เหตุใด VPN ทุกตัวจึงต้องการ SIEM ที่แข็งแกร่งอยู่เคียงข้าง

เผยแพร่แล้ว: 2020-08-05

เครือข่ายส่วนตัวเสมือนถูกใช้โดยบุคคลและองค์กรต่างๆ ในช่วงสองทศวรรษที่ผ่านมา VPN สร้างอุโมงค์ที่ปลอดภัยที่อนุญาตให้ถ่ายโอนข้อมูลที่เข้ารหัสจากจุดหนึ่งไปยังอีกจุดหนึ่ง ในโลกธุรกิจ พนักงานสามารถเชื่อมต่อกับเครือข่ายขององค์กรและส่งและรับข้อมูลได้อย่างปลอดภัย VPN มีบทบาทมากขึ้นเมื่อพิจารณาจากการทำงานจากสภาพแวดล้อมที่บ้านที่เราอยู่

ยังไม่ชัดเจนว่าคนจะทำงานจากที่บ้านได้นานแค่ไหน บางองค์กรได้แสดงให้เห็นแล้วว่าแม้หลังจากการระบาดใหญ่ผ่านไป พวกเขาจะมีส่วนของพนักงานที่ทำงานจากระยะไกล ความจริงที่ว่าผู้คนจำนวนมากขึ้นทำงานจากที่บ้านได้รับความสนใจจากอาชญากรไซเบอร์ พวกเขามองว่างานจากสภาพแวดล้อมที่บ้านเป็นการสร้างช่องโหว่ที่พวกเขาสามารถใช้ประโยชน์ได้

สารบัญ แสดง
  • การโจมตีทางไซเบอร์มุ่งเป้าไปที่ VPNs
  • จำเป็นต้องมีมากกว่ามาตรการรักษาความปลอดภัยขั้นพื้นฐาน
  • แพลตฟอร์ม SIEM มีประโยชน์ต่อองค์กรของคุณอย่างไร
  • SIEM ช่วยลดความเสี่ยงด้านความปลอดภัยในสภาพแวดล้อมการทำงานจากที่บ้านได้อย่างไร
  • การใช้ SIEM เพื่อตรวจจับและลดความเสียหายที่เกิดจากการฉ้อโกงของ CEO
  • การใช้ข้อมูลที่รวบรวมจาก SIEM เพื่อปรับปรุงความปลอดภัยทางไซเบอร์

การโจมตีทางไซเบอร์มุ่งเป้าไปที่ VPNs

ไซเบอร์-การรักษาความปลอดภัย-การป้องกัน-ความเป็นส่วนตัว-การเข้ารหัส-ความปลอดภัย-รหัสผ่าน-ไฟร์วอลล์-การเข้าถึง

จากคำกล่าวของผู้เชี่ยวชาญ Will Ellis จาก Privacy Australia เห็นว่าหนึ่งในวิธีหลักที่อาชญากรไซเบอร์ทำการโจมตีของพวกเขาคือการพยายามเจาะ VPN ดังที่เขากล่าวไว้ว่า “น่าเสียดาย ในหลายกรณี พวกเขาประสบความสำเร็จในช่วงไม่กี่เดือนที่ผ่านมา ส่งผลให้ภาคธุรกิจและหน่วยงานภาครัฐเข้มงวดมาตรการรักษาความปลอดภัย”

ทันทีที่อาชญากรไซเบอร์เจาะผ่าน VPN และเข้าถึงเครือข่ายขององค์กรได้ พวกเขาก็เหมือนเด็กในร้านขายขนม พวกเขาสามารถยิงปืนผ่านเครือข่ายและบริการต่างๆ ในยามว่าง พวกเขาสามารถมองหาช่องโหว่ การกำหนดค่าผิดพลาด และจุดอ่อนได้ ไม่มีขีดจำกัดสำหรับความเสียหายที่อาชญากรจะเกิดขึ้นได้เมื่อพวกเขาเข้าถึงเพื่อจัดการข้อมูล ทำลายระบบ หรือขัดขวางข้อมูลที่ละเอียดอ่อนระหว่างการส่งผ่าน

แนะนำสำหรับคุณ: VPN vs Proxy: อะไรคือความแตกต่าง? อันไหนดีกว่า?

