Web používá soubory cookie k poskytování služeb v souladu se Zásadami souborů cookie. Můžete definovat podmínky pro ukládání nebo přístup k mechanismu cookies ve vašem prohlížeči.
Kybernetická hrozba se stále více sofistikuje a přináší značné výzvy pro tradiční metody kybernetické bezpečnosti. Každý den kyberzločinci, hackeři a státní aktéři vyvíjejí nové taktiky, techniky a procedury (TTP), které ztěžují tradičním přístupům držet krok. Týmy v Centrech bezpečnostního provozu (SOC) hrají klíčovou roli v identifikaci škodlivých aktivit ve velkém množství upozornění a logů, které spravují Security Information and Event Management systémy (SIEM). Tento proces je však často narušen řadou překážek a složitostí, což vede k prodlevám a komplikacím v oblasti včasné a účinné detekce a reakce na hrozby.
Tři hlavní výzvy, kterým čelí týmy SOC
Zde jsou tři hlavní výzvy, s nimiž se týmy SOC potýkají:
Challenge 1: Přetížení upozorněními
Týmy SOC často čelí ohromujícímu počtu bezpečnostních upozornění, které generují různé monitorovací nástroje. Tento příliv dat může zastínit skutečné hrozby a ztížit tak prioritizaci a rychlou reakci na skutečné bezpečnostní incidenty.
Challenge 2: Rychlá evoluce kybernetických hrozeb
Kybernetické hrozby se neustále vyvíjejí, přičemž státní aktéři a kyberzločinci rychle přejímají nové sofistikované taktiky.
Podle Red Reportu 2024 došlo u 600 000 analyzovaných vzorků malwaru k 333% nárůstu v používání hunter-killer malwaru. Tento typ malwaru je navržen tak, aby identifikoval a deaktivoval obranné prvky, což ztěžuje jeho detekci. Když útočníci opouštějí tradiční metody útoků a vyvíjejí pokročilejší techniky, je pro bezpečnostní systémy stále obtížnější držet krok.
Challenge 3: Komplexnost integrace
Účinná detekce a reakce na hrozby závisí na bezproblémové integraci a koordinaci různých bezpečnostních nástrojů a systémů, jako jsou SIEM, systémy detekce průniků (IDS) a systémy ochrany zařízení (EDR). Složitost při integraci různých systémů a zajištění jejich efektivního fungování může být časově i kapacitně náročná a může potenciálně zpozdit reakční úsilí.
Úvod do kontinuálního monitorování
V reakci na tyto výzvy se organizace obrací ke kontinuálnímu monitorování v oblasti kybernetické bezpečnosti. Kontinuální monitorování je proces nepřetržitého sledování, hodnocení a analýzy systémů organizace, který slouží k detekci a reakci na kybernetické hrozby a zranitelnosti v reálném čase nebo téměř v reálném čase. Díky nepřetržitému monitorování svých digitálních aktiv mohou organizace včas odhalit problémy, snížit rizika a zvýšit celkovou odolnost.
Například kontinuální monitorování pomáhá prioritizovat a spravovat bezpečnostní upozornění tím, že poskytuje v reálném čase informace o potenciálních hrozbách. Kromě toho umožňuje organizacím přizpůsobit se rychlému vývoji kybernetických hrozeb tím, že rychle identifikují a reagují na nové taktiky a techniky.
Kontinuální monitorování a Picus Detection Analytics
Picus Detection Analytics je automatizovaný modul, který je integrovaný s SIEM, EDR a XDR, aby identifikoval rozdíl mezi očekávanými a skutečnými událostmi.
Každá simulovaná hrozba a technika útočníka vytváří log v příslušných bezpečnostních kontrolách. Pokud je detekována nebo zablokována, modul Detection Analytics může pomocí pokročilých algoritmů porovnat výsledky dotazu se skutečnými vzorky hrozeb a technikami simulovanými modulem Security Control Validation (SCV).
Modul Detection Analytics identifikuje neodhalené útoky. Díky tomu Picus pomáhá firmám se včasnou detekcí problémů, snižováním rizik a zvyšováním celkové odolnosti.
Výhody modulu Picus Detection Analytics zahrnují:
Příklad simulace ransomwarového útoku: Kampaň Dagon Locker
V této části představíme interaktivní případ ransomwarové kampaně, kterou vede skupina hrozeb Dagon Locker.
Týmy Picus Labs neustále přidávají simulace útoků, které napodobují chování a taktiky, techniky a procedury (TTP) nejnovějších hrozeb/malwarových kampaní. Tyto simulace mohou být nepřetržitě spouštěny podle rozvrhu a dynamické šablony. Detekční a preventivní analýzy se provádějí po každé simulaci.
Tato případová studie se zaměří na kampaň Dagon Locker Ransomware 2024 a ukáže, jak integrace Picus Detection Analytics zvyšuje detekční schopnosti v systémech SIEM a EDR.
Kampaň Dagon Locker Ransomware začala distribucí malwaru IcedID. Oběti byly nalákány na falešnou stránku ke stažení z platformy Azure, aby stáhly škodlivý soubor JavaScript, který zahájil vícestupňový útok. Tento útok zahrnoval stažení a spuštění knihovny IcedID DLL, vytvoření perzistence prostřednictvím naplánované úlohy a připojení k serveru pro velení a řízení (C2). Malware poté stáhl a spustil beacon Cobalt Strike.
Útočníci využili systémové utility pro operace průzkumu, získali přístup k přihlašovacím údajům prostřednictvím procesu LSASS a eskalovali oprávnění pomocí příkazu GetSystem. Útočníci stáhli logy událostí, spustili příkazy WMIC a připravili a nasadili ransomware Dagon Locker v celé doméně, přičemž deaktivovali služby a smazali stínové kopie.
Důrazně doporučujeme simulovat kampaň Dagon Locker Ransomware a další nové ransomwarové hrozby pomocí platformy Picus Complete Security Validation. Tento proaktivní přístup vám umožní důkladně vyhodnotit účinnost vašich bezpečnostních kontrol a odhalit jakékoli neodhalené sofistikované kybernetické útoky ve vašem prostředí. Rozsáhlá a aktuální knihovna hrozeb této platformy vám umožní testovat vaši obranu proti stovkám variant ransomwarů, včetně Phobos ALPHV a Play. Tyto schopnosti můžete vyzkoušet na vlastní kůži se 14 denní zkušební verzí platformy Picus, která poskytuje rychlá a komplexní hodnocení během několika minut.
Pro více informací nás kontaktujte: Vilém Raichel, vilem.raichel@bakotech.com +420 734 542 498
IČO: 17592062
IČO: 24804983