CISO Insider: Nr. 2

Atacatorii ransomware au ca țintă cele mai valoroase active ale dvs., de unde consideră că pot extrage cei mai mulți bani,, fie că este vorba despre cele mai perturbatoare sau valoroase în cazul sechestrării sau despre cele mai confidențiale în cazul publicării.

Domeniul de activitate este un factor determinant al profilului de risc al unei organizații: în timp ce liderii din sectorul producției menționează întreruperea activității ca fiind principala preocupare, reprezentanții CISO din domeniul comerțului cu amănuntul și al serviciilor financiare acordă prioritate protecției informațiilor confidențiale de identificare personală. În același timp, organizațiile din domeniul serviciilor medicale sunt vulnerabile în egală măsură pe ambele fronturi. Prin urmare, liderii din domeniul securității își schimbă în mod agresiv profilul de risc în sensul pierderii de date și al expunerii, consolidându-și perimetrul, asigurând copii de rezervă ale datelor esențiale, sistemelor redundante și o mai bună criptare.

Perturbarea activităților de business este un subiect de interes pentru mulți lideri. Firma suferă pierderi chiar dacă întreruperea este de scurtă durată. Un reprezentant CISO din domeniul serviciilor medicale mi-a declarat recent că, din punct de vedere operațional, ransomware-ul se aseamănă cu o pană de curent majoră. Deși un sistem de rezervă adecvat poate ajuta la restabilirea rapidă a alimentării cu energie electrică, există totuși un timp de nefuncționare care întrerupe activitatea. Un alt reprezentant CISO a menționat că analizează modul în care întreruperile se pot extinde dincolo de rețeaua corporativă principală, ajungând la chestiuni operaționale, cum ar fi probleme legate de canale de date sau consecințele indirecte ale întreruperii activității furnizorilor cheie din cauza unui ransomware.

Printre tacticile de gestionare a perturbărilor se numără atât sistemele redundante, cât și segmentarea, pentru a reduce la minimum timpul de nefuncționare, care să-i permită organizației să transfere traficul către o altă parte a rețelei, menținând și restabilind în același timp un segment afectat. Cu toate acestea, chiar și cele mai solide procese de backup sau de recuperare după dezastru nu pot rezolva pe deplin amenințarea de întrerupere a funcționării firmelor sau de expunere a datelor. De cealaltă parte a atenuării se află prevenirea.

Mulți dintre reprezentanții CISO cu care am discutat adoptă o abordare stratificată a prevenirii și detectării atacurilor, utilizând straturi de soluții de la furnizori care vizează testarea vulnerabilității, testarea perimetrului, monitorizarea automată, securitatea punctelor finale, protecția identității etc. Pentru unii, este vorba despre o redundanță intenționată, în speranța că o abordare stratificată va acoperi orice lacună, asemeni unui teanc de brânzeturi elvețiene, ale căror găuri sperăm că nu se vor alinia.

Conform experienței noastre, această diversitate poate complica demersurile de remediere, ceea ce poate crea o expunere mai mare la risc. După cum remarca un reprezentant CISO, dezavantajul asamblării mai multor soluții este lipsa de vizibilitate din cauza fragmentării: „Am o abordare optimizată, ceea ce în sine prezintă anumite provocări, pentru că atunci apare o lipsă de înțelegere a riscurilor agregate, întrucât ai o serie de console independente care gestionează amenințările, fără a dispune de o imagine de ansamblu a ceea ce se întâmplă la fața locului.” (Servicii medicale, 1.100 de angajați) Având în vedere că atacatorii creează o rețea complexă care se extinde de-a lungul mai multor soluții distincte, poate fi dificil să obținem o imagine de ansamblu a lanțului de atac, să identificăm amploarea compromisului și să eliminăm complet orice sarcină de malware. Oprirea unui atac aflat în desfășurare necesită capacitatea de a analiza mai mulți vectori pentru a detecta, descuraja și limita/remedia atacurile în timp real.

Potențialul XDR este încă nevalorificat de majoritatea. Mulți dintre reprezentanții CISO cu care am discutat au implementat un punct de pornire eficient pentru Detectarea punctelor finale și răspuns (EDR). EDR este un atu dovedit: am văzut că utilizatorii actuali de detectare și răspuns la puncte finale au un istoric de detectare și de oprire mai rapidă a ransomware-ului.

Cu toate acestea, deoarece XDR este o formă evoluată a EDR, unii reprezentanți CISO rămân sceptici în privința utilității XDR. Este XDR doar EDR cu unele soluții punctuale adăugate? Chiar trebuie să utilizez o soluție complet separată? Sau EDR-ul meu va oferi în cele din urmă aceleași capacități? Piața actuală a soluțiilor XDR creează și mai multă confuzie, deoarece furnizorii se întrec în adăugarea de oferte XDR la portofoliile de produse. Unii furnizori își extind instrumentul EDR pentru a încorpora date suplimentare privind amenințările, în timp ce alții se concentrează mai mult pe construirea unor platforme XDR dedicate. Acestea din urmă sunt construite de la zero pentru a oferi o integrare gata de utilizare și capabilități centrate pe nevoile analistului de securitate, lăsând cât mai puține lacune de completat manual de către echipa dvs.

