CISO Insider: 2. szám

A zsarolóvírusos támadók az Ön legértékesebb eszközeit veszik célba, amelyekkel véleményük szerint a legtöbb pénzt tudják kicsikarni Önből: azokat, amelyek az üzletmenetet a legnagyobb mértékben zavarják meg vagy a legértékesebbek lehetnek túszul ejtve, vagy amelyek a legbizalmasabbak, ha nyilvánosságra hozzák őket.

Az iparág fontos meghatározója egy szervezet kockázati profiljának: míg a gyártási vezetők az üzletmenet megszakítását nevezik meg legfőbb problémaként, addig a kiskereskedelmi és pénzügyi szolgáltatások információbiztonsági vezetői a személyazonosításra alkalmas, bizalmas információk védelmét tartják elsődlegesnek – az egészségügyi szervezetek pedig mindkét fronton egyformán sebezhetőek. Válaszul a biztonsági vezetők a kockázati profiljukat az adatvesztésről és a kitettségről egyre erőteljesebben helyezik át a szegélyek megerősítésére, a kritikus adatok biztonsági mentésére, a redundáns rendszerekre és a jobb titkosításra.

Sok vezető számára most az üzlet megzavarása áll a középpontban. A vállalkozásnak akkor is költségei keletkeznek, ha a fennakadás rövid ideig tart. Egy egészségügyi területen dolgozó információbiztonsági vezető nemrég azt mondta nekem, hogy operatív szempontból a zsarolóvírus nem különbözik egy nagyobb áramkimaradástól. Bár egy megfelelő tartalékrendszer segíthet az áramellátás gyors helyreállításában, az üzletmenetet megszakító leállások akkor is megtörténnek. Egy másik információbiztonsági vezető megemlítette, hogy azon gondolkodnak, hogyan terjedhet ki a zavar a fő vállalati hálózaton túl az olyan működési problémákra, mint a folyamatokat érintő zavarok vagy a kulcsfontosságú beszállítók leállása a zsarolóvírusok által okozott másodlagos hatás miatt.

A zavarok kezelésére szolgáló taktikák közé tartoznak a redundáns rendszerek és a szegmentálás, amelyek segítenek minimalizálni az állásidőt, lehetővé téve a szervezet számára, hogy a forgalmat a hálózat egy másik részére terelje át, amíg az érintett szegmenst meg tudják fékezni és helyre tudják állítani. Azonban még a legmegbízhatóbb biztonsági mentési vagy vészhelyreállítási folyamatok sem képesek teljes mértékben kivédeni az üzletmenet megszakadásának vagy az adatok kitettségének veszélyét. A mérséklés ellenpólusa a megelőzés.

Az általam megkérdezett információbiztonsági vezetők közül sokan a „paletta” megközelítést alkalmazzák a támadások megelőzésére és felderítésére, és a szállítói megoldásoknak több rétegét használják, amelyek kiterjednek a sebezhetőségi tesztelésre, a szegélyhálózatok tesztelésére, az automatizált figyelésre, a végpontbiztonságra, az identitásvédelemre és más területekre. Vannak, akik számára ez szándékos redundancia abban a reményben, hogy a többrétegű megközelítés minden lyukat befoltoz, akárcsak a svájci lyukas sajt egymásra halmozott rétegei, és abban reménykednek, hogy a különböző rétegekben a lyukak nem fognak egymás fölé kerülni.

Tapasztalataink azt mutatják, hogy ez a sokféleség megnehezítheti a helyreállítási munkálatokat, és akár még nagyobb kockázatot is jelenthet. Amint azt egy információbiztonsági vezető megjegyzi, a több megoldás összegyűjtésének hátulütője az, hogy a széttagoltság miatt nincs áttekinthetőség: „Mindenből a legkiválóbb megközelítést alkalmazom, ami önmagában már bizonyos kihívásokat jelent, mert így nincs rálátásod az összesített kockázatokra, mert egymástól független konzolok vannak, amelyekkel a fenyegetéseket lehet kezelni, de nincs összesített képed arról, hogy mi történik úgy általában.” (Egészségügy, 1100 alkalmazott) Mivel a támadók egy bonyolult hálót szőnek, amely több különböző megoldásra terjed ki, nehéz teljes képet kapni a pusztítási láncról, azonosítani az incidens mértékét és teljes mértékben kiszűrni a rosszindulatú programok kártékony kódjait. Egy folyamatban lévő támadás megállításához az szükséges, hogy több támadási vektoron keresztül is képesek legyünk a támadások valós idejű észlelésére, kivédésére és megfékezésére vagy szervizelésére.

