Когда мы думаем о кибербезопасности, большинству из нас представляются срабатывающие сигнализации, программное обеспечение, сканирующее систему на наличие вирусов, и брандмауэры, не пропускающие злоумышленников. Обнаружение и реагирование — это основные инструменты любой современной стратегии безопасности, и это вполне оправданно. Они помогают нам выявлять угрозы, быстро их устранять и возвращаться к работе.
Но есть один нюанс: сосредоточение внимания только на обнаружении и реагировании подобно вождению автомобиля, глядя исключительно в зеркало заднего вида. Вы можете увидеть проблемы, когда они уже произошли, но упускаете возможность понять, что их вызвало и как их избежать в будущем.
В кибербезопасности этап расследования — это место, где происходит настоящая магия. Именно здесь вы копаете глубже, смотрите за пределы поверхности и задаете сложные вопросы: Как это произошло? Почему это сработало? Что это значит в более широком смысле? Правда в том, что слишком много организаций тратят большую часть своего времени на попытки обнаружить угрозы и отреагировать на них, не вкладывая средства в более глубокое понимание, которое приходит с тщательным расследованием.
Проблема чрезмерного внимания к обнаружению
Представьте, что вы столкнулись с протечкой в вашем доме. Вы замечаете, что вода поднимается, поэтому хватаете швабру и начинаете убирать. Но если вы никогда не выясните, откуда идет утечка, это лишь вопрос времени, когда проблема вернется. В кибербезопасности обнаружение — это швабра, важная для предотвращения немедленного ущерба, но не долгосрочное решение.
Инструменты обнаружения, такие как системы обнаружения вторжений (IDS) и брандмауэры, имеют решающее значение. Они предупреждают вас об угрозах, выявляют вредоносные действия на ранней стадии и помогают предотвратить катастрофу. Но они по своей природе реактивны. Они предназначены для поиска известных проблем, знакомых закономерностей, того, что уже было обнаружено и задокументировано. Это отлично подходит для предотвращения очевидных вещей, таких как попытки хакеров грубой силой проникнуть в систему, но не так эффективно против вещей, которые являются более тонкими или сложными.
В чем реальная проблема? Многие из сегодняшних самых опасных угроз — это те, которые нелегко обнаружить на радарах обнаружения.
Подумайте о расширенных устойчивых угрозах (APT), которые остаются скрытыми в течение нескольких месяцев, или атаках нулевого дня, которые используют уязвимости, о существовании которых никто даже не подозревал. Эти угрозы могут проскользнуть прямо мимо систем обнаружения, потому что они не действуют очевидным образом. Вот почему в этих случаях одного обнаружения недостаточно. Это только первый шаг.
Расследование: где кроются настоящие идеи
Вот тут-то и вступает в дело расследование. Думайте о расследовании как о части, где вы понимаете всю историю. Это похоже на детективную работу: не просто смотреть на следы, а выяснять, откуда они взялись, кто их оставляет и почему они вообще пытаются проникнуть внутрь. Вы не можете остановить кибератаку одним только обнаружением, если не понимаете, что ее вызвало или как она работала. И если вы не знаете причину, вы не можете адекватно отреагировать на обнаруженную угрозу. Расследование рассматривает такие вещи, как:
- Какие уязвимости были использованы?
- Как злоумышленники получили доступ в первую очередь?
- Что они сделали, оказавшись внутри?
- Каковы долгосрочные последствия: украли ли они данные или просто вызвали хаос?
Погружаясь глубоко в данные на уровне пакетов, следователи могут нарисовать полную картину атаки, раскрывая вещи, которые могут быть не сразу очевидны. Этот уровень понимания необходим для защиты от будущих угроз. Речь идет об извлечении уроков из случившегося, а не просто о реагировании на это.
Почему мы это упускаем и почему не должны
Есть причина, по которой так много организаций сосредотачиваются на обнаружении и реагировании. Их легко измерить, и они дают быстрые, видимые результаты. Но вот в чем дело: когда мы прилагаем все усилия к обнаружению и реагированию, мы упускаем более важные уроки, которые может преподать нам расследование.
Возьмем такую аналогию: представьте, что вы пытаетесь предотвратить пожар, только ища дым. Если вы сосредоточитесь только на том, чтобы поймать дым, когда он поднимается, вы никогда не узнаете, где начался пожар. Может быть, это был неисправный провод или незамеченная искра на чердаке. Вы реагируете, но не решаете основную причину.
То же самое и с кибербезопасностью. Когда мы просто обнаруживаем и реагируем, мы можем упустить истинную причину проблемы, что делает нас уязвимыми для повторения тех же проблем. Расследование — это единственный способ выявить слабые места в вашей защите, извлечь уроки из своих ошибок и со временем улучшить ситуацию.
Истинная цена упущенного расследования
Цена пренебрежения расследованием выходит за рамки простого упущения угрозы. Речь идет об упущенных возможностях для обучения и роста. Каждая атака предлагает урок. Расследуя весь масштаб нарушения, вы получаете знания, которые не только помогают в реагировании на этот инцидент, но и готовят вас к защите от будущих. Речь идет о создании устойчивости, а не просто о реакции.
Подумайте об этом: если вы никогда не расследуете инцидент тщательно, вы, по сути, игнорируете основной риск, который позволил угрозе процветать. Вы можете залатать дыру, которая была использована, но у вас не будет четкого понимания того, почему она вообще там была. И в следующий раз злоумышленники могут найти другой способ проникновения.
Более широкая картина: кибербезопасность как непрерывный процесс обучения
Вот более глубокий смысл: кибербезопасность — это не предотвращение каждой отдельной атаки; это нереальная цель. Речь идет о понимании ваших уязвимостей, адаптации и улучшении с течением времени. Расследование — это инструмент для непрерывного совершенствования.
Рынок был сосредоточен на обнаружении и реагировании, и не зря. Это имеет решающее значение для смягчения непосредственного риска. Но они должны быть частью более широкого, более рефлексивного процесса, который включает в себя расследование, этап, который позволяет вам учиться на прошлом и готовиться к будущему. В долгосрочной перспективе это настоящий ключ к созданию устойчивой системы безопасности.
Заключительные мысли: сдвиг в мышлении
Когда мы смотрим в будущее кибербезопасности, пришло время для сдвига в мышлении. Вместо того чтобы просто реагировать на угрозы, давайте сосредоточимся на их понимании: расследовании первопричин, выявлении закономерностей и использовании этих знаний для укрепления нашей защиты. Цель должна состоять не только в том, чтобы остановить атаку, но и в том, чтобы извлечь из нее уроки и создать более совершенную систему в будущем.
Если мы сможем принять этот образ мышления, мы будем гораздо лучше подготовлены к предстоящим вызовам. В конце концов, лучшая защита от завтрашней атаки — это не просто обнаружение ее, когда она произойдет. Это понимание ее еще до того, как она начнется.
Узнайте, как NETSCOUT Omnis Cyber Intelligence может помочь, обеспечивая всестороннюю видимость сети с помощью масштабируемой глубокой проверки пакетов (DPI) для более эффективного обнаружения угроз, расследования и реагирования на них.
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/6
Автор – Cheryl Giangregorio
