Network Detection & Response (NDR), czyli sztuczna inteligencja w służbie cyberbezpieczeństwa sektora publicznego
10/25/2023
W dzisiejszym świecie, w którym cyfrowa przestrzeń staje się coraz bardziej zintegrowaną częścią naszego życia, zagrożenia związane z cyberbezpieczeństwem stanowią poważny problem dla sektora publicznego. Administracja rządowa i jednostki infrastruktury krytycznej borykają się z wieloma problemami związanymi z zapewnieniem cyberbezpieczeczeństwa, zarówno swoim jednostkom, jak i obywatelom.
Jednostki samorządu terytorialnego, organy i agencje rządowe są coraz bardziej narażone na ataki cybernetyczne, przy czym sektor ten ma najniższy poziom zaawansowania we wdrażaniu rozwiązań cyberbezpieczeństwa - 36,1% (Cyber Benchmark 2023 ). Mimo to, poziom bezpieczeństwa wciąż jest niewystarczający.
O 178% wzrosła ilość zgłoszeń ataków do CERT Polska (Raport z działalności CERT 2022 ). To alarmujący trend, który podkreśla pilną potrzebę zapewnienia cyberbezpieczeństwa w sektorze publicznym. Wojna w Ukrainie spowodowała nasilenie ataków na polski sektor publiczny i coraz częściej przeprowadzają je zorganizowane grupy przestępcze oraz armie hakerów sponsorowane przez państwa. Jednocześnie atakujący z powodzeniem opracowują nowe metody i narzędzia, aby omijać tradycyjne środki ochrony.
12 772 zgłoszone przypadki wycieku danych osobowych (Money.pl 2023 ). Większość kar, które w 2022 roku nałożył UODO, jest bezpośrednio związana z naruszeniami ochrony danych. Sektor publiczny gromadzi ogromne ilości danych obywateli, w tym dane osobowe, medyczne, finansowe i wiele innych. Wymogi regulacyjne, takie jak RODO, nakładają na dodatkowe obowiązki związane z ochroną danych, a kary za ich nieprzestrzeganie, są dotkliwe.
Średnio 287 dni zajmuje wykrycie i powstrzymanie ataku (IBM Cost of Data Breach 2023 ) - cyberataki są wykrywane najczęściej po tym, jak spowodują nieodwracalne szkody. Około 75% organizacji planuje konsolidację rozwiązań cybersecurity (Gartner Survey 2022 ).
Sektor publiczny często działa w złożonych środowiskach IT, które obejmują wiele systemów, baz danych i sieci. Organy administracji publicznej często korzystają z przestarzałych systemów informatycznych i infrastruktury, które nie są dostosowane do nowoczesnych standardów bezpieczeństwa, a brak integracji rozwiązań cyberbezpieczeństwa wpływa na ich efektywność i utrudnia wykrywanie ataków i zagrożeń.
Specjalistów ds. cybersecurity brakuje na całym świecie. Stosunek podaży do popytu wynosi obecnie 68 pracowników na 100 wolnych wakatów (CyberSeek 2023) . A z dużym prawdopodobieństwem możemy założyć, że w polskim Sektorze publicznym będzie on jeszcze większy, choćby z powodu różnicy w płacach między sektorem prywatnym, a państwowym.
Jednym z kluczowych wyzwań jest brak wykwalifikowanych specjalistów cyberbezpieczeństwa. W dzisiejszej rzeczywistości, gdzie zagrożenia cyberspace stają się coraz bardziej zaawansowane, sektor publiczny często zmaga się z trudnościami w rekrutacji i utrzymaniu doświadczonych ekspertów ds. bezpieczeństwa. A brak wyszkolonego personelu może prowadzić do niewłaściwej ochrony infrastruktury i danych. Dlatego tak ważne jest, by jednostki publiczne dbały o bezpieczeństwo sieci i zabezpieczały IT dzięki najlepszym możliwie technologiom zabezpieczającym.
60% naruszeń danych jest spowodowane przez wewnętrznych użytkowników sieci (idwatchdog 2023 ). Koszt naruszenia danych spowodowany przez wewnętrznych pracowników wynosi średnio 4,90 mln USD, co stanowiło wzrost o 9,5 %, w porównaniu do średniego kosztu naruszenia danych (IBM Cost of Data Breach 2023 ). Wśród przyczyn incydentów spowodowanych przez pracowników i partnerów instytucji publicznych można wyróżnić błędy ludzkie, brak świadomości w zakresie bezpieczeństwa, ale także działania celowe, takie jak kradzież danych przez pracowników.
Jednostki samorządu terytorialnego i inne instytucje publiczne często operują z ograniczonymi budżetami. Wiele z nich nie ma wystarczających środków na inwestycje w skuteczną ochronę cybernetyczną, co czyni je bardziej podatnymi na ataki. W efekcie, niektóre instytucje mogą inwestować w cyberbezpieczeństwo na minimalnym poziomie lub wcale, co zwiększa ryzyko incydentów.
Network Detection and Response (NDR) to kompleksowe rozwiązanie służące do monitorowania i zabezpieczania sieci komputerowych przed różnorodnymi zagrożeniami. NDR nieustająco analizuje ruch w sieci, gromadząc dane z wielu źródeł, takich jak przepływ danych, logi urządzeń sieciowych oraz pakiety sieciowe. Poprzez skupienie się na analizie zachowań i wzorców w sieci, NDR pozwala na identyfikację nowych i nieznanych ataków, korzystając z zaawansowanych algorytmów uczenia maszynowego i sztucznej inteligencji.
