เหตุใด VPN ทุกอันจึงต้องการ SIEM ที่แข็งแกร่งเคียงข้างกัน

เผยแพร่แล้ว: 2020-08-05

บุคคลและองค์กรใช้เครือข่ายส่วนตัวเสมือนในช่วงสองทศวรรษที่ผ่านมา VPN สร้างอุโมงค์ที่ปลอดภัยซึ่งอนุญาตให้ถ่ายโอนข้อมูลที่เข้ารหัสจากจุดหนึ่งไปยังอีกจุดหนึ่ง ในโลกของธุรกิจ พนักงานสามารถเชื่อมต่อกับเครือข่ายขององค์กรและส่งและรับข้อมูลได้อย่างปลอดภัย VPN มีบทบาทมากขึ้นเมื่อพิจารณาจากสภาพแวดล้อมที่บ้านที่เราอยู่

ยังไม่ชัดเจนว่าผู้คนจะทำงานจากที่บ้านนานแค่ไหน บางองค์กรได้แสดงให้เห็นแล้วว่าแม้หลังจากโรคระบาดผ่านพ้นไป พวกเขาก็ยังมีพนักงานบางส่วนที่ทำงานจากระยะไกล ความจริงที่ว่าผู้คนจำนวนมากทำงานจากที่บ้านได้ดึงดูดความสนใจของอาชญากรไซเบอร์ พวกเขามองว่าการทำงานจากที่บ้านเป็นการสร้างช่องโหว่ที่พวกเขาสามารถใช้ประโยชน์ได้

แสดง สารบัญ
  • การโจมตีทางไซเบอร์มุ่งตรงไปที่ VPN
  • จำเป็นต้องมีมากกว่ามาตรการรักษาความปลอดภัยขั้นพื้นฐาน
  • SIEM Platform มีประโยชน์ต่อองค์กรของคุณอย่างไร?
  • SIEM ช่วยลดความเสี่ยงด้านความปลอดภัยในสภาพแวดล้อมการทำงานจากที่บ้านได้อย่างไร
  • ใช้ SIEM เพื่อตรวจจับและลดความเสียหายที่เกิดจาก CEO Fraud
  • ใช้ข้อมูลที่รวบรวมจาก SIEM เพื่อปรับปรุงความปลอดภัยทางไซเบอร์

การโจมตีทางไซเบอร์มุ่งตรงไปที่ VPN

ความปลอดภัยทางไซเบอร์การป้องกันความเป็นส่วนตัวการเข้ารหัสความปลอดภัยรหัสผ่านไฟร์วอลล์การเข้าถึง

จากคำพูดของผู้เชี่ยวชาญ Will Ellis จาก Privacy Australia ได้เห็นว่าหนึ่งในวิธีหลักที่อาชญากรไซเบอร์กำลังก่อกวนการโจมตีคือการพยายามเจาะ VPN ดังที่เขากล่าวไว้ว่า “น่าเสียดาย ในหลายกรณี พวกเขาประสบความสำเร็จในช่วงหลายเดือนที่ผ่านมา สิ่งนี้ทำให้ธุรกิจและสถาบันของรัฐต้องเพิ่มมาตรการรักษาความปลอดภัยอย่างเข้มงวด”

ทันทีที่อาชญากรไซเบอร์เจาะผ่าน VPN และเข้าถึงเครือข่ายขององค์กรได้ พวกเขาก็เหมือนเด็กในร้านขนม พวกเขาสามารถยิงผ่านเครือข่ายและบริการ ในยามว่าง พวกเขาสามารถมองหาช่องโหว่ การกำหนดค่าผิด และจุดอ่อน ไม่มีขีดจำกัดสำหรับความเสียหายที่อาชญากรสามารถก่อขึ้นได้ เมื่อพวกเขาสามารถเข้าถึงข้อมูล ทำลายระบบ หรือขัดจังหวะข้อมูลที่ละเอียดอ่อนระหว่างการขนส่ง

แนะนำสำหรับคุณ: VPN vs Proxy: อะไรคือความแตกต่าง? อันไหนดีกว่า?