Având în vedere deficitul de specialiști în domeniul securității și necesitatea de a răspunde rapid la amenințări, am încurajat liderii să utilizeze automatizarea pentru a le permite angajaților să se concentreze pe apărarea împotriva celor mai grave amenințări, în loc să se ocupe de sarcini banale, cum ar fi resetarea parolelor. Interesant este faptul că mulți dintre liderii din domeniul securității cu care am discutat au menționat că nu profită încă pe deplin de capacitățile automatizate. În unele cazuri, liderii din domeniul securității nu sunt pe deplin conștienți de această posibilitate; alții ezită să adopte automatizarea de teamă că vor pierde controlul, că vor risca apariția erorilor sau că vor sacrifica vizibilitatea amenințărilor. Aceasta din urmă este o preocupare legitimă. Cu toate acestea, observăm că cei care adoptă eficient automatizarea obțin exact opusul - mai mult control, mai puține rezultate fals pozitive, mai puține interferențe și mai multe informații utile, prin implementarea automatizării în paralel cu echipa de securitate pentru a ghida și concentra eforturile echipei.

Automatizarea vizează o varietate de capacități, de la activități administrative automatizate de bază până la evaluarea inteligentă a riscurilor prin învățare programată. Majoritatea reprezentanților CISO declară că au adoptat prima variantă, automatizarea declanșată de evenimente sau bazată pe reguli, însă doar câțiva au profitat de inteligența artificială și de capacitățile de învățare programată încorporate, care permit decizii de acces în timp real bazate pe riscuri. Fără îndoială că automatizarea activităților de rutină îi permite echipei de securitate să se concentreze pe gândirea strategică, la care se pricep cel mai bine oamenii. Însă, în acest domeniu strategic, în triajul răspunsului la incidente, de exemplu, automatizarea are cel mai mare potențial de a sprijini echipa de securitate ca un partener inteligent, care analizează date și corelează modele. De exemplu, inteligența artificială și automatizarea sunt capabile să coreleze semnalele de securitate pentru a sprijini detectarea și răspunsul globale la o încălcare. Aproximativ jumătate dintre specialiștii în securitate pe care i-am intervievat recent afirmă că trebuie să coreleze manual semnalele.1   Acest lucru necesită foarte mult timp și face aproape imposibil răspunsul rapid în vederea limitării unui atac. Prin aplicarea corectă a automatizării, cum ar fi corelarea semnalelor de securitate, atacurile pot fi detectate de multe ori în timp aproape real.

Am constatat că multe echipe de securitate nu utilizează pe deplin automatizarea integrată în soluțiile existente pe care le utilizează deja. În multe cazuri, punerea în aplicare a automatizării este la fel de simplă (și cu impact ridicat!) ca și configurarea caracteristicilor disponibile, cum ar fi înlocuirea politicilor de acces cu reguli fixe cu politici de acces condiționat bazate pe riscuri, crearea de manuale de proceduri pentru răspuns etc.

Reprezentanții CISO care aleg să renunțe la avantajele automatizării o fac adesea din neîncredere, invocând teama că sistemul ar putea produce erori irecuperabile atunci când funcționează fără supraveghere umană. Printre scenariile potențiale se numără un sistem care șterge în mod necorespunzător datele utilizatorilor, incomodează un director care are nevoie de acces la sistem sau, în cel mai rău caz, duce la pierderea controlului sau a vizibilității asupra unei vulnerabilități care a fost exploatată.

Dar securitatea tinde să fie un echilibru între micile neplăceri cotidiene și amenințarea constantă a unui atac catastrofal. Automatizarea are potențialul de a servi ca sistem de avertizare timpurie pentru un astfel de atac, iar neplăcerile cauzate de acesta pot fi atenuate sau eliminate. În plus, în cel mai bun caz, automatizarea nu funcționează de una singură, ci alături de operatori umani, caz în care inteligența sa artificială poate fi atât influențată, cât și verificată de inteligența umană.

Pentru a garanta o implementare fără probleme, am adăugat moduri de raportare exclusivă la soluțiile noastre, pentru a oferi o perioadă de încercare înainte de lansare. Astfel, echipa de securitate poate implementa automatizarea în ritmul propriu, ajustând regulile de automatizare și monitorizând performanța instrumentelor automatizate.

Liderii din domeniul securității care utilizează automatizarea în cel mai eficient mod o implementează alături de echipă pentru a compensa deficiențele și pentru a servi ca o principală soluție de apărare. Conform afirmațiilor recente ale unui reprezentant CISO, este aproape imposibil și prohibitiv de costisitor să ai o echipă de securitate concentrată peste tot în permanență. Și chiar dacă ar fi posibil, echipele de securitate sunt predispuse la schimbări de personal frecvente. Automatizarea oferă un anumit nivel de continuitate și consecvență permanentă pentru a sprijini echipa de securitate în domeniile care necesită această consecvență, cum ar fi monitorizarea traficului și sistemele de avertizare timpurie. Dacă este implementată în acest scop, automatizarea ușurează munca echipei, care nu va mai trebui să revizuiască manual jurnalele și sistemele și îi permite să fie mai proactivă. Automatizarea nu înlocuiește oamenii – acestea sunt instrumente care le permit angajaților să stabilească priorități în privința avertizărilor și să-și concentreze eforturile asupra aspectelor esențiale.