CISO Insider: 2. izdanje

Žena pregledava etiketu u industrijskom skladištu

Ekonomija računalnog zločina potiče brzi porast sofisticiranih napada. U ovom izdanju slušamo glavne direktore za sigurnost informacija o tome što vide u prvim redovima.

Robovo pismo

Dobro došli u drugo izdanje CISO Insidera. Ja sam Rob Lefferts, vodim timove razvojnih inženjera za Microsoft 365 Defender i Sentinel. U rješenju Microsoft Security kontinuirano slušamo naše klijente i učimo od njih kako se kreću sve složenijim sigurnosnim krajolikom. Dizajnirali smo CISO Insider da bude sredstvo koje dijeli preporuke koje smo prikupili od naših kolega i iz vlastitog istraživanja sektora. U drugom izdanju nadovezujemo se na ranjivosti koje su se pojavile u 1. izdanju, pobliže sagledavamo računalno iznuđivanje i prakse koje vodeći ljudi u području sigurnosti primjenjuju kako bi stavili pod kontrolu takve bočne napadi s minimalnim prekidima u poslovanju te sigurnosnom timu.

U 1. izdanju razgovarali smo o tri brige koje prve padaju na pamet za glavne direktore za sigurnost informacija: prilagođavanje na nove trendove u području prijetnji u hibridnom okruženju s više oblaka, upravljanje prijetnjama u lancu opskrbe i rješavanje problema nedostatka stručnog osoblja u polju sigurnosti. U ovom ćemo izdanju pobliže pogledati ovu savršenu oluju faktora računalnih rizika i odrediti kako organizacije razvijaju svoju taktiku kako eskalirajuće prijetnje ne bi bile toliko opasne. Prvo ćemo proučiti promjenjujući rizični profil ucjenjivačkog softvera i najbolje prakse koje mogu pomoći u sprječavanju ovih i drugih kršenja koje se šire bočno u cijeloj mreži. Zatim ćemo pogledati dva ključna resursa koja su ključna ne samo kao pomoć u sprječavanju kršenja, već u brzom odgovaranju u onim prvim kritičnim trenucima – prošireno otkrivanje i reagiranje (XDR) i automacija. Oba resursa pomažu u rješavanju ranjivosti koje smo pokrili u 1. izdanju: proširena sigurnost i granice identiteta u današnjim mrežama raspršene u hibridnom radu i ekosustavima dobavljača te nedostatak ljudskih potencijala za nadzor tih prijetnji i odgovaranje na njih.

Ekonomija računalnog zločina daje prosječnim računalnim zločincima pristup boljim alatima i automaciju za omogućivanje opsega i poticanja pada cijena. U kombinaciji s ekonomijom uspješnih napada, ucjenjivački softver je na brzoj putanji (Microsoftovo izvješće o digitalnoj zaštiti, 2021.). Napadači su podignuli uloge primjenom modela dvostrukog iznuđivanja u kojem se od žrtve prvo iznuđuje otkupnina, a zatim moguće objavljivanje njezinih ukradenih podataka. Također smo vidjeli porast u napadima u kojima su mete resursi operativne tehnologije radi stvaranja poremećaja u ključnoj infrastrukturi. Glavni direktori za sigurnost informacija razlikuju se po tome koji je gori trošak poslovanju, prekidi u poslovanju ili izloženost podataka, ovisno o njihovom sektoru te razini pripreme. U svakom je slučaju priprema ključ u upravljanju rizikom na obje fronte. Osim taktika ublažavanja, uspješni preventivni napori kao što su jača sigurnost krajnjih točaka, zaštita identiteta i šifriranje ključni su s obzirom na učestalost i ozbiljnost tih napada.

Glavni direktori za sigurnost informacija razmišljaju više strateški o tome kako rješavati rizike u vezi ucjenjivačkog softvera.

Napadači ucjenjivačkim softverom ciljaju na najvrjednije resurse gdje osjećaju da mogu izvući najviše novca od vas; to može biti najrazornije ili najvrjednije ako se drže kao taoci ili najosjetljivije ako se objave.