จำเป็นต้องมีมากกว่ามาตรการรักษาความปลอดภัยขั้นพื้นฐาน

ความปลอดภัย - ความปลอดภัย - อินเทอร์เน็ต - รหัสผ่าน - ล็อค - SIEM

องค์กรส่วนใหญ่ใช้ขั้นตอนพื้นฐานที่แนะนำในการปรับปรุงความปลอดภัย VPN อยู่แล้ว ซึ่งรวมถึงการกำหนดรหัสผ่านที่รัดกุม ซับซ้อน ไม่ซ้ำใคร และเปลี่ยนเป็นระยะๆ การจัดเตรียมหรือการเข้าถึงการควบคุมตามบทบาทหมายถึงการจำกัดทรัพยากรตามกลุ่ม การรับรองความถูกต้องด้วยหลายปัจจัยยังใช้สำหรับผู้ใช้ที่มีสิทธิ์หรือผู้ที่ต้องการเข้าถึงข้อมูลและซอฟต์แวร์ที่ละเอียดอ่อน

ไม่ควรลดความสำคัญของขั้นตอนเหล่านี้ องค์กรจะหลอกตัวเองหากเชื่อว่าขั้นตอนพื้นฐานเหล่านี้เป็นสิ่งที่จำเป็นเพื่อป้องกันตนเองจากการโจมตีด้านความปลอดภัยในโลกไซเบอร์ที่มีความซับซ้อนเพิ่มขึ้นอย่างต่อเนื่อง

การโจมตีที่ซับซ้อนต้องการโซลูชันที่ซับซ้อน เช่น ข้อมูลความปลอดภัยและแพลตฟอร์มการจัดการเหตุการณ์ SIEM เป็นเครื่องมือที่รับผิดชอบในการรวบรวมและเชื่อมโยงข้อมูลจากเครื่องมือความปลอดภัยที่องค์กรใช้ รวมถึง VPN

SIEM ช่วยให้ข้อมูลที่รวบรวมโดยเครื่องมือรักษาความปลอดภัยแยกต่างหากสามารถรวบรวมเข้าด้วยกันเพื่อให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามด้านความปลอดภัยที่อาจรวบรวมได้ไม่ง่ายนักจากการดูข้อมูลแยกต่างหาก แพลตฟอร์มเหล่านี้สามารถช่วยองค์กรระบุเหตุการณ์ที่มีความเสี่ยงสูงอย่างแท้จริง และแยกเหตุการณ์เหล่านั้นออกจากเสียงรบกวน

ตัวอย่างเช่น พนักงานอาจเชื่อมต่อกับ VPN จากนิวยอร์กซิตี้ สี่สิบห้านาทีต่อมา พนักงานคนเดิมเชื่อมต่อกับ VPN ขององค์กรจาก Minneapolis, MN แพลตฟอร์ม SIEM ควรสามารถบอกได้ว่าสิ่งนี้เป็นไปไม่ได้จริง จากนั้นจึงตั้งค่าสถานะว่าเป็นพฤติกรรมที่น่าสงสัยซึ่งจำเป็นต้องได้รับการตรวจสอบ

SIEM Platform มีประโยชน์ต่อองค์กรของคุณอย่างไร?

อันตราย-ความปลอดภัย-ภัยคุกคาม-ไซเบอร์-อาชญากรรม-สแกม-ไวรัส-แฮ็ก

โซลูชัน SIEM นำเสนอการตรวจจับภัยคุกคามตามเวลาจริง พวกเขาเพิ่มประสิทธิภาพ ลดต้นทุน ลดภัยคุกคามที่อาจเกิดขึ้น ปรับปรุงการรายงานและการวิเคราะห์บันทึก และผลักดันการปฏิบัติตามข้อกำหนดด้านไอที เนื่องจากโซลูชัน SIEM สามารถเชื่อมต่อบันทึกเหตุการณ์จากอุปกรณ์และแอปพลิเคชันต่างๆ เจ้าหน้าที่ไอทีจึงสามารถระบุ ตอบสนอง และตรวจสอบการละเมิดความปลอดภัยที่อาจเกิดขึ้นได้อย่างรวดเร็ว ยิ่งระบุภัยคุกคามความปลอดภัยทางไซเบอร์ได้เร็วเท่าไหร่ ผลกระทบก็จะยิ่งน้อยลงเท่านั้น บางครั้งความเสียหายสามารถป้องกันได้ทั้งหมด

