CISO Insider: Издание 2

Атакуващите с рансъмуер се насочват към вашите най-ценни активи, където усещат, че ще извлекат най-много пари от вас, като това може да е най-разрушителното или най-ценното, ако се държи като залог, или най-чувствителното, ако е изпуснато.

Отрасълът е важна детерминанта за рисковия профил на организацията – докато производствените ръководители смятат прекъсванията в бизнеса за най-сериозните притеснения, ръководителите на защитата на информацията във финансовите услуги и продажбите на дребно приоритизират защитата на чувствителната информация за идентифициране на лица; в същото време здравните организации са еднакво уязвими и на двата фронта. В отговор ръководителите на защита агресивно изместват своя рисков профил от загубата на данни и разкриването чрез затвърдяване на своите периметри, архивиране на важни данни, излишни системи и по-добро шифроване.

Прекъсването на бизнеса сега е във фокуса на много ръководители. Бизнесът понася разходи, дори ако прекъсването е бързо. Наскоро един ръководител на защитата на информацията ми каза, че оперативно рансъмуерът не е по-различен от голямо прекъсване на електрозахранването. Докато една адекватна резервна система може бързо да възстанови електрозахранването, все още има принудително спиране, което прекъсва бизнеса. Друг ръководител на защитата на информацията споменава, че обмислят как прекъсването може да се разшири отвъд главната им корпоративна мрежа до операционни грижи като проблеми в поточната линия или вторичен ефект на затваряне на ключови доставчици от рансъмуера.

Тактиките за управление на прекъсванията включват излишни системи и сегментиране, за намаляване на принудителното спиране, позволявайки на организацията да прехвърлят трафика към друга част на мрежата, докато засегнатият сегмент се задържа и възстановява. Обаче дори най-добрите резервни планове или процеси за аварийно възстановяване не могат напълно да разрешат заплахата за прекъсването на бизнеса или разкриването на данни. Другата страна на смекчаването е предотвратяването.

Много от ръководителите на защитата на информацията, с които говоря, предприемат подход „палитра“, за да атакуват предпазването и откриването, използвайки слоеве от решения на доставчици, които покриват тестване за уязвимости, тестване на периметър, автоматизирано наблюдение, защита на крайна точка, защита на самоличността и т.н. За някои това е умишлен излишък, надявайки се, че пластовият подход ще покрие всички празнини – като купчини швейцарско сирене, с надеждата, че дупките няма да се изравнят.

Опитът ни показва, че това разнообразие може да усложни усилията за лечение, потенциално създавайки по-голям риск за разкриване. Както отбелязва един ръководител на защитата на информацията, недостатъкът на събирането на няколко решения е липсата на видимост, дължаща се на фрагментация: „Имам подход с най-добрия софтуер, който сам по себе си представлява определено предизвикателство, защото тогава липсва прозрение в общия риск, защото имате тези заплахи за независимите конзоли, които управлявате, а нямате този общ изглед към това, което се случва на вашето място.“ (Healthcare, 1,100 служители) С атакуващите, които плетат сложна мрежа, която се простира в множество различни решения, може да е трудно да получите пълна картина на етапите на атака, да идентифицирате степента на компрометиране и напълно да изкорените всички полезни обеми на злонамерения софтуер. Спирането на атака в ход изисква способността да наблюдавате множество вектори, за да откриете, спрете, задържите/излекувате атаките в реално време.

Обещанието за XDR остава неосъществено от мнозинството. Много от ръководителите на защитата на информацията, с които говорим, са внедрили мощна начална точка в EDR. EDR е доказан актив: виждали сме, че текущите потребители на откриването и реагирането в крайните точки имат характеристика за по-бързо откриване и спиране на рансъмуер.

Обаче, тъй като XDR е еволюция на EDR, някои ръководители на защитата на информацията остават скептични относно ползата на XDR. XDR просто EDR с прикрепени решения за точки ли е? Трябва ли да използвам изцяло отделно решение? Или EDR накрая ще предложи същите възможности? Текущият пазар за XDR решения добавя още повече объркване, тъй като търговците се надпреварват да добавят оферти за XDR към продуктовите портфолиа. Някои търговци разширяват инструмента за EDR, за да внедрят допълнителни данни за заплахи, докато други са по-фокусирани върху изграждането на специализирани платформи за XDR. Последните са изцяло създадени да доставят вградена интеграция и възможност, центрирани около нуждите на анализатора на защитата, оставяйки най-малко празнини за вашия екип, които да запълните ръчно.

