Trace Id is missing
Μετάβαση στο κύριο περιεχόμενο
Security Insider

CISO Insider: Τεύχος 2

Λήψη
Κοινοποίηση
Μια γυναίκα που ελέγχει την καρτέλα σε μια βιομηχανική αποθήκη

Η οικονομία του κυβερνοεγκλήματος τροφοδοτεί μια ταχεία αύξηση των περίπλοκων επιθέσεων. Σε αυτό το τεύχος, οι CISO μας μιλούν για το τι βλέπουν στην πρώτη γραμμή.

Επιστολή από τον Rob

Καλώς ορίσατε στο δεύτερο τεύχος του CISO Insider. Είμαι ο Rob Lefferts, ηγούμαι της ομάδας μηχανικών Microsoft 365 Defender και Sentinel. Στην Ασφάλεια της Microsoft, ακούμε συνεχώς και μαθαίνουμε από τους πελάτες μας καθώς περιηγούνται σε ένα όλο και πιο περίπλοκο τοπίο ασφαλείας. Σχεδιάσαμε το CISO Insider για να είναι ένα όχημα που κοινοποιεί προτάσεις που έχουμε συγκεντρώσει από τους συναδέλφους σας και από τη δική μας έρευνα στον κλάδο. Σε αυτό το δεύτερο τεύχος, παρακολουθούμε τα τρωτά σημεία που αναδείξαμε στο Τεύχος 1, εξετάζοντας πιο προσεκτικά τον εκβιασμό στον κυβερνοχώρο και τις πρακτικές που χρησιμοποιούν οι ηγέτες ασφάλειας για να περιορίσουν τέτοιες πλευρικές επιθέσεις με ελάχιστη αναστάτωση στην επιχείρηση και την ομάδα ασφαλείας.

Στο Τεύχος 1, συζητήσαμε τρεις βασικούς προβληματισμούς για τους CISO: προσαρμογή στις τάσεις αναδυόμενων απειλών σε ένα υβριδικό περιβάλλον πολλαπλών cloud, διαχείριση απειλών εφοδιαστικής αλυσίδας, και αντιμετώπιση της έλλειψης ταλέντων ασφάλειας. Σε αυτό το τεύχος, θα ρίξουμε μια πιο προσεκτική ματιά σε αυτόν τον καταιγισμό παραγόντων κινδύνου στον κυβερνοχώρο και θα προσδιορίσουμε πώς οι οργανισμοί εξελίσσουν τις τακτικές τους για να εξουδετερώσουν τις κλιμακούμενες απειλές. Αρχικά, εξετάζουμε το μεταβαλλόμενο προφίλ κινδύνου του ransomware και τις βέλτιστες πρακτικές που μπορούν να βοηθήσουν στην πρόληψη αυτών και άλλων παραβιάσεων που εξαπλώνονται πλευρικά σε όλο το δίκτυο. Στη συνέχεια, εξετάζουμε δύο βασικούς πόρους που είναι κρίσιμοι όχι μόνο για την αποφυγή παραβιάσεων αλλά και για την ταχεία απόκριση σε αυτές τις πρώτες κρίσιμες στιγμές—εκτεταμένος εντοπισμός και απόκριση (XDR) και αυτοματοποίηση. Και τα δύο βοηθούν στην αντιμετώπιση των τρωτών σημείων που καλύψαμε στο Τεύχος 1: τα εκτεταμένα όρια ασφάλειας και ταυτότητας των σημερινών δικτύων διασκορπισμένα σε υβριδικά οικοσυστήματα εργασίας και προμηθευτών και η σπανιότητα ανθρώπινων πόρων για παρακολούθηση και αντιμετώπιση αυτών των απειλών.

