Strokovnjak za varnost: 2. izdaja«

Napadalci z izsiljevalsko programsko opremo ciljajo na vaše najdragocenejše vire, za katere menijo, da lahko od vas iztržijo največ denarja. Pri tem gledajo na to, da so ti viri za vas najbolj dragoceni ali najbolj moteči, če jih napadalci zadržijo, ali najbolj občutljivi, če jih izdajo.

Industrija je pomemben dejavnik, ki določa profil tveganja organizacije – medtem ko vodilni v proizvodnji kot glavno skrb navajajo motnje v poslovanju, dajejo vodje informacijske varnosti v maloprodaji in finančnih storitvah prednost zaščiti občutljivih osebnih podatkov; zdravstvene organizacije pa so enako ranljive na obeh področjih. V odgovor na to vodje varnostnih služb agresivno spreminjajo svoj profil tveganja v smeri izgube in izpostavljenosti podatkov z utrjevanjem meja, varnostnimi kopijami kritičnih podatkov, redundantnimi sistemi in boljšim šifriranjem.

Motnje v poslovanju so zdaj v središču pozornosti številnih vodij. Podjetje ima stroške, tudi če je prekinitev kratkotrajna. Nedavno mi je eden od vodij informacijske varnosti v zdravstvu povedal, da se izsiljevalska programska oprema z operativnega vidika ne razlikuje od večjega izpada električne energije. Čeprav lahko ustrezen sistem obnovitve pomaga hitro obnoviti napajanje, še vedno prihaja do izpadov, ki prekinjajo poslovanje. Drugi vodja informacijske varnosti je omenil, da razmišlja o tem, kako se lahko motnje razširijo prek glavnega korporativnega omrežja na operativne težave, kot so težave s cevovodi ali sekundarni učinek zaustavitve ključnih dobaviteljev zaradi izsiljevalske programske opreme.

Taktike za obvladovanje motenj vključujejo redundantne sisteme in segmentacijo, ki pomagajo zmanjšati čas izpada in organizaciji omogočajo preusmeritev prometa na drug del omrežja, medtem ko zadrži in obnovi prizadeti segment. Vendar tudi najzmogljivejši postopki varnostnega kopiranja ali obnovitve po nesreči ne morejo v celoti odpraviti nevarnosti prekinitve poslovanja ali izpostavljenosti podatkov. Druga stran blaženja je preprečevanje.

Številni vodje informacijske varnosti, s katerimi se pogovarjam, uporabljajo paletni pristop k preprečevanju in odkrivanju napadov, pri čemer uporabljajo plasti rešitev ponudnikov, ki zajemajo testiranje ranljivosti, testiranje oboda, avtomatizirano spremljanje, varnost končnih točk, zaščito identitete itd. Za nekatere je to namerna redundanca, saj upajo, da bo večplastni pristop zakril morebitne vrzeli, podobno kot švicarski sir, v upanju, da se luknje ne bodo poravnale.

Naše izkušnje so pokazale, da lahko ta raznolikost oteži prizadevanja za sanacijo in povzroči večjo izpostavljenost tveganju. Kot ugotavlja eden od vodij informacijske varnosti, je slabost zbiranja več rešitev pomanjkanje preglednosti zaradi razdrobljenosti: »Uporabljam najboljši pristop, kar samo po sebi predstavlja določene izzive, saj potem nimamo vpogleda v skupna tveganja, ker imamo neodvisne konzole, s katerimi upravljamo grožnje, in nimamo skupnega pogleda na to, kaj se dogaja v našem kraju.« (Zdravstvo, 1100 zaposlenih) Ker napadalci spletajo zapleteno mrežo, ki se razteza čez več različnih rešitev, je težko dobiti popolno sliko o napadalni verigi, ugotoviti obseg ogroženosti in v celoti izkoreniniti zlonamerno programsko opremo. Za zaustavitev napada v teku je potrebna zmožnost pregleda več vektorjev za odkrivanje, odvračanje in omejevanje/opravljanje napadov v realnem času.

Večina obljub rešitve razširjenega odzivanja in zaznavanja se še vedno ni uresničila. Številni vodje informacijske varnosti, s katerimi se pogovarjamo, so uvedli močno izhodišče v EDR. EDR je preizkušen vir: ugotovili smo, da so trenutni uporabniki zaznavanja in odzivanja na končnih točkah uspešni pri hitrejšem odkrivanju in zaustavljanju izsiljevalske programske opreme.

Ker pa je rešitev XDR naslednji korak v razvoju rešitve EDR, so nekateri vodje informacijske varnosti še vedno skeptični glede uporabnosti rešitve XDR. Ali je rešitev XDR le EDR z nekaj dodanimi točkovnimi rešitvami? Ali moram res uporabiti povsem ločeno rešitev? Ali pa bo rešitev EDR sčasoma ponujala enake zmogljivosti? Trenutni trg rešitev XDR povzroča še dodatno zmedo, saj prodajalci tekmujejo v dodajanju ponudb XDR v portfelje izdelkov. Nekateri ponudniki širijo svojo rešitev EDR in vanjo vključujejo dodatne podatke o grožnjah, drugi pa se bolj osredotočajo na izdelavo namenskih platform XDR. Slednji so od samega začetka zasnovani tako, da zagotavljajo integracijo in zmogljivosti, osredotočene na potrebe varnostnega analitika, pri čemer je vrzeli, ki jih mora vaša ekipa zapolniti ročno, čim manj.

