementati un instrument sau un software care va ajuta sa detectati amenintarile inainte ca atacurile sa aduca daune semnificative afacerii dvs. Aceste instrumente vor furniza unele sau toate din urmatoarele masuri de securitate:
Activarea inregistrarii video si a alertelor – Inregistrarile video ofera dovezi explicite si date suficiente pentru a raspunde la o amenintare. Puteti afla cu usurinta actiunile pe care le-a luat un utilizator pe un PC, ceea ce va ajuta sa intelegeti daca incidentul a fost un atac rau intentionat sau daca utilizatorul a efectuat in mod eronat anumite actiuni.
Urmarirea modificarilor facute unui grup – Intr-un mediu IT vast, este posibil sa fi creat sute de grupuri de securitate si este posibil ca mai multe echipe IT sa aiba grija de sarcinile operationale pentru unitatile lor de afaceri. Ca rezultat al dimensiunii mari a intreprinderii, devine importanta urmarirea modificarilor aduse grupurilor critice de securitate. De exemplu, Domain Admins este un grup critic de securitate si este posibil sa nu doriti sa permiteti membrilor neautorizati sa faca parte din acest grup, deoarece oricine face parte din grupul de securitate Domain Admins poate obtine controlul deplin asupra unui domeniu Active Directory.
Detectarea si monitorizarea accesului datelor sensibile – Angajatii sunt autorizati sa acceseze fisierele si resursele situate pe serverele de fisiere atata timp cat li s-a permis accesul la aceste date. Este important sa intelegeti ca orice utilizator care nu are acces la datele de pe serverul de fisiere va avea ca rezultat “incercari de citire esuate”. Este necesar sa se detecteze incercarile de citire esuate pentru a se cunoaste de ce utilizatorii au incearcat sa acceseze datele de pe un server de fisiere pentru care nu au acces deplin.
Detectarea activitatilor de conectare nereusite – Intr-un mediu mare, este destul de dificil sa obtineti vizibilitate in toata activitatea de conectare a unui cont. Utilizand un instrument de audit, puteti intelege incercarile de conectare nereusite efectuate de utilizatori, cu detalii complete, cum ar fi controlerul de domeniu si locatia in care a avut loc evenimentul, tipul de logare (interactiv sau non-interactiv), data si ora cand evenimentul care a avut loc si cauza posibila a esecului de conectare. Un instrument de audit poate afisa conturile care au efectuat prea multe logari intr-o perioada scurta de timp, ceea ce ar putea indica un posibil atac malware sau un intrus care incearca sa se conecteze la sisteme.
Este important sa nu omiteti detalii atunci cand lucrati la un program de securitate cibernetica. De exemplu, s-ar putea sa fi implementat politicile necesare pentru a bloca copierea documentelor de afaceri pe stick-uri USB si hard disk-uri externe, dar ati fi uitat sa educati angajatii cu privire la securitatea cibernetica in ceea ce priveste reactia la o amenintare in timp util.
In mod similar, este posibil sa fi efectuat modificari in politicile de securitate pentru a permite numai persoanelor cunoscute sa faca parte din grupul de securitate local al administratorilor, dar este posibil sa fi uitat sa implementati un model RBAC pentru controlul accesului la sisteme.
Cand implementati controale si politici, de multe ori vi se va solicita sa implementati un program de securitate la nivel de companie si politici care sa contribuie la protejarea intreprinderii impotriva tuturor amenintarilor din interior. De exemplu, educarea angajatilor pentru a nu se conecta la mai multe masini folosind acelasi nume de utilizator si aceeasi parola. O solutie mai buna ar fi sa instalati un software care poate limita conectarea unui utilizator la o singura masina.
[…] SPOILER are nevoie de acces in sistemul victimei, care poate fi obtinut prin clasicele atacuri malware sau […]