หากคุณเคยใช้เวลาภายในศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) ของสถาบันการเงิน คุณอาจเคยพบเห็นสิ่งนี้โดยตรง
องค์กรมีการป้องกันที่ดีในทางทฤษฎี มีการควบคุมขอบเขตที่แข็งแกร่ง ความปลอดภัยของปลายทางที่เป็นผู้ใหญ่ มีระบบ SIEM ที่ดึงข้อมูลจากทุกที่ มีการตรวจสอบเป็นประจำ มีรายงานเป็นประจำ แต่การละเมิดก็ยังเกิดขึ้น ไม่ใช่เพราะทีมงานไม่มีความสามารถ แต่เป็นเพราะผู้โจมตีดำเนินการในพื้นที่ที่เครื่องมือแบบดั้งเดิมไม่สามารถมองเห็นได้อย่างเต็มที่
จุดบอดนั้นคือเครือข่าย และ การตรวจจับและตอบสนองเครือข่าย (NDR) คือวิธีที่สถาบันการเงินกำลังปิดช่องว่างนี้ในที่สุด
ความปลอดภัยของบริการทางการเงินดูเป็นผู้ใหญ่ จนกว่าจะถูกทดสอบ
ธนาคาร บริษัทประกันภัย และบริษัทการลงทุนเป็นองค์กรที่ให้ความสำคัญกับความปลอดภัยมากที่สุดในโลก กฎระเบียบบังคับให้มีระเบียบวินัย ความเสี่ยงบังคับให้มีการลงทุน
แต่กลุ่มความปลอดภัยส่วนใหญ่เติบโตขึ้นแบบค่อยเป็นค่อยไป เครื่องมือถูกเพิ่มเข้ามาเพื่อแก้ปัญหาเฉพาะในเวลาที่เฉพาะเจาะจง:
- ไฟร์วอลล์เพื่อควบคุมการเข้าและออก
- เครื่องมือปลายทางเพื่อหยุดมัลแวร์
- SIEM เพื่อรวมศูนย์บันทึกและตอบสนองความต้องการด้านการปฏิบัติตามกฎระเบียบ
แต่ละชั้นทำงานได้ ปัญหาคือการโจมตีสมัยใหม่ไม่เคารพชั้นเหล่านั้น พวกเขาเคลื่อนที่ด้านข้าง ใช้ข้อมูลประจำตัวที่ถูกต้อง สื่อสารอย่างเงียบๆ ผ่านช่องทางที่เข้ารหัส เมื่อมีบางอย่างดูผิดปกติอย่างชัดเจน ผู้โจมตีได้ฝังตัวอยู่แล้ว
การโจมตีทางการเงินจริงเกิดขึ้นได้อย่างไร
ในเหตุการณ์จริง การเข้าถึงครั้งแรกไม่ค่อยเป็นเหตุการณ์หลัก อีเมลฟิชชิ่งสำเร็จ ข้อมูลประจำตัวถูกนำมาใช้ซ้ำ การเชื่อมต่อบุคคลที่สามถูกใช้ในทางที่ผิด ไม่มีสิ่งใดที่กระตุ้นสัญญาณเตือนทันที
สิ่งที่เกิดขึ้นต่อไปคือที่ที่ความเสี่ยงที่แท้จริงอยู่:
- ระบบภายในเริ่มสื่อสารในรูปแบบที่ไม่คุ้นเคย
- การเข้าถึงที่มีสิทธิพิเศษขยายตัวอย่างค่อยเป็นค่อยไป ไม่ใช่แบบระเบิด
- ข้อมูลถูกจัดเตรียมภายในก่อนการลักลอบนำออก
- การสื่อสารภายนอกผสมผสานเข้ากับการรับส่งข้อมูลที่เข้ารหัสปกติ
จากมุมมองของไฟร์วอลล์หรือปลายทาง ไม่มีอะไรดูเป็นอันตรายอย่างชัดเจน จากมุมมองของพฤติกรรมเครือข่าย ทุกอย่างเปลี่ยนไป
ทำไมเครื่องมือแบบดั้งเดิมพลาดสัญญาณเหล่านี้
การตรวจจับปลายทางมุ่งเน้นตามการออกแบบ มันตอบคำถามว่าอะไรกำลังเกิดขึ้นบนอุปกรณ์ SIEM เน้นที่บันทึก พวกเขาบอกคุณว่าระบบรายงานอะไรหลังจากมีบางอย่างเกิดขึ้น ไม่มีทั้งสองถูกออกแบบมาเพื่อตอบคำถามสำคัญในสภาพแวดล้อมทางการเงิน:
พฤติกรรมเครือข่ายนี้เป็นเรื่องปกติสำหรับธุรกิจของเราหรือไม่?
