Logo McAfee
McAfee

Łowcy zagrożeń (threat hunters) i nowy typ zespołu ds. bezpieczeństwa szansą na walkę z cyberprzestępcami. Raport McAfee

08.08.2017
Firmy powinny rozbudować swoje działy ds. bezpieczeństwa IT o nowy typ specjalistów – tzw. threat hunters, czyli łowców zagrożeń. Połączenie wiedzy i doświadczenia takich pracowników z innowacyjną technologią pozwoli efektywnie wykrywać i eliminować zagrożenia czyhające na firmy w cyberprzestrzeni. Tak wynika z najnowszego raportu przygotowanego przez McAfee pt. Disrupting the Disruptors, Art or Science?.

Specjaliści od zabezpieczeń codziennie walczą o to, aby wyśledzić przestępców, którzy zakłócają działanie organizacji. Atakujący prawie zawsze mają po swojej stronie element zaskoczenia, jednak threat hunting, czyli polowanie na zagrożenia, może zmienić wynik tej rywalizacji.

Najnowszy raport McAfee stwierdza, że inwestycja przedsiębiorstw w nową rolę, jaką są łowcy zagrożeń, pozwala skuteczniej zamykać sprawy związane z bezpieczeństwem w firmach i identyfikować zagrożenia.

- Branża cyberbezpieczeństwa dojrzewa i za pięć lat będzie wyglądała zupełnie inaczej niż dziś. Według nas przyszłością w walce z cyberprzestępcami jest tworzenie nowych modeli zespołów ds. bezpieczeństwa w firmach, tzw. operacyjnych centrów bezpieczeństwa (ang. Security Operation Center, SOC), które oparte będą na interakcji człowiek-maszyna – mówi Arkadiusz Krawczyk, Country Manager w McAfee Poland. – Dużą rolę w nich będą spełniać właśnie doświadczeni łowcy zagrożeń i zaawansowana technologia, która w naszym przypadku koncentruje się na całym cyklu życia procesu ochrony przed atakiem.

Specjaliści przygotowujący raport McAfee zbadali pracę operacyjnych centrów bezpieczeństwa (SOC) na czterech etapach rozwoju (minimalnym, proceduralnym, innowacyjnym i wiodącym) i doszli do wniosku, że zaawansowane centra poświęcają o 50% więcej czasu na wykrywanie zagrożeń w porównaniu z innymi zespołami.

Łowca zagrożeń

Polowanie na zagrożenia staje się kluczową strategią w cybernetycznej walce. Łowca zostaje częścią zespołu ds. bezpieczeństwa i bada zagrożenia, korzystając z różnych wskazówek, śladów, podpowiedzi, hipotez i przede wszystkim bazując na swoim doświadczeniu z wielu lat ścigania cyberprzestępców. Zdobytą podczas wewnętrznego śledztwa wiedzę przekształca na skrypty i reguły – automatyzuje infrastrukturę w obszarze zabezpieczeń i personalizuje technologię.

- Organizacje muszą opracować plan działania ze świadomością, że zostaną zaatakowane przez cyberprzestępców – tłumaczy Raja Patel, wiceprezes i dyrektor generalny Corporate Security Products w McAfee. – Łowcy zagrożeń pozwalają zdobyć przewagę nad hakerami i cyberprzestępcami, ale sukces osiągną tylko wtedy, gdy interakcja człowiek-maszyna, czyli połączenie wiedzy i doświadczenia łowcy zagrożeń z innowacyjną technologią, pozwoli efektywnie wykrywać i eliminować zagrożenia.

Badania pokazują, że tego modelu operacji w zakresie identyfikacji, reagowania i zapobiegania cybernetycznym zagrożeniom wiodące organizacje używają ponad dwa razy częściej w procesie dochodzenia niż organizacje na minimalnym etapie zaawansowania (75% / 31%).

Kluczowe wnioski z raportu

Wyniki


• 71% operacyjnych centrów bezpieczeństwa (SOC) zamyka dochodzenia w sprawie incydentów szybciej niż w tydzień. 37% potrzebuje na to mniej niż 24 godziny.
• Wiodący specjaliści w zakresie polowania na zagrożenia są w stanie określić przyczynę ataku w 90% przypadków (u mniej zaawansowanych łowców wykrycie przyczyny ma wskaźnik 20%).
• W zakresie wykorzystania sandboxingu, usprawnienia przepływu pracy, oszczędności czasu i pieniędzy oraz gromadzenia informacji niedostępnych z innych rozwiązań bardziej zaawansowane operacyjne centra bezpieczeństwa generują o 45% więcej wartości niż centra na minimalnym poziomie rozwoju.

Strategie

• 68% ankietowanych uważa, że lepsza automatyzacja i usprawnione procedury wykrywania zagrożeń mają kluczowe znaczenie w organizacji.
• Dojrzalsze operacyjne centra bezpieczeństwa dwa razy częściej automatyzują elementy śledztwa w sprawie przeprowadzonego ataku.
• Łowcy zagrożeń w rozwiniętych centrach poświęcają o 70% więcej czasu na personalizację narzędzi oraz technik.

