Trace Id is missing

CISO Insider: Nr. 2

 O femeie verifică fila într-un depozit industrial

Economia infracțiunilor cibernetice alimentează o creștere rapidă a atacurilor sofisticate. În acest număr, vom afla de la reprezentanții CISO ce se observă la fața locului.

O scrisoare din partea lui Rob

Bun venit la cel de-al doilea număr al revistei CISO Insider. Mă numesc Rob Lefferts și conduc echipa de inginerie Microsoft 365 Defender și Sentinel. La Microsoft Security, ne ascultăm clienții și învățăm continuu de la ei, în timp ce ei parcurg un context de securitate din ce în ce mai complicat. CISO Insider a fost proiectat ca un mijloc de împărtășire a recomandărilor pe care le-am cules de la ceilalți colegi și din propriile noastre cercetări în domeniu. În acest număr, vom urmări vulnerabilitățile pe care le-am prezentat în primul număr, analizând mai îndeaproape problema extorcării cibernetice și practicile pe care liderii din domeniul securității le folosesc pentru a limita astfel de atacuri paralele, cu o întrerupere minimă a activității și a echipei de securitate.

În primul număr, am dezbătut trei preocupări prioritare pentru CISO: adaptarea la noile tendințe de amenințare într-un mediu hibrid și multicloud, gestionarea amenințărilor din lanțul de aprovizionare și abordarea deficitului de specialiști în securitate. În acest număr, vom examina mai îndeaproape această combinație extraordinară de factori de risc cibernetic și vom determina modul în care organizațiile își dezvoltă tacticile pentru a neutraliza amenințările galopante. Mai întâi, vom analiza profilul de risc evolutiv al ransomware-ului și cele mai bune practici care pot preveni aceste încălcări și altele care se răspândesc în rețea în mod lateral. În continuare, vom analiza două resurse cheie care sunt esențiale nu numai pentru a preveni o încălcare a securității, ci și pentru a interveni rapid în acele prime momente critice - detectarea și răspunsul extinse (XDR) și automatizarea. Ambele contribuie la soluționarea vulnerabilităților pe care le-am abordat în primul număr: limitele extinse ale securității și identității rețelelor actuale, răspândite în ecosisteme hibride de muncă și furnizori, precum și insuficiența de resurse umane pentru monitorizarea și combaterea acestor amenințări.

Economia infracțiunilor cibernetice le oferă infractorilor cibernetici de rând acces la instrumente mai bune și la automatizare pentru a permite scalarea și reducerea costurilor. În combinație cu aspectele economice ale atacurilor reușite, ransomware-ul se află pe o traiectorie rapidă (Raportul de protecție digitală Microsoft, 2021). Atacatorii și-au sporit amploarea adoptând modelul unei duble extorcări, conform căruia o victimă este mai întâi șantajată în schimbul unei recompense și apoi pentru a evita o posibilă publicare a datelor furate. Am asistat, de asemenea, la o creștere a numărului de atacuri care vizează resursele tehnologice operaționale pentru a perturba infrastructura critică. Reprezentanții CISO au opinii diferite cu privire la riscul cel mai grav pentru afaceri, respectiv întreruperea operațiunilor sau expunerea datelor firmelor, în funcție de domeniu și de nivelul de pregătire. În orice caz, pregătirea este esențială pentru gestionarea riscurilor pe ambele fronturi. Dincolo de tacticile de atenuare, sunt esențiale măsurile de succes preventive, cum ar fi o securitate mai puternică a punctelor finale, protecția identității și criptarea, ținând cont de frecvența și severitatea acestor atacuri.

Reprezentanții CISO analizează în mod mai strategic modul de abordare a riscurilor de ransomware.

Atacatorii ransomware au ca țintă cele mai valoroase active ale dvs., de unde consideră că pot extrage cei mai mulți bani,, fie că este vorba despre cele mai perturbatoare sau valoroase în cazul sechestrării sau despre cele mai confidențiale în cazul publicării.