Η οικονομία του κυβερνοεγκλήματος παρέχει στους μέσους εγκληματίες στον κυβερνοχώρο πρόσβαση σε καλύτερα εργαλεία και αυτοματισμούς για να επιτρέψουν την κλίμακα και τη μείωση του κόστους. Όταν συνδυάζεται με τα οικονομικά των επιτυχημένων επιθέσεων, το ransomware είναι σε ταχεία τροχιά (Αναφορά ψηφιακής ασφάλειας της Microsoft, 2021). Οι εισβολείς έχουν αυξήσει το διακύβευμα υιοθετώντας το μοντέλο του διπλού εκβιασμού, στο οποίο ένα θύμα εκβιάζεται πρώτα για λύτρα και στη συνέχεια για πιθανή δημοσίευση των κλεμμένων δεδομένων του. Έχουμε δει επίσης αύξηση επιθέσεων που στοχεύουν λειτουργικά τεχνολογικά στοιχεία για να διαταράξουν κρίσιμες υποδομές. Οι CISO έχουν διαφορετική άποψη ως προς το ποιο είναι το πιο καταστροφικό κόστος για την επιχείρηση, η διακοπή της επιχείρησης ή η έκθεση δεδομένων, ανάλογα με τον κλάδο τους και το επίπεδο προετοιμασίας τους. Είτε έτσι είτε αλλιώς, η προετοιμασία είναι το κλειδί για τη διαχείριση του κινδύνου και στα δύο μέτωπα. Εκτός από τις τακτικές μετριασμού, οι επιτυχημένες προληπτικές προσπάθειες όπως η ισχυρότερη ασφάλεια τελικού σημείου, η προστασία ταυτότητας και η κρυπτογράφηση είναι απαραίτητες δεδομένης της συχνότητας και της σοβαρότητας αυτών των επιθέσεων.

Οι CISO σκέφτονται πιο στρατηγικά για το πώς να αντιμετωπίσουν τους κινδύνους ransomware.

Οι εισβολείς ransomware στοχεύουν τα πιο πολύτιμα στοιχεία σας όπου πιστεύουν ότι μπορούν να αποσπάσουν τα περισσότερα χρήματα από εσάς, είτε είναι τα πιο ενοχλητικά ή πολύτιμα εάν κρατούνται όμηροι είτε τα πιο ευαίσθητα εάν απελευθερωθούν.

Ο κλάδος είναι ένας σημαντικός καθοριστικός παράγοντας του προφίλ κινδύνου ενός οργανισμού—ενώ οι ηγέτες των κατασκευών αναφέρουν τη διατάραξη της επιχείρησης ως το κύριο μέλημα, οι CISO λιανικής και χρηματοοικονομικών υπηρεσιών δίνουν προτεραιότητα στην προστασία ευαίσθητων προσωπικών πληροφοριών. Οι οργανισμοί υγειονομικής περίθαλψης, εν τω μεταξύ, είναι εξίσου ευάλωτοι και στα δύο μέτωπα. Σε απάντηση, οι ηγέτες ασφαλείας μετατοπίζουν επιθετικά το προφίλ κινδύνου τους μακριά από την απώλεια δεδομένων και την έκθεση μέσω της σκλήρυνσης της περιμέτρου τους, των αντιγράφων ασφαλείας κρίσιμων δεδομένων, των περιττών συστημάτων και της καλύτερης κρυπτογράφησης.

Η διατάραξη των επιχειρήσεων είναι πλέον το επίκεντρο πολλών ηγετών. Η επιχείρηση επιβαρύνεται με κόστος ακόμη και αν η διατάραξη είναι σύντομη. Ένας CISO υγειονομικής περίθαλψης μου είπε πρόσφατα ότι, λειτουργικά, το ransomware δεν διέφερε από μια μεγάλη διακοπή ρεύματος. Ενώ ένα επαρκές εφεδρικό σύστημα μπορεί να βοηθήσει στην γρήγορη επαναφορά της τροφοδοσίας, εξακολουθείτε να έχετε χρόνο διακοπής λειτουργίας που διαταράσσει την επιχείρηση. Ένας άλλος CISO ανέφερε ότι σκέφτονται πώς η διατάραξη μπορεί να επεκταθεί πέρα από το κύριο εταιρικό τους δίκτυο σε λειτουργικές ανησυχίες, όπως ζητήματα αγωγών ή το δευτερεύον αποτέλεσμα τερματισμού βασικών προμηθευτών από ransomware.

Οι τακτικές για τη διαχείριση της διατάραξης περιλαμβάνουν τόσο πλεονάζοντα συστήματα όσο και