De ce fiecare VPN are nevoie de un SIEM puternic alături de el?

Publicat: 2020-08-05

Rețelele private virtuale au fost folosite de persoane și organizații în cea mai mare parte a două decenii. Un VPN creează un tunel securizat care permite ca informațiile criptate să fie transferate dintr-un punct în altul. În lumea afacerilor, face posibil ca angajații să se conecteze la rețeaua organizației lor și să trimită și să primească informații în siguranță. VPN-urile și-au asumat un rol mai mare, având în vedere munca din mediul de acasă în care ne aflăm.

Nu este clar cât timp vor lucra oamenii de acasă. Unele organizații au arătat deja că, chiar și după trecerea pandemiei, o parte din forța de muncă va lucra de la distanță. Faptul că mai mulți oameni lucrează de acasă a atras atenția infractorilor cibernetici. Ei văd că munca din mediul de acasă creează vulnerabilități pe care le pot exploata.

Cuprins arată
  • Atacurile cibernetice îndreptate către VPN-uri
  • Sunt necesare mai mult decât măsuri de securitate de bază
  • Cum poate beneficia o platformă SIEM organizația dvs.?
  • Cum ajută SIEM la atenuarea riscurilor de securitate într-un mediu de lucru de acasă?
  • Utilizarea SIEM pentru a detecta și a atenua daunele cauzate de Frauda CEO
  • Utilizarea informațiilor obținute de la SIEM pentru a îmbunătăți securitatea cibernetică

Atacurile cibernetice îndreptate către VPN-uri

securitate-cibernetică-protecție-confidențialitate-criptare-siguranță-parolă-firewall-acces

Citând din experți, Will Ellis de la Privacy Australia a văzut că una dintre principalele moduri prin care infractorii cibernetici își perpetează atacurile este încercarea de a pătrunde în VPN-urile. După cum a menționat el, „Din păcate, în multe cazuri, acestea au avut succes în ultimele luni. Acest lucru a determinat întreprinderile și instituțiile guvernamentale să înăsprească măsurile de securitate.”

De îndată ce infractorii cibernetici trec prin VPN și obțin acces la rețeaua unei organizații, sunt ca niște copii într-un magazin de bomboane. Ei pot naviga prin rețea și servicii. În timpul liber, pot căuta vulnerabilități, configurații greșite și slăbiciuni. Nu există nicio limită pentru daunele pe care infractorii le pot provoca odată ce au acces pentru a manipula date, distruge sisteme sau întrerupe datele sensibile în tranzit.

Recomandat pentru dvs.: VPN vs Proxy: Care sunt diferențele? Care este mai bun?

Sunt necesare mai mult decât măsuri de securitate de bază

siguranta-securitate-internet-parola-blocare-SIEM

Majoritatea organizațiilor folosesc deja pașii de bază recomandați pentru a-și îmbunătăți securitatea VPN. Aceasta include necesitatea unor parole puternice care sunt complexe, unice și se schimbă periodic. Aprovizionarea sau accesul de control bazat pe roluri înseamnă limitarea resurselor pe grupuri. Autentificarea cu mai mulți factori este, de asemenea, utilizată pentru utilizatorii privilegiați sau pentru cei care trebuie să acceseze date sensibile și software.

Importanța acestor pași nu trebuie redusă la minimum. O organizație s-ar păcăli dacă ar crede că acești pași de bază sunt tot ceea ce era necesar pentru a se proteja împotriva atacurilor de securitate cibernetică, care sunt în continuă creștere în sofisticare.

Atacurile sofisticate necesită o soluție sofisticată, cum ar fi o platformă de gestionare a informațiilor de securitate și a evenimentelor. SIEM-urile sunt instrumente responsabile cu colectarea și corelarea datelor din instrumentele de securitate pe care le utilizează o organizație, inclusiv VPN-ul lor.

SIEM-urile permit ca informațiile adunate de instrumente de securitate separate să fie compilate împreună pentru a oferi o perspectivă asupra amenințărilor de securitate care ar putea să nu fie ușor de adunat din analiza datelor separat. Aceste platforme pot ajuta o organizație să identifice evenimentele cu adevărat cu risc ridicat și să le separe de zgomot.