Az XDR előnyeit a legtöbben még mindig nem használják ki. Az általunk megkérdezett információbiztonsági vezetők közül sokan már megvalósítottak egy hatékony kiindulópontot az EDR-ben. Az EDR jól bevált eszköz: bebizonyosodott, hogy a végponti észlelés és reagálás jelenlegi felhasználói a zsarolóvírusokat gyorsabban észlelik és állítják meg.

Mivel azonban az XDR az EDR továbbfejlesztése, egyes információbiztonsági vezetők továbbra is szkeptikusak az XDR hasznosságával kapcsolatban. Vajon az XDR is csak egy EDR, néhány pontszerű megoldással kiegészítve? Biztos, hogy egy teljesen más megoldást kell használnom? Vagy az EDR-em végül is ugyanezekkel a képességekkel fog rendelkezni? Az XDR-megoldások jelenlegi piaca további zavart okoz, mivel a gyártók egymással versenyezve próbálják XDR-ajánlatokkal bővíteni termékportfóliójukat. Egyes gyártók az EDR-eszközüket bővítik olyan módon, hogy abba további fenyegetési adatokat is beépítenek, míg mások inkább a dedikált XDR-platformok létrehozására összpontosítanak. Ez utóbbiakat az alapoktól kezdve építik ki úgy, hogy használatra készen biztosítják az integrációt és a biztonsági elemző igényeinek megfelelő képességeket, így a csapatnak a lehető legkevesebb feladatot kell manuálisan elvégeznie.

A biztonsági szakemberhiánnyal és a fenyegetésekre való gyors reagálás szükségességével szembesülve arra ösztönöztük a vezetőket, hogy alkalmazzanak automatizálást, hogy több időt tegyenek elérhetővé alkalmazottaik számára, akik így a legsúlyosabb fenyegetések elleni védekezésre összpontosíthatnak az olyan hétköznapi feladatok helyett, mint a jelszavak visszaállítása. Érdekes módon az általam megkérdezett biztonsági vezetők közül sokan arról számolnak be, hogy még nem használják ki teljes mértékben az automatizálás lehetőségeit. Egyes esetekben a biztonsági vezetők nincsenek teljesen tisztában a lehetőséggel; mások haboznak az automatizálással kapcsolatban, mert félnek az ellenőrzés elvesztésétől, a pontatlanságtól vagy a fenyegetések láthatóságának feláldozásától. Ez utóbbi nagyon is jogos aggodalom. Azonban azt látjuk, hogy az automatizálást hatékonyan alkalmazók ennek éppen az ellenkezőjét érik el: több ellenőrzést, kevesebb álpozitív eredményt, kevesebb zajt és több hasznosítható betekintést – azáltal, hogy az automatizálást a biztonsági csapat mellett alkalmazzák arra, hogy a csapat erőfeszítéseit irányítsák és összpontosítsák.

Az automatizálás a képességek széles skáláját öleli fel, az egyszerű automatizált adminisztratív feladatoktól kezdve egészen az intelligens, gépi tanulással támogatott kockázatértékelésig. A legtöbb információbiztonsági vezető az előbbi, eseményvezérelt vagy szabályalapú automatizálást alkalmazza, de kevesebben használják ki a beépített mesterséges intelligencia és a gépi tanulás képességeit, amelyek lehetővé teszik a valós idejű, kockázatalapú hozzáférési döntéseket. A rutinfeladatok automatizálása természetesen több időt szabadít fel a biztonsági csapat számára, hogy az a stratégiai gondolkodásra összpontosíthasson – amire az emberek a legalkalmasabbak. De éppen ezen a stratégiai területen – például az incidensekre adott válaszok osztályozásában – rendelkezik az automatizálás a legnagyobb potenciállal ahhoz, hogy a biztonsági csapatot adatgyűjtési vagy mintaillesztési intelligens partnerként támogassa. A mesterséges intelligencia és az automatizálás például rendkívül hatékony a biztonsági jelek korrelálásában, és ezzel támogatni tudja a biztonsági incidensek átfogó észlelését és a válaszadást. Az általunk nemrégiben megkérdezett biztonsági szakemberek mintegy fele azt állítja, hogy manuálisan kell a jeleket korrelálniuk.1   Ez hihetetlenül időigényes, és szinte lehetetlenné teszi a gyors reagálást egy támadás megfékezése érdekében. Az automatizálás megfelelő alkalmazásával – például a biztonsági jelek korrelációjával – a támadások gyakran szinte valós időben észlelhetők.

