Nematomos atakos: kodėl nebepakanka stebėti eismo

Noras išlaikyti tradicinį eismo stebėjimo modelį, pagrįstą paketų analize, anomalijų aptikimu ir pasienio tikrinimu, yra švaistyti brangų laiką IT komandoms. Taip yra todėl, kad vis labiau buvo kuriamos pažangios technikos, kad būtų išvengta aptikimo klasikinėmis sistemomis, naudojant spragas, kurios lieka nematomos saugumo priemonėms, pagrįstoms tik tinklo srautu.

Tiesą sakant, iš tikrųjų, 72% respondentų pasaulinėje Pasaulio ekonomikos forumo apklausoje 2025, „, pranešė apie padidėjusią organizacinę kibernetinę riziką, atspindinčią, kaip grėsmės vystosi, kad pasislėptų nuo tradicinės gynybos 10 kartų daugiau sėkmės tikimybė nei tradicinės failų pagrindu veikiančios kenkėjiškų programų atakos.

Kibernetiniai nusikaltėliai nustojo veikti bandymų ir klaidų dėka Šiandien jie veikia tiksliai ir nepalieka pėdsakų Jie intensyviai naudoja be failų atakas, išnaudoja teisėtus sistemos įrankius, tokius kaip PowerShell ir WMI, kad vykdytų kenkėjiškas komandas, nesukeldami įtarimų, ir tyliai juda į šoną per tinklą, tarsi jie jau priklausė aplinkai.

Šio tipo puolimas yra sąmoningai sukurtas taip, kad atrodytų teisėtas, eismas nekelia įtarimų, įrankiai nėra nežinomi, o įvykiai neatitinka bendrų grėsmių modelių, remiantis Pasaulio ekonomikos forumo 2025 m. ataskaita, 66% organizacijų mano dirbtinis intelektas turės didžiausią poveikį kibernetiniam saugumui, tiek gynybai, tiek atakoms, atspindinčioms paradigmos pokytį.

Tradiciniai sprendimai, tokie kaip ugniasienės, IDS ir paprastos koreliacijos sistemos, neužtikrina reikiamos apsaugos, ypač dėl to, kad 47% organizacijų kaip pagrindinį rūpestį nurodo priešpriešinę pažangą, kurią skatina generatyvus AI. Be to, 54% didelių organizacijų nurodo tiekimo grandinės pažeidžiamumą kaip didžiausią kibernetinio atsparumo kliūtį, sustiprinančią iššūkio sudėtingumą.

Granuliuoto matomumo vaidmuo

Šiame scenarijuje detalus matomumas iškyla kaip esminis veiksmingos kibernetinio saugumo strategijos reikalavimas. Tai galimybė detaliai stebėti galutinių taškų, vartotojų, procesų, vidinių srautų ir veiklos tarp sistemų elgesį kontekstualizuotu ir nuolatiniu būdu.

Taikant šį metodą reikia naudoti pažangesnes technologijas, pvz., EDR (galutinio taško aptikimas ir atsakas), XDR (išplėstinis aptikimas ir atsakas) ir NDR (tinklo aptikimas ir atsakas). Šios priemonės renka telemetriją įvairiais lygmenimis - nuo tinklo iki galutinio taško, ir taiko elgesio analizę, dirbtinį intelektą ir įvykių koreliaciją, kad aptiktų grėsmes, kurios liktų nepastebėtos aplinkoje, stebimoje tik pagal eismo intensyvumą.

Metodai, kurie išnaudoja nematomumą

Tarp dažniausiai naudojamų taktikų nematomose atakose mes pabrėžiame:

• DNS tuneliavimas, duomenų inkapsuliavimas į iš pažiūros įprastas DNS užklausas;
• Skaitmeninė steganografija, kenkėjiškų komandų slėpimas vaizdo, garso ar vaizdo failuose; 
• Šifruoti komandų ir valdymo kanalai (C2), saugus ryšys tarp kenkėjiškų programų ir jų valdiklių, todėl sunku perimti; 
• Šie metodai ne tik apeina tradicines sistemas, bet ir išnaudoja koreliacijos tarp saugumo sluoksnių trūkumus.Eismas gali atrodyti švarus, tačiau tikroji veikla yra paslėpta už teisėtų operacijų ar šifravimo modelių.

Išmanus ir kontekstinis stebėjimas

Norint susidoroti su tokio tipo grėsme, labai svarbu, kad analizė neapsiribotų įsipareigojimų rodikliais (IoC) ir pradėtų atsižvelgti į elgesio rodiklius (IoB). Tai reiškia, kad reikia stebėti ne tik “o that” buvo pasiektas arba perduotas, bet ir “como”, “por quem” ir “em, kuris kontekstas” įvyko konkretus veiksmas.

Be to, integracija tarp skirtingų duomenų šaltinių, tokių kaip autentifikavimo žurnalai, komandų vykdymas, judesiai į šoną ir API iškvietimai, leidžia aptikti subtilius nukrypimus ir greičiau bei tiksliau reaguoti į incidentus.

Ką visa tai reiškia

Didėjantis kibernetinių atakų sudėtingumas reikalauja skubiai iš naujo įvertinti skaitmeninės gynybos praktiką Eismo stebėjimas vis dar būtinas, tačiau nebegali būti vienintelis apsaugos ramstis. Ženklinis matomumas su nuolatine, kontekstine ir koreliacine analize tampa būtinas norint aptikti ir sušvelninti nematomas grėsmes.

Investavimas į pažangias aptikimo technologijas ir strategijas, kuriose atsižvelgiama į tikrąjį sistemų elgesį, šiandien yra vienintelis veiksmingas būdas susidurti su oponentais, kurie moka pasislėpti matomoje vietoje.