Domeniul de activitate este un factor determinant al profilului de risc al unei organizații: în timp ce liderii din sectorul producției menționează întreruperea activității ca fiind principala preocupare, reprezentanții CISO din domeniul comerțului cu amănuntul și al serviciilor financiare acordă prioritate protecției informațiilor confidențiale de identificare personală. În același timp, organizațiile din domeniul serviciilor medicale sunt vulnerabile în egală măsură pe ambele fronturi. Prin urmare, liderii din domeniul securității își schimbă în mod agresiv profilul de risc în sensul pierderii de date și al expunerii, consolidându-și perimetrul, asigurând copii de rezervă ale datelor esențiale, sistemelor redundante și o mai bună criptare.

Perturbarea activităților de business este un subiect de interes pentru mulți lideri. Firma suferă pierderi chiar dacă întreruperea este de scurtă durată. Un reprezentant CISO din domeniul serviciilor medicale mi-a declarat recent că, din punct de vedere operațional, ransomware-ul se aseamănă cu o pană de curent majoră. Deși un sistem de rezervă adecvat poate ajuta la restabilirea rapidă a alimentării cu energie electrică, există totuși un timp de nefuncționare care întrerupe activitatea. Un alt reprezentant CISO a menționat că analizează modul în care întreruperile se pot extinde dincolo de rețeaua corporativă principală, ajungând la chestiuni operaționale, cum ar fi probleme legate de canale de date sau consecințele indirecte ale întreruperii activității furnizorilor cheie din cauza unui ransomware.

Printre tacticile de gestionare a perturbărilor se numără atât sistemele redundante, cât și segmentarea, pentru a reduce la minimum timpul de nefuncționare, care să-i permită organizației să transfere traficul către o altă parte a rețelei, menținând și restabilind în același timp un segment afectat. Cu toate acestea, chiar și cele mai solide procese de backup sau de recuperare după dezastru nu pot rezolva pe deplin amenințarea de întrerupere a funcționării firmelor sau de expunere a datelor. De cealaltă parte a atenuării se află prevenirea.

Pentru a vă proteja organizația de ransomware, vă recomandăm:

  • Să vă pregătiți pentru apărare și recuperare. Să adoptați o cultură internă de Zero Trust cu privire la încălcările presupuse, implementând în același timp un sistem de recuperare a datelor, de backup și de acces securizat. Mulți lideri din domeniul securității au adoptat deja o măsură esențială de atenuare a impactului unui atac prin realizarea de copii de rezervă și criptare, care pot contribui la apărarea împotriva pierderii și expunerii datelor. Este important să protejați aceste copii de rezervă de ștergerea sau criptarea deliberată de către atacatori prin desemnarea unor foldere protejate. Având un plan bine pus la punct de continuitate a activității firmei/de recuperare după dezastru (BC/DR), echipa va putea deconecta rapid sistemele afectate și va putea întrerupe evoluția atacului, restabilind operațiunile cu un timp minim de întrerupere. Zero Trust și accesul securizat facilitează apărarea și recuperarea organizațiilor izolând atacul și făcând mult mai dificilă deplasarea laterală a atacatorilor în rețea.
  •  Protejați identitatea împotriva compromiterii. Minimizați potențialul de furt de acreditări și de deplasare laterală prin implementarea unei strategii de acces privilegiat. Pentru a vă apăra împotriva ransomware, este important să efectuați un audit complet al acreditărilor de rețea ale organizației. Acreditările privilegiate sunt esențiale pentru toate celelalte garanții de securitate – dacă un atacator deține controlul asupra conturilor privilegiate, poate submina toate celelalte garanții de securitate. Microsoft recomandă elaborarea treptată a unui sistem de acces privilegiat în „buclă închisă” care să garanteze că numai dispozitivele, conturile și sistemele intermediare de încredere „curate” pot fi utilizate pentru acces privilegiat la sistemele confidențiale ale firmei. Microsoft recomandă elaborarea treptată a unui sistem de acces privilegiat în „buclă închisă” care să garanteze că numai dispozitivele, conturile și sistemele intermediare de încredere „curate” pot fi utilizate pentru acces privilegiat la sistemele confidențiale ale firmei.
  •  Preveniți, detectați și răspundeți la amenințări. Apărați-vă împotriva amenințărilor în toate sarcinile de lucru utilizând capacități cuprinzătoare și integrate de detectare și răspuns la amenințări. De multe ori, soluțiile punctuale izolate generează lacune în materie de prevenire și încetinesc detectarea și răspunsul la activitățile premergătoare cererilor de răscumpărare. Microsoft oferă SIEM și XDR integrate pentru a oferi o soluție cuprinzătoare de protecție împotriva amenințărilor, care asigură cea mai bună prevenire, detectare și răspuns la nivelul întregului mediu digital multicloud și multiplatformă.

