12 жовтня, 2018

Як може компанія зрозуміти, чи є вона об’єктом кібератаки?

Сьогодні будь-яка організація має усвідомити той факт, що зловмисники завжди подолають периметр захисту її інфраструктури. Це очевидно хоча б тому, що у них, якщо поставлена така задача, є нескінченна кількість спроб та способів обійти системи активного захисту периметру. І перш ніж їх виявлять, зловмисники перебувають у комп’ютерній мережі в середньому 6-16 місяців. Процес їх виявлення досить дорогий, комплексний і тривалий. Тому, щоб відповісти на запитання, чи знаходяться зловмисники в мережі компанії, потрібно провести складну і дорогу роботу.


Компанія ISSP вже 10 років працює у сфері кібербезпеки. Ми вивчаємо спосіб мислення і діяльність зловмисників, досліджуємо, як вони проникають в комп’ютерні мережі, як долають периметри, і знаходимо нові шляхи їх виявлення. Наприклад, зараз ми ведемо дві дослідницькі програми з Лабораторією комп’ютерних наук і штучного інтелекту Массачусетського технологічного університету, ділимося своїм досвідом, переймаємо досвід колег.


Якщо подивитися на медичну галузь, то лікування будь-якого хворого починається з встановлення точного діагнозу. Свого часу проривним методом у цьому процесі став метод лабораторного аналізу крові. Він дозволяє визначити її точний хімічний склад і зрозуміти, які процеси відбуваються в організмі. Будь-які зміни в організмі безперечно будуть мати відображення у зміні хімічного складу крові. Щоб з’ясувати, чи є певна організація скомпрометованою, потрібен подібний метод аналізу. Такий же точний, простий і доступний, коли можна принести зразок своєї «цифрової крові», здати його в лабораторію і отримати «діагноз».


Ми кілька років працювали над рішенням цієї задачі, й результатом нашої роботи став проект GuardYoo. Його суть полягає в тому, що в нашу цифрову лабораторію завантажуються журнали подій із серверів організації, там вони ретельно аналізуються, після чого формується звіт. Такі системні журнали зазвичай зберігають інформацію за період від однієї доби до кількох років. Тобто ми аналізуємо два роки найменших змін, що відбувалися в роботі комп’ютерних систем, розробляємо моделі нормальної поведінки, виявляємо аномалії, помилки, свідчення компрометації. Вся ця інформація дає можливість отримати відповіді на ключові запитання: чи є зловмисники в мережі організації, чи знаходиться вона з зоні ризику, тобто чи є аномалії, що потребують додаткового дослідження, і чи є компанія достатньо зрілою в організації своєї кібербезпеки, в тому числі чи виконує вона положення відповідних вимог і стандартів.


За допомогою GuardYoo провести таку перевірку компрометації вже сьогодні може компанія будь-якої галузі та розміру. Цей сервіс дуже простий, зрозумілий і доступний. Ним уже скористалися понад півсотні великих і середніх компаній у енергетичній, транспортній, фінансовій, виробничій та промисловій галузях в Україні та світі.

arrow&v

Washington DC

1300 I Street NW

Suite 400E, Washington

District of Columbia, 20005

+1 202 749 8432

Kyiv

 

10/14 Radyscheva St., Kyiv

Ukraine, 03124

+380 44 594 8018

Tbilisi

 

33b Ilia Chavchavadze ave, 0179, Tbilisi, 

Georgia
+995 32 224 0366

Wrocław

 

1 Grabarska st., 50-079  Wrocław,

Poland

+48 71 747 8705

Almaty

808V, 165B Shevchenko St, 050009, Almaty,

Kazakhstan

+7 727 341 0024

Vancouver

 

Suite 2600, Three Bentall Centre 
595 Burrard St., PO Box 49314 
Vancouver BC V7X 1L3 Canada
+1 289 968 4454

i n f o @ i s s p . c o m

© 2020 by ISSP - Information Systems Security Partners