De exemplu, un angajat se poate conecta la un VPN din New York City. Patruzeci și cinci de minute mai târziu, același angajat se conectează la VPN-ul organizației din Minneapolis, MN. O platformă SIEM ar trebui să poată spune că acest lucru este imposibil din punct de vedere fizic și apoi să semnaleze acest lucru ca un comportament suspect care trebuie investigat.

Cum poate beneficia o platformă SIEM organizația dvs.?

pericol-securitate-amenințare-crima-cibernetică-escrocherie-virus-hack

Soluțiile SIEM oferă detectarea amenințărilor în timp real. Acestea măresc eficiența, reduc costurile, minimizează potențialele amenințări, îmbunătățesc raportarea și analiza jurnalelor și stimulează conformitatea IT. Deoarece soluțiile SIEM pot conecta jurnalele de evenimente de la diferite dispozitive și aplicații, personalul IT poate identifica, răspunde și revizui rapid potențialele breșe de securitate. Cu cât este identificată mai repede o amenințare de securitate cibernetică, cu atât poate avea un impact mai mic. Uneori, daunele pot fi prevenite în întregime.

Platformele SIEM permit unei echipe IT să aibă o imagine de ansamblu asupra tuturor amenințărilor de care o protejează instrumentele de securitate ale unei organizații. O singură alertă de la un filtru de malware sau antivirus ar putea să nu fie atât de mare, sau ar putea să nu tragă alarma. Cu toate acestea, dacă există o alertă de la firewall, filtru antivirus și VPN simultan, aceasta ar putea arăta că este în desfășurare o încălcare gravă. SIEM va colecta alerte din diferite locuri și apoi le va afișa pe o consolă centralizată, maximizând timpii de răspuns.

S-ar putea să vă placă: VPN vs RDS vs VDI: Ce să alegeți pentru un acces securizat de la distanță?

Cum ajută SIEM la atenuarea riscurilor de securitate într-un mediu de lucru de acasă?

SIEM-Security-Information-Event-Management

Pandemia de coronavirus a forțat organizațiile să treacă de la personalul de la fața locului la o forță de muncă complet la distanță mai rapid decât au fost reparate multe organizații. Acest lucru a însemnat că au trebuit să găsească un echilibru și, eventual, un compromis între furnizarea unui serviciu consistent clienților lor și menținerea unui nivel ridicat de securitate cibernetică.

Configurarea manuală a regulilor și a apărărilor care ar putea gestiona cu succes această schimbare necesită mult timp. Organizațiile care nu utilizau deja platformele SIEM au jucat un joc frustrant, periculos și costisitor de recuperare din urmă în primele câteva săptămâni de comenzi de acasă.

Organizațiile care foloseau deja SIEM ar putea trece mai ușor. Deoarece aveau un sistem cuprinzător care profita de analiza comportamentului și de învățarea automată, s-au putut adapta automat la schimbările din mediul de lucru. Acest lucru elimină mult stres de pe echipele lor IT.

Unul dintre beneficiile majore ale analizei comportamentului este capacitatea de a analiza o activitate normală de bază pentru o organizație și utilizatorii săi și apoi de a detecta și de a suna automat alarma atunci când există abateri de la acea activitate normală. În acest fel, controalele de securitate ale unei organizații sunt flexibile și se pot schimba pe măsură ce mediul de afaceri se schimbă. Se adaptează automat ca lucruri noi, cum ar fi modul în care angajații care lucrează de acasă a devenit noua normalitate.

Utilizarea SIEM pentru a detecta și a atenua daunele cauzate de Frauda CEO

tastatură-laptop-roșu-copy-hacking-cyber-security-data-SIEM

Mediul de lucru la domiciliu a făcut ca comunicarea prin e-mail să fie mai importantă decât oricând. Acest lucru se datorează faptului că interacțiunea față în față care facea parte din munca într-un birou a dispărut. Din nefericire, deoarece o serie de e-mailuri sunt trimise înainte și înapoi, există posibilitatea ca e-mailuri frauduloase să fie trimise în numele conducerii, directorilor sau altor persoane responsabile.

Frauda CEO este o formă relativ nouă de criminalitate cibernetică. Atacurile de inginerie socială sunt folosite pentru a păcăli o persoană din organizație pentru a trimite bani sau informații confidențiale persoanei sau persoanelor care comit fraude.