Taktyka

• Łowcy zagrożeń w dojrzałych operacyjnych centrach bezpieczeństwa poświęcają o 50% więcej czasu na swoje kluczowe działanie, czyli polowanie na zagrożenia.
• Sandboxing jest narzędziem numer 1 dla analityków pierwszej i drugiej linii w operacyjnym centrum bezpieczeństwa, natomiast osoby wyżej w hierarchii w pierwszej kolejności używają zaawansowanego narzędzia do analizy złośliwego oprogramowania oraz rozwiązań typu open source. Inne standardowe narzędzia to SIEM, wykrywanie i reagowanie w punkcie końcowym (Endpoint Detection and Response) oraz analiza zachowania użytkowników.
• Centra na wyższym poziomie zaawansowania używają sandboxingu dwa razy częściej niż centra na etapie początkowym, namierzając nie tylko te zagrożenia, które trafiają do sieci ukryte w plikach.

Metodologia badania

Badanie zostało przeprowadzone wiosną 2017 roku. Ankietę wypełniło 700 pracowników z sektora IT i bezpieczeństwa z różnych krajów, branż i rozmiarów organizacji. Uczestnicy ankiety pracowali dla firm zatrudniających ponad 1000 osób. Respondenci to łowcy zagrożeń pochodzący z Australii, Kanady, Niemiec, Singapuru, Wielkiej Brytanii i Stanów Zjednoczonych.

Raport przygotowany przez McAfee pt. Disrupting the Disruptors, Art or Science?.

McAfee Rekordowy wzrost cyberataków w sektorze medycznym - Nowy raport McAfee Labs

W każdej minucie pojawia się aż 478 nowych zagrożeń cybernetycznych, wynika z najnowszego raportu McAfee Labs Threats Report: March 2018. Wiele z nich dotyka sektor medyczny – w 2017 roku liczba ujawnionych incydentów bezpieczeństwa w tej branży wzrosła o 211%. Wzrosły też ilości próbek ransomware (o 59% w skali roku) oraz złośliwego oprogramowania dla systemu Mac OS (58%). czytaj więcej

News Cyberprzestępstwa kosztują światową gospodarkę 600 miliardów dolarów! Banki wciąż ulubionym celem ataków

Cyberprzestępczość ma coraz większy wpływ na gospodarki całego świata, wynika z raportu firmy McAfee oraz amerykańskiego Centrum Studiów Strategicznych i Międzynarodowych (CSIS). Opublikowany właśnie dokument „Economic Impact of Cybercrime – No Slowing Down” podaje, że przestępstwa cybernetyczne kosztują firmy prawie 600 miliardów dolarów, czyli 0,8% globalnego PKB. W 2014 roku straty te szacowano na 445 miliardów USD. Ulubionym celem cyberprzestępców pozostają banki. czytaj więcej

McAfee Z jakimi cyberzagrożeniami będziemy mierzyć się w 2018 roku? Prognozy McAfee Labs

Co czeka nas w 2018 roku? Eksperci z firmy McAfee przewidują trendy w cyberzagrożeniach w raporcie McAfee Labs 2018 Threats Predictions Report. Według nich 2018 rok przyniesie ewolucję ransomware i rozwój rynku ubezpieczeń od ryzyka cybernetycznego; naruszenia prywatności wynikające z monitorowania konsumentów w ich własnych domach oraz zmiany w wykorzystaniu treści cyfrowych generowanych przez dzieci. czytaj więcej

McAfee Jak firmy tracą dane i jak GDPR może pomóc przedsiębiorcom uporać się z tym problemem? Poradnik McAfee

Według 2016 Data Protection Benchmark Study przebadane firmy wykrywają średnio 17 przypadków wycieku danych dziennie. Badania McAfee pokazują, że ok. 40 proc. z nich spowodowanych jest utratą urządzeń fizycznych, takich jak laptopy czy smartfony. W 59 proc. sytuacji firmy tracą dane, ponieważ są atakowane z zewnątrz, za podobną liczbę przypadków odpowiadają – świadomie lub nie – osoby związane z firmą. Do tego – ponad 50% incydentów wycieku danych zauważają i zgłaszają nie firmy, a podmioty zewnętrzne. To nie są dobre statystyki w świetle zmian w GDPR. czytaj więcej

McAfee Intel Security znów jest firmą McAfee

McAfee ogłasza nowy etap swojej działalności. Znów jest samodzielną firmą, która w nowej odsłonie będzie rozbudowywać swoją platformę do zabezpieczeń przed cyberzagrożeniami. Wszystko po to, aby w myśl hasła „Together is Power” umożliwić jeszcze skuteczniejszą identyfikację zagrożeń i koordynować działania zaradcze i naprawcze. czytaj więcej