CISO Insider: 2. udgave

Personer med ondsindede hensigter, som gør brug af ransomware, retter sig mod dine mest værdifulde aktiver, hvor de føler, at de kan afpresse flest penge fra dig, om det så er ved at være mest forstyrrende eller værdifulde, hvis de holdes som gidsel, eller mest følsomme, hvis de frigives.

Branche er en vigtig determinant for en organisations risikoprofil – hvor produktionsledere anser forstyrrelse af forretningen for at være den største bekymring, prioriterer CISO'er inden for detailhandel og finansielle tjenester beskyttelsen af følsomme personidentificerbare oplysninger, mens sundhedsorganisationer er sårbare på begge fronter. Som respons bevæger sikkerhedsledere sig radikalt væk fra datatab og eksponeringer hen mod hærdning af deres grænser, sikkerhedskopier af vigtige data, redundante systemer og bedre kryptering.

Forstyrrelse af forretningen er nu fokuspunktet for mange ledere. Virksomheden påføres omkostninger, selv hvis forstyrrelsen er kort. En CISO inden for sundhedsvæsenet fortalte mig, at hvad angår drift, har ransomware samme effekt som en stor strømafbrydelse. Selvom et stort backupsystem kan hjælpe med hurtigt at gendanne strømforsyningen, har du stadig nedetid, der forstyrrer virksomheden. En anden CISO nævnte, at vedkommende tænker på, hvordan forstyrrelser udover deres centrale virksomhedsnetværk kan strække sig til driftsanliggender, f.eks. pipelineproblemer eller den sekundære effekt af, at vigtige leverandører lukkes ned af ransomware.

Taktikker til administration af forstyrrelser inkluderer både redundante systemer og segmentering for at hjælpe med at reducere nedetiden, hvilket lader organisationen flytte trafik til en andel del af netværket, mens et påvirket segment inddæmmes og genoprettes. Men selv de mest robuste backup- eller it-katastrofeberedskabprocesser kan ikke helt løse truslen om forretningsforstyrrelse eller dataeksponering. Forebyggelse understøtter reduktion.

Mange af de CISO'er, jeg taler med, tager en palettilgang til forebyggelse og registrering af angreb, hvor de bruger lag af leverandørløsninger, der dækker sårbarhedstest, grænsetest, automatiseret overvågning, slutpunktssikkerhed, identitetsbeskyttelse osv. For nogle er dette bevidst redundans i håb om, at en lagdelt tilgang vil dække eventuelle huller – ligesom stakke med schweizerost, i håb om at ingen huller vil passe over hinanden.

Vores erfaring har vist, at denne forskellighed kan gøre afhjælpningsindsatser mere komplicerede, hvilket potentielt kan skabe mere risikoeksponering. Som en CISO bemærker, er bagsiden af medaljen ved at samle flere løsninger en manglende synlighed, som skyldes fragmentering: "Jeg har en klassens bedste-tilgang, hvilket i sig selv giver bestemte udfordringer, fordi der mangler indsigt i aggregerede risici, fordi du har disse uafhængige konsoller, hvor du administrerer trusler, og ikke har denne samlede visning af, hvad der sker på dit sted." (Sundheds­sektoren, 1.100 medarbejdere) Eftersom personer med ondsindede hensigter udformer et komplekst net, der breder sig på tværs af flere forskelligartede løsninger, kan det være svært at få en komplet oversigt over kill chainen, identificere kompromitteringens udstrækning og helt fjerne alt malware. Når et igangværende angreb skal stoppes, kræver det evnen til at se på tværs af flere vektorer for at registrere, afværge og inddæmme/afhjælpe angreb i realtid.

Potentialet ved XDR er stadig ukendt for de fleste. Mange af de CISO'er, vi taler med, har implementeret et kraftfuldt udgangspunkt med EDR. EDR er et aktiv, der har bevist sit værd: Vi har set, at nuværende brugere af slutpunktsregistrering og -svar har en historik for at registrere og stoppe ransomware hurtigere.

Men eftersom XDR er en videreudvikling af EDR, er mange CISO'er skeptiske med hensyn til brugbarheden af XDR. Er XDR blot EDR med nogle punktløsninger klistret på? Skal jeg virkelig bruge en helt adskilt løsning? Eller vil min EDR med tiden tilbyde de samme funktionaliteter? Det aktuelle marked for XDR-løsninger giver yderligere forvirring, fordi leverandører er i et kapløb om at føje XDR-tilbud til deres produktporteføljer. Nogle leverandører udvider deres EDR-værktøj således, at det indeholder yderligere trusselsdata, mens andre er mere fokuserede på at udvikle dedikerede XDR-platforme. De sidste er opbygget fra bunden med henblik på at levere brugsklar integration og funktionaliteter centreret omkring sikkerhedsanalytikerens behov, hvilket efterlader færrest huller, som dit team skal udfylde manuelt.

