Почему каждому VPN нужен надежный SIEM?

Опубликовано: 2020-08-05

Виртуальные частные сети использовались отдельными лицами и организациями на протяжении большей части двух десятилетий. VPN создает безопасный туннель, который позволяет передавать зашифрованную информацию из одной точки в другую. В деловом мире это позволяет сотрудникам подключаться к сети своей организации и безопасно отправлять и получать информацию. VPN взяли на себя большую роль, учитывая работу из домашней среды, в которой мы находимся.

Пока неясно, как долго люди будут работать из дома. Некоторые организации уже продемонстрировали, что даже после того, как пандемия пройдет, часть их сотрудников будет работать удаленно. Тот факт, что все больше людей работают из дома, привлек внимание киберпреступников. Они рассматривают работу в домашней среде как создание уязвимостей, которые они могут использовать.

Оглавление показать
  • Кибератаки, направленные на VPN
  • Необходимо больше, чем просто основные меры безопасности
  • Чем платформа SIEM может быть полезна для вашей организации?
  • Как SIEM помогает снизить риски безопасности в удаленной среде?
  • Использование SIEM для обнаружения и уменьшения ущерба, причиненного мошенничеством с генеральным директором
  • Использование информации, полученной из SIEM, для повышения кибербезопасности

Кибератаки, направленные на VPN

кибер-безопасность-защита-конфиденциальность-шифрование-безопасность-пароль-брандмауэр-доступ

Цитируя экспертов, Уилл Эллис из Privacy Australia заметил, что один из основных способов, которым киберпреступники осуществляют свои атаки, — это попытка проникнуть в VPN. Как он упомянул: «К сожалению, во многих случаях они были успешными в последние месяцы. Это побудило предприятия и государственные учреждения ужесточить меры безопасности».

Как только киберпреступники прорываются через VPN и получают доступ к сети организации, они как дети в кондитерской. Они могут рыскать по сети и сервисам. На досуге они могут искать уязвимости, неправильные конфигурации и слабые места. Преступники могут нанести неограниченный ущерб, получив доступ для манипулирования данными, уничтожения систем или прерывания передачи конфиденциальных данных.

Рекомендуется для вас: VPN против прокси: в чем разница? Какая из них лучше?

Необходимо больше, чем просто основные меры безопасности

безопасность-безопасность-интернет-пароль-замок-SIEM

Большинство организаций уже используют рекомендуемые базовые шаги для повышения безопасности VPN. Это включает в себя требование надежных паролей, которые являются сложными, уникальными и периодически меняются. Предоставление или управление доступом на основе ролей означает ограничение ресурсов по группам. Многофакторная аутентификация также используется для привилегированных пользователей или тех, кому необходим доступ к конфиденциальным данным и программному обеспечению.

Важность этих шагов не следует преуменьшать. Организация одурачила бы себя, если бы считала, что эти основные шаги — все, что требуется для защиты от кибератак, изощренность которых постоянно растет.

Сложные атаки требуют сложного решения, такого как платформа управления информацией и событиями безопасности. SIEM — это инструменты, отвечающие за сбор и сопоставление данных от инструментов безопасности, которые использует организация, включая их VPN.

SIEM позволяют собирать информацию, собранную отдельными инструментами безопасности, вместе, чтобы получить представление об угрозах безопасности, которые может быть нелегко получить при отдельном просмотре данных. Эти платформы могут помочь организации определить, какие события действительно представляют высокий риск, и отделить их от шума.

Например, сотрудник может подключиться к VPN из Нью-Йорка. Сорок пять минут спустя тот же сотрудник подключается к VPN организации из Миннеаполиса, штат Миннесота. Платформа SIEM должна быть в состоянии сказать, что это физически невозможно, а затем пометить это как подозрительное поведение, которое необходимо расследовать.

Чем платформа SIEM может быть полезна для вашей организации?

опасность-безопасность-угроза-кибер-преступность-мошенничество-вирус-хак

Решения SIEM предлагают обнаружение угроз в режиме реального времени. Они повышают эффективность, сокращают расходы, минимизируют потенциальные угрозы, улучшают отчетность и анализ журналов, а также обеспечивают соблюдение требований ИТ. Поскольку решения SIEM могут подключать журналы событий с различных устройств и приложений, ИТ-персонал может быстро выявлять, реагировать и анализировать потенциальные нарушения безопасности. Чем быстрее будет выявлена ​​угроза кибербезопасности, тем меньшее влияние она может оказать. Иногда ущерб можно полностью предотвратить.

Платформы SIEM позволяют ИТ-команде получить общее представление обо всех угрозах, от которых ее защищают средства безопасности организации. Одно предупреждение от вредоносного или антивирусного фильтра может не иметь большого значения или не вызывать тревогу. Однако если брандмауэр, антивирусный фильтр и VPN одновременно получают предупреждение, это может указывать на серьезное нарушение. SIEM будет собирать оповещения из разных мест, а затем отображать их на централизованной консоли, максимально увеличивая время отклика.

Вам может понравиться: VPN, RDS и VDI: что выбрать для безопасного удаленного доступа?

Как SIEM помогает снизить риски безопасности в удаленной среде?

SIEM-Безопасность-Информация-Управление событиями

Пандемия коронавируса вынудила организации перейти от персонала на месте к полностью удаленной рабочей силе быстрее, чем многие организации были отремонтированы. Это означало, что они должны были найти баланс и, возможно, компромисс между предоставлением стабильного обслуживания своим клиентам и поддержанием высокого уровня кибербезопасности.

