CISO Insider: Utgave 2

Løsepengevirusangripere peiler seg inn mot dine mest verdifulle ressurser, hvor de føler at de kan presse mest penger ut av deg, enten det er det som er mest forstyrrende eller mest verdifullt å holde som gissel, eller det som er mest sensitivt å publisere.

Bransjen er en viktig bestemmende faktor for en organisasjons risikoprofil. Mens fabrikkledere er mest bekymret for driftsforstyrrelse, prioriterer informasjonssikkerhetsledere innen detaljhandel og finansielle tjenester beskyttelsen av sensitiv personlig identifiserbar informasjon. Helsetjenesteorganisasjoner er i mellomtiden like sårbare på begge fronter. Som svar endrer sikkerhetsledere risikoprofilen aggressivt vekk fra datatap og -eksponering til styrking av forsvarsverkene, sikkerhetskopiering av viktige data, redundante systemer og bedre kryptering.

Mange ledere er nå mest opptatt av driftsforstyrrelse. Bedriften taper penger selv om forstyrrelsen er kortvarig. Én informasjonssikkerhetsleder innen helsetjenester fortalte meg nylig at løsepengevirus ikke var driftsmessig noe annerledes enn et større strømbrudd. Mens tilstrekkelige sikkerhetssystemer kan få strømmen på igjen raskt, har man fortsatt nedetid som forstyrrer driften. En annen informasjonssikkerhetsleder nevnte at de tenker på hvordan forstyrrelser kan ramme områder utover bedriftens hovednettverk, for eksempel rørledninger eller en sekundæreffekt hvor viktige leverandører stenges ned av løsepengevirus.

Taktikken for å håndtere forstyrrelser omfatter både redundante systemer og segmentering for å redusere nedetid, noe som gir organisasjonen muligheten til å styre trafikken til en annen del av nettverket mens det berørte segmentet kan begrenses og gjenopprettes. Imidlertid kan ikke selv de mest solide sikkerhetskopiering- eller gjenopprettingsprosessene helt løse trusselen mot driftsforstyrrelse eller dataeksponering. Den andre siden av skadebegrensning er forebygging.

Mange av informasjonssikkerhetslederne jeg snakker med, bruker en blandet tilnærming til forebygging og oppdagelse av angrep ved hjelp av et lag av leverandørløsninger som dekker sårbarhetstesting, perimetertesting, automatisert overvåking, endepunktsikkerhet, identitetsbeskyttelse osv. For noen er dette en bevisst redundans, et håp om at en lagdelt tilnærming vil dekke over alle hull – som stabler med sveitserost, i håp om at hullene ikke sammenfaller.

Etter vår erfaring kan dette mangfoldet komplisere forsøk på utbedringer og muligens skape større eksponering for risiko. Som én informasjonssikkerhetsleder bemerker, er ulempen ved å samle mange løsninger en mangel på synlighet på grunn av fragmentering: «Jeg følger prinsippet om å velge det beste i hver kategori, som i seg selv byr på visse utfordringer fordi man da får en mangel på innsikt i den samlede risikoen på grunn av alle disse uavhengige konsollene som administrerer trusler, og man får ikke den samlede oversikten over hva som foregår.» (Helsetjeneste, 1100 ansatte) Angripere vever et komplisert nett som strekker seg over mange ulike løsninger, så det kan være vanskelig å få et fullstendig bilde av en kill chain, identifisere utstrekningen av bruddet og luke ut skadelige nyttelaster fullstendig. Å stoppe et pågående angrep krever evnen til å se på tvers av flere vektorer for å oppdage, hindre og begrense/utbedre angrepene i sanntid.

De fleste har ikke realisert potensialet i XDR. Mange informasjonssikkerhetsledere vi snakker med, har tatt i bruk EDR som et godt utgangspunkt. EDR er en velkjent fordel: Vi har sett at gjeldende brukere av endepunktsoppdagelse og -svar gjerne oppdager og stopper løsepengevirus raskere.

Men siden XDR er en videreutvikling av EDR, er imidlertid enkelte informasjonssikkerhetsledere skeptiske til nytten av XDR. Er XDR bare EDR med noen punktløsninger i tillegg? Trenger jeg egentlig å bruke en helt egen løsning? Eller kommer EDR etter hvert til å tilby de samme funksjonene? Det gjeldende markedet for XDR-løsninger, der leverandører strømmer på for å legge til XDR-tilbud i produktporteføljene, gjør forvirringen enda større. Enkelte leverandører utvider EDR-verktøyet ved å innlemme ytterligere trusseldata, mens andre er mer opptatt av å utvikle egne XDR-plattformer. De sistnevnte utvikles fra grunnen av for å levere bruksklar integrasjon og funksjoner sentrert rundt behovene til sikkerhetsanalytikeren, med færrest mulig hull som teamet må fylle manuelt.

