Informaciona bezbednost je aktuelna tema, to je sigurno. Pretnje vrebaju sa svih strana, a borba protiv njih je konstantna. Vremena kada je antivirusni softver bio dovoljan su prošla. Današnja kompleksnost IT pretnji je jednaka, ako ne i veća, od složenosti sistema koje nastojimo da zaštitimo. Napadi dolaze u različitim oblicima i svakodnevno ugrožavaju naše poslovanje. Da bismo se zaštitili, potreban nam je kvalitetan sistem za praćenje pretnji. Srećom, obavili smo deo posla i sa zadovoljstvom vam predstavljamo najbolje sisteme za nadgledanje IT pretnji.
Naše istraživanje započinjemo definicijom pojma nadgledanja IT pretnji. Različiti ljudi mogu imati različite definicije, i sve su podjednako prihvatljive. Međutim, za potrebe ove diskusije, važno je da svi budemo na istoj talasnoj dužini i da delimo zajedničko razumevanje. Zatim ćemo pokušati da razjasnimo potencijalnu konfuziju u vezi sa tim šta jeste, a šta nije nadgledanje IT pretnji. Nakon toga ćemo objasniti kako funkcioniše ovaj proces, koje su njegove prednosti i zašto je potreban. Na kraju, otkrićemo rezultate naše potrage za najboljim sistemima za praćenje IT pretnji i pregledaćemo svaki od onih koje smo pronašli.
Šta je nadgledanje IT pretnji – definicija
Nadgledanje IT pretnji se obično odnosi na proces kontinuiranog nadzora mreža i njihovih komponenti (uključujući servere, radne stanice i drugu opremu) u cilju pronalaženja bilo kakvih znakova sigurnosnih pretnji. To mogu biti, na primer, pokušaji upada ili krađe podataka. To je sveobuhvatan izraz za nadzor mreže u cilju suzbijanja svih vrsta zlonamernih aktivnosti.
IT stručnjaci koriste nadgledanje IT pretnji kako bi stekli uvid u svoje mreže i korisnike koji im pristupaju. Ideja je da se omogući jača zaštita podataka i spreči, ili barem umanji, potencijalna šteta koja može nastati kao posledica kršenja sigurnosti.
U današnjem svetu, gde nije neuobičajeno da organizacije zapošljavaju nezavisne saradnike, udaljene radnike, pa čak i interno osoblje koje koristi sopstvene uređaje na poslu, postoji dodatni rizik za osetljive podatke organizacija. Bez direktne kontrole nad uređajima trećih lica, jedina opcija je efikasno praćenje svih aktivnosti.
Nadgledanje IT pretnji je prilično kompleksno, uglavnom zato što zlonamerni korisnici i grupe koriste tehnike koje se razvijaju jednako brzo, ako ne i brže od ostatka informacione tehnologije, kako bi provalili u mreže i ukrali podatke. Iz tog razloga, i sistemi za praćenje IT pretnji moraju stalno da se razvijaju kako bi bili u toku sa aktuelnim pretnjama.
Šta nije – izbegavajte zabunu
IT bezbednost je ogromno i kompleksno polje, pa je lako pomešati stvari. Lako može doći do zabune oko toga šta jeste, a šta nije nadgledanje IT pretnji. Na primer, sistemi za detekciju upada (IDS) se, naravno, koriste za nadgledanje mreža u potrazi za pretnjama. To bi ih činilo sistemima za praćenje IT pretnji. Međutim, to nije ono na šta obično mislimo kada govorimo o nadgledanju IT pretnji.
Slično tome, upravljanje bezbednosnim informacijama i događajima (SIEM) se takođe često smatra oblikom rešenja za praćenje IT pretnji. Razumljivo, i ovi sistemi se mogu koristiti za zaštitu naše infrastrukture od zlonamernog korišćenja.
Čak se i antivirusni softver može smatrati sistemom za praćenje IT pretnji. Uostalom, i oni se koriste za zaštitu od istih pretnji, ali uz drugačiji pristup.