Azt tapasztaltuk, hogy sok biztonsági csapat nem használja ki kellőképpen az általuk már használt megoldásokba beépített automatizálást. Sok esetben az automatizálás rendkívül egyszerűen (és hatásosan!) alkalmazható: például a rendelkezésre álló funkciók konfigurálása, a rögzített szabályokhoz kötött hozzáférési szabályzatok lecserélése kockázatalapú, feltételes hozzáférési szabályzatokra, válaszadási forgatókönyvek létrehozása stb.

Azok az információbiztonsági vezetők, akik úgy döntenek, hogy lemondanak az automatizálás lehetőségeiről, gyakran bizalmatlanságból teszik ezt, például arra hivatkozva, hogy a rendszer helyrehozhatatlan hibákat okozhat, amikor emberi felügyelet nélkül működik. A lehetséges forgatókönyvek közé tartozik, hogy a rendszer helytelenül törli a felhasználói adatokat, kellemetlenséget okoz egy olyan vezetőnek, akinek hozzáférésre van szüksége a rendszerhez, vagy rosszabb esetben egy kihasznált sebezhetőség ellenőrzésének vagy láthatóságának elvesztéséhez vezet.

A biztonság azonban általában a napi kis kényelmetlenségek és a katasztrofális támadás állandó veszélye közötti egyensúlyt jelenti. Az automatizálás egy ilyen támadás korai előrejelző rendszereként szolgálhat, a vele járó kellemetlenségek pedig enyhíthetők vagy kiküszöbölhetők. Ráadásul az automatizálás a legjobb esetben nem önmagában, hanem emberi kezelőszemélyzet mellett működik, ahol a mesterséges intelligencia egyrészt tájékoztat, másrészt azonban az emberi intelligencia által ellenőrizhető.

A zökkenőmentes bevezetés megkönnyítése érdekében megoldásainkat kiegészítettük csak jelentés üzemmódokkal, hogy a bevezetés előtt próbaüzemet lehessen végezni velük. Ez lehetővé teszi, hogy a biztonsági csapat a saját tempójában valósítsa meg az automatizálást, finomhangolva az automatizálási szabályokat és figyelve az automatizált eszközök teljesítményét.

Azok a biztonsági vezetők, akik a leghatékonyabban használják az automatizálást, a csapatuk kiegészítéseként alkalmazzák azt, hogy befoltozzák vele a hiányosságokat, és első védelmi vonalként szolgáljanak. Ahogy egy információbiztonsági vezető nemrégiben elmondta nekem, szinte lehetetlen és megfizethetetlenül drága, hogy egy biztonsági csapat folyamatosan mindenre összpontosítson – és még ha ez meg is történne, a biztonsági csapatokban gyakori a fluktuáció. Az automatizálás egy folyamatosan működő folytonossági és következetességi réteget biztosít a biztonsági csapat támogatására azokon a területeken, amelyek ezt a következetességet igénylik, mint például az adatforgalom figyelése és a korai figyelmeztető rendszerek. Az automatizálás ilyen támogató minőségben alkalmazva segít mentesíteni a csapatot a naplók és rendszerek kézi áttekintésének feladata alól, és lehetővé teszi számukra, hogy proaktívabbak legyenek. Az automatizálás nem helyettesíti az embert – ezek olyan eszközök, amelyek lehetővé teszik a munkatársak számára, hogy a riasztásokat rangsorolják, és erőfeszítéseiket arra összpontosítsák, ami a leginkább számít.