Så lenge vi har mangel på sikkerhetseksperter og et behov for raske svar for å begrense trusler, har vi oppmuntret ledere til å ta i bruk automatisering, slik at de kan frigjøre teamet til å konsentrere seg om forsvaret mot de verste truslene i stedet for å bruke tiden på dagligdagse oppgaver som å tilbakestille passord. Interessant nok sier mange av sikkerhetslederne jeg har snakket med, at de ikke utnytter automatiseringsfunksjoner til fulle ennå. I noen tilfeller er ikke sikkerhetslederne klar over mulighetene, mens andre nøler med å innføre automatisering i frykt for å miste kontroll, innby til unøyaktighet eller ofre innsyn i trusler. Sistnevnte er en legitim bekymring. Imidlertid ser vi at effektiv innføring av automatisering bidrar til det motsatte – større kontroll, færre falske positiver, mindre støy og mer handlingskrevende innsikt – ved å rulle ut automatisering sammen med sikkerhetsteamet for å veilede og konsentrere teamets innsats.

Automatisering dekker en rekke funksjoner, fra grunnleggende automatiserte administrative oppgaver til smart, maskinlæringsaktivert risikovurdering. De fleste informasjonssikkerhetsledere innfører førstnevnte med hendelsesutløst eller regelbasert automatisering, men det er færre som har tatt fullt utbytte av funksjoner innen kunstig intelligens og maskinlæring som gjør det mulig med risikobaserte tilgangsavgjørelser i sanntid. Automatisering av rutineoppgaver bidrar i hvert fall til å frigjøre sikkerhetsteamet til å fokusere på mer strategisk tenking, som mennesker gjør best. Men det er i denne strategiske sfæren – prioritering av svar på hendelser, for eksempel – hvor automatisering har størst mulighet til å hjelpe sikkerhetsteamet som en databehandlende, mønsterfinnende, intelligent partner. Kunstig intelligens og automatisering er for eksempel dyktige til å korrelere sikkerhetssignaler for å støtte omfattende oppdagelse og svar på et brudd. Rundt halvparten av sikkerhetsekspertene vi nylig undersøkte, sa at de må korrelere signaler manuelt.1   Dette er utrolig tidkrevende og gjør det nesten umulig å svare raskt på et angrep. Med riktig bruk av automatisering – for eksempel korrelering av sikkerhetssignaler – kan angrep ofte oppdages så godt som i sanntid.

Vi har oppdaget at mange sikkerhetsteam underbruker automatiseringen som er bygd inn i løsninger de allerede bruker. I mange tilfeller er det like lett å bruke automatisering (og like effektivt) som å konfigurere tilgjengelige funksjoner, for eksempel å erstatte faste tilgangspolicyer med policyer for risikobasert betinget tilgang osv.

Informasjonssikkerhetsledere som velger å ikke benytte seg av mulighetene automatisering gir, gjør det ofte av mistillit og begrunner det med bekymring over at systemet skal gjøre ugjenkallelige feil under drift uten menneskelig oppsyn. Mulige situasjoner kan være et system som unødig sletter bruksdata og skaper problemer for en leder som trenger tilgang til systemet, eller enda verre, fører til tap av kontroll eller synlighet over en sårbarhet som har blitt utnyttet.

Men sikkerheten pleier å være en balansegang mellom daglige, små ubeleiligheter mot den konstante trusselen om et katastrofalt angrep. Automatisering har muligheten til å tjene som et forvarselssystem for et slikt angrep, og ubeleilighetene ved det kan reduseres eller fjernes. Og dessuten kjøres ikke automatisering på sitt beste alene, men side ved side med menneskelige operatører, hvor den kunstige intelligensen både kan informere og sjekkes av menneskelig intelligens.

For å sikre problemfri igangsetting har vi lagt til modus for bare rapportering i løsningene våre for å kunne tilby en prøvekjøring før utrulling. Dette betyr at sikkerhetsteamet kan ta i bruk automatisering i farten som passer dem, finjustere automatiseringsreglene og overvåke ytelsen til automatiserte verktøy.

Sikkerhetslederne som bruker automatisering mest effektivt, ruller det ut langs med teamet for å fylle hull og tjene som første forsvarslinje. Som en informasjonssikkerhetsleder nylig sa til meg, er det nesten umulig og forferdelig dyrt å ha et sikkerhetsteam som følger med over alt hele tiden, og uansett er det en tendens til stor gjennomstrømming i sikkerhetsteam. Automatisering gir et lag med kontinuitet og konsekvens som alltid er på, for å støtte sikkerhetsteamet på områder hvor det må være konsekvent, for eksempel trafikkovervåking og forvarselssystemer. Når automatisering brukes som en støttespiller på denne måten, slipper teamet å gå manuelt gjennom logger og systemer, og de kan bli mer proaktive. Automatisering erstatter ikke mennesker – dette er verktøy som gir menneskene muligheten til å prioritere varsler og konsentrere innsatsen der den trengs mest.