Aceste trei bune practici sunt interdependente și formează o strategie de securitate cuprinzătoare, cu o gestionare integrată a datelor, a identității și a rețelei, bazată pe o abordare de tip Zero Trust. Pentru multe organizații, implementarea Zero Trust necesită o transformare mai amplă a securității. Cu toate că majoritatea liderilor din domeniul securității se îndreaptă spre Zero Trust, unii se tem că un mediu segmentat ar putea afecta excesiv productivitatea lucrătorilor sau a echipelor de securitate, astfel că nu se justifică o trecere prea rapidă la o segmentare accentuată.

Chiar dacă fiecare organizație are propriile sale exigențe pe care trebuie să le respecte, țin să precizez că puteți să beneficiați de ambele avantaje: atât de acces, cât și de securitate. Segmentarea nu trebuie să fie perturbatoare. Observăm acest beneficiu mai ales atunci când organizațiile combină gestionarea identității cu inițiative de transformare a securității, cum ar fi implementarea autentificării fără parolă, pentru ca utilizatorii să nu mai fie nevoiți să gestioneze o mulțime de autentificări perturbatoare. Bret Arsenault, CISO Microsoft, explică modul în care sistemele fără parolă favorizează securitatea: „Securizarea dispozitivelor este importantă, dar nu este suficientă. Ar trebui să ne concentrăm și pe securizarea persoanelor. Vă putem îmbunătăți experiența și securitatea, permițându-vă să deveniți chiar dvs. o parolă.” Având în vedere că acreditările furate reprezintă un punct de intrare pentru cele mai multe atacuri - de exemplu, peste 80% dintre încălcările de securitate ale aplicațiilor web s-au datorat acreditărilor furate, conform raportului Verizon privind investigarea încălcărilor de date (DBIR) din 2022. Accesul fără parolă contribuie și la eliminarea acestui decalaj critic de securitate.

„Securizarea dispozitivelor este importantă, dar nu este suficientă. Ar trebui să ne concentrăm și pe securizarea persoanelor. Vă putem îmbunătăți experiența și securitatea, permițându-vă să deveniți chiar dvs. o parolă.”
– Bret Arsenault, Microsoft’s CISO

O abordare cuprinzătoare a ransomware-ului necesită instrumente excelente

Mulți dintre reprezentanții CISO cu care am discutat adoptă o abordare stratificată a prevenirii și detectării atacurilor, utilizând straturi de soluții de la furnizori care vizează testarea vulnerabilității, testarea perimetrului, monitorizarea automată, securitatea punctelor finale, protecția identității etc. Pentru unii, este vorba despre o redundanță intenționată, în speranța că o abordare stratificată va acoperi orice lacună, asemeni unui teanc de brânzeturi elvețiene, ale căror găuri sperăm că nu se vor alinia.