Sektor je važna odrednica profila rizika tvrtke ili ustanove – dok vodeći ljudi u području proizvodnje navode prekide u poslovanju kao najveću brigu, glavni direktori za sigurnost informacija u maloprodaji i financijskim uslugama prioritet stavljaju na zaštitu osjetljivih podataka; zdravstvene su ustanove, pak, jednako ranjive na obje fronte. Kao odgovor na to, vodeći ljudi u području sigurnosti agresivno prebacuju svoj profil rizika s gubitka podataka i izloženosti kroz jačanje svojih vanjskih granica, izrade sigurnosnih kopija ključnih podataka, suvišnih sustava i boljeg šifriranja.

Prekidi u poslovanju sada su fokus za mnoge rukovoditelje. Poslovanje snosi troškove čak i ako je prekid kratak. Jedan CISO za područje zdravstvene skrbi rekao mi je da, operativno, ucjenjivački softver nije ništa drugačiji od većeg nestanka struje. Dok odgovarajući sustav za sigurnosno kopiranje može pomoći u brzom vraćanju struje, još uvijek imate prazan hod koji prekida poslovanje. Drugi je CISO spomenuo da razmišljaju o tome kako se prekidi mogu širiti i preko njihove glavne korporativne mreže na operacijske brige kao što su problemi s cijevima ili sekundarni učinak ključnih dobavljača kojima je ucjenjivački softver prekinuo rad.

Taktika za upravljanje prekidima uključuje suvišne sustave i segmentaciju radi smanjenja praznog hoda, čime se omogućava organizaciji da prenese promet na drugi dio mreže dok stavlja pod kontrolu i vraća pogođeni segment. Međutim, čak i najrobusniji procesi izrade sigurnosnih kopija ili procesi oporavka od katastrofe ne mogu u potpunosti riješiti prijetnju od prekida u radu poslovanja ili od izloženosti podataka. Drugi je aspekt ublažavanja sprječavanje.

Da bismo vam pomogli u zaštiti vaše tvrtke ili ustanove od ucjenjivačkog softvera, preporučujemo da:

Pripremite se za obranu i oporavak. Usvojite internu kulturu modela „svi su nepouzdani” s pretpostavljenim kršenjem, dok implementirate sustav oporavka podataka, sigurnosnih kopija i sigurnog pristupa. Mnogi su vodeći ljudi u području sigurnosti poduzeli ključan korak ublažavanja utjecaja napada preko sigurnosnih kopija i šifriranja, a koje mogu pomoći u obrani protiv gubitka podataka i izloženost. Važno je zaštititi ove sigurnosne kopije od namjernog brisanja ili šifriranja od strane napadača označavanjem zaštićenih mapa. S uspostavljenim izvježbanim planom za poslovni kontinuitet/oporavak od katastrofe (BC/DR), tim može brzo staviti zahvaćene sustave van mreže i poremetiti napredak napada i vratiti operacije s minimalnim praznim hodom. Model „svi su nepouzdani” i siguran pristup pomažu tvrtki ili ustanovi da se obrani i oporavi izoliranjem napada i znatno otežavajući napadačima da se pomiču bočno u mreži.
Zaštitite identitet od ugroženosti. Smanjite potencijal krađe vjerodajnica i bočnog kretanja primjenom strategije pristupa s ovlastima. Važan korak u obrani protiv ucjenjivačkog softvera je sveobuhvatan nadzor mrežnih vjerodajnica vaše tvrtke ili ustanove. Vjerodajnice s ovlastima temelj su svih drugih sigurnosnih jamstava – napadač koji ima kontrolu nad vašim privilegiranim računima može potkopati druga sigurnosna jamstva. Microsoft preporučuje strategiju inkrementalne izgradnje sustava „zatvorene petlje” za privilegirani pristup koja osigurava da se samo pouzdani „čisti” uređaji, računi i posrednički sustav mogu koristiti za pristup s ovlastima poslovnim osjetljivim sustavima. Microsoft preporučuje strategiju inkrementalne izgradnje sustava „zatvorene petlje” za privilegirani pristup koja osigurava da se samo pouzdani „čisti” uređaji, računi i posrednički sustav mogu koristiti za pristup s ovlastima poslovnim osjetljivim sustavima.
Spriječite i otkrijte prijetnje te odgovarajte na njih. Pridonesite u obrani od prijetnji na svim radnim opterećenjima iskorištavanjem sveobuhvatnih, integriranih mogućnosti otkrivanja prijetnji i odgovaranja na njih. Specijalizirana rješenja u silosima često rezultiraju preventivnim prazninama i usporavaju otkrivanje i odgovor na aktivnosti prije ucjene. Microsoft nudi integrirani SIEM i XDR kako bi pružio sveobuhvatno rješenje zaštite od prijetnji koje isporučuje najbolje sprječavanje, otkrivanje i reagiranja u vašoj cijeloj digitalnoj imovini s više oblaka i više platformi.