จำเป็นต้องมีมากกว่ามาตรการรักษาความปลอดภัยขั้นพื้นฐาน

ความปลอดภัย-ความปลอดภัย-อินเทอร์เน็ต-รหัสผ่าน-ล็อค-SIEM

องค์กรส่วนใหญ่ใช้ขั้นตอนพื้นฐานที่แนะนำในการปรับปรุงความปลอดภัย VPN อยู่แล้ว ซึ่งรวมถึงการกำหนดรหัสผ่านที่คาดเดายากที่ซับซ้อน ไม่ซ้ำใคร และเปลี่ยนแปลงเป็นระยะ การจัดเตรียมหรือการเข้าถึงการควบคุมตามบทบาทหมายถึงการจำกัดทรัพยากรตามกลุ่ม การตรวจสอบสิทธิ์แบบหลายปัจจัยยังใช้สำหรับผู้ใช้ที่มีสิทธิพิเศษหรือผู้ที่ต้องการเข้าถึงข้อมูลและซอฟต์แวร์ที่มีความละเอียดอ่อน

ไม่ควรลดความสำคัญของขั้นตอนเหล่านี้ให้เหลือน้อยที่สุด องค์กรจะหลอกตัวเองหากเชื่อว่าขั้นตอนพื้นฐานเหล่านี้เป็นสิ่งที่จำเป็นในการป้องกันตนเองจากการโจมตีความปลอดภัยทางไซเบอร์ที่มีความซับซ้อนเพิ่มขึ้นอย่างต่อเนื่อง

การโจมตีที่ซับซ้อนต้องการโซลูชันที่ซับซ้อน เช่น ข้อมูลความปลอดภัยและแพลตฟอร์มการจัดการเหตุการณ์ SIEM เป็นเครื่องมือที่รับผิดชอบในการรวบรวมและเชื่อมโยงข้อมูลจากเครื่องมือรักษาความปลอดภัยที่องค์กรใช้ ซึ่งรวมถึง VPN

SIEM อนุญาตให้รวบรวมข้อมูลที่รวบรวมโดยเครื่องมือรักษาความปลอดภัยแยกต่างหากเพื่อรวบรวมเพื่อให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามด้านความปลอดภัยที่อาจรวบรวมได้ไม่ง่ายจากการดูข้อมูลแยกกัน แพลตฟอร์มเหล่านี้สามารถช่วยให้องค์กรระบุเหตุการณ์ที่มีความเสี่ยงสูงอย่างแท้จริง และแยกเหตุการณ์ออกจากปัญหา

ตัวอย่างเช่น พนักงานอาจเชื่อมต่อกับ VPN จากนิวยอร์กซิตี้ สี่สิบห้านาทีต่อมา พนักงานคนเดิมเชื่อมต่อกับ VPN ขององค์กรจากมินนิอาโปลิส แพลตฟอร์ม SIEM ควรจะสามารถบอกได้ว่าสิ่งนี้เป็นไปไม่ได้ทางกายภาพ แล้วตั้งค่าสถานะนี้เป็นพฤติกรรมที่น่าสงสัยที่ต้องได้รับการตรวจสอบ

แพลตฟอร์ม SIEM มีประโยชน์ต่อองค์กรของคุณอย่างไร

อันตราย-ความปลอดภัย-ภัยคุกคาม-ไซเบอร์-อาชญากรรม-หลอกลวง-ไวรัส-แฮ็ค

โซลูชัน SIEM นำเสนอการตรวจจับภัยคุกคามแบบเรียลไทม์ เพิ่มประสิทธิภาพ ลดต้นทุน ลดภัยคุกคามที่อาจเกิดขึ้น ปรับปรุงการรายงานและการวิเคราะห์บันทึก และขับเคลื่อนการปฏิบัติตามข้อกำหนดด้านไอที เนื่องจากโซลูชัน SIEM สามารถเชื่อมต่อบันทึกเหตุการณ์จากอุปกรณ์และแอปพลิเคชันต่างๆ เจ้าหน้าที่ไอทีจึงสามารถระบุ ตอบสนอง และตรวจสอบการละเมิดความปลอดภัยที่อาจเกิดขึ้นได้อย่างรวดเร็ว ยิ่งระบุภัยคุกคามความปลอดภัยทางไซเบอร์ได้เร็วเท่าใด ผลกระทบก็จะยิ่งน้อยลงเท่านั้น บางครั้งความเสียหายสามารถป้องกันได้ทั้งหมด

