Ianuarie 2024: o terță parte neautorizată a accesat date personale sensibile ale a aproximativ 16,6 milioane de clienți ai LoanDepot. August 2025: Allianz Life a fost victima unui atac cibernetic care a compromis datele personale ale a peste un milion de clienți. Februarie 2026: un atac de tip ransomware asupra BridgePay Network Solutions a blocat accesul la portalul de facturare online al orașului Palm Bay din Florida.
Se conturează o tendință clară, întrucât instituțiile financiare au devenit o țintă extrem de atractivă pentru atacatori.
Aceste operațiuni sunt deseori desfășurate de grupuri organizate de criminalitate cibernetică sau de actori susținuți de stat, care urmăresc obținerea unor câștiguri financiare substanțiale sau perturbarea pieței. Dacă lucrezi în domeniul financiar și crezi că ești ferit de riscuri, înseamnă că nu ești atent.
Punctul de intrare este rareori sofisticat. În multe cazuri, totul începe cu un e-mail de tip phishing. De acolo, atacatorii se deplasează lateral, navigând prin sistemele interne, extinzându-și drepturile de acces și apropiindu-se tot mai mult de obiectivul lor inițial: infrastructura de plăți, platformele de tranzacționare și datele clienților.
Aici multe instituții financiare pierd controlul asupra situației: dacă vizibilitatea rețelei este limitată, acea mișcare poate trece neobservată până când este prea târziu; durata medie de detectare poate ajunge la 181 de zile.
Aceasta a fost provocarea cu care s-a confruntat o organizație financiară de prim rang, care a dorit să elimine lacunele de vizibilitate și să-și consolideze sistemele de detectare și răspuns. Pentru a realiza acest lucru, organizația a apelat la OPSWAT MetaDefender NDR, implementând-o în segmentele critice ale infrastructurii sale pentru a obține o înțelegere mai aprofundată a traficului de rețea și pentru a detecta amenințările într-un stadiu incipient.
Aceasta este povestea lor.
Vizibilitatea redusă a rețelei a expus sistemele clientului la mișcări laterale
Clientul dispunea de instrumente tradiționale de monitorizare, axate în principal pe alertele de la nivel de terminal și pe protecția perimetrului. Aceste instrumente funcționau excelent în ceea ce privește detectarea programelor malware cunoscute sau a încercărilor suspecte de autentificare, dar capacitățile lor de vizibilitate a rețelei erau insuficiente.
Astfel, rețeaua a funcționat ca o zonă nevăzută, tocmai acolo unde sistemele de securitate erau cele mai vulnerabile, iar echipele SOC erau cel mai puțin pregătite să facă față incidentelor. Aceste puncte oarbe au dus la:
Întârzierea în detectarea mișcărilor laterale
În bănci și alte instituții financiare, deplasarea laterală reprezintă, de obicei, etapa în care atacatorii se deplasează de la o stație de lucru compromisă inițial (cum ar fi laptopul unui casier sau un computer din back-office) către sisteme de mare importanță. Aceste sisteme pot include procese de procesare a plăților, infrastructura SWIFT sau bazele de date bancare centrale.
În cazul clientului nostru, întârzierea era cauzată de faptul că se baza pe alerte la nivel de perimetru, care fie ajungeau cu întârziere, fie nu se declanșau deloc. Având peste 50.000 de angajați, existau numeroase oportunități pentru atacatori de a pătrunde în sisteme. Un risc pe care clientul nu era dispus să și-l asume.
Procese de lucru lente în domeniul criminalisticii
În cadrul instituțiilor financiare, investigațiile criminalistice ulterioare unei breșe de securitate sunt adesea încetinite de sursele de date fragmentate, întrucât echipele SOC pot fi nevoite să coreleze jurnalele de firewall, alertele de la dispozitivele finale sau jurnalele de autentificare. Chiar și în condițiile unei presiuni sporite de a acționa rapid, aceste echipe pot întâmpina dificultăți în a identifica ce s-a întâmplat de fapt și cea mai bună abordare pentru a limita breșa.
Pe scurt, echipele SOC erau „orbite”, iar potențialii atacatori ar fi profitat de această situație.
CumNDR MetaDefender NDR procesul de detectare și analiză criminalistică
Lipsa de vizibilitate a fost remediată cu ajutorul MetaDefender NDR; conceput special pentru activitățile de detectare a amenințărilor în rețea, MetaDefender NDR funcțiile de vizibilitate a rețelei și instrumentele analitice care lipseau din arsenalul clientului nostru.
MetaDefender NDR
MetaDefender NDR organizațiile să detecteze, să investigheze și să răspundă mai rapid la amenințările la adresa rețelei, fără a perturba activitatea operațională.
Prin analizarea datelor de telemetrie din rețea pentru identificarea modelelor de trafic neobișnuite, sistemul detectează mișcările laterale între sisteme și identifică comunicațiile asociate cu atacurile cibernetice.
