„CISO Insider“: 2 numeris

Išpirkas reikalaujančias programas naudojantys įsilaužėliai taikosi į vertingiausią jūsų turtą, iš kurio, jų manymu, gali išvilioti daugiausiai pinigų, nesvarbu, ar tai būtų labiausiai verslą trikdantis ar vertingas turtas, jei jis būtų laikomas įkaitu, ar slapčiausias, jei būtų paviešintas.

Sektorius yra svarbus veiksnys, lemiantis organizacijos rizikos profilį – gamybos sektoriaus vadovai kaip didžiausią susirūpinimą keliantį veiksnį įvardija verslo trikdžius, o mažmeninės prekybos ir finansinių paslaugų CISO pirmenybę teikia slaptos asmenį identifikuojančios informacijos apsaugai; na o sveikatos priežiūros organizacijos yra vienodai pažeidžiamos abiem aspektais. Reaguodami į tai, saugos vadovai aktyviai keičia savo rizikos profilį, siekdami sumažinti duomenų praradimo ir atskleidimo riziką, stiprindami savo perimetrą, darydami atsargines svarbiausių duomenų kopijas, dubliuodami sistemas ir geriau šifruodami.

Verslo trikdžiai dabar yra daugelio vadovų dėmesio centre. Įmonė patiria išlaidų, net jei sutrikdymas trunka neilgai. Vienas sveikatos priežiūros CISO neseniai man sakė, kad veikimo požiūriu išpirkos reikalaujanti programinė įranga niekuo nesiskiria nuo didelio elektros energijos tiekimo sutrikimo. Nors tinkama atsarginių kopijų kūrimo sistema gali padėti greitai atkurti darbinę galią, vis tiek turėsite prastovų, kurios sutrikdys verslą. Kitas CISO paminėjo, kad galvoja apie tai, kaip trikdžiai gali apimti ne tik pagrindinį įmonės tinklą, bet ir sukelti veikimo problemų, pavyzdžiui, srauto problemų arba antrinį poveikį, kai dėl išpirkos reikalaujančios programinės įrangos išjungiami pagrindiniai tiekėjai.

Sutrikimų valdymo taktika apima ir nereikalingas sistemas, ir segmentavimą, padedantį sumažinti prastovų laiką, leidžiant organizacijai perkelti duomenų srautą į kitą tinklo dalį, tuo pat metu išsaugant ir atkuriant paveiktą segmentą. Tačiau net ir patys patikimiausi atsarginių kopijų kūrimo ar avarinio atkūrimo procesai negali visiškai išspręsti verslo sutrikimo ar duomenų atskleidimo grėsmės. Kita rizikos mažinimo pusė yra prevencija.

Daugelis CISO, su kuriais bendrauju, taiko paletės atakų prevencijos ir aptikimo metodą, naudodami tiekėjų sprendimų sluoksnius, apimančius pažeidžiamumo testavimą, perimetro testavimą, automatinį stebėjimą, galinių punktų saugą, tapatybės apsaugą ir t. t. Kai kuriems tai yra tyčinis perteklius, tikintis, kad daugiasluoksnis požiūris užglaistys bet kokias spragas.

Mūsų patirtis rodo, kad ši įvairovė gali apsunkinti taisymo darbus ir sukelti didesnę riziką. Kaip pastebi vienas CISO, kelių sprendimų naudojimo trūkumas yra nepakankamas matomumas dėl fragmentiškumo: „Taikau geriausią metodą, kuris pats savaime kelia tam tikrų iššūkių, nes tada trūksta įžvalgų apie bendrą riziką, nes turite šias nepriklausomas konsoles, kuriomis valdote grėsmes, ir neturite bendro vaizdo apie tai, kas pas jus vyksta.“ (Sveikatos priežiūra, 1100 darbuotojų) Kadangi įsilaužėliai audžia sudėtingą tinklą, apimantį daugybę skirtingų sprendimų, gali būti sunku susidaryti išsamų sunaikinimo grandinės vaizdą, nustatyti pažeidimo mastą ir visiškai pašalinti visą kenkėjiškos programinės įrangos paketo turinį. Norint sustabdyti vykdomą ataką, reikia gebėti matyti kelis vektorius ir realiuoju laiku aptikti atakas, užkirsti joms kelią ir jas sustabdyti arba ištaisyti.