แพลตฟอร์ม SIEM ช่วยให้ทีมไอทีมองเห็นภาพรวมของภัยคุกคามทั้งหมดที่เครื่องมือรักษาความปลอดภัยขององค์กรกำลังปกป้องมัน การแจ้งเตือนเพียงครั้งเดียวจากมัลแวร์หรือตัวกรองโปรแกรมป้องกันไวรัสอาจไม่ใช่เรื่องใหญ่ หรืออาจไม่ส่งสัญญาณเตือน อย่างไรก็ตาม หากมีการแจ้งเตือนจากไฟร์วอลล์ ตัวกรองการป้องกันไวรัส และ VPN พร้อมกัน นี่อาจแสดงว่ามีการละเมิดร้ายแรงอยู่ SIEM จะรวบรวมการแจ้งเตือนจากที่ต่างๆ แล้วแสดงบนคอนโซลส่วนกลาง เพื่อเพิ่มเวลาตอบสนองสูงสุด

คุณอาจชอบ: VPN vs RDS vs VDI: สิ่งที่ควรเลือกสำหรับการเข้าถึงระยะไกลที่ปลอดภัย?

SIEM ช่วยลดความเสี่ยงด้านความปลอดภัยในสภาพแวดล้อมการทำงานจากที่บ้านได้อย่างไร

SIEM-ความปลอดภัย-ข้อมูล-เหตุการณ์-การจัดการ

การระบาดใหญ่ของโคโรนาไวรัสได้บังคับให้องค์กรต่างๆ เปลี่ยนจากพนักงานในสถานที่ไปเป็นพนักงานที่ทำงานนอกสถานที่ได้เร็วกว่าที่หลายๆ องค์กรได้รับการซ่อมแซมให้ทำ ซึ่งหมายความว่าพวกเขาต้องสร้างสมดุลและอาจประนีประนอมระหว่างการให้บริการที่สม่ำเสมอแก่ลูกค้าและการรักษาความปลอดภัยทางไซเบอร์ในระดับสูง

การกำหนดค่ากฎและการป้องกันด้วยตนเองที่สามารถจัดการกับการเปลี่ยนแปลงนี้ได้สำเร็จนั้นใช้เวลานาน องค์กรที่ไม่ได้ใช้แพลตฟอร์ม SIEM เล่นเกมที่น่าผิดหวัง อันตราย และมีค่าใช้จ่ายสูงในการตามให้ทันในช่วงสองสามสัปดาห์แรกของการสั่งซื้อให้อยู่แต่บ้าน

องค์กรที่ใช้ SIEM อยู่แล้วสามารถเปลี่ยนแปลงได้ง่ายขึ้น เนื่องจากพวกเขามีระบบที่ครอบคลุมซึ่งใช้ประโยชน์จากการวิเคราะห์พฤติกรรมและการเรียนรู้ของเครื่อง พวกเขาจึงสามารถปรับให้เข้ากับการเปลี่ยนแปลงในสภาพแวดล้อมการทำงานได้โดยอัตโนมัติ สิ่งนี้ทำให้ทีมไอทีของพวกเขาเครียดมาก

ประโยชน์ที่สำคัญอย่างหนึ่งของการวิเคราะห์พฤติกรรมคือความสามารถในการดูกิจกรรมปกติพื้นฐานสำหรับองค์กรและผู้ใช้ จากนั้นจะตรวจจับและส่งเสียงเตือนโดยอัตโนมัติเมื่อมีการเบี่ยงเบนจากกิจกรรมปกตินั้น ด้วยวิธีนี้ การควบคุมความปลอดภัยขององค์กรจะยืดหยุ่นและสามารถเปลี่ยนแปลงได้ตามสภาพแวดล้อมทางธุรกิจที่เปลี่ยนไป โดยจะปรับเปลี่ยนเป็นสิ่งใหม่โดยอัตโนมัติ เช่น วิธีที่พนักงานทำงานจากที่บ้านกลายเป็นเรื่องปกติแบบใหม่