Ali, posmatrano pojedinačno, ove tehnologije obično nisu ono na šta mislimo kada govorimo o nadgledanju IT pretnji.
Kao što vidite, koncept nadgledanja IT pretnji nije sasvim jasan. Za potrebe ovog članka, oslonili smo se na same dobavljače i ono što oni smatraju softverom za praćenje IT pretnji. Ima smisla, jer je, na kraju krajeva, nadzor IT pretnji nejasan termin koji se može primeniti na mnogo toga.
Kako funkcioniše praćenje IT pretnji
Ukratko, praćenje IT pretnji se sastoji od kontinuiranog nadgledanja i naknadne procene bezbednosnih podataka u cilju identifikacije sajber-napada i kršenja podataka. Sistemi za praćenje IT pretnji prikupljaju različite informacije o okruženju. Oni dobijaju te informacije koristeći različite metode. Mogu da koriste senzore i agense koji rade na serverima. Neki će se oslanjati i na analizu obrazaca saobraćaja ili analizu sistemskih dnevnika i zapisa. Ideja je da se brzo identifikuju specifični obrasci koji ukazuju na potencijalnu pretnju ili stvarni bezbednosni incident. Idealno, sistemi za praćenje IT pretnji pokušavaju da identifikuju pretnje pre nego što one imaju štetne posledice.
Kada se pretnja identifikuje, neki sistemi imaju proces validacije koji obezbeđuje da je pretnja stvarna i da nije lažno pozitivna. Za to se mogu koristiti različite metode, uključujući i ručnu analizu. Kada se identifikovana pretnja potvrdi, izdaje se upozorenje koje obaveštava odgovarajuće osoblje da se moraju preduzeti određene korektivne mere. Alternativno, neki sistemi za praćenje IT pretnji će takođe pokrenuti određeni oblik kontramera ili korektivnih akcija. Ovo može biti prilagođena radnja ili skripta, ili, kao što je često slučaj sa najboljim sistemima, potpuno automatizovan odgovor zasnovan na otkrivenoj pretnji. Neki sistemi će takođe dozvoliti kombinaciju automatizovanih, unapred definisanih akcija i prilagođenih radnji za najbolji mogući odgovor.
Prednosti nadgledanja IT pretnji
Identifikacija inače neotkrivenih pretnji je, naravno, glavna korist koju organizacije dobijaju korišćenjem sistema za praćenje IT pretnji. Sistemi za praćenje IT pretnji će otkriti spoljne subjekte koji se povezuju na vašu mrežu ili je pretražuju, kao i kompromitovane i/ili neovlašćene interne naloge.
Iako ih je teško otkriti, sistemi za nadgledanje IT pretnji povezuju različite izvore informacija o aktivnostima krajnjih tačaka sa kontekstualnim podacima, kao što su IP adrese, URL adrese, kao i detalji o datotekama i aplikacijama. Zajedno, oni pružaju precizniji način identifikovanja anomalija koje mogu ukazivati na zlonamerne aktivnosti.
Najveća prednost sistema za praćenje IT pretnji je smanjenje rizika i maksimizacija mogućnosti za zaštitu podataka. Oni će svaku organizaciju dovesti u bolju poziciju da se brani i od spoljnih i od unutrašnjih pretnji, zahvaljujući vidljivosti koju pružaju. Sistemi za praćenje IT pretnji će analizirati pristup podacima i njihovo korišćenje, i sprovoditi politike zaštite podataka, sprečavajući gubitak osetljivih informacija.
Konkretno, sistemi za praćenje IT pretnji će:
Pokazati vam šta se dešava na vašim mrežama, ko su korisnici i da li su u opasnosti ili ne,
Omogućiti vam da razumete koliko je korišćenje mreže u skladu sa smernicama,
Pomoći vam da postignete usklađenost sa propisima koji zahtevaju praćenje osetljivih tipova podataka,
Pronaći ranjivosti u mrežama, aplikacijama i bezbednosnoj arhitekturi.
