Cyberatak na uczelnię lub dużą jednostkę publiczną. Jak skrócić czas wykrycia i reakcji?
Styczniowy atak ransomware na Uniwersytet Warszawski pokazał, że wystarczy przejąć zaledwie jedną stację roboczą, by zainfekować uczelnianą sieć. W ogromnych organizacjach wykrycie takiego zagrożenia potrafi trwać tygodniami. Dowiedz się, skąd biorą się te opóźnienia i jak sprawnie je usunąć.
Informatycy często dowiadują się o włamaniu po czasie
Kiedy do jednej sieci logują się tysiące studentów i zewnętrznych dostawców, nie da się łatwo ujednolicić reguł cyfrowej obrony. Wynika to z ogromnej skali, w której nowoczesne laptopy mieszają się z wysłużonymi serwerami z poprzedniej dekady. W efekcie administratorzy na co dzień łatają tylko bieżące awarie. Nie mają oni fizycznie czasu, aby dokładnie monitorować ruch sieciowy i wyłapywać pierwsze próby przełamania zabezpieczeń.
Dlaczego niepołączone systemy opóźniają reakcję na atak?
Od czego zależy skala szkód po przełamaniu zabezpieczeń? Przede wszystkim czas reakcji uczelni. Niestety często traci się go przez odrębną politykę poszczególnych wydziałów, które blokują sprawną komunikację.
Co więcej, prywatny sprzęt przynoszony na zajęcia tworzy rozległe martwe strefy, w których intruzi mogą działać zupełnie swobodnie. Do tego oprogramowanie antywirusowe bez przerwy zasypuje specjalistów tysiącami powiadomień. Przez ciągłe logowanie do wielu różnych konsol łatwo zgubić się w tym informacyjnym szumie. W takich nerwowych momentach pomagają jasne instrukcje pokazujące pracownikom, kto i jak powinien technicznie zareagować na pierwsze sygnały o włamaniu.
Więcej na ten temat przeczytasz tutaj: Czym są incydenty naruszenia cyberbezpieczeństwa? Gdzie je zgłaszać?
Jak szybciej wyłapywać zagrożenia?
Jeśli zgromadzisz sygnały z całej infrastruktury w jednej centralnej bazie, zbudujesz szybką obronę. Błyskawicznie wychwyci ona powiązania między z pozoru niezwiązanymi ze sobą zdarzeniami.
Osiągniesz to poprzez dobrze ustawiony triage (wstępny podział alertów ze względu na ich pilność), który sam odrzuca fałszywe alarmy i podrzuca zespołom wyłącznie pilne zadania. Gdy włączysz centralne logowanie, musisz wiedzieć, kto ma na bieżąco analizować te spływające komunikaty.
O doborze odpowiednich narzędzi i zespołów dowiesz się więcej z tego artykułu: Jaka jest różnica między SIEM i SOC? Czy SOC potrzebuje systemu SIEM?
Same systemy są bezużyteczne, jeśli zespół IT nie ma gotowych procedur działania. Dzięki spisanemu planowi administratorzy wiedzą, kogo odłączyć od sieci, nawet gdy incydent wystąpi poza standardowymi godzinami pracy. Z kolei gdy rano dzwoni rektor i pyta o skalę awarii, wszystkie techniczne dowody można wyciągnąć wygodnie z jednego miejsca. Pozwala na to panel Exea SIRP.
Zatrudnij zewnętrzny zespół analityków
Budowanie własnego centrum monitorowania dużo kosztuje i pochłania mnóstwo czasu. Dlatego jednostki publiczne coraz chętniej przekazują zadania związane z ochroną zewnętrznym ekspertom.
EXEA oferuje sprawdzoną usługę cyberbezpieczeństwa dla firm - SOC , która przejmuje od lokalnych administratorów obowiązek ciągłego monitorowania sieci. Nasi oddelegowani analitycy na bieżąco weryfikują podejrzane sygnały, a Twoja organizacja szybciej zauważa zagrożenie i od razu wie, komu przekazać szczegóły.