Ove se tri najbolje prakse isprepliću kako bi napravile sveobuhvatnu sigurnosnu strategiju, s integriranim podacima, identitetom i upravljanjem mrežama na temelju pristupa modela „svi su nepouzdani”. Kod mnogih tvrtki ili ustanova implementacija modela „svi su nepouzdani” poziva na širu transformaciju sigurnosti. Dok se većina vodećih ljudi u području sigurnosti kreće prema modelu „svi su nepouzdani”, neki su zabrinuti da segmentirano okruženje može previše ometati produktivnost radnika ili sigurnosnog tima da bi bilo vrijedno prebrzo se kretati u tešku segmentaciju.

Dok svaka tvrtka ili ustanova ima vlastite zahtjeve koja treba zaobići, želim reći da je moguće dobiti najbolje od obaju svjetova, pristupa i sigurnosti. Segmentacija ne treba remetiti. Ovu korist vidimo posebice kada organizacije kombiniraju upravljanje identitetima s naporima sigurnosne transformacije kao što je implementiranje provjera autentičnosti bez lozinke tako da korisnici ne trebaju upravljati s puno prijava koje ometaju. Bret Arsenault, CISO u Microsoftu, objašnjava kako pristup bez lozinke omogućava sigurnost: „Zaštita uređaja je važna, ali nije dovoljna. Također se trebamo usredotočiti na zaštitu pojedinaca. Možemo povećati vaše iskustvo i sigurnost tako da vam dozvolimo da postanete lozinka.” Kako su ukradene vjerodajnice ulazna točka za većinu napada – na primjer, preko 80 posto upada u web-aplikacije napravljeno je zbog ukradenih vjerodajnica prema izvješću Verizon Data Breach Investigation Report (DBIR) iz 2022. – pristup bez lozinke pomaže u zatvaranju ove ključne sigurnosne praznine.

„Zaštita uređaja je važna, ali nije dovoljna. Također se trebamo usredotočiti na zaštitu pojedinaca. Možemo povećati vaše iskustvo i sigurnost tako da vam dozvolimo da postanete lozinka.”

– Bret Arsenault, CISO u Microsoftu

Sveobuhvatan pristup ucjenjivačkom softveru zahtijeva odlične alate

Mnogi CISO-i s kojima razgovaram imaju pristup palete sprječavanju napada i otkrivanju tako što iskorištavaju slojeve rješenja dobavljača koji pokrivaju ispitivanje ranjivosti, ispitivanje vanjske granice, automatizirani nadzor, sigurnost krajnjih točaka, zaštitu identiteta itd. Za neke je to redundancija s namjerom, nadaju se da će slojeviti pristup pokriti bilo koje praznine – poput slaganja švicarskog sira, u nadi se rupe neće biti jedna poviše druge.

Naše je iskustvo pokazalo da ova raznolikost može zakomplicirati napore popravka i tako potencijalno stvoriti više izloženosti rizicima. Kao što je jedan CISO primijetio, negativna strana okupljanja više rješenja je nedostatak vidljivosti zbog fragmentacije: „Imam pristup koji je najbolji u svojoj vrsti, što samo po sebi predstavlja određene izazove jer postoji nedostatak uvida u agregirane rizike jer imate ove nezavisne konzole kojima upravljate prijetnjama i nemate ovaj agregirani prikaz o tome što se događa u vašem mjestu.” (Zdravstvo, 1100 zaposlenika) Dok napadači pletu složenu mrežu koja se širi na više nejednakih rješenja, može biti teško dobiti cijelu sliku stupnjeva napada, utvrditi opseg ugroženosti te u potpunosti iskorijeniti bilo koje korisne podatke zlonamjernog softvera. Zaustavljanje napada u tijeku zahtijeva sposobnost gledanja više vektora radi otkrivanja, odvraćanja i stavljanja pod kontrolu/popravljanja napada u stvarnom vremenu.

