Нарушения данных являются серьезной угрозой безопасности для предприятий и конечных пользователей. Ранее мы обсуждали нарушение данных Equifax Это привело к утечке номеров социального страхования 147 миллионов граждан США. В прошлом месяце (07/2019) в результате взлома данных Capital One хакер получил доступ к именам и адресам около 100 миллионов человек в США, а также 6 миллионов человек в Канаде. И снова взлом скомпрометировал личность более 100 миллионов человек! Чье имя будет следующим в заголовках? Как мы могли предотвратить такие случаи?

Как это произошло?

Компания Capital One, пионер цифрового банкинга, взяла курс на цифровую трансформацию (DX).

Директор по информационным технологиям Capital One Роб Александр преобразовал свою организацию из ИТ-магазина в компанию по разработке программного обеспечения с гибкой разработкой, общедоступным облаком, новыми талантами, технологиями с открытым исходным кодом и машинным обучением (по данным InformationWeek). Поскольку общедоступное облако является одним из основных компонентов их стратегии, Capital One является одним из первых финансовых институтов, которые в большей степени зависят от общедоступного облака. Сложная поверхность атаки сочетания облаков и корпоративных инфраструктур делает традиционные средства защиты периметра неэффективными, и злоумышленники активно стремятся использовать бреши в безопасности при внедрении компаниями облачных технологий. Пейдж Томпсон (по прозвищу ERRATiC), 33-летняя бывшая инженер Amazon, начала атаку на облачные компоненты Capital One в Amazon AWS и украла около 30 ГБ данных клиентов через веб-хранилище объектов данных AWS S3.

Нарушение можно разбить на следующие основные этапы:

Как мы можем добиться большего?

Для организаций важно улучшить гигиену безопасности, уменьшить количество неправильных конфигураций и своевременно исправлять уязвимости. Тем не менее, предотвратить все возможные ошибки в системе крайне сложно. Сегодня развертывание гибридного облака является обычным явлением и создает сложные поверхности для атак. Мониторинг и сбор соответствующих данных, расширенное обнаружение ИИ, эффективное расследование и быстрое реагирование - необходимые элементы для предотвращения возможных атак.

Чтобы пролить свет на сложность как внутренней инфраструктуры предприятия, так и поставщиков облачных услуг, необходимо собрать и объединить множество различных типов данных из сети, с серверов и из облачных журналов для большей наглядности. Платформа Stellar Cyber ​​Unified Security Analytics (USAP), Starlight, может легко получать данные из всех видов источников данных - от сетевых датчиков, хост-агентов Linux / Windows и облачных журналов - а также использовать передовые методы искусственного интеллекта и машинного обучения для обнаружения необычное поведение системы. Его пользовательский интерфейс позволяет пользователям соотносить аномалии в цепочке убийств и глубоко погружаться в окружающие инциденты. Быстрое устранение неполадок обеспечивается встроенными инструментами автоматического реагирования на инциденты, такими как добавление правил брандмауэра и отключение пользователей.

В случае утечки данных Capital One мы бы выявили следующие аномалии:

Эти аномалии вместе создают очень убедительную историю нападения. В ходе расследования аналитики безопасности могут использовать платформу больших данных Stellar Cyber ​​и автоматизированный поиск угроз, чтобы обнаружить еще больше аномалий в окрестностях этой атаки и быстро остановить распространение угроз.

Заключение

В эпоху цифровой трансформации, искусственного интеллекта и больших данных организации обнаружили, что защита данных требует большой ответственности. Данные ценны, а утечки данных наносят огромный ущерб репутации и доходам любой организации. Усовершенствованная система Stellar Cyber ​​USAP Starlight оптимизирована для защиты от сложных атак, угрожающих сети, что дает системным администраторам уверенность в том, что критически важные активы хорошо защищены.