Wykorzystanie technologii NDR umożliwia odkrywać i badać potencjalne zagrożenia, nietypowe zachowania oraz ryzykowną aktywność na wszystkich obszarach sieci. Funkcje NDR można porównać do wirtualnego sapera, zdolnego do dokładnego odkrycia i zrozumienia zakresu i charakteru incydentu lub naruszenia bezpieczeństwa.
Zastosowanie NDR opiera się na zaawansowanej sztucznej inteligencji, łączy machine learning i deep learning, które umożliwiają przewidywanie ryzyka. To NDR jest lepszym rozwiązaniem w przypadku dużej liczby alarmów o niewystarczającym kontekście dla systemów SIEM.
W czasach, gdy cyberochrona firmowa staje się priorytetem, rozwiązania NDR dostarczają scentralizowaną analizę behawioralną ruchu sieciowego opartą na maszynach oraz narzędzia do reakcji, pozwalające na efektywny przepływ pracy i automatyzację działań. Poprzez wykorzystanie uczenia maszynowego do określenia pozycji w sieci, NDR umożliwia pełną analizę sieci w celu identyfikacji i eliminacji zwłaszcza ruchów bocznych np. w punktach końcowych (laptopach, telefonach komórkowych, komputerach stacjonarnych).
Wykrywanie zaawansowanych zagrożeń:
Ataki zero-day, ransomware, ale również ataki z wewnątrz organizacji.
Bezproblemowa integracja z innymi narzędziami bezpieczeństwa:
Z systemami zarządzania zdarzeniami bezpieczeństwa (SIEM) oraz narzędziami do automatyzacji reakcji na zagrożenia (SOAR).
Monitoring sieci w czasie rzeczywistym:
Natychmiastowa identyfikacja i reakcja na zagrożenia w dynamicznym i nieustannie ewoluującym środowisku sieciowym.
Redukcja ryzyka:
Dzięki ciągłemu monitorowaniu sieci NDR zmniejsza ryzyko naruszeń i wycieku danych.
Optymalizacja zasobów:
Efektywne wykorzystanie dostępnych zasobów - jest to szczególnie istotne w sektorze publicznym z ograniczonymi budżetami.
Zautomatyzowane reakcje:
Wdrożenie działań bez udziału człowieka, które przyspieszają proces reagowania i minimalizowania strat.
Jednym ze skuteczniejszych i ciekawszych NDR-ów, dostępnych na rynku, jest jedyne polskie rozwiązanie w tej klasie, czyli sonda sieciowa Cryptomage Cyber Eye™ . Rozwiązanie to jest rozpoznawane przez Gartnera i ma najwyższą możliwą ocenę wystawioną przez użytkowników.
Podczas gdy większość rozwiązań bezpieczeństwa koncentruje się wyłącznie na zachowaniach użytkowników i urządzeń, Cryptomage Cyber Eye™ oferuje niespotykane podejście do niskopoziomowej, głębokiej analizy ruchu sieciowego, stanów i zachowania protokołów sieciowych oraz analizy zachowań poszczególnych urządzeń w sieci. Sonda została rozbudowana o zaawansowane funkcje i autorskie algorytmy sztucznej inteligencji (AI) i uczenia maszynowego (ML).
- sonda wykrywa zagrożenia w czasie rzeczywistym i działa na kopii ruchu, przez co jest niewidoczna dla atakujących,
- rozwiązanie jest niesygnaturowe i zapewnia bezproblemową integrację: sonda nie wymaga pracy integracyjnej i nie potrzebuje bazy danych – analizuje zachowania i wzorce w sieci organizacji, co pozwala identyfikować nieznane ataki i zagrożenia,
- inwentaryzacja urządzeń i usług sieciowych - wykrywa nietypowe zachowania ze strony wewnętrznych użytkowników, rozpoznaje korzystanie z nieautoryzowanych urządzeń i usług,
- Cryptomage Cyber Eye™, jako jedyne w tej klasie urządzeń, ma dedykowany moduł RODO , który wykrywa transmisję danych wrażliwych, a także jest znakomitym narzędziem do generowania raportów dla Inspektorów Danych Osobowych,
- wystarczy jedna osoba do obsługi urządzenia - sonda nastawiona jest na minimalizację obsługi przez użytkowników, zostały stworzone autorskie algorytmy, które pozwalają redukować incydenty fałszywie-dodatnie (false-positive),
- integracja z platformą Recorded Furure - liderem w zakresie IP Intelligence i wykrywania wektorów ataków – dzięki temu, każde IP, które widzi Cryptomage Cyber Eye, jest wzbogacone o dane z platformy,
- sonda jest dostępna zarówno jako urządzenie fizyczne, jak i maszyna wirtualna.
Aby osiągnąć bezpieczeństwo cybernetyczne, jednostki samorządowe powinny rozważyć współpracę z zaufanym partnerem. W firmie Atende S.A., jako wiodącym integratorze rozwiązań IT, mamy zdolność do zaproponowania różnorodnych rozwiązań, w tym naszego własnego produktu - Cryptomage Cyber Eye, oraz dostosowania ich do indywidualnych potrzeb i oczekiwań klientów. Oferujemy kompleksowe wsparcie, obejmujące audyt środowiska, rekomendacje w zakresie cyberbezpieczeństwa oraz raporty z sugestiami dotyczącymi usprawnień, które mogą pomóc jednostkom samorządowym w spełnieniu wymogów Dyrektywy NIS2 i zwiększeniu odporności na zagrożenia cybernetyczne.
Sprawdź możliwość współpracy i postaw na partnerstwo, kluczowe dla zapewnienia bezpieczeństwa i ciągłości działania usług publicznych. Chcesz poznać możliwości naszego wsparcia? Skorzystaj z naszej darmowej konsultacji dla podmiotów publicznych lub skontaktuj się poprzez formularz poniżej.
Czekam na kontakt od Ciebie.