ไฟร์วอลล์อนุญาตการรับส่งข้อมูลตามกฎ ปลายทางเห็นเฉพาะกิจกรรมของตัวเอง บันทึกขาดความต่อเนื่องของพฤติกรรม นั่นทำให้ทีมรักษาความปลอดภัยตอบสนองต่อเศษส่วนแทนที่จะเข้าใจรูปแบบ
การตรวจจับและตอบสนองเครือข่ายเพิ่มอะไรจริงๆ
NDR มุ่งเน้นที่สิ่งที่เครื่องมืออื่นๆ ดิ้นรนที่จะเห็น: พฤติกรรมเครือข่ายอย่างต่อเนื่อง แทนที่จะพึ่งพาเฉพาะตัวบ่งชี้ที่รู้จัก NDR สร้างพื้นฐานของวิธีที่ระบบ ผู้ใช้ และบริการโต้ตอบกันตามปกติ จากนั้นเน้นความเบี่ยงเบนที่สำคัญ
ซึ่งรวมถึง:
- การสื่อสารแบบตะวันออก-ตะวันตกที่ไม่คาดคิดระหว่างระบบภายใน
- เส้นทางการพิสูจน์ตัวตนและลำดับการเข้าถึงที่ผิดปกติ
- เซสชันและปลายทางที่เข้ารหัสที่ผิดปกติ
- การเคลื่อนย้ายข้อมูลที่ไม่สอดคล้องกับเวิร์กโฟลว์ทางธุรกิจ
สำหรับสถาบันการเงิน บริบทพฤติกรรมนี้มักเป็นสัญญาณที่เชื่อถือได้แรกที่มีบางอย่างผิดปกติ
ทำไม NDR จึงมีความสำคัญอย่างยิ่งในบริการทางการเงิน
1. การเคลื่อนที่ด้านข้างเป็นเวกเตอร์ความเสี่ยงหลัก
เมื่อผู้โจมตีได้ฐานที่มั่น พวกเขาไม่ค่อยอยู่นิ่ง การเคลื่อนที่ภายในคือวิธีที่พวกเขาหาคุณค่า
เครือข่ายทางการเงินมีความหนาแน่นและเชื่อมต่อกันสูง ซึ่งทำให้การเคลื่อนที่ด้านข้างยากที่จะตรวจพบโดยไม่มีการมองเห็นทั่วทั้งเครือข่าย NDR เปิดเผยเส้นทางเหล่านั้นอย่างชัดเจน
2. การเข้ารหัสซ่อนทั้งข้อมูลและภัยคุกคาม
การเข้ารหัสไม่อาจเจรจาได้ในบริการทางการเงิน แต่มันยังทำให้เครื่องมือตรวจสอบแบบดั้งเดิมตาบอดด้วย
NDR ไม่พึ่งพาการถอดรหัสทุกอย่าง มันวิเคราะห์ข้อมูลเมตาของเซสชัน เวลา ปลายทาง และพฤติกรรมเพื่อระบุภัยคุกคามที่ซ่อนอยู่ในการรับส่งข้อมูลที่เข้ารหัส
3. สภาพแวดล้อมแบบไhybrid และบุคคลที่สามเพิ่มความซับซ้อน
บริการคลาวด์, API, พันธมิตรฟินเทค และการดำเนินงานที่จ้างออกไปเป็นมาตรฐานในปัจจุบัน การเชื่อมต่อแต่ละครั้งนำมาซึ่งความเสี่ยง
NDR ให้การมองเห็นที่สม่ำเสมอทั่วทั้งสภาพแวดล้อมภายในองค์กร คลาวด์ และแบบผสม ช่วยให้ทีมเข้าใจว่าการรับส่งข้อมูลไหลจริงอย่างไร ไม่ใช่แค่วิธีการออกแบบสถาปัตยกรรม
4. กิจกรรมภายในเป็นปัญหาเครือข่าย
คนในองค์กรไม่ค่อยปล่อยมัลแวร์ พวกเขาใช้การเข้าถึงในทางที่ผิด
การกระทำของพวกเขาปรากฏเป็นการเปลี่ยนแปลงที่ละเอียดอ่อนในพฤติกรรมเครือข่าย: ที่ที่พวกเขาเชื่อมต่อ บ่อยแค่ไหน และพวกเขาเคลื่อนย้ายอะไร NDR เป็นหนึ่งในการควบคุมไม่กี่อย่างที่ออกแบบมาเพื่อเปิดเผยรูปแบบเหล่านั้นตั้งแต่เนิ่นๆ