แพลตฟอร์ม SIEM ช่วยให้ทีมไอทีมองเห็นภาพรวมของภัยคุกคามทั้งหมดที่เครื่องมือรักษาความปลอดภัยขององค์กรกำลังปกป้องอยู่ การแจ้งเตือนเพียงครั้งเดียวจากตัวกรองมัลแวร์หรือโปรแกรมป้องกันไวรัสอาจไม่ใช่เรื่องใหญ่หรืออาจไม่ส่งสัญญาณเตือน อย่างไรก็ตาม หากมีการแจ้งเตือนจากไฟร์วอลล์ ตัวกรองแอนตี้ไวรัส และ VPN พร้อมกัน อาจแสดงว่ามีการละเมิดร้ายแรงอยู่ในระหว่างดำเนินการ SIEM จะรวบรวมการแจ้งเตือนจากที่ต่างๆ แล้วแสดงบนคอนโซลส่วนกลาง เพื่อเพิ่มเวลาตอบสนองให้สูงสุด

คุณอาจชอบ: VPN vs RDS vs VDI: จะเลือกอะไรสำหรับ Secure Remote Access?

SIEM ช่วยลดความเสี่ยงด้านความปลอดภัยในสภาพแวดล้อมการทำงานจากที่บ้านได้อย่างไร

SIEM-Security-Information-Event-Management

การระบาดใหญ่ของไวรัสโคโรนาทำให้องค์กรต่างๆ ต้องเปลี่ยนจากพนักงานประจำสถานที่ไปเป็นพนักงานที่ทำงานจากระยะไกลโดยสมบูรณ์ ซึ่งเร็วกว่าที่หลายๆ องค์กรต้องแก้ไข ซึ่งหมายความว่าพวกเขาต้องสร้างสมดุลและอาจประนีประนอมระหว่างการให้บริการที่สม่ำเสมอแก่ลูกค้าและการรักษาระดับความปลอดภัยทางไซเบอร์ในระดับสูง

การกำหนดค่ากฎและการป้องกันด้วยตนเองที่สามารถจัดการการเปลี่ยนแปลงนี้ได้สำเร็จนั้นใช้เวลานาน องค์กรที่ไม่ได้ใช้แพลตฟอร์ม SIEM เล่นเกมไล่ตามให้ทันในช่วง 2-3 สัปดาห์แรกของคำสั่งอยู่บ้านที่น่าผิดหวัง อันตราย และมีค่าใช้จ่ายสูง

องค์กรที่ใช้ SIEM อยู่แล้วสามารถเปลี่ยนได้ง่ายขึ้น เนื่องจากพวกเขามีระบบที่ครอบคลุมซึ่งใช้ประโยชน์จากการวิเคราะห์พฤติกรรมและการเรียนรู้ของเครื่อง พวกเขาสามารถปรับให้เข้ากับการเปลี่ยนแปลงในสภาพแวดล้อมการทำงานได้โดยอัตโนมัติ สิ่งนี้ช่วยขจัดความเครียดให้กับทีมไอทีได้อย่างมาก

ประโยชน์หลักอย่างหนึ่งของการวิเคราะห์พฤติกรรมคือความสามารถในการดูกิจกรรมปกติพื้นฐานสำหรับองค์กรและผู้ใช้ จากนั้นจะตรวจจับและส่งเสียงเตือนโดยอัตโนมัติเมื่อมีการเบี่ยงเบนจากกิจกรรมปกตินั้น ด้วยวิธีนี้ การควบคุมความปลอดภัยขององค์กรจึงมีความยืดหยุ่นและสามารถเปลี่ยนแปลงได้ตามสภาพแวดล้อมทางธุรกิจที่เปลี่ยนไป พวกเขาปรับตัวเป็นสิ่งใหม่โดยอัตโนมัติ เช่น การที่พนักงานทำงานจากที่บ้านกลายเป็นเรื่องปกติใหม่

