Cum te ajuta criminalistica informatica ( forensics ) ?
Prin dezvăluirea modus operandi adversarilor, criminalistica informatica furnizeaza echipelor de securitate informații vitale pentru a preveni atacurile.
Iată primele cinci moduri în care întreprinderile pot utiliza informațiile colectate din pachete:
1. Urmăriți atacul:
organizațiile care utilizează analiza pachetelor pot detecta atacul înapoi la primul computer infectat. Examinați cum a fost compromis și lucrați de acolo pentru a aduna informații pentru a detecta malware-ul. Echipele de securitate le pot opri dacă, de exemplu, pot să fortifice firewall-urile și să consolideze securitatea punctelor finale.
2. Stabilirea parametrilor:
Cu ajutorul informațiilor din pachete, echipele de securitate pot primi notificări atunci când SMB-urile și protocoalele au instrucțiuni pentru a șterge cantități mari de fișiere. Acest lucru ar fi fost extrem de util cu WannaCry și Petya / NotPetya care au folosit SMB / Samba (versiunea 1)
3. Comportament normal:
odată ce întreprinderile sunt conștiente de ceea ce reprezintă traficul “normal” în rețeaua lor, pot identifica un comportament anormal. Cu cât știți mai mult despre rețea, cu atât mai mult puteți fi protejat, proactiv și pregătit.
4. Cunoașteți-vă inamicul:
cu ajutorul analizei pachetelor, echipele de securitate pot analiza retrospectiv datele de la momentul incidentului pentru a urmări încălcarea – și apoi căutați și distrugeți mai repede malware-ul.
5. Supraviețuiți creșterii datelor:
în ciuda cantității amețitoare de date, cu ajutorul aparatelor care aplică inteligență automatizată, echipele de securitate pot captura și stoca până la un petabyte și pot identifica rapid momentul exact în care a apărut o problemă de depanare.
De prea multe ori, aspectul de remediere al ciclului de viață al securității este subutilizat și trecut cu vederea. Este clar că echipele de rețea se luptă pentru a ține pasul cu atacul de atacuri malware. Activitățile de nivel de bază care protejează rețelele și permit limitarea pagubelor sunt necesare, cum ar fi actualizarea patch-urilor, restrângerea cantității de drepturi de administrare acordate pentru accesarea directoarelor, rularea back-up-urilor și consolidarea apărării acestora.
Este, de asemenea, clar că orientarea actuală asupra prevenirii și detectării arată doar o strategie globală care nu reușește să fie în deplină siguranță. Cybercriminali se sustrag regulat acestor masuri, iar echipele IT trebuie sa raspunda la joc. O mai bună cunoastere i-ar ajuta să răspundă la atacuri mai repede. Remedierea, mai ales sub forma unei analize a pachetelor, este cea mai eficientă modalitate de a imbunatati securitatea.
Sunteți pregătiți de luptă?
Sursa: https://www.scmagazine.com/how-to-use-data-forensics-to-secure-enterprise-networks/article/710052/