Potreba za praćenjem IT pretnji
Činjenica je da su danas IT administratori i IT stručnjaci za bezbednost pod velikim pritiskom u svetu u kome se čini da su sajber-kriminalci uvek korak ili dva ispred njih. Njihove taktike se brzo razvijaju i zaista funkcionišu tako da budu ispred tradicionalnih metoda detekcije. Ali najveće pretnje ne dolaze uvek spolja. Unutrašnje pretnje su možda podjednako važne. Unutrašnji incidenti koji uključuju krađu intelektualne svojine su češći nego što bi većina želela da prizna. Isto važi i za neovlašćeni pristup ili korišćenje informacija ili sistema. Zbog toga se većina IT bezbednosnih timova sada u velikoj meri oslanja na rešenja za nadgledanje IT pretnji kao njihov primarni način da ostanu u toku sa pretnjama – kako internim tako i eksternim – sa kojima se njihovi sistemi suočavaju.
Postoje različite opcije za praćenje pretnji. Postoje namenska rešenja za nadgledanje IT pretnji, ali i kompletni alati za zaštitu podataka koji uključuju mogućnosti praćenja pretnji. Nekoliko rešenja će ponuditi mogućnosti praćenja pretnji i uključiće ih sa kontrolama zasnovanim na politikama koje imaju sposobnost da automatizuju odgovor na otkrivene pretnje.
Bez obzira na to kako organizacija odluči da se bavi nadgledanjem IT pretnji, to je najverovatnije jedan od najvažnijih koraka u odbrani od sajber-kriminalaca, posebno kada se uzme u obzir kako pretnje postaju sve sofisticiranije i štetnije.
Najbolji sistemi za praćenje IT pretnji
Sada kada smo svi na istoj strani i imamo ideju o tome šta je nadgledanje IT pretnji, kako funkcioniše i zašto nam je potrebno, pogledajmo neke od najboljih sistema za praćenje IT pretnji koji se mogu pronaći. Naša lista uključuje različite proizvode koji se međusobno razlikuju. Ali, bez obzira na to koliko su različiti, svi imaju jedan zajednički cilj – da otkriju pretnje i upozore vas na njihovo prisustvo. To je, zapravo, bio naš minimalni kriterijum za uvrštavanje na listu.
1. Monitor pretnji SolarWinds – IT Ops izdanje (dostupna demonstracija)
SolarWinds je uobičajeno ime za mnoge administratore mreža i sistema. Poznat je po tome što proizvodi jedan od najboljih alata za praćenje SNMP-a, kao i jedan od najboljih NetFlow kolektora i analizatora. U stvari, SolarWinds proizvodi preko trideset različitih proizvoda koji pokrivaju nekoliko oblasti administracije mreže i sistema. I tu se ne zaustavlja. Takođe je dobro poznat po svojim brojnim besplatnim alatima koji se bave specifičnim potrebama administratora mreža, kao što su kalkulator podmreže ili TFTP server.
Kada je u pitanju praćenje IT pretnji, kompanija nudi SolarWinds Threat Monitor – IT Ops izdanje. Deo naziva proizvoda „IT Ops izdanje“ služi da ga razlikuje od izdanja alata za pružaoce upravljanih usluga, koji je nešto drugačiji softver posebno usmeren ka pružaocima upravljanih usluga (MSP).
Ovaj alat se razlikuje od većine drugih SolarWinds alata po tome što je zasnovan na oblaku. Jednostavno se pretplatite na uslugu, konfigurišete je i ona počinje da nadgleda vaše okruženje u potrazi za nekoliko različitih vrsta pretnji. Zapravo, SolarWinds Threat Monitor – IT Ops izdanje kombinuje nekoliko alata. On ima centralizaciju i korelaciju zapisa, bezbednosne informacije i upravljanje događajima (SIEM), i detekciju upada u mrežu i host (IDS). Ovo ga čini veoma detaljnim paketom za praćenje pretnji.
