Hvad gør du, når en hacker opererer på indersiden af dit netværk?

Antallet af brud på sikkerheden vokser i disse år eksplosivt

Det er derfor ikke længere et spørgsmål om, hvornår du bliver ramt – du er ramt – du ved det bare ikke endnu.
Uanset hvor meget du gør for at undgå, at uvedkommende trænger ind på virksomhedens netværk, og på trods af gode sikkerhedsprodukter som next-generation firewalls, avanceret endpoint-beskyttelse osv. osv., så sker det alligevel for mange virksomheder.

Mens du læser dette, er der med nær 100% sikkerhed allerede fremmede, der opererer på indersiden af dit netværk. De snuser rundt efter persondata, forretningshemmeligheder, dine penge eller undersøger hvem der er hvem i virksomheden. På den måde kan de misbruge virksomhedens gode navn til at angribe dine kunder. Der findes talrige eksempler på, at hackerne bruger dine maskiner til at angribe andre virksomheder i et DDoS angreb. De benytter maskinerne til at ”mine” crypto-valuta, eller som det er set oftere og oftere de seneste år; til at kryptere dine data for derefter at kræve en løsesum.

Vi står over for en fælles fjende, som i høj grad benytter sig af automatisering og AI (Artificial intelligence) for hele tiden at kunne finde nye huller i din sikkerhed. De opdager konstant nye sårbarheder, som du og din virksomhed ikke engang selv er klar over.

Hvad kan du gøre?

Hvordan kan virksomheden forsvares, og hvordan opdages hackerne, når først de er kommet ind?

  • Du kan ansætte en masse mennesker til at lede efter digitale fodspor på jeres netværk i form af logfiler fra jeres virksomheds systemer. Det er tidskrævende, dyrt og meget lidt effektivt mod automatiserede angreb.
  • Du kan købe en færdig løsning fra en leverandør med mandskab, erfaring og ekspertise. Dette er en bedre løsning end den første, og langt billigere når alle parametrene medregnes.
  • Du kan vælge selv at bruge automatiserede værktøjer, som du ”fodrer” med alle virksomhedens log- og netværksdata. Værktøjet gør arbejdet for dig 24/7 ved hjælp af avanceret machine learning (ML) og AI fuldautomatisk og meget hurtigere end noget menneske kan gøre det.

For så vidt angår det sidste punkt, kan disse værktøjer opdeles i 2 typer:

  • UEBA – User and Entity Behavior Analytics
  • NTA – Network Traffic Analytics

Hvilken type er den bedste?

Begge typer har både styrker og svagheder. Så hvordan kombineres det bedste fra begge typer af værktøjer for at sikre den bedst mulige detektering af hackere i dit netværk – fuldautomatisk 24/7?

Svaret er Palo Alto Cortex XDR

Baseret på avanceret Machine Learning (ML) (med og uden supervision), kan Palo Alto Networks Cortex XDR behandle Netværksdata, End-point data, Identity data og cloud data fra alle din virksomheds kritiske systemer. Resultatet er én samlet løsning. Løsningen detekterer både hackere incl. avancerede APT angreb, som er trængt ind udefra, samt interne medarbejdere, som enten udviser uhensigtsmæssig adfærd, eller som har direkte onde hensigter. Fælles for de to er, at de opererer på indersiden af dit netværk med en meget lav ”false positiv rate”. I forbindelse med bl.a. Solarwinds angrebet blev det eftervist, at Cortex XDR havde identificeret det pågældende angreb uden på forhånd at have detekteringsregler defineret.

Cortex XDR

En af hemmelighederne bag Cortex XDR’s styrker, er anvendelsen af avancerede ML algoritmer.

Med supervision understøttes allerede fra starten over 350 use cases/detektion regler og flere kommer til hele tiden. Uden supervision og regler anvendes komplex anomali-detektering til at identificere adfærdsændringer i stor skala, der kan indikere kompromitterede endepunkter.

Illustrationen nedenfor viser, hvordan løsningen, uden forudgående læring og alene baseret på analyse af store mængder data, kan se, at et endepunkt er kompromitteret og kan udløse en alarm med høj præcision. I dette tilfælde er det en IoT enhed:

 

endepunkt