Conform experienței noastre, această diversitate poate complica demersurile de remediere, ceea ce poate crea o expunere mai mare la risc. După cum remarca un reprezentant CISO, dezavantajul asamblării mai multor soluții este lipsa de vizibilitate din cauza fragmentării: „Am o abordare optimizată, ceea ce în sine prezintă anumite provocări, pentru că atunci apare o lipsă de înțelegere a riscurilor agregate, întrucât ai o serie de console independente care gestionează amenințările, fără a dispune de o imagine de ansamblu a ceea ce se întâmplă la fața locului.” (Servicii medicale, 1.100 de angajați) Având în vedere că atacatorii creează o rețea complexă care se extinde de-a lungul mai multor soluții distincte, poate fi dificil să obținem o imagine de ansamblu a lanțului de atac, să identificăm amploarea compromisului și să eliminăm complet orice sarcină de malware. Oprirea unui atac aflat în desfășurare necesită capacitatea de a analiza mai mulți vectori pentru a detecta, descuraja și limita/remedia atacurile în timp real.

Concluzie

O soluție cuprinzătoare și integrată vă permite să gestionați vulnerabilitățile, pentru a reduce suprafața de atac și pentru a deosebi semnalele critice de interferențe. Această simplitate este vitală pentru organizațiile care întâmpină dificultăți în a distinge o amenințare reală dintr-un flux constant de avertizări și de semnalări fals pozitive.

Apărați-vă de ransomware și de alte atacuri sofisticate cu XDR

Mulți lideri din domeniul securității se orientează către detectare și răspuns extinse (XDR) pentru a beneficia de acest avantaj pe mai multe platforme. XDR facilitează coordonarea semnalelor în întregul ecosistem, nu doar la nivelul punctelor finale, pentru a facilita detectarea și răspunsul mai rapid la amenințările sofisticate.

XDR funcționează ca și detectarea și răspunsul la puncte finale (EDR), dar cuprinde mai multe domenii, extinzând detectarea amenințărilor la adresa securității și răspunsul la incidente la nivelul întregului mediu digital - inclusiv identități, infrastructură, aplicații, date, rețele, clouduri etc. Acest domeniu de aplicare extins este esențial, având în vedere sofisticarea atacurilor moderne, care profită de mediul complex și distribuit de astăzi pentru a se deplasa lateral între domenii. Atacurile se desfășoară din ce în ce mai mult într-un mod neliniar, deplasându-se lateral prin diferite clouduri, e-mailuri, aplicații SaaS etc.

XDR vă poate ajuta să adunați datele din toate sistemele distincte, astfel încât să puteți vedea întregul incident de la un capăt la altul. Soluțiile punctuale pot îngreuna această vizibilitate cuprinzătoare, întrucât prezintă doar o parte a atacului și se bazează pe o echipă de securitate, adesea copleșită, care trebuie să coreleze manual mai multe semnale de amenințare de la diferite portaluri. În cele din urmă, aceasta poate face ca remedierea completă a unei amenințări să necesite mult timp și, în unele cazuri, să devină chiar imposibilă

Trecerea de la EDR la XDR

Potențialul XDR este încă nevalorificat de majoritatea. Mulți dintre reprezentanții CISO cu care am discutat au implementat un punct de pornire eficient pentru Detectarea punctelor finale și răspuns (EDR). EDR este un atu dovedit: am văzut că utilizatorii actuali de detectare și răspuns la puncte finale au un istoric de detectare și de oprire mai rapidă a ransomware-ului.

Cu toate acestea, deoarece XDR este o formă evoluată a EDR, unii reprezentanți CISO rămân sceptici în privința utilității XDR. Este XDR doar EDR cu unele soluții punctuale adăugate? Chiar trebuie să utilizez o soluție complet separată? Sau EDR-ul meu va oferi în cele din urmă aceleași capacități? Piața actuală a soluțiilor XDR creează și mai multă confuzie, deoarece furnizorii se întrec în adăugarea de oferte XDR la portofoliile de produse. Unii furnizori își extind instrumentul EDR pentru a încorpora date suplimentare privind amenințările, în timp ce alții se concentrează mai mult pe construirea unor platforme XDR dedicate. Acestea din urmă sunt construite de la zero pentru a oferi o integrare gata de utilizare și capabilități centrate pe nevoile analistului de securitate, lăsând cât mai puține lacune de completat manual de către echipa dvs.