Suština

Sveobuhvatno, integrirano rješenje pomaže vam u upravljanju ranjivostima tako da možete smanjiti površinu za napad i razlikovati ključne signale od buke. Ova je jednostavnost ključna za organizacije koje se bore s razlikovanjem stvarne prijetnje od mirnog strujanja upozorenja i lažnih pozitivnih instanci.

Pridonesite u zaštiti od ucjenjivačkog softvera i drugih sofisticiranih napada uz XDR

Mnogi vodeći ljudi u području sigurnosti okreću se prema proširenom otkrivanju i reagiranju (XDR) za ovu točku prednosti na više platformi. XDR pomaže u koordiniranju signala na cijelom ekosustavu – ne samo krajnjih točaka – radi omogućivanja bržeg otkrivanja i odgovaranja na sofisticirane prijetnje.

XDR funkcionira kao prepoznavanje krajnjih točaka i odgovor (EDR), ali pokriva više stvari, sigurnosno otkrivanje prijetnji i odgovor na incident preko cijelog digitalnog okruženja – uključujući identitete, infrastrukturu, aplikacije, podatke, mreže, oblake itd. Ovaj prošireni opseg ključan je s obzirom na sofisticiranost modernih napada koji iskorištavaju današnje složeno, distribuirano okruženje kako bi se kretali bočno po domenama. Napadi sve više nastavljaju u nelinearnom načinu, kreću se bočno po različitim oblacima, e-poštom, SaaS aplikacijama itd.

XDR vam može pomoći u okupljanju podataka iz svih vaših nejednakih sustava tako da možete vidjeti cijeli incident s kraja na kraj. Specijalizirana rješenja mogu ovu sveobuhvatnu vidljivost učiniti teškom jer samo prikazuju dio napada i oslanjaju se na sigurnosni tim koji je često preopterećen kako bi se napravila ručna korelacija više signala prijetnji s različitih portala. U konačnici, zbog toga može potpuno popravljanje posljedica prijetnje zahtijevati puno vremena – a u nekim je slučajevima i nemoguće

Prijelaz iz EDR-a u XDR

Obećanje XDR-a većina ne ostvaruje. Mnogi glavni direktori za sigurnost informacija implementirali su snažnu početnu točku u EDR-u. EDR je dokazano sredstvo: vidjeli smo da su trenutačni korisnici prepoznavanja krajnjih točaka i odgovora zabilježili brže otkrivanje i zaustavljanje ucjenjivačkog softvera.

Međutim, s obzirom na to da je XDR evolucija EDR-a, neki glavni direktori za sigurnost informacija i dalje su skeptični u vezi korisnosti XDR-a. Je li XDR samo EDR s nekim dodanim specijaliziranim rješenjima? Trebam li zaista koristiti posve odvojeno rješenje? Ili će moj EDR s vremenom ponuditi iste sposobnosti? Trenutačno tržište za XDR rješenja dodatno zbunjuje kako dobavljači žele što prije dodati XDR ponude u portfelje proizvoda. Neki dobavljači šire svoj EDR alat kako bi obuhvatio dodatne podatke o prijetnjama dok su ostali više usmjereni ka izgradnji posvećenih XDR platformi. Potonji su ugrađeni odozgo prema gore radi isporuke spremne integracije i sposobnosti fokusiranih oko potreba sigurnosnog analitičara što ostavlja malo praznina vašem timu za ručno ispunjavanje.

Suština

XDR je toliko zanimljiv u današnjem okruženju sigurnosti zbog svoje pokrivenosti i brzine u otkrivanju i stavljanju pod kontrolu. Budući da ucjenjivački softver i drugi zlonamjerni napadi postaju sve češći (jedan ispitanik je naveo da se njegova organizacija napada prosječno na „dnevnoj bazi”), vodeći ljudi u području sigurnosti smatraju automaciju ključnim alatom i nude nadzor 24 sata dnevno i odgovor u gotovo stvarnom vremenu.