Изправени пред недостига на кадри за защита и нуждата от бързо реагиране, за да задържим заплахите, ние окуражаваме ръководителите да използват автоматизация, която да им помогне да освободят хората си, за да могат да се фокусират върху защитата срещу най-лошите заплахи, вместо да вършат ежедневни задачи като нулиране на пароли. Интересно е, че много от ръководителите на защита, с които говорих, споменават, че все още не се възползват изцяло от предимството на автоматизираните възможности. В някои случаи ръководителите на защита не осъзнават напълно възможността; други се колебаят да приемат автоматизацията или се страхуват от загуба на контрол, поява на неточности или жертване на видимостта на заплахите. Последното е много основателно притеснение. Обаче ние виждаме, че тези, които успешно са приели автоматизацията, постигат точно обратното – повече контрол, по-малко фалшиви положителни, по-малко шум и повече прозрения, водещо до действия – с разполагане на автоматизация до екипа за защита, за да напътства и насочва усилията на екипа.

Автоматизацията покрива редица възможности – от основни автоматизирани административни задачи до интелигентно оценяване на риска чрез активирано машинно обучение. Повечето ръководители на защитата на информацията съобщават, че приемат първото от споменатите, задействана от събитие или основана на правила автоматизация, но по-малко се възползват вградения изкуствен интелект или от възможностите на машинното обучение, които дават възможност за основани на риска решения за достъп в реално време. Със сигурност автоматизирането на рутинните задачи помага да освободите екипа по защита, за да се фокусира върху по-стратегическото мислене, което хората правят най-добре. Но точно в тази стратегическа област – в приоритизирането на отговорите на инциденти например – автоматизацията има най-много потенциал да даде възможност на екипа по защита като поглъщащ данни, сравняващ модели, интелигентен партньор. Например ИИ и автоматизацията са умели в съпоставянето на сигнали на защитата, за да поддържат всеобхватно откриване и реакция на пробив. Около половината от специалистите в сферата на сигурността, които участваха в проучването и, казват, че трябва да съпоставят сигналите ръчно.1   Това отнема ужасно много време и прави почти невъзможно бързото реагиране за задържане на атака. С правилното прилагане на автоматизацията – като съпоставянето на сигнали на защитата – атаките често могат да бъдат открити в почти реално време.

Открихме, че много екипи по защита не използват достатъчно автоматизацията, която е вградена в съществуващите решения, които те вече използват. В много случаи прилагането на автоматизация е толкова лесно (и силно въздействащо), колкото конфигурирането на налични функции като заместване на правила за достъп с фиксирани правила с правила за условен достъп, базиран на риска, създаване на тактически наръчник за реакция и т.н.

Ръководителите на защитата на информацията, които избират да се откажат от възможностите на автоматизацията, често правят така поради недоверие, позовавайки се на притеснението, че системата прави непоправими грешки, докато работи без човешки надзор. Някои от потенциалните сценарии включват система, която неуместно изтрива потребителски данни, затруднявайки даден администратор, който се нуждае от достъп до системата, или по-лошо, води до загуба на контрол или видимост върху уязвимост, която е използвана.

Но защитата е баланс между малкото ежедневно неудобство измерено срещу постоянната заплаха от катастрофална атака. Автоматизация има потенциала да служи като ранна предупредителна система за такава атака и нейните неудобства могат да бъдат смекчени или елиминирани. И освен това автоматизацията в най-добрия си вид не работи самостоятелно, а заедно с хора оператори, при което нейният изкуствен интелект може както да информира, така и да бъде проверявана от човешки интелект.

За да осигурим безпроблемно разполагане, добавяме режими само за отчет към нашите решения, за да предложим пробна версия преди пускането. Това позволява на екипа по защита да внедри автоматизацията със свое собствено темпо, настройвайки прецизно правилата за автоматизация и наблюдавайки представянето на инструментите на автоматизацията.

Ръководителите на защитата, които използват автоматизацията най-ефективно, я разполагат заедно с екипите си, за да запълни празнините и да служи като първа линия на защита. Както ми каза един ръководител на защитата на информацията наскоро, почти е невъзможно и възпиращо скъпо да имаш екип по защита, фокусиран навсякъде по всяко време – и дори и да беше, екипите по защита са склонни към текучество. Автоматизацията предоставя слой от постоянна непрекъснатост и последователност, която помага на екипа по защита в области, които изискват тази последователност, като например наблюдение на трафика и система за ранно известяване. Разположена с този поддържащ капацитет, автоматизацията помага за освобождаването на екипа от ръчното преглеждане на регистрационни файлове и системи, и му позволява да е по-проактивен. Автоматизацията не заменя хората – това са инструменти, които дават възможност на хората ви да приоритизират известяванията и да фокусират усилията си там, където са необходими.