Platforma își propune să extindă cunoștințele de specialitate ale unui analist SOC obișnuit. Prin intermediul modelelor de detectare asistate de inteligență artificială, aceasta analizează în mod continuu comportamentele rețelei pentru a identifica anomalii subtile care ar putea indica activitatea atacatorilor într-o etapă mai timpurie a ciclului de viață al atacului.
Pentru clientul nostru, platforma a rezolvat principalele probleme care afectau performanța SOC.
Detectarea mișcării laterale
În loc să se bazeze pe terminale pentru a raporta activitatea, MetaDefender NDR continuu traficul est-vest la nivel de rețea, inspectând în același timp fluxurile de trafic dintre sistemele interne. Astfel, poate detecta tipare precum încercări repetate de autentificare, conexiuni neobișnuite sau comunicarea între sisteme care, în mod normal, nu interacționează niciodată.
Latența este redusă prin combinarea stabilirii unor valori de referință comportamentale pentru comunicarea internă normală cu detectarea anomaliilor aplicată aproape în timp real.
Investigații criminalistice mai rapide
MetaDefender NDR înregistreazăNDR metadatele traficului și permite efectuarea unei analize retroactive. Odată ce este identificat un IOC (indicator de compromitere), sistemul poate verifica dacă vreun sistem intern a comunicat cu acesta în trecut.
Acum, echipele SOC nu mai trebuie să încerce să reconstituie traficul din ziua incidentului sau să caute jurnale anterioare; analiștii pot interoga direct datele de telemetrie de rețea stocate, ceea ce este deosebit de util în sectorul financiar, unde o întârziere prea mare după un atac poate duce la încălcarea reglementărilor.
În plus, fluxurile de lucru de investigare asistate de IA au ajutat analiștii să coreleze alertele, să acorde prioritate incidentelor cu risc ridicat și să reducă timpul necesar investigațiilor manuale, permițând instituției să treacă de la detectarea reactivă la monitorizarea proactivă a rețelei.
Impact măsurabil asupra vizibilității SOC și a detectării amenințărilor
MetaDefender NDR vizibilitatea la nivelul rețelei și a aplicat analize comportamentale traficului intern, ceea ce se dovedește a fi deosebit de eficient în mediile financiare segmentate. De asemenea, a permis analiștilor să dedice mai puțin timp colectării datelor și mai mult timp luării deciziilor.
Iată cum se prezintă rezultatele în toate domeniile:
| Zona de impact | Rezultat cuantificabil |
|---|---|
| Vizibilitatea rețelei | A oferit o vizibilitate detaliată asupra comunicațiilor din cadrul sistemului financiar intern. |
| Viteza de detectare a amenințărilor | Analizele asistate de IA au permis detectarea mai rapidă a activităților suspecte și a mișcărilor laterale. |
| Eficiența investigațiilor | Reducerea timpului necesar analiștilor SOC pentru investigarea alertelor. |
| Protecție operațională | Capacitate îmbunătățită de identificare a amenințărilor avansate care acționează în interiorul rețelei. |
| Răspunsul la incidente | Răspuns rapid la potențiale atacuri, înainte ca acestea să se agraveze. |
| Gradul de pregătire pentru conformitate | Sunt necesare capacități de monitorizare consolidate pentru a îndeplini cerințele de supraveghere în domeniul reglementării financiare. |
Dacă amenințările acționează pe ascuns, vizibilitatea devine esențială
Am văzut asta în filmele cu jafuri și am văzut-o și în viața reală. Pentru instituțiile financiare, breșa de securitate inițială nu este periculoasă în sine. Dacă este depistată la timp, nu poate provoca prea multe daune, în afară de a scoate la iveală punctul slab al companiei.
Cu toate acestea, pericolul devine real atunci când atacatorii pătrund într-un sistem, dar nu se grăbesc să-și dezvăluie prezența. În schimb, ei observă, acționează pe ascuns și ajung în apropierea celor mai importante elemente: plățile sau datele sensibile ale clienților.
De aceea, securitatea nu se poate limita doar la perimetru. În caz contrar, indicatorii de compromis (IOC) rămân neobservați până când este prea târziu.
Odată cu implementarea MetaDefender NDR, clientul nostru a trecut de la o monitorizare limitată la o supraveghere continuă a rețelei. Echipele SOC ale acestuia pot acum să identifice comportamentele suspecte pe măsură ce acestea apar, să coreleze semnalele de rețea pentru a identifica tipare și să ia măsuri înainte ca anomaliile să se transforme în incidente.
Dacă organizația dumneavoastră își regândește modul în care detectează și răspunde la amenințările din afara perimetrului, ar fi momentul să priviți dincolo de măsurile de securitate tradiționale și să luați în considerare o abordare la nivel de rețea. Contactați-ne pentru a afla cum văNDR ajuta MetaDefender NDR .