ใช้ SIEM เพื่อตรวจจับและลดความเสียหายที่เกิดจาก CEO Fraud

แป้นพิมพ์แล็ปท็อปสีแดงคัดลอกแฮ็คไซเบอร์ความปลอดภัยข้อมูล SIEM

สภาพแวดล้อมการทำงานที่บ้านทำให้การสื่อสารทางอีเมลมีความสำคัญมากกว่าที่เคยเป็นมา เนื่องจากปฏิสัมพันธ์แบบเห็นหน้ากันซึ่งเป็นส่วนหนึ่งของการทำงานในสำนักงานหายไป ขออภัย เนื่องจากมีอีเมลจำนวนมากถูกส่งไปมา จึงมีความเป็นไปได้ที่อีเมลหลอกลวงจะถูกส่งในนามของผู้บริหาร กรรมการ หรือบุคคลที่รับผิดชอบอื่นๆ

การฉ้อฉลของ CEO เป็นรูปแบบอาชญากรรมทางไซเบอร์ที่ค่อนข้างแปลกใหม่ การโจมตีแบบวิศวกรรมสังคมใช้เพื่อหลอกลวงบุคคลในองค์กรให้ส่งเงินหรือข้อมูลที่เป็นความลับไปยังบุคคลหรือบุคคลที่กระทำการฉ้อโกง

การฉ้อฉลของ CEO เกิดขึ้นก่อน COVID-19 เป็นที่คาดกันว่าในเวลาเพียงสามปี มันสามารถสร้างความสูญเสียได้มากกว่า 2.3 พันล้านดอลลาร์ เมื่อผู้คนทำงานในสภาพแวดล้อมสำนักงานที่ต้องติดต่อกับผู้บริหารแบบตัวต่อตัว หลายๆ องค์กรเข้าใจผิดคิดว่าเป็นเรื่องง่ายสำหรับพวกเขาที่จะระบุอีเมลหลอกลวงด้วยตนเอง

อย่างไรก็ตาม ในการตรวจสอบกรณีการฉ้อโกงของ CEO เป็นที่ชัดเจนว่าอีเมลหลายฉบับได้รับการสื่อสารกลับไปกลับมาระหว่างผู้ฉ้อโกงและเหยื่อโดยที่เหยื่อไม่ได้ฉลาดกว่า การฉ้อฉลของ CEO เป็นการฉ้อโกงประเภทที่ซับซ้อนและแทบเป็นไปไม่ได้เลยที่จะจับได้หากไม่มีเครื่องมือที่เหมาะสม หากจับได้ยากในสภาพแวดล้อมสำนักงานที่ค่อนข้างปลอดภัย ลองนึกภาพว่าจับได้ตอนนี้โดยที่พนักงานแยกย้ายกันไปและจำนวนการสัมผัสแบบตัวต่อตัวก็ลดลง

การฉ้อฉลของ CEO นำเสนอตัวเองในสองวิธี หนึ่งคือบัญชีอีเมลของผู้จัดการอาวุโสถูกแฮ็ก อีกอันคือที่ที่อีเมลถูกส่งจากโดเมนที่คล้ายกับโดเมนธุรกิจที่ถูกกฎหมาย ในกรณีแรก พวกมิจฉาชีพจะบุกรุกบัญชีอีเมลของพนักงานอาวุโส ในตัวอย่างที่สอง การพิมพ์ผิดใช้เพื่อหลอกให้พนักงานเชื่อว่าพวกเขาได้รับข้อมูลจากบุคคลที่อยู่ในตำแหน่งที่กำกับดูแล

โซลูชัน SIEM สามารถช่วยได้ ช่วยให้องค์กรสามารถก้าวนำหน้าความเสี่ยงด้านข้อมูลประจำตัวที่ถูกบุกรุกได้ หาก CEO ผู้จัดการ หรือบุคคลอื่นในตำแหน่งที่รับผิดชอบมีบัญชีอีเมลของตนถูกบุกรุก โซลูชัน SIEM สามารถช่วยระบุและหยุดการละเมิดก่อนที่จะเกิดขึ้น นี่เป็นเพราะโซลูชัน SIEM กำลังตรวจสอบข้อมูลในเครือข่ายของคุณ ซึ่งรวมถึงบริการ Active Directory, O365, ไฟร์วอลล์, หน่วยเก็บข้อมูล, Salesforce และอื่นๆ