Koristite automaciju za podizanje razine utjecaja vašeg tima

Suočeni s nedostatkom talenata u području sigurnosti i potrebom za brzim odgovaranjem kako bismo prijetnje stavili pod kontrolu, ohrabrili smo vodeće ljude implementiraju automaciju kako bi oslobodili svoje ljude da se fokusiraju na obranu od najgorih prijetnji umjesto da rješavaju dosadne zadatke kao što je ponovno postavljanje lozinki. Zanimljivo je da mnogi vodeći ljudi u području sigurnosti s kojima sam razgovarao spominju da još ne iskorištavaju u potpunosti automatizirane sposobnosti. U nekim slučajevima vodeći ljudi u području sigurnosti nisu u potpunosti svjesni prilike, drugi oklijevaju s prihvaćanjem automacije iz straha od gubitka kontrole, zazivanja netočnosti ili žrtvovanja vidljivosti u prijetnje. Potonje je vrlo opravdana briga. Međutim, vidimo da oni koji su usvojili učinkovite automacije ostvaruju upravo suprotno – više kontrole, manje lažnih pozitivnih instanci, manje buke i više uvida s dostupnim radnjama – implementacijom automacije uz sigurnosni tim za vođenje i usmjeravanje napora tima.

Automacija pokriva razne sposobnosti, od osnovnih automatiziranih administrativnih zadataka do pametne procjene rizika omogućene strojnim učenjem. Većina glavnih direktora za sigurnost informacija prijavljuje usvajanje prve automacije, one koju aktivira događaj ili koja se temelji na pravilu, ali ih je malo iskoristilo ugrađenu umjetnu inteligenciju ili sposobnosti strojnog učenja koje omogućuju odluke o pristupu u stvarnom vremenu koje se temelje na riziku. Automatiziranje rutinskih zadataka zasigurno pomaže u oslobađanju sigurnosnog tima da se fokusira na više strateško razmišljanje koje ljudi najbolje rade. No upravo u ovom strateškom području – u trijaži odgovora na incident, što je jedan primjer – automacija ima najveći potencijal osnaživanja sigurnosnog tima kao inteligentnog partnera koji obrađuje podatke i usklađuje obrasce. Na primjer, AI i automacija su stručni u korelaciji sigurnosnih signala kako bi podržali sveobuhvatno otkrivanje i odgovaranje na kršenje. Otprilike polovica praktičara u području sigurnosti koje smo nedavno ispitali kaže da moraju raditi ručnu korelaciju signala.1 To oduzima nevjerojatno puno vremena i čini gotovo nemogućim odgovoriti na napad ili ga staviti pod kontrolu. Uz odgovarajuću primjenu automacije – kao što je korelacija sigurnosnih signala – napade je često moguće otkriti u gotovo stvarnom vremenu.

„Treba nam AI jer imamo tanke profitne marže i ne možemo zaposliti previše ljudi.”

– restoran/ugostiteljstvo, 6000 zaposlenika

Vidjeli smo da puno sigurnosnih timova ne koristi dovoljno automaciju ugrađenu u postojeća rješenja koja već koriste. U mnogim je slučajevima primjena automacije jednostavna (i visokoj je utjecaja!) kao i konfiguriranje dostupnih značajki poput zamjenjivanja pravilnika pristupa s fiksnim pravilima pravilnicima uvjetnog pristupa koji se temelje na riziku, stvaranja pravilnika za odgovaranje itd.

Glavni direktori za sigurnost informacija koji ne iskorištavaju prilike automacije često to rade iz nepovjerenja i navode brige o tome kako sustav može napraviti nepopravljive greške dok radi bez ljudskog nadzora. Neki od potencijalnih scenarija obuhvaćaju sustav neprikladnog brisanja korisničkih podataka, što je neugodno izvršnim osobama koje trebaju pristupiti sustavu, ili gore, uzrokuju gubitak kontrole ili vidljivosti o ranjivosti koja je iskorištena.

