2024. január: egy jogosulatlan harmadik fél hozzáfért a LoanDepot mintegy 16,6 millió ügyfelének érzékeny személyes adataihoz. 2025. augusztus: az Allianz Life elleni kibertámadás következtében több mint egymillió ügyfél személyes adatai kerültek veszélybe. 2026. február: a BridgePay Network Solutions elleni zsarolóvírus-támadás miatt a floridai Palm Bay város online számlázási portálja elérhetetlenné vált.
Egyértelmű tendencia rajzolódik ki: a pénzügyi intézmények a támadók számára kiemelt célponttá váltak.
Ezeket a támadásokat gyakran szervezett kiberbűnözői csoportok vagy állami támogatást élvező szereplők hajtják végre, akik jelentős anyagi haszonszerzésre vagy a piac megzavarására törekednek. Ha a pénzügyi szektorban dolgozol, és azt hiszed, hogy biztonságban vagy a kockázatoktól, akkor nem figyelsz eléggé.
A behatolás ritkán történik kifinomult módon. Sok esetben egy adathalász e-mail jelenti a kezdetet. Innen a támadók oldalirányban terjednek tovább, behatolnak a belső rendszerekbe, fokozzák hozzáférési jogosultságaikat, és egyre közelebb kerülnek ahhoz, amiért eredetileg is jöttek: a fizetési infrastruktúrához, a kereskedési platformokhoz és az ügyféladatokhoz.
Sok pénzügyi szervezet éppen ezen a ponton veszíti el az irányítást a helyzet felett: ha a hálózat átláthatósága korlátozott, az ilyen tevékenységek észrevétlenek maradhatnak, amíg már túl késő; az észlelésig eltelő átlagos idő akár 181 nap is lehet.
Ez volt a kihívás egy vezető pénzügyi szervezet számára, amelynek célja az volt, hogy megszüntesse a láthatósági hiányosságokat, és megerősítse a fenyegetések felismerésére és az azokra való reagálásra szolgáló rendszereit. Ennek érdekében OPSWAT MetaDefender NDR választották, amelyet az infrastruktúra kritikus területein telepítettek, hogy mélyebb betekintést nyerjenek a hálózati forgalomba, és a fenyegetéseket korábban felismerjék.
Ez az ő történetük.
A hálózat rossz átláthatósága miatt az ügyfél rendszerei ki voltak téve az oldalirányú támadásoknak
Az ügyfél korábban hagyományos felügyeleti eszközöket használt, amelyek elsősorban a végpontok riasztásaira és a hálózati védelemre összpontosítottak. Ezek az eszközök kiválóan teljesítettek az ismert kártevők vagy a gyanús bejelentkezési kísérletek észlelése terén, de a hálózat átláthatóságát biztosító funkcióik hiányosak voltak.
Így a hálózat egyfajta „láthatatlan zónaként” működött, ahol a biztonsági rendszerek a legsebezhetőbbek voltak, a SOC-csapatok pedig a legkevésbé voltak felkészülve az incidensek kezelésére. Ezek a vakfoltok a következőket eredményezték:
Késleltetés az oldalirányú mozgás észlelésében
A bankokban és más pénzügyi intézményekben a laterális mozgás általában azt a fázist jelenti, amikor a támadók egy kezdetben megfertőzött munkaállomásról (például egy banki pénztáros laptopjáról vagy egy háttérrendszerbeli gépről) a nagy értékű rendszerek felé haladnak. Ezek a rendszerek lehetnek fizetésfeldolgozó rendszerek, SWIFT-infrastruktúra vagy alapvető banki adatbázisok.
Ügyfelünk esetében a késedelem abból adódott, hogy a rendszer a hálózati peremről érkező riasztásokra támaszkodott, amelyek vagy késve érkeztek, vagy egyáltalán nem váltottak ki riasztást. Több mint 50 ezer alkalmazott mellett a támadóknak rengeteg lehetőségük nyílt a rendszerekbe való behatolásra. Ezt a kockázatot az ügyfél nem volt hajlandó vállalni.
Lassú törvényszéki munkafolyamatok
A pénzügyi intézményekben az adatvédelmi incidensek utáni nyomozási vizsgálatokat gyakran lassítják a széttagolt adatforrások, mivel a biztonsági operációs központok (SOC) csapatainak esetenként össze kell kapcsolniuk a tűzfal-naplókat, a végpontok riasztásait vagy a hitelesítési naplókat. Még a gyors cselekvésre nehezedő nyomás ellenére is nehézségekbe ütközhetnek ezek a csapatok annak megállapításában, hogy pontosan mi történt, és mi a legjobb módszer az incidens hatásának korlátozására.
Egyszerűen fogalmazva: a SOC-csapatok nem láttak semmit, és a potenciális támadók ezt biztosan kihasználták volna.
HogyanNDR MetaDefender NDR az észlelést és a nyomozást
MetaDefender NDR segítségével sikerült pótolni a láthatósági hiányosságokat; a hálózati biztonsági vizsgálatokra kifejezetten kifejlesztett MetaDefender NDR azokat a hálózati láthatósági funkciókat és elemző eszközöket, amelyek eddig hiányoztak ügyfelünk eszköztárából.
MetaDefender NDR
MetaDefender NDR a szervezetek gyorsabban felismerhetik, kivizsgálhatják és kezelhetik a hálózati fenyegetéseket anélkül, hogy ez megzavarná az üzleti tevékenységet.
A hálózati telemetriai adatok elemzésével felismeri a rendellenes forgalmi mintákat, észleli a rendszerek közötti oldalirányú mozgásokat, és feltárja a kibertámadásokhoz kapcsolódó kommunikációt.
