В новом отчете Intel Security (McAfee) оценены способности организаций обнаруживать и отклонять намеренные атаки на базы данных. Определен ТОП-8 самых критических индикаторов атак, а также исследованы методы наиболее успешной практики в превентивном реагировании на инциденты. Отчет иллюстрирует насколько эффективнее работают предприятия, использующие многоуровневый анализ в режиме реального времени, экономя время и ресурсы.
Результаты исследований показали:
- Для 74% предприятий отметили, что предотвращение нацеленных атак является для них первоочередной задачей;
- 58% организациями было замечено 10 и более направленных атак в течении последнего года;
- Только 24% компаний уверены в своей возможности обнаружить атаки в течение нескольких минут, около половины опрошенных сообщило, что это займет дни, недели или даже месяцы, прежде чем подозрительное поведение будет замечено;
- У 78% компаний, которые могли обнаружить атаки в течение нескольких минут, была установлена превентивная система Security Information and Event Management (SIEM), работающая в режиме реального времени;
- Половина опрошенных компаний определила, что у них есть достаточное количество инструментов и возможности для предоставления быстрой реакции на опасность, но часто критические индикаторы не изолированы от общей массы сгенерированных оповещяний, что усложняет IT - сотрудникам обработку необходимой информации.
Учитывая важность определения критических индикаторов, в отчете Intel Security (McAfee) определено ТОП-8 наиболее частых направленных атак, которые организациям удалось удачно обнаружить и отразить:
1. Соединение внутренних машин с известными не доверительными адресами или зарубежными странами, с которыми организации не ведут бизнес.
2. Использование нестандартных портов или несоответствующих протоколов при соединении внутренних машин с внешними, таких как отправка командных процессов (SSH), а не трафика HTTP по порту 80, веб-порту по умолчанию.
3. Соединение с внутренними машинами через DMZ (публично доступная или демилитаризованная зона), позволяющее экс-фильтрацию данных и удаленный доступ к ресурсам. Данная активность нейтрализует значение DMZ.
4. Внеурочное вредоносное обнаружение. Оповещения, которые приходят не во время стандартных операционных часов бизнеса (ночью или по выходным) и могут сигнализировать о произошедшей атаке на машину.
5. Внутрисетевое сканирование могло бы выявлять атаки по атипичному поведению в сети, но средства защиты периметра сети, такие как брандмауэр и IPS, редко настроены для контроля трафика во внутренней сети.
6. Многократные подозрительные события на одной машине или повторяющиеся на нескольких в одной и той же подсети, превышающие 24-часовой период, такие как повторяемые отказы в аутентификации.
7. После очищения система повторно заражается вредоносным программным обеспечением в течение пяти минут — повторяемые реинфекции сигнализируют о присутствии руткита.
8. Учетная запись пользователя, пытающаяся входить в систему к разным ресурсам в течение нескольких минут от различных областей (к различным областям) — признак того, что учетные данные пользователя были украдены или что пользователь намеренно наносит вред.
Для просмотра полного отчета Intel Security (McAfee) пройдите по ссылке www.mcafee.com/SIEM