„Kad god pokušavamo uspostaviti stvari koje su automatske, ponekad me plaši jer što ja to brišem? Od čega se oporavljam? Što je uzrokovalo ovu radnju?”

– Financijske usluge, 1125 zaposlenika

No sigurnost nastoji biti ravnoteža između dnevnih malih neprikladnosti naspram konstantne prijetnje katastrofalnog napada. Automacija ima potencijal da služi kao sustav ranog upozorenja za takav napad i njezine se neprikladnosti mogu ublažiti ili ukloniti. Osim toga, automacija u svojem najboljem ruhu ne radi sama od sebe uz ljudske operatore, gdje njezina umjetna inteligencija može informirati, a i može je provjeriti ljudska inteligencija.

Da bi se osigurala lagana implementacija, dodajemo modove samo za izvješćivanje našim rješenjima kako bismo ponudili pokusno pokretanje prije uvođenja. To omogućava sigurnosnim timovima da implementiraju automaciju u svom tempu i tako precizno urede pravila automacije i nadziru učinkovitosti automatiziranih alata.

Vodeći ljudi u području sigurnosti koji koriste automaciju na najučinkovitiji način implementiraju je uz svoj tim kako bi ispunila praznine i služila kao prva linija obrane. Kao što mi je jedan CISO nedavno rekao, gotovo je nemoguće i nepraktično skupo imati sigurnosni tim fokusiran svugdje u svakom trenutku – a čak i da jest, sigurnosni timovi skloni su čestoj fluktuaciji. Automacija pruža sloj stalno uključenog kontinuiteta i dosljednosti za podržavanje sigurnosnog tima u područjima koja zahtijevaju tu dosljednost, kao što je nadzor prometa i sustavi ranog upozorenja. Implementirana u ovom svojstvu podržavanja, automacija pomaže timu da se oslobodi ručnog pregledavanja evidencije i sustava i omogućava im da budu proaktivniji. Automacija ne zamjenjuje ljude – to su alati koji osnažuju vaše ljude da prioritet stave na upozorenja i fokusiraju svoje napore tamo gdje je najvažnije.

Suština

U najsnažnijoj obrambenoj strategiji kombinira se AI i automatizirani alati s oprezom više nijansi i taktičkim odgovorom sigurnosnog tima. Osim trenutnih koristi dovršavanja zadataka i poduzimanja trenutnih radnji za stavljanje napada pod kontrolu, automacija pomaže u osnaživanju tima u upravljanju svojim vremenom i koordiniranjem resursa na učinkovitiji način tako da se mogu usredotočiti na aktivnosti istraživanja i popravljanja na višoj razini.

Za sva navedena istraživanja korporacije Microsoft korištene su nezavisne istraživačke tvrtke za stupanje u kontakt sa stručnjacima za sigurnost radi kvantitativnih i kvalitativnih studija, uz osiguranje zaštite privatnosti i analitičke strogosti. Citati i nalazi u ovom dokumentu predstavljaju rezultat studija iz istraživanja Microsofta ako nije navedeno drugačije.

[1]

Microsoftova istraživačka studija glavnih direktora za sigurnost informacija i sigurnost praktičara, 2021.

CISO Insider Kibernetička otpornost Uređaji i infrastruktura Ucjenjivački softver

Povezani članci

CISO Insider izdanje 1

Krećite se današnjim krajolikom prijetnji uz ekskluzivnu analizu i preporuke od vodećih ljudi u području sigurnosti.

Saznajte više

Cyber Signals: 1. izdanje

Nova bitka vodi se na području identiteta. Dobijte uvide u razvijajuće računalne prijetnje i koje korake poduzeti kako biste bolje zaštitili svoju tvrtku ili ustanovu.

Saznajte više

Cyber Signals izdanje 2: Ekonomija iznuđivanja

Saznajte više od stručnjaka za zaposlenika za komunikaciju s klijentima o razvoju ucjenjivačkog softvera kao usluge. Od programa i korisnih podataka do pristupnih agenata i povezanih programa, saznajte više o alatima, taktikama i ciljevima koje računalni zločinci više vole i dobijte smjernice kako biste pridonijeli zaštiti svoje organizacije.

Saznajte više