การใช้ SIEM เพื่อตรวจจับและลดความเสียหายที่เกิดจากการฉ้อโกงของ CEO

คีย์บอร์ด-แล็ปท็อป-สีแดง-คัดลอก-แฮ็ก-ไซเบอร์-ความปลอดภัย-ข้อมูล-SIEM

สภาพแวดล้อมการทำงานที่บ้านทำให้การสื่อสารทางอีเมลมีความสำคัญมากกว่าที่เคยเป็นมา นี่เป็นเพราะการโต้ตอบแบบเห็นหน้ากันซึ่งเป็นส่วนหนึ่งของการทำงานในสำนักงานได้หมดลงแล้ว น่าเสียดาย เนื่องจากมีการส่งอีเมลจำนวนมากไปมา จึงมีความเป็นไปได้ที่อีเมลหลอกลวงจะถูกส่งไปในนามของผู้บริหาร กรรมการ หรือบุคคลที่รับผิดชอบอื่นๆ

การฉ้อโกงของ CEO เป็นอาชญากรรมไซเบอร์รูปแบบใหม่ การโจมตีทางวิศวกรรมสังคมใช้เพื่อหลอกลวงบุคคลในองค์กรให้ส่งเงินหรือข้อมูลที่เป็นความลับไปยังบุคคลหรือบุคคลที่กระทำการฉ้อโกง

การทุจริตของ CEO เกิดขึ้นก่อน COVID-19 คาดว่าภายในเวลาเพียง 3 ปี จะสามารถสร้างความเสียหายได้มากกว่า 2.3 พันล้านดอลลาร์ เมื่อผู้คนทำงานในสำนักงานซึ่งมีการติดต่อแบบตัวต่อตัวกับฝ่ายบริหาร หลายองค์กรเข้าใจผิดคิดว่าเป็นการง่ายสำหรับพวกเขาที่จะระบุการหลอกลวงทางอีเมลด้วยตนเอง

อย่างไรก็ตาม ในการตรวจสอบกรณีการฉ้อโกงของ CEO เป็นที่ชัดเจนว่าอีเมลหลายฉบับได้รับการสื่อสารไปมาระหว่างผู้ฉ้อโกงกับเหยื่อโดยที่เหยื่อไม่ฉลาดกว่า การฉ้อโกงของ CEO เป็นการฉ้อโกงที่ซับซ้อนและแทบจะเป็นไปไม่ได้เลยที่จะจับได้โดยไม่ต้องใช้เครื่องมือที่เหมาะสม หากเป็นเรื่องยากที่จะจับได้ในสภาพแวดล้อมที่ทำงานที่ค่อนข้างปลอดภัย ลองนึกภาพการจับมันตอนนี้โดยที่พนักงานถูกแยกย้ายกันไปและจำนวนการติดต่อแบบเห็นหน้ากันก็ลดลง

การฉ้อโกงของ CEO นำเสนอตัวเองในสองวิธี หนึ่งคือที่บัญชีอีเมลของผู้จัดการอาวุโสถูกแฮ็ก อีกประการหนึ่งคือที่ที่อีเมลถูกส่งจากโดเมนที่คล้ายกับโดเมนธุรกิจที่ถูกต้องตามกฎหมาย ในกรณีตัวอย่างแรก ผู้ฉ้อโกงจะประนีประนอมกับบัญชีอีเมลของพนักงานอาวุโส ในตัวอย่างที่สอง การพิมพ์ผิดใช้เพื่อหลอกให้พนักงานเชื่อว่าพวกเขาได้รับข้อมูลจากบุคคลที่อยู่ในตำแหน่งกำกับดูแล

โซลูชัน SIEM สามารถช่วยได้ ช่วยให้องค์กรก้าวนำหน้าความเสี่ยงด้านข้อมูลประจำตัวที่ถูกบุกรุก หากซีอีโอ ผู้จัดการ หรือบุคคลอื่นในตำแหน่งที่รับผิดชอบมีบัญชีอีเมลของตนถูกบุกรุก โซลูชัน SIEM สามารถช่วยระบุและหยุดการละเมิดก่อนที่จะเกิดขึ้น เนื่องจากโซลูชัน SIEM กำลังตรวจสอบข้อมูลทั่วทั้งเครือข่ายของคุณ ซึ่งรวมถึงบริการไดเรกทอรีที่ใช้งานอยู่ O365 ไฟร์วอลล์ หน่วยเก็บข้อมูล Salesforce และอื่นๆ