Stillet over for en mangel på sikkerhedstalenter og behovet for at reagere hurtigt for at inddæmme trusler har vi opfordret ledere til at anvende automation for at hjælpe med at frigøre deres medarbejdere til at fokusere på forsvar mod de værste trusler i stedet for at håndtere trivielle opgaver som nulstilling af adgangskoder. Det er interessant, at mange af de sikkerhedsledere, jeg har talt med, nævner, at de endnu ikke gør fuld brug at automatiserede funktionaliteter. I nogle tilfælde er sikkerhedsledere ikke helt bekendt med denne mulighed, mens andre holder sig tilbage fra at omfavne automation ud af frygt for at miste kontrol, åbne op for unøjagtighed eller ofre synlighed for trusler. Den sidste er en meget legitim bekymring. Vi ser dog, at de effektive ibrugtagere af automation opnår præcis det modsatte – mere kontrol, færre falske positive, mindre støj og mere handlingsrettet indsigt – ved at udrulle automation sammen med sikkerhedsteamet for at guide og fokusere teamets indsats.

Automation dækker en række funktionaliteter, fra basale automatiserede administrative opgaver til smart risikovurdering drevet af maskinel indlæring. De fleste CISO'er rapporterer ibrugtagning af den tidligere hændelsesudløste eller regelbaserede automation, men færre har gjort brug af fordelen ved indbyggede funktionaliteter med kunstig intelligens og maskinel indlæring, der muliggør risikobaserede adgangsbeslutninger i realtid. Automatisering af rutineopgaver hjælper helt sikkert med at frigøre sikkerhedsteamet til at fokusere på den mere strategiske tænkning, som mennesker er bedst til. Men det er inden for dette strategiske område – prioritering af svar på hændelser, bare for at nævne ét eksempel – at automation har mest potentiale til at bestyrke sikkerhedsteamet som en dataknusende, mønster-matchende og intelligent partner. Kunstig intelligens og automation er for eksempel gode til at korrelere sikkerhedssignaler for at understøtte omfattende registrering af og respons på et brud. Omtrent halvdelen af sikkerhedsfagfolkene, som vi for nylig har adspurgt, siger, at de skal korrelere signaler manuelt.1   Dette er særdeles tidskrævende og gør det næsten umuligt at reagere hurtigt for at inddæmme et angreb. Med den rette anvendelse af automation – f.eks. korrelation af sikkerhedssignaler – kan angreb ofte registreres næsten i realtid.

Vi har set, at mange sikkerhedsteams ikke i tilstrækkelig grad anvender den automation, der er indbygget i de eksisterende løsninger, de allerede bruger. I mange tilfælde er det at anvende automation lige så nemt (og effektfuldt!) som at konfigurere tilgængelige funktioner, såsom at udskifte adgangspolitikker med faste regler med risikobaserede politikker for betinget adgang, oprettelse af strategiplaner for respons osv.

CISO'er, som vælger at gå glip af mulighederne ved automation, gør det ofte på grund af mistillid, hvor de nævner bekymringer for, at systemet foretager fejl, der ikke kan genoprettes fra, når det opererer uden menneskeligt tilsyn. Nogle af de potentielle scenarier inkluderer et system, der på ukorrekt vis sletter brugerdata, er til ulempe for en direktør, der har brug for adgang til systemet, eller i værste fald, fører til et tab af kontrol eller synlighed for en sårbarhed, der er blevet udnyttet.

Men sikkerhed har en tendens til at være en balance mellem daglige små gener vejet op mod den konstante trussel om et katastrofalt angreb. Automation har potentialet til at tjene som et system, der giver tidlige advarsler om et sådant angreb, og dets gener kan derfor afbødes eller elimineres. Og derudover kører automation, når det er bedst, ikke alene, men sammen med menneskelige operatører, hvor dens kunstige intelligens både kan informere og blive kontrolleret af menneskelig intelligens.

Som en hjælp til at sikre en problemfri udrulning har vi prøvet at føje rapportér kun-funktioner til vores løsninger for at tilbyde en testkørsel før udrulning. Dette lader sikkerhedsteamet implementere automation i sit eget tempo, hvor de finjusterer automationsregler og overvåger de automatiserede værktøjers ydeevne.

De sikkerhedsledere, der bruger automation mest effektivt, udruller det sammen med deres team for at udfylde huller og tjene som en første forsvarslinje. Som en CISO har fortalt mig for nylig, er det næsten umuligt og ekstremt dyrt at have et sikkerhedsteam fokuseret alle steder til enhver tid – og selv hvis det var muligt, har sikkerhedsteams en tendens til hurtig udskiftning. Automation giver et lag med altid aktiv kontinuitet og konsekvens for at understøtte sikkerhedsteamet på områder, der kræver denne konsekvens, f.eks. trafikovervågning og systemer til tidlig advarsel. Når automation er udrullet i denne understøttende kapacitet, hjælper den med at frigøre teamet fra manuel gennemgang af logs, og systemet og lader dem være mere proaktive. Automation erstatter ikke mennesker – disse er værktøjer, der lader dine medarbejdere prioritere underretninger og fokusere deres indsats, hvor den gør størst forskel.