Dauguma vis dar neišnaudoja XDR potencialo. Daugelis CISO, su kuriais bendraujame, veiksmingai pasitelkė EDR. EDR yra patikrintas pranašumas: matome, kad dabartiniai atakų prieš galinius punktus aptikimo ir reagavimo naudotojai greičiau aptinka ir sustabdo išpirkos reikalaujančias programas.

Tačiau, kadangi XDR yra EDR evoliucija, kai kurie CISO vis dar skeptiškai vertina XDR naudingumą. Ar XDR yra tik EDR su pridėtais taškiniais sprendimais? Ar tikrai reikia naudoti visiškai atskirą sprendimą? Ar mano EDR ilgainiui turės tokias pačias galimybes? Dabartinė XDR sprendimų rinka kelia dar daugiau painiavos, nes tiekėjai lenktyniauja siekdami papildyti produktų portfelius XDR pasiūlymais. Kai kurie tiekėjai plečia savo EDR priemones, kad į jas būtų įtraukti papildomi grėsmių duomenys, o kiti daugiau dėmesio skiria specialioms XDR platformoms kurti. Pastarosios sukurtos taip, kad užtikrintų iš karto įdiegtą integraciją ir galimybes, orientuotas į saugos analitiko poreikius, paliekant kuo mažiau spragų, kurias jūsų komanda turėtų užpildyti rankiniu būdu.

Susidūrę su talentingų darbuotojų trūkumu saugos srityje ir būtinybe greitai reaguoti į grėsmes, skatinome vadovus naudoti automatizavimą, kuris padėtų atlaisvinti darbuotojus, kad jie galėtų sutelkti dėmesį į gynybą nuo didžiausių grėsmių, o ne į kasdienes užduotis, pavyzdžiui, slaptažodžių nustatymą iš naujo. Įdomu tai, kad daugelis saugos vadovų, su kuriais kalbėjausi, minėjo, kad dar neišnaudoja visų automatizuotų galimybių. Kai kuriais atvejais saugos vadovai ne iki galo supranta šią galimybę, kiti nesiryžta imtis automatizavimo, nes baiminasi prarasti kontrolę, padidinti netikslumą ar prarasti grėsmių matomumą. Pastarasis klausimas yra labai pagrįstas. Tačiau matome, kad efektyviai automatizavimą taikantys specialistai pasiekia priešingų rezultatų – daugiau kontrolės, mažiau klaidingai teigiamų rezultatų, mažiau triukšmo ir daugiau naudingų įžvalgų – diegdami automatizavimą kartu su saugos komanda, kad nukreiptų ir sutelktų komandos pastangas.

Automatizavimas apima įvairias galimybes – nuo paprasčiausių automatizuotų administravimo užduočių iki išmaniojo mašininio mokymosi būdu atliekamo rizikos vertinimo. Dauguma CISO praneša, kad taiko pirmuosius, įvykiu ar taisyklėmis pagrįstus automatizavimo būdus, tačiau mažiau jų naudojasi integruotomis dirbtinio intelekto ir mašininio mokymosi galimybėmis, leidžiančiomis priimti rizika pagrįstus sprendimus dėl prieigos realiuoju laiku. Be abejo, įprastų užduočių automatizavimas padeda saugos komandai sutelkti dėmesį į strateginį mąstymą, kuris žmonėms sekasi geriausiai. Tačiau būtent šioje strateginėje srityje, pavyzdžiui, reaguojant į incidentus, automatizavimas turi didžiausią potencialą įgalinti saugos komandą tapti intelektualiu duomenų apdorojimo ir modelių taikymo partneriu. Pavyzdžiui, dirbtinis intelektas ir automatizavimas geba susieti saugos signalus, kad būtų galima visapusiškai aptikti pažeidimą ir į jį reaguoti. Maždaug pusė neseniai apklaustų saugos specialistų teigia, kad jiems tenka rankiniu būdu susieti signalus.1   Tai atima neįtikėtinai daug laiko ir dėl to beveik neįmanoma greitai reaguoti, kad būtų sustabdyta ataka. Tinkamai pritaikius automatizavimą, pavyzdžiui, saugos signalų susiejimą, atakas dažnai galima aptikti beveik realiuoju laiku.