เมื่อข้อมูลทั้งหมดได้รับการโพสต์ลงใน SIEM แล้ว ข้อมูลจะถูกรวบรวมและเชื่อมโยงและตรวจสอบโดยการวิเคราะห์ขั้นสูง เป้าหมายคือการหาตัวบ่งชี้ของการประนีประนอมหรือค้นหารูปแบบที่แสดงว่ามีพฤติกรรมที่น่าสงสัยเกิดขึ้น ข้อมูลนี้สามารถบันทึกและส่งไปยังทีมรักษาความปลอดภัยขององค์กรได้ทันที

เนื่องจากสิ่งนี้เกิดขึ้นแบบเรียลไทม์ การโจมตีจำนวนมากสามารถป้องกันได้ก่อนที่จะสร้างความเสียหาย การเรียนรู้ของเครื่องขั้นสูงสามารถฝึกให้ระบุการโจมตีช้าที่แอบเข้าไปในเครือข่ายได้ สามารถตรวจจับรูปแบบกิจกรรมที่ผิดปกติได้ และสามารถบรรเทาภัยคุกคามได้ก่อนที่จะเกิดขึ้น พวกเขาสามารถใช้แนวทางเดียวกันนี้ในการระบุภัยคุกคามอีเมลประเภทอื่นๆ เช่น การหลอกลวงแบบสเปียร์ฟิชชิ่ง อีกครั้งที่เราเห็นพลังที่โซลูชัน SIEM สามารถเพิ่มมูลค่าที่ไม่ได้มาจาก VPN

คุณอาจชอบ: NordVPN กับ SiteLock VPN – อันไหนดีที่สุดสำหรับคุณ?

การใช้ข้อมูลที่รวบรวมจาก SIEM เพื่อปรับปรุงความปลอดภัยทางไซเบอร์

cyber-security-lock-internet-safety-hack-encryption

เมื่อตรวจพบความผิดปกติ องค์กรสามารถวางการป้องกันเพื่อป้องกันการประนีประนอมในอนาคต ขั้นตอนหนึ่งอาจเป็นการให้ความรู้พนักงานเกี่ยวกับภัยคุกคามความปลอดภัยทางไซเบอร์ที่พวกเขากำลังเผชิญ โดยการแสดงให้พนักงานเห็นถึงการโจมตีต่างๆ ที่พยายามทำขึ้น พนักงานจะได้รับการสนับสนุนให้ลดพฤติกรรมเสี่ยง

เคล็ดลับการป้องกันบางอย่างที่อาจดูเหมือนเป็นเรื่องธรรมดาสำหรับทีมไอทีที่พนักงานอาจมองข้ามไป ตัวอย่างเช่น พนักงานควรได้รับการเตือนให้ละเว้นอีเมลที่ไม่ต้องการการตอบสนองทันที พวกเขาควรได้รับการสนับสนุนให้ตรวจสอบที่อยู่อีเมลและโดเมนของผู้ส่งบ่อยๆ และเปรียบเทียบกับที่อยู่อีเมลและโดเมนของแท้ พนักงานควรได้รับการเตือนไม่ให้เปิดเอกสารแนบที่ไม่คาดคิด และใช้ความระมัดระวังเพิ่มเติมเมื่อได้รับอีเมลจากผู้ส่งที่ไม่รู้จัก

สิ่งหนึ่งที่แน่นอนคืออาชญากรไซเบอร์จะไม่หยุดค้นหาช่องโหว่ องค์กรจำเป็นต้องปกป้องตนเอง ข้อมูล และพนักงานโดยใช้คุณลักษณะด้านความปลอดภัย เช่น VPN เครื่องมือป้องกันไวรัส และการป้องกันมัลแวร์ จากนั้นสำรองข้อมูลเหล่านี้ด้วยแพลตฟอร์ม SIEM