Ручная настройка правил и средств защиты, которые могли бы успешно справиться с этим изменением, требует много времени. Организации, которые еще не использовали платформы SIEM, вели разочаровывающую, опасную и дорогостоящую игру в догонялки в первые несколько недель самоизоляции.

Организациям, которые уже использовали SIEM, будет легче перейти. Поскольку у них была комплексная система, в которой использовались преимущества поведенческой аналитики и машинного обучения, они могли автоматически адаптироваться к изменениям в рабочей среде. Это снимает много стресса с их ИТ-команд.

Одним из основных преимуществ поведенческой аналитики является возможность посмотреть на базовую нормальную деятельность организации и ее пользователей, а затем автоматически обнаружить и подать сигнал тревоги при наличии отклонений от этой нормальной деятельности. Таким образом, элементы управления безопасностью организации являются гибкими и могут меняться по мере изменения бизнес-среды. Они автоматически приспосабливаются к новым вещам, например, как сотрудники, работающие из дома, стали новой нормой.

Использование SIEM для обнаружения и уменьшения ущерба, причиненного мошенничеством с генеральным директором

клавиатура-ноутбук-красная-копия-хакинг-кибер-безопасность-данные-SIEM

Среда работы на дому сделала общение по электронной почте более важным, чем когда-либо прежде. Это связано с тем, что общение лицом к лицу, которое было частью работы в офисе, исчезло. К сожалению, из-за того, что взад и вперед отправляется поток электронных писем, существует вероятность того, что мошеннические электронные письма будут отправлены от имени руководства, директоров или других ответственных лиц.

Мошенничество с генеральным директором — относительно новая форма киберпреступности. Атаки с использованием социальной инженерии используются для того, чтобы заставить человека в организации отправить деньги или конфиденциальную информацию лицу или лицам, совершающим мошенничество.

Мошенничество с генеральным директором существовало до COVID-19. Подсчитано, что всего за три года он может принести более 2,3 миллиарда долларов убытков. Когда люди работали в офисе, где они общались с руководством один на один, многие организации ошибочно полагали, что им легко идентифицировать мошенничество по электронной почте самостоятельно.

Однако при рассмотрении случаев мошенничества с генеральным директором становится ясно, что мошенники и жертва обменивались многочисленными электронными письмами, причем жертва не знала об этом. Мошенничество с генеральным директором — это изощренный и практически невозможный вид мошенничества, который невозможно поймать без надлежащих инструментов. Если это было трудно поймать в относительно безопасной офисной среде, представьте, что вы поймаете это сейчас, когда сотрудники рассредоточены, а количество личных контактов сократилось.

Мошенничество с генеральным директором проявляется двумя способами. Во-первых, взломана учетная запись электронной почты старшего менеджера. Другой случай, когда электронное письмо отправляется с домена, похожего на законный бизнес-домен. В первую очередь мошенники скомпрометируют учетные записи электронной почты старших сотрудников. Во втором случае типосквоттинг используется, чтобы заставить сотрудников поверить в то, что они получили информацию от лиц, занимающих руководящие должности.

Решение SIEM может помочь. Это позволяет организации опередить риски компрометации учетных данных. Если учетная запись электронной почты генерального директора, менеджера или другого лица, занимающего ответственную должность, скомпрометирована, решения SIEM могут помочь выявить и остановить взлом до того, как он произойдет. Это связано с тем, что решения SIEM отслеживают данные в вашей сети. Сюда входят службы Active Directory, O365, брандмауэры, устройства хранения, Salesforce и многое другое.

После того, как вся информация будет размещена в SIEM, данные будут собраны, сопоставлены и проверены с помощью расширенной аналитики. Цель состоит в том, чтобы найти индикаторы компрометации или найти шаблоны, которые показывают, происходит ли подозрительное поведение. Эта информация может быть записана и немедленно отправлена ​​в службу безопасности организации.

Поскольку это происходит в режиме реального времени, многие атаки можно предотвратить до того, как они нанесут ущерб. Усовершенствованное машинное обучение можно обучить выявлению медленных атак, которые проникают в сеть. Необычные модели активности могут быть обнаружены, и они могут уменьшить угрозы до того, как они возникнут. Они могут использовать эти же подходы для выявления других типов угроз, связанных с электронной почтой, таких как целевой фишинг. Здесь мы снова видим силу, которую решение SIEM может добавить к ценности, которую не предлагает VPN.

Вам также может понравиться: NordVPN против SiteLock VPN — какой из них лучше для вас?

Использование информации, полученной из SIEM, для повышения кибербезопасности

кибер-безопасность-замок-интернет-безопасность взломать-шифрование

При обнаружении аномалий организации могут установить защиту для предотвращения компрометации в будущем. Одним из шагов может быть информирование сотрудников об угрозах кибербезопасности, с которыми они сталкиваются. Показывая сотрудникам различные попытки атак, сотрудники поощряются к смягчению рискованного поведения.

Некоторые советы по предотвращению, которые могут показаться здравым смыслом для ИТ-команды, могут быть проигнорированы сотрудниками. Например, следует напомнить сотрудникам игнорировать сообщения электронной почты без подсказок, требующие немедленного ответа. Им следует рекомендовать часто проверять адреса и домены электронной почты отправителя и сравнивать их с подлинными адресами и доменами электронной почты. Сотрудникам следует напомнить, чтобы они не открывали неожиданные вложения и проявляли дополнительную осторожность при получении электронных писем от неизвестных отправителей.

Одно можно сказать наверняка: киберпреступники не перестанут искать уязвимости. Организациям необходимо защитить себя, свои данные и своих сотрудников, используя такие функции безопасности, как VPN, антивирусные инструменты и защиту от вредоносных программ, а затем выполняя их резервное копирование с помощью SIEM-платформ.