Concluzie

XDR este atât de convingător în mediul de securitate actual datorită gradului de acoperire și vitezei sale de detectare și de limitare a amenințărilor. Pe măsură ce ransomware-ul și celelalte tipuri de atacuri rău intenționate devin din ce în ce mai frecvente ( una dintre persoanele intervievate a declarat că organizația sa suferă atacuri aproape zilnic), liderii din domeniul securității consideră că automatizarea este un instrument esențial, care oferă o monitorizare 24/7 și un răspuns aproape în timp real.

Utilizați automatizarea pentru a vă spori impactul echipei

Având în vedere deficitul de specialiști în domeniul securității și necesitatea de a răspunde rapid la amenințări, am încurajat liderii să utilizeze automatizarea pentru a le permite angajaților să se concentreze pe apărarea împotriva celor mai grave amenințări, în loc să se ocupe de sarcini banale, cum ar fi resetarea parolelor. Interesant este faptul că mulți dintre liderii din domeniul securității cu care am discutat au menționat că nu profită încă pe deplin de capacitățile automatizate. În unele cazuri, liderii din domeniul securității nu sunt pe deplin conștienți de această posibilitate; alții ezită să adopte automatizarea de teamă că vor pierde controlul, că vor risca apariția erorilor sau că vor sacrifica vizibilitatea amenințărilor. Aceasta din urmă este o preocupare legitimă. Cu toate acestea, observăm că cei care adoptă eficient automatizarea obțin exact opusul - mai mult control, mai puține rezultate fals pozitive, mai puține interferențe și mai multe informații utile, prin implementarea automatizării în paralel cu echipa de securitate pentru a ghida și concentra eforturile echipei.

Automatizarea vizează o varietate de capacități, de la activități administrative automatizate de bază până la evaluarea inteligentă a riscurilor prin învățare programată. Majoritatea reprezentanților CISO declară că au adoptat prima variantă, automatizarea declanșată de evenimente sau bazată pe reguli, însă doar câțiva au profitat de inteligența artificială și de capacitățile de învățare programată încorporate, care permit decizii de acces în timp real bazate pe riscuri. Fără îndoială că automatizarea activităților de rutină îi permite echipei de securitate să se concentreze pe gândirea strategică, la care se pricep cel mai bine oamenii. Însă, în acest domeniu strategic, în triajul răspunsului la incidente, de exemplu, automatizarea are cel mai mare potențial de a sprijini echipa de securitate ca un partener inteligent, care analizează date și corelează modele. De exemplu, inteligența artificială și automatizarea sunt capabile să coreleze semnalele de securitate pentru a sprijini detectarea și răspunsul globale la o încălcare. Aproximativ jumătate dintre specialiștii în securitate pe care i-am intervievat recent afirmă că trebuie să coreleze manual semnalele.1   Acest lucru necesită foarte mult timp și face aproape imposibil răspunsul rapid în vederea limitării unui atac. Prin aplicarea corectă a automatizării, cum ar fi corelarea semnalelor de securitate, atacurile pot fi detectate de multe ori în timp aproape real.

„Avem nevoie de inteligență artificială pentru că marjele noastre de profit sunt scăzute și nu ne permitem mai mulți angajați.” 
– Restaurant/industria ospitalieră, 6.000 de angajați

Am constatat că multe echipe de securitate nu utilizează pe deplin automatizarea integrată în soluțiile existente pe care le utilizează deja. În multe cazuri, punerea în aplicare a automatizării este la fel de simplă (și cu impact ridicat!) ca și configurarea caracteristicilor disponibile, cum ar fi înlocuirea politicilor de acces cu reguli fixe cu politici de acces condiționat bazate pe riscuri, crearea de manuale de proceduri pentru răspuns etc.

Reprezentanții CISO care aleg să renunțe la avantajele automatizării o fac adesea din neîncredere, invocând teama că sistemul ar putea produce erori irecuperabile atunci când funcționează fără supraveghere umană. Printre scenariile potențiale se numără un sistem care șterge în mod necorespunzător datele utilizatorilor, incomodează un director care are nevoie de acces la sistem sau, în cel mai rău caz, duce la pierderea controlului sau a vizibilității asupra unei vulnerabilități care a fost exploatată.