SolarWinds Threat Monitor – IT Ops izdanje je uvek aktuelan. Konstantno dobija ažurirane informacije o pretnjama iz više izvora, uključujući IP i baze podataka o reputaciji domena, što mu omogućava da nadgleda i poznate i nepoznate pretnje. Alat sadrži automatizovane inteligentne odgovore za brzo otklanjanje bezbednosnih incidenata. Zahvaljujući ovoj funkciji, stalna potreba za ručnom procenom pretnje i interakcijom je značajno smanjena.
Proizvod takođe ima veoma moćan sistem upozorenja. To su višestruki, unakrsno korelisani alarmi koji rade u tandemu sa mehanizmom Active Response alata kako bi pomogli u identifikaciji i sumiranju važnih događaja. Sistem izveštavanja je takođe jedna od jakih strana proizvoda i može se koristiti za demonstriranje usklađenosti revizije pomoću postojećih unapred napravljenih šablona izveštaja. Alternativno, možete kreirati prilagođene izveštaje koji odgovaraju vašim poslovnim potrebama.
Cena za SolarWinds Threat Monitor – IT Ops izdanje počinje od 4500 USD za do 25 čvorova sa 10 dana indeksa. Možete kontaktirati SolarWinds za detaljnu ponudu prilagođenu vašim specifičnim potrebama. A ako želite da vidite proizvod u akciji, možete zatražiti besplatnu demonstraciju od SolarWinds.
2. ThreatConnect-ov TC Identify
Sledeći na našoj listi je proizvod kompanije ThreatConnect pod nazivom TC Identify. To je prva komponenta ThreatConnect-ove serije alata. Kao što naziv implicira, ova komponenta se bavi detekcijom različitih IT pretnji, što je upravo ono čemu služe sistemi za praćenje IT pretnji.
TC Identify nudi informacije o pretnjama prikupljene iz više od 100 feed-ova otvorenog koda, informacije iz više desetina zajednica i sopstvenog ThreatConnect istraživačkog tima. Pored toga, daje vam mogućnost da dodate informacije bilo kog od partnera TC Exchange-a. Ove informacije iz više izvora koriste punu snagu ThreatConnect modela podataka. Osim toga, alat ima automatizovano obogaćivanje za potpuno i pouzdano iskustvo. Informacije sa ThreatConnect platforme otkrivaju šta se krije iza aktivnosti i pokazuju kako je ona povezana sa drugim događajima. Ovo vam daje kompletnu sliku, omogućavajući vam da donesete najbolju odluku o tome kako da reagujete.
ThreatConnect nudi niz progresivno bogatijih alata. Najosnovniji alat je TC Identify opisan ovde. Ostali alati uključuju TC Manage, TC Analyze i TC Complete, pri čemu svaki dodaje određene funkcije prethodnom nivou. Informacije o cenama su dostupne samo ako kontaktirate ThreatConnect.
3. Digital Shadows SearchLight
Digital Shadows je lider u oblasti digitalne zaštite od rizika prema Forrester New Wave-u. Njegova SearchLight platforma prati, upravlja i otklanja digitalni rizik u širokom spektru izvora podataka u okviru otvorenog, dubokog i mračnog veba. Efikasno štiti poslovanje i reputaciju vaše kompanije.
Digital Shadows SearchLight se može koristiti za zaštitu od sedam kategorija rizika. Prva zaštita je od sajber-pretnji koje su planirani, ciljani napadi na vašu organizaciju. Alat takođe štiti od gubitka podataka, kao što je curenje poverljivih podataka. Izlaganje brenda, gde se stranica za krađu identiteta lažno predstavlja kao vaša, je još jedan rizik od kog vas alat štiti. Sledeći rizik od kog se ovaj proizvod štiti je ono što Digital Shadows naziva rizikom treće strane, gde vas vaši zaposleni i dobavljači mogu nesvesno izložiti riziku. SearchLight takođe može da zaštiti vaše VIP osobe od zastrašivanja ili pretnji na mreži, kao što se može koristiti za suzbijanje fizičkih pretnji i zaštitu od zlonamernih promena infrastrukture.