Pastebėjome, kad daugelis saugos komandų nepakankamai išnaudoja jau naudojamuose sprendimuose įdiegtą automatizavimą. Daugeliu atvejų automatizavimo taikymas yra toks pat paprastas (ir labai veiksmingas!), kaip ir turimų funkcijų konfigūravimas, pvz., fiksuotų taisyklių prieigos politikos pakeitimas rizikos vertinimu pagrįstomis sąlyginės prieigos strategijomis, reagavimo taisyklių kūrimas ir pan.

CISO, kurie nusprendžia nesinaudoti automatizavimo galimybėmis, dažnai tai daro dėl nepasitikėjimo, nes baiminasi, kad sistema, veikdama be žmogaus priežiūros, gali padaryti neatitaisomų klaidų. Kai kurie iš galimų scenarijų: sistema netinkamai ištrina vartotojų duomenis, sukelia nepatogumų vadovui, kuriam reikia prieigos prie sistemos, arba, blogiausiu atveju, dėl to prarandama kontrolė ar matomumas apie pažeidžiamumą, kuriuo buvo pasinaudota.

Tačiau sauga paprastai yra pusiausvyra tarp kasdienių nedidelių nepatogumų ir nuolatinės katastrofiškos atakos grėsmės. Automatizavimas gali pasitarnauti kaip ankstyvojo perspėjimo apie tokią ataką sistema, o jos keliamus nepatogumus galima sušvelninti arba pašalinti. Be to, geriausiai automatizacija veikia ne savarankiškai, o kartu su žmonėmis operatoriais, kai dirbtinis intelektas gali tiek informuoti, tiek būti tikrinamas žmogaus intelekto.

Siekdami užtikrinti sklandų diegimą, į savo sprendimus įtraukėme tik ataskaitų režimus, kad prieš diegimą būtų galima atlikti bandomąjį paleidimą. Tai leidžia saugos komandai savo tempu diegti automatizavimą, tobulinti automatizavimo taisykles ir stebėti automatizuotų įrankių veikimą.

Saugos vadovai, kurie efektyviausiai naudoja automatizavimą, diegia jį kartu su savo komanda, kad ši užpildytų spragas ir būtų pirmoji gynybos linija. Kaip neseniai man sakė vienas CISO, beveik neįmanoma ir pernelyg brangiai kainuoja turėti nuolat viską atidžiai prižiūrinčią saugos komandą, o jei ir būtų įmanoma, saugos komandų darbuotojai dažnai keičiasi. Automatizavimas užtikrina nuolatinį tęstinumą ir nuoseklumą, padedantį saugos komandai tose srityse, kuriose reikia tokio nuoseklumo, pavyzdžiui, srauto stebėjimo ir išankstinio perspėjimo sistemų. Įdiegtas kaip pagalbinė funkcija, automatizavimas padeda atlaisvinti komandą nuo rankinio žurnalų ir sistemų peržiūrėjimo ir leidžia jai būti aktyvesnei. Automatizavimas nepakeičia žmonių – tai įrankiai, kurie leidžia jūsų darbuotojams nustatyti perspėjimų prioritetus ir sutelkti pastangas ten, kur tai svarbiausia.