Учитывая все новости о данных нарушения , не удивительно
видеть заголовки , которые описывают уже другие нарушения. Хотя, иногда это
удивительно. Снова и снова, когда компании получают уведомления о нарушении,
они даже не подозревают что у них нет конечной точки сети. Необходимые данные
для выполнения судебно-медицинской экспертизы, необходимые для достижения
аналитического вывода просто отсутствуют. Кроме того, нет никакого способа,
чтобы исправить эту ситуацию - если данные не были надлежащим образом учтены,
когда кто-либо из компании пересекал сеть или конечную точку, нет просто
никакой возможности получить доступ.
Давайте рассмотрим несколько причин нарушения.
Сборник: Одна из целей программы безопасности является
обеспечение сбора необходимых сетевых и
оконечных данных. К сожалению, это часто создает проблемы даже для самых зрелых
программ безопасности. В некоторых случаях, организации могут не иметь
собственной сети и конечные точки. В других случаях, организации могут не быть
должным образом оснащены, чтобы сохранить и выставить для анализа объем данных,
созданных в сети и конечных точек приборов. В любом случае, когда приходит
время, чтобы расследовать, соответствующие данные будут недоступны.
Видимость: Больше данных не обязательно означает больше
видимость или охвата. Существует важное различие между объемом данных и
участков организации, что обеспечивает видимость . Некоторые организации могут
иметь часть своих сетей или конечных точек. Но что, если нарушение происходит в
области сети или на конечной точке, которая не входит в область видимости? В
этих случаях, к сожалению, данные, которые относятся к его нарушением
расследования не будут доступны для судебно-медицинской экспертизы и анализа.
Фильтр: Еще один важный аспект, который необходимо
учитывать. В отсутствие бесконечного объема хранения, данные не могут быть
сохранены навсегда. Современные организации генерируют невероятные объемы
данных из их усилий по сбору. Иногда, сеть и конечные точки правильно внедрена
в соответствующие места, но просто негде
поставить объем данных, которые генерируются. Объем данных увеличивается, либо
срок хранения сокращается, или емкость растет, для компенсации. Не редкость
когда период хранения снижается до 30 дней или даже меньше. Среднее время 229
дней, то легко увидеть, что 30, 60, или даже 90 дней сохранения просто
недостаточно, когда приходит время для выполнения судебно-медицинской
экспертизы и анализа. Нужно заранее думать какие данные мы сохраняем. Наша цель – данные, которые показываю нам
конечную точку.
Анализ: Хотя у нас могут быть данные, необходимые, , мы
все еще должны уметь анализировать их. Если мы не в состоянии быстро извлечь
данные, мы не сможем проанализировать их..
Несмотря на устойчивый поток плохих новостей относительно
утечки данных, есть и хорошие новости. Принимая активные меры, организации
могут подготовить себя для выполнения быстрого и эффективного реагирования на
инциденты, когда они становятся жертвой нарушения. Есть много деталей, которые
важны для организации, упомянутые выше.
Источник: fireeye.com
Комментариев нет:
Отправить комментарий