Alat koristi širok spektar automatizovanih i ljudskih metoda analize kako bi suzio otkrivene anomalije i filtrirao stvarne pretnje, izbegavajući što više lažno pozitivne rezultate. Kupovina SearchLight zahteva da se prvo prijavite za besplatnu demonstraciju proizvoda, nakon čega se mogu dati detaljne informacije o cenama na osnovu vaših specifičnih potreba.
4. CyberInt Argos Threat Intelligence Platform
Argos Threat Intelligence Platform kompanije CyberInt je softver kao usluga (SaaS), sistem zasnovan na oblaku, koji pruža organizacijama sofisticirano rešenje za rastuće sajber-pretnje sa kojima se organizacije obično suočavaju. Glavne karakteristike Argos platforme su njena ciljana, visoko automatizovana upravljana tehnologija detekcije i reagovanja.
Konkretno, rešenje nudi ciljane i efektivne informacije dobijene spajanjem tehnoloških i ljudskih resursa. Ovo omogućava Argosu da generiše incidente u realnom vremenu o ciljanim napadima, curenju podataka i ukradenim akreditivima koji bi mogli da ugroze vašu organizaciju. Koristi snažnu bazu podataka od 10.000 aktera pretnji i alata za maksimizaciju konteksta. Takođe će identifikovati aktere pretnji u realnom vremenu i obezbediti kontekstualne podatke o njima.
Platforma pristupa stotinama različitih izvora, kao što su feed-ovi, IRC, Darkweb, blogovi, društveni mediji, forumi i sajtovi za objavljivanje sadržaja, radi prikupljanja ciljanih podataka i automatizacije dokazanog procesa prikupljanja informacija. Rezultati se analiziraju i daju korisne preporuke.
Informacije o cenama za CyberInt Argos Threat Intelligence Platform možete dobiti ako kontaktirate CyberInt. Koliko smo uspeli da saznamo, čini se da kompanija ne nudi besplatnu probnu verziju.
5. IntSights
Naš poslednji unos je proizvod pod nazivom IntSights, potpuno funkcionalna platforma za informisanje o pretnjama. Pruža širok spektar zaštite od pretnji, od rizika kao što su prevare i fišing. Takođe sadrži zaštitu brenda i nadgledanje mračnog veba.
IntSights tvrdi da je jedinstvena platforma za obaveštavanje o pretnjama i ublažavanje pretnji u preduzeću, koja pokreće proaktivnu odbranu pretvarajući prilagođene informacije o pretnjama u automatizovanu bezbednosnu akciju. Konkretno, proizvod obezbeđuje aktivno praćenje i izviđanje hiljada izvora pretnji širom površine, dubokog i mračnog veba, nudeći uvid u pretnje u realnom vremenu koje ciljaju na vašu mrežu, brend, imovinu i ljude.
Istraživanje i analiza pretnji je još jedna od jakih strana IntSights-a, koja koristi višeslojnu bazu podataka za istraživanje pretnji dubokog i mračnog veba, kako bi se identifikovali trendovi, obezbedile kontekstualne informacije i ispitali akteri pretnji. Sistem se može integrisati sa vašom postojećom bezbednosnom infrastrukturom, kao i sa registratorima, pretraživačima, prodavnicama aplikacija i vodećim sistemima e-pošte, kako bi se omogućilo automatizovano ublažavanje spoljnih i unutrašnjih pretnji.
Kao i mnogi drugi proizvodi na našoj listi, informacije o cenama za IntSights dostupne su samo ako kontaktirate prodavca. I dok se čini da besplatna probna verzija nije dostupna, može se dogovoriti besplatna demonstracija.