เมื่อข้อมูลทั้งหมดถูกโพสต์ลงใน SIEM ข้อมูลจะถูกรวบรวมและเชื่อมโยงและตรวจสอบโดยการวิเคราะห์ขั้นสูง เป้าหมายคือการค้นหาตัวบ่งชี้ของการประนีประนอมหรือค้นหารูปแบบที่แสดงว่าพฤติกรรมที่น่าสงสัยกำลังเกิดขึ้น ข้อมูลนี้สามารถบันทึกและส่งไปยังทีมรักษาความปลอดภัยขององค์กรได้ทันที

เนื่องจากสิ่งนี้เกิดขึ้นในแบบเรียลไทม์ การโจมตีจำนวนมากจึงสามารถป้องกันได้ก่อนที่จะสร้างความเสียหาย แมชชีนเลิร์นนิงขั้นสูงสามารถฝึกฝนให้ระบุการโจมตีที่ช้าซึ่งแอบเข้ามาในเครือข่ายได้ สามารถตรวจจับรูปแบบกิจกรรมที่ผิดปกติได้ และสามารถบรรเทาภัยคุกคามได้ก่อนที่จะเกิดขึ้น พวกเขาสามารถใช้วิธีการเดียวกันนี้ในการระบุภัยคุกคามทางอีเมลประเภทอื่นๆ เช่น สแกมแบบสเปียร์ฟิชชิง เราเห็นพลังที่โซลูชัน SIEM สามารถเพิ่มคุณค่าที่ไม่มีให้จาก VPN

คุณอาจชอบ: NordVPN กับ SiteLock VPN – อันไหนดีที่สุดสำหรับคุณ?

ใช้ข้อมูลที่รวบรวมจาก SIEM เพื่อปรับปรุงความปลอดภัยทางไซเบอร์

ความปลอดภัยทางไซเบอร์ล็อคอินเทอร์เน็ตความปลอดภัยแฮ็คเข้ารหัส

เมื่อตรวจพบความผิดปกติ องค์กรต่างๆ สามารถวางมาตรการป้องกันเพื่อป้องกันการประนีประนอมในอนาคต ขั้นตอนหนึ่งอาจเป็นการให้ความรู้แก่พนักงานเกี่ยวกับภัยคุกคามความปลอดภัยทางไซเบอร์ที่พวกเขากำลังเผชิญอยู่ โดยการแสดงให้พนักงานเห็นถึงการโจมตีแบบต่างๆ ที่พยายามทำ พนักงานได้รับการสนับสนุนให้ลดพฤติกรรมเสี่ยง

เคล็ดลับการป้องกันบางอย่างที่อาจดูเหมือนสามัญสำนึกสำหรับทีมไอทีอาจถูกมองข้ามโดยพนักงาน ตัวอย่างเช่น ควรเตือนพนักงานให้เพิกเฉยต่ออีเมลที่ไม่ได้แจ้งซึ่งต้องการการตอบกลับทันที ควรสนับสนุนให้พวกเขาตรวจสอบที่อยู่อีเมลและโดเมนของผู้ส่งบ่อยๆ และเปรียบเทียบกับที่อยู่อีเมลและโดเมนของแท้ พนักงานควรได้รับการเตือนว่าอย่าเปิดไฟล์แนบที่ไม่คาดคิด และใช้ความระมัดระวังเพิ่มเติมเมื่อได้รับอีเมลจากผู้ส่งที่ไม่รู้จัก

สิ่งหนึ่งที่แน่นอนคืออาชญากรไซเบอร์จะไม่หยุดค้นหาช่องโหว่ องค์กรจำเป็นต้องปกป้องตนเอง ข้อมูล และพนักงานโดยใช้คุณลักษณะด้านความปลอดภัย เช่น VPN เครื่องมือป้องกันไวรัส และการป้องกันมัลแวร์ จากนั้นสำรองข้อมูลเหล่านี้ด้วยแพลตฟอร์ม SIEM