„De fiecare dată când încercăm să punem în aplicare elemente automate, mă tem, pentru că nu știu ce suprascriu. Ca urmare a cărui eveniment am nevoie de recuperare? Adică ce a determinat această acțiune” 
– Servicii financiare, 1.125 de angajați

Dar securitatea tinde să fie un echilibru între micile neplăceri cotidiene și amenințarea constantă a unui atac catastrofal. Automatizarea are potențialul de a servi ca sistem de avertizare timpurie pentru un astfel de atac, iar neplăcerile cauzate de acesta pot fi atenuate sau eliminate. În plus, în cel mai bun caz, automatizarea nu funcționează de una singură, ci alături de operatori umani, caz în care inteligența sa artificială poate fi atât influențată, cât și verificată de inteligența umană.

Pentru a garanta o implementare fără probleme, am adăugat moduri de raportare exclusivă la soluțiile noastre, pentru a oferi o perioadă de încercare înainte de lansare. Astfel, echipa de securitate poate implementa automatizarea în ritmul propriu, ajustând regulile de automatizare și monitorizând performanța instrumentelor automatizate.

Liderii din domeniul securității care utilizează automatizarea în cel mai eficient mod o implementează alături de echipă pentru a compensa deficiențele și pentru a servi ca o principală soluție de apărare. Conform afirmațiilor recente ale unui reprezentant CISO, este aproape imposibil și prohibitiv de costisitor să ai o echipă de securitate concentrată peste tot în permanență. Și chiar dacă ar fi posibil, echipele de securitate sunt predispuse la schimbări de personal frecvente. Automatizarea oferă un anumit nivel de continuitate și consecvență permanentă pentru a sprijini echipa de securitate în domeniile care necesită această consecvență, cum ar fi monitorizarea traficului și sistemele de avertizare timpurie. Dacă este implementată în acest scop, automatizarea ușurează munca echipei, care nu va mai trebui să revizuiască manual jurnalele și sistemele și îi permite să fie mai proactivă. Automatizarea nu înlocuiește oamenii – acestea sunt instrumente care le permit angajaților să stabilească priorități în privința avertizărilor și să-și concentreze eforturile asupra aspectelor esențiale.

Concluzie
Cea mai puternică strategie de apărare combină inteligența artificială și instrumentele automatizate cu vigilența nuanțată și răspunsul tactic al unei echipe de securitate. Pe lângă beneficiile imediate de finalizare a activităților și de luare a unor măsuri imediate pentru a limita un atac, automatizarea îi permite echipei să-și gestioneze timpul și să-și coordoneze resursele mai eficient, astfel încât să se poată concentra pe activități de investigare și de remediere de ordin superior.

Toate cercetările Microsoft menționate utilizează firme de cercetare independente pentru a contacta profesioniști din domeniul securității, atât pentru studii cantitative, cât și calitative, asigurând protecția confidențialității și rigoarea analitică. Citatele și concluziile incluse în acest document, cu excepția cazului în care se specifică altfel, au fost obținute în urma studiilor de cercetare Microsoft.

  1. [1]

    Studiu Microsoft de cercetare a reprezentanților CISO și a specialiștilor în securitate din 2021

Articole asociate

CISO Insider, nr. 1

Explorați contextul actual al amenințărilor cu ajutorul analizelor și recomandărilor exclusive din partea liderilor din domeniul securității.

Semnale cibernetice: Nr. 1

Identitatea este noul câmp de luptă. Obțineți detalii despre amenințările cibernetice în continuă evoluție și ce măsuri să luați pentru a vă proteja mai bine organizația.

Semnale cibernetice, nr. 2: Știința extorcării

Ascultați ce au de spus experții din prima linie în legătură cu dezvoltarea ransomware-ului ca serviciu. De la programe și sarcini la afiliați și agenți de acces, aflați despre instrumentele, tacticile și țintele preferate de infractorii cibernetici și obțineți îndrumare pentru a vă proteja organizația.