A platform célja, hogy kiterjessze egy átlagos SOC-elemző szakértői tudását. Mesterséges intelligenciával támogatott észlelési modelljeinek segítségével folyamatosan elemzi a hálózati viselkedésmintákat, hogy már a támadás életciklusának korai szakaszában felismerje azokat a finom eltéréseket, amelyek támadói tevékenységre utalhatnak.
Ügyfelünk számára a platform megoldotta a biztonsági operációs központ (SOC) teljesítményét rontó legfőbb problémákat.
Oldalirányú mozgásérzékelés
MetaDefender NDR nem a végpontokat figyeli a tevékenységek jelentése érdekében, hanem folyamatosanNDR a hálózati szintű kelet-nyugati forgalmat, miközben ellenőrzi a belső rendszerek közötti adatforgalmat. Ennek köszönhetően képes felismerni olyan mintákat, mint az ismételt hitelesítési kísérletek, a szokatlan kapcsolatok vagy a rendszerek közötti kommunikáció, amelyek általában soha nem lépnek kapcsolatba egymással.
A késleltetést a normál belső kommunikáció viselkedési alapértékének meghatározása és a szinte valós időben végzett rendellenesség-felismerés kombinációjával csökkentik.
Gyorsabb törvényszéki vizsgálatok
MetaDefender NDR rögzíti a forgalom metaadatait, és lehetővé teszi azok utólagos elemzését. Amint egy IOC (biztonsági incidensre utaló jel) felismerésre kerül, a rendszer visszamenőlegesen ellenőrizheti, hogy a múltban kommunikált-e vele bármely belső rendszer.
Mostantól a SOC-csapatoknak nem kell megpróbálniuk rekonstruálni az incidens napján zajló forgalmat, vagy előkeresniük a korábbi naplófájlokat; az elemzők közvetlenül lekérdezhetik a tárolt hálózati telemetriai adatokat, ami különösen értékes a pénzügyi szektorban, ahol a támadás után eltelt hosszabb idő szabályszegéshez vezethet.
Ezen felül a mesterséges intelligenciával támogatott vizsgálati munkafolyamatok segítségével az elemzők összefüggésbe hozhatták a riasztásokat, rangsorolhatták a magas kockázatú eseményeket, és csökkenthették a manuális vizsgálatokra fordított időt, így az intézmény átállhatott a reaktív észlelésről a proaktív hálózatfigyelésre.
Mérhető hatása a SOC átláthatóságára és a fenyegetések észlelésére
MetaDefender NDR a hálózati rétegreNDR a hangsúlyt, és viselkedéselemzést alkalmazott a belső forgalomra, ami különösen hatékony a szegmentált pénzügyi környezetekben. Emellett lehetővé tette az elemzők számára, hogy kevesebb időt töltsenek az adatgyűjtéssel, és többet a döntéshozatalra fordítsanak.
Íme az eredmények az egyes területeken:
| Hatáskör | Mérhető eredmény |
|---|---|
| Hálózati átláthatóság | Részletes betekintést nyújtott a belső pénzügyi rendszer kommunikációjába. |
| A fenyegetések észlelésének sebessége | A mesterséges intelligenciával támogatott elemzés lehetővé tette a gyanús tevékenységek és az oldalirányú mozgások korábbi felismerését. |
| A nyomozás hatékonysága | Csökkent a SOC-elemzőknek a riasztások kivizsgálására fordított ideje. |
| Működési védelem | A hálózat belsejében működő, kifinomult fenyegetések felismerésének javítása. |
| Incidenskezelés | Gyorsabb reagálás a lehetséges támadásokra, még azok eszkalálódása előtt. |
| A szabályozási előírásoknak való megfelelésre való felkészültség | A pénzügyi szabályozási felügyeleti követelmények teljesítéséhez szükséges megerősített felügyeleti képességek. |
Ha a fenyegetések észrevétlenül terjednek, a láthatóság lesz a legfontosabb
Láttuk már rablófilmekben, és láttuk már a való életben is. A pénzintézetek esetében az eredeti biztonsági rés önmagában nem jelent veszélyt. Ha időben észlelik, nem okozhat komoly kárt, csupán a vállalat gyenge pontját tárja fel.
Valódi veszélyt azonban az jelenti, amikor a támadók behatolnak egy rendszerbe, de nem sietnek felfedni magukat. Ehelyett megfigyelnek, óvatosan mozognak, és így a legfontosabb célpontok – a fizetési adatok vagy az érzékeny ügyféladatok – közelébe kerülnek.
Éppen ezért a biztonsági intézkedések nem korlátozódhatnak csupán a külső védelmi vonalakra. Ellenkező esetben az IOC-k észrevétlenek maradnak, amíg már túl késő nem lesz.
MetaDefender NDR bevezetésével ügyfelünk a korlátozott felügyeletről a folyamatos hálózati megfigyelésre váltott át. SOC-csapataik most már a gyanús viselkedést már annak kialakulása közben felismerik, a hálózati jeleket összefüggésekbe rendezik, és még azelőtt intézkednek, hogy a rendellenességek incidensekké válnának.
Ha szervezetében jelenleg átgondolják, hogyan észleljék és kezeljék a hálózati határon kívüli fenyegetéseket, talán itt az ideje, hogy a hagyományos védelmi megoldásokon túlra tekintsék, és fontolóra vegyenek egy hálózati szintű megközelítést. Vegye fel velünk a kapcsolatot, és tudjon meg többet arról, hogyanNDR Önnek MetaDefender NDR !