Frauda CEO a existat înainte de COVID-19. Se estimează că în doar trei ani ar putea produce pierderi de peste 2,3 miliarde de dolari. Când oamenii lucrau într-un mediu de birou în care aveau contact unu-la-unu cu conducerea, multe organizații au crezut în mod eronat că le este ușor să identifice singuri escrocherii prin e-mail.

Cu toate acestea, în examinarea cazurilor de fraudă a CEO-ului, este clar că mai multe e-mailuri au fost comunicate înainte și înapoi între fraudatori și victimă, fără ca victima să fie mai înțeleaptă. Frauda CEO este un tip de fraudă sofisticat și practic imposibil de prins fără instrumentele adecvate. Dacă a fost dificil de prins în mediul de birou relativ sigur, imaginați-vă că îl prinzi acum cu angajații dispersați și cantitatea de contact față în față redusă.

Frauda CEO se prezintă în două moduri. Unul este locul în care contul de e-mail al unui manager senior este piratat. Celălalt este locul în care un e-mail este trimis dintr-un domeniu care este similar cu domeniul comercial legitim. În primă instanță, fraudatorii vor compromite conturile de e-mail ale angajaților seniori. În a doua instanță, typosquatting este folosit pentru a păcăli angajații să creadă că au primit informații de la persoane aflate în poziții de supraveghere.

O soluție SIEM poate ajuta. Permite unei organizații să treacă înaintea riscurilor de acreditări compromise. Dacă un CEO, un manager sau o altă persoană cu o poziție responsabilă are contul de e-mail compromis, soluțiile SIEM pot ajuta la identificarea și oprirea încălcării înainte de a se produce. Acest lucru se datorează faptului că soluțiile SIEM monitorizează datele din rețeaua dvs. Acestea includ servicii Active Directory, O365, firewall-uri, unități de stocare, Salesforce și multe altele.

Odată ce toate informațiile au fost postate în SIEM, datele vor fi colectate și corelate și examinate prin analize avansate. Scopul este găsirea de indicatori de compromis sau găsirea de modele care arată dacă se întâmplă un comportament suspect. Aceste informații pot fi înregistrate și trimise imediat echipei de securitate a unei organizații.

Deoarece acest lucru se întâmplă în timp real, multe atacuri pot fi prevenite înainte ca acestea să aibă un efect dăunător. Învățarea automată avansată poate fi antrenată pentru a identifica atacurile lente care se strecoară în rețea. Pot fi detectate modele neobișnuite de activitate și pot atenua amenințările înainte ca acestea să apară. Ei pot folosi aceleași abordări în identificarea altor tipuri de amenințări prin e-mail, cum ar fi înșelătoriile de tip spear-phishing. Din nou, vedem puterea pe care o soluție SIEM o are de a adăuga valoare care nu este oferită de un VPN.

S-ar putea să vă placă și: NordVPN vs SiteLock VPN – Care este cel mai bun pentru dvs.?

Utilizarea informațiilor obținute de la SIEM pentru a îmbunătăți securitatea cibernetică

cyber-security-lock-internet-safety-hack-encryption

Când sunt detectate anomalii, organizațiile pot pune în aplicare protecții pentru a preveni compromisurile viitoare. Un pas poate fi educarea angajaților cu privire la amenințările de securitate cibernetică cu care se confruntă. Arătându-le angajaților diferitele atacuri care au fost încercate, angajații sunt încurajați să atenueze comportamentul riscant.

Unele sfaturi de prevenire care ar putea părea de bun simț pentru o echipă IT ar putea fi trecute cu vederea de către angajați. De exemplu, angajaților ar trebui să li se reamintească să ignore e-mailurile nesolicitate care solicită un răspuns imediat. Aceștia ar trebui încurajați să verifice frecvent adresele de e-mail și domeniile expeditorului și să le compare cu adresele de e-mail și domeniile autentice. Angajaților ar trebui să li se reamintească să nu deschidă atașamente neașteptate și să fie precauți atunci când primesc e-mailuri de la expeditori nerecunoscuți.

Un lucru cert este că infractorii cibernetici nu vor înceta să caute vulnerabilități. Organizațiile trebuie să se protejeze pe ei înșiși, datele și angajații lor utilizând funcții de securitate precum VPN-uri, instrumente antivirus și protecție împotriva malware-ului și apoi să le facă copii de rezervă cu platformele SIEM.