В новом отчете Intel Security (McAfee) оценены способности организаций обнаруживать и отклонять намеренные атаки на базы данных. Определен ТОП-8 самых критических индикаторов атак, а также исследованы методы наиболее успешной практики в превентивном реагировании на инциденты. Отчет иллюстрирует насколько эффективнее работают предприятия, использующие многоуровневый анализ в режиме реального времени, экономя время и ресурсы.

Результаты исследований показали:

• Для 74% предприятий отметили, что предотвращение нацеленных атак является для них первоочередной задачей;
• 58% организациями было замечено 10 и более направленных атак в течении последнего года;
• Только 24% компаний уверены в своей возможности обнаружить атаки в течение нескольких минут, около половины опрошенных сообщило, что это займет дни, недели или даже месяцы, прежде чем подозрительное поведение будет замечено;
• У 78% компаний, которые могли обнаружить атаки в течение нескольких минут, была установлена превентивная система Security Information and Event Management (SIEM), работающая  в режиме реального времени;
• Половина опрошенных компаний определила, что у них есть достаточное количество инструментов и возможности для предоставления быстрой реакции на опасность, но часто критические индикаторы не изолированы от общей массы сгенерированных оповещяний, что усложняет IT - сотрудникам обработку необходимой информации.

Учитывая важность определения критических индикаторов, в отчете Intel Security (McAfee) определено ТОП-8 наиболее частых направленных атак, которые организациям удалось удачно обнаружить и отразить:

1.     Соединение внутренних машин с известными не доверительными адресами или зарубежными странами, с которыми организации не ведут бизнес.

2.     Использование нестандартных портов или несоответствующих протоколов при соединении внутренних машин с внешними, таких как отправка командных процессов (SSH), а не трафика HTTP по порту 80, веб-порту по умолчанию.

3.     Соединение с внутренними машинами через DMZ (публично доступная или демилитаризованная зона), позволяющее экс-фильтрацию данных и удаленный доступ к ресурсам. Данная активность нейтрализует значение DMZ.

4.     Внеурочное вредоносное обнаружение. Оповещения, которые приходят не во время стандартных операционных часов бизнеса (ночью или по выходным) и могут сигнализировать о произошедшей атаке на машину.

5.     Внутрисетевое сканирование могло бы выявлять атаки по атипичному поведению в сети, но средства защиты периметра сети, такие как брандмауэр и IPS, редко настроены для контроля трафика во внутренней сети.

6.     Многократные подозрительные события на одной машине или повторяющиеся на нескольких в одной и той же подсети, превышающие 24-часовой период, такие как повторяемые отказы в аутентификации.

7.     После очищения система повторно заражается вредоносным программным обеспечением в течение пяти минут — повторяемые реинфекции сигнализируют о присутствии руткита.

8.     Учетная запись пользователя, пытающаяся входить в систему к разным ресурсам в течение нескольких минут от различных областей (к различным областям) — признак того, что учетные данные пользователя были украдены или что пользователь намеренно наносит вред.

Для просмотра полного отчета Intel Security (McAfee) пройдите по ссылке www.mcafee.com/SIEM