Zaradi pomanjkanja varnostnih kadrov in potrebe po hitrem odzivanju na grožnje smo voditelje spodbujali k uporabi avtomatizacije, ki bo zaposlenim omogočila, da se osredotočijo na obrambo pred najhujšimi grožnjami in ne na vsakdanja opravila, kot je ponastavljanje gesel. Zanimivo je, da številni vodilni varnostni strokovnjaki, s katerimi sem se pogovarjal, omenjajo, da še ne izkoriščajo vseh prednosti avtomatiziranih zmogljivosti. V nekaterih primerih se vodje varnosti ne zavedajo v celoti te priložnosti, drugi pa oklevajo z avtomatizacijo, ker se bojijo, da bodo izgubili nadzor, povzročili nenatančnost ali izgubili pregled nad grožnjami. Slednje je zelo upravičena skrb. Učinkoviti uporabniki avtomatizacije pa dosegajo ravno nasprotno – več nadzora, manj lažno pozitivnih rezultatov, manj hrupa in več uporabnih vpogledov – z uvajanjem avtomatizacije skupaj z varnostno ekipo, ki usmerja in osredotoča njena prizadevanja.

Avtomatizacija zajema vrsto zmožnosti, od osnovnih avtomatiziranih skrbniških opravil do pametnega ocenjevanja tveganj s pomočjo strojnega učenja. Večina vodij informacijske varnosti poroča o uporabi prve, na dogodkih ali pravilih temelječe avtomatizacije, manj pa jih izkorišča prednosti vgrajene umetne inteligence in strojnega učenja, ki omogočata odločitve o dostopu na podlagi tveganja v realnem času. Avtomatizacija rutinskih opravil vsekakor pomaga varnostni ekipi, da se lahko osredotoči na bolj strateško razmišljanje, ki je za ljudi najboljše. Toda prav na tem strateškem področju – na primer pri reševanju incidentov – ima avtomatizacija največ možnosti, da okrepi varnostno ekipo kot inteligentnega partnerja, ki zbira podatke in se ujema z vzorci. Umetna inteligenca in avtomatizacija sta na primer spretni pri povezovanju varnostnih signalov za podporo celovitemu odkrivanju in odzivanju na kršitev. Približno polovica strokovnjakov za varnost, ki smo jih nedavno anketirali, pravi, da morajo signale korelirati ročno.1  To je izjemno zamudno in skoraj onemogoča hiter odziv za zajezitev napada. Z ustrezno uporabo avtomatizacije, kot je korelacija varnostnih signalov, je mogoče napade pogosto odkriti skoraj v realnem času.

Ugotovili smo, da številne varnostne ekipe premalo izkoriščajo avtomatizacijo, vgrajeno v obstoječe rešitve, ki jih že uporabljajo. V številnih primerih je uporaba avtomatizacije tako preprosta (in zelo učinkovita!) kot konfiguracija razpoložljivih funkcij, kot so zamenjava politik dostopa s fiksnimi pravili s pogojnimi politikami dostopa na podlagi tveganja, ustvarjanje odzivnih priročnikov itd.

Vodje informacijske varnosti, ki se odpovedo možnostim avtomatizacije, to pogosto storijo zaradi nezaupanja, saj jih skrbi, da bi sistem med delovanjem brez človeškega nadzora naredil nepopravljive napake. Nekateri možni scenariji vključujejo sistem, ki neustrezno briše podatke uporabnikov, povzroča nevšečnosti vodji, ki potrebuje dostop do sistema, ali, kar je najslabše, vodi do izgube nadzora ali vidnosti ranljivosti, ki je bila izkoriščena.

Varnost je ponavadi ravnovesje med vsakodnevnimi majhnimi nevšečnostmi in stalno grožnjo katastrofalnega napada. Avtomatizacija lahko služi kot sistem za zgodnje opozarjanje na takšen napad, njegove nevšečnosti pa je mogoče ublažiti ali odpraviti. Poleg tega avtomatizacija, ki je najboljša, ne deluje samostojno, temveč skupaj s človeškimi operaterji, pri čemer lahko umetna inteligenca obvešča človeško inteligenco in jo ta tudi preverja.

Našim rešitvam dodajamo načine samo za poročila in tako omogočamo poskusno uporabo pred uvedbo, da tako zagotovimo nemoteno uvedbo. To ekipi za varnost omogoča, da izvaja avtomatizacijo v lastnem tempu, pri čemer lahko natančneje prilagodi pravila avtomatizacije in spremlja delovanje avtomatiziranih orodij.

Vodje na področju varnosti, ki uporabljajo avtomatizacijo, jo najučinkoviteje uporabljajo skupaj s svojo ekipo, da zapolnijo vrzeli in služijo kot prva obrambna linija. Kot mi je nedavno povedal eden od vodij informacijske varnosti, je skoraj nemogoče in pregrešno drago imeti ekipo za varnost, ki bi bila vedno in povsod osredotočena, pa tudi če bi bila, se člani ekipe pogosto menjujejo. Avtomatizacija zagotavlja nivo stalne neprekinjenosti in doslednosti za podporo ekipi za varnost na področjih, ki to doslednost zahtevajo, kot sta spremljanje prometa in sistemi za zgodnje opozarjanje. Avtomatizacija, ki se uporablja v tej podporni vlogi, ekipo razbremeni ročnega pregledovanja dnevnikov in sistemov ter ji omogoča, da je bolj proaktivna. Avtomatizacija ne nadomešča ljudi. To so orodja, ki ljudem omogočajo, da prednostno razvrstijo opozorila in se osredotočijo na najpomembnejše naloge.