NDR ดูเป็นอย่างไรใน SOC ทางการเงินที่เป็นผู้ใหญ่
ในทางปฏิบัติ NDR กลายเป็นส่วนหนึ่งของการดำเนินงานด้านความปลอดภัยประจำวัน
ทีมใช้มันเพื่อ:
- ตรวจสอบการแจ้งเตือนก่อนการยกระดับเหตุการณ์
- สร้างการเคลื่อนไหวของผู้โจมตีขึ้นมาใหม่ในระหว่างการสอบสวน
- ประเมินผลกระทบและรัศมีการระเบิดก่อนการควบคุม
- สนับสนุนการตรวจสอบด้วยหลักฐานพฤติกรรมที่เป็นรูปธรรม
แทนที่จะไล่ตามการแจ้งเตือนที่แยกกัน นักวิเคราะห์ทำงานจากมุมมองที่สอดคล้องกันของสิ่งที่เกิดขึ้นทั่วทั้งเครือข่าย นั่นทำให้การสอบสวนสั้นลงและปรับปรุงความมั่นใจในการตัดสินใจตอบสนอง
NDR เข้ากับกลุ่มความปลอดภัยที่มีอยู่ได้อย่างไร
NDR ไม่ได้แทนที่ SIEM, เครื่องมือปลายทาง หรือแพลตฟอร์ม SOAR มันเสริมความแข็งแกร่งให้พวกเขา
- การแจ้งเตือนปลายทางได้รับบริบทเครือข่าย
- ความสัมพันธ์ของ SIEM กลายเป็นตระหนักถึงพฤติกรรม
- เวิร์กโฟลว์การตอบสนองอัตโนมัติกระตุ้นด้วยความมั่นใจที่สูงขึ้น
สถาบันการเงินที่ได้รับคุณค่ามากที่สุดจาก NDR ปฏิบัติต่อมันเป็นชั้นการมองเห็นและข่าวกรอง ไม่ใช่แค่เครื่องมือตรวจจับอีกตัวหนึ่ง
คุณค่าที่แท้จริงของ NDR
ในระหว่างเหตุการณ์ ความไม่แน่นอนคือศัตรู ผู้นำด้านความปลอดภัยไม่เพียงต้องการการแจ้งเตือน พวกเขาต้องการคำตอบ:
- ระบบใดเกี่ยวข้อง?
- ผู้โจมตีเคลื่อนไหวอย่างไร?
- ข้อมูลใดอยู่ในความเสี่ยง?
NDR ให้ความชัดเจนนั้นเมื่อมันสำคัญที่สุด และสถาบันการเงินกำลังตระหนักมากขึ้นว่าหากไม่มีการมองเห็นในระดับเครือข่าย แม้แต่โปรแกรมความปลอดภัยที่ได้รับเงินทุนดีที่สุดก็กำลังดำเนินการด้วยข้อมูลที่ไม่สมบูรณ์
สรุป
ภัยคุกคามทางไซเบอร์ในบริการทางการเงินไม่ได้ถูกกำหนดโดยการโจมตีที่ดังหรือมัลแวร์ที่ชัดเจนอีกต่อไป พวกมันถูกกำหนดโดยความละเอียดอ่อน ความอดทน และการใช้ความไว้วางใจในทางที่ผิด
การตรวจจับและตอบสนองเครือข่าย จัดการกับความเป็นจริงนั้นโดยตรง มันไม่ได้สัญญาความสมบูรณ์แบบ มันส่งมอบการมองเห็น
สำหรับองค์กรทางการเงินที่กำลังประเมินวิธีเสริมความแข็งแกร่งการตรวจจับและตอบสนองโดยไม่ต้องยกเครื่องกลุ่มความปลอดภัยทั้งหมด NDR คุ้มค่าแก่การพิจารณาอย่างจริงจัง ไม่ใช่ในฐานะส่วนเสริม แต่เป็นชั้นพื้นฐาน
เพราะหากคุณไม่สามารถเห็นสิ่งที่เกิดขึ้นภายในเครือข่ายของคุณ คุณกำลังตอบสนองสายเสมอ และในบริการทางการเงิน สายมีราคาแพง
