Według danych spółki IBM firmy potrzebują średnio ponad 190 dni na wykrycie przypadku naruszenia danych w swoich strukturach.
Czas, w którym udaje im się usunąć zagrożenie wynosi z kolei średnio 60 dni. Tymczasem straty finansowe wywołane tego typu incydentem mogą sięgać milionów dolarów i stanowić poważne zagrożenie dla ciągłości działania przedsiębiorstwa. Kluczem do zwiększenia odporności firmy na podobne zdarzenia jest wyposażenie jej w odpowiednie narzędzia ochronne oraz strategie w zakresie cyberbezpieczeństwa. W pierwszej kolejności warto zadbać o skuteczny monitoring sieci wykorzystujący sztuczną inteligencję (AI).
Firmy, które decydują się na wdrażanie rozwiązań bezpieczeństwa z AI, oszczędzają średnio 2,2 mln dol.
Wdrażanie rozwiązań bezpieczeństwa, które wykorzystują sztuczną inteligencję może znacząco zredukować szkody, na jakie narażona jest firma w przypadku naruszenia danych. Według raportu IBM przedsiębiorstwa, które decydują się na ten krok, oszczędzają średnio 2,2 miliona dolarów w porównaniu z firmami, które nie korzystają ze wsparcia AI w procesach związanych z cyberbezpieczeństwem.
Dlaczego monitoring sieci jest najważniejszy w starciu z cyberprzestępcami?
Cyberprzestępcy mogą szyfrować dane, zmieniać swoje adresy IP oraz stosować inne techniki mające na celu maskowanie ich działań. przez cały czas jednak muszą komunikować i poruszać się w obrębie sieci, a w związku z tym nie są w stanie całkowicie ukryć swojej aktywności w występującym w niej ruchu. Wynika to z faktu, iż działania przestępców, będące elementami np. przeprowadzonego przez nich ataku słownikowego nie są typowym zjawiskiem w atakowanym przez nich środowisku. W związku z tym mogą zostać uznane za anomalię w ruchu sieciowym.
– Atak słownikowy, a więc technika polegająca na siłowym odgadywaniu kluczy kryptograficznych i haseł do systemów, często poprzedza adekwatny cyberincydent. Przestępcy poszukują w ten sposób słabych punktów w infrastrukturze firmy. Działanie to generuje jednak specyficzny, powtarzalny ruch sieciowy. Ten z kolei jest sygnałem ostrzegawczym dla narzędzi monitorujących przed potencjalnym niebezpieczeństwem. Innymi słowy, monitoring sieci umożliwia wykrywanie zagrożeń już w ich początkowym stadium. choćby jeżeli przestępcy będą próbować maskować swoje działania poprzez szyfrowanie, tunelowania czy wykorzystywanie ukrytych protokołów, nie przestaną generować ruchu sieciowego – wyjaśnia Jakub Andrzejewski, Business Development Manager for Poland & CIS w firmie Progress, dostawcy rozwiązań do tworzenia aplikacji biznesowych, wdrażania ich i zarządzania nimi.
Sieć bez tajemnic
Tradycyjne rozwiązania z zakresu cyberbezpieczeństwa wykrywają zagrożenia na podstawie tzw. sygnatur – ciągów danych służących do identyfikacji znanych zagrożeń, takich jak wirusy, malware, exploity czy ataki sieciowe. Problematyczna może jednak okazać się sytuacja, w której firma staje się celem nowego, nieodnotowanego jeszcze w bazach wirusów zagrożenia. Wówczas istnieje szansa, iż niebezpieczeństwo nie zostanie wykryte lub wydarzy się to w późnym stadium ataku. Rozwiązania typu NDR (Network Detection and Response) zmniejszają ryzyko wystąpienia takiej sytuacji. Te zaawansowane systemy cyberbezpieczeństwa monitorują ruch sieciowy w czasie rzeczywistym. Dzięki temu są w stanie wykryć choćby najnowsze, nieznane metody ataku.
Dzięki technologii uczenia maszynowego, NDR analizuje normalne wzorce komunikacji w obrębie sieci. Ich znajomość pozwala tym systemom na późniejsze identyfikowanie anomalii. Po wykryciu zagrożenia NDR może automatycznie podjąć działania, np. odciąć zainfekowane urządzenie od sieci, wysłać alert do zespołu SOC, a także zablokować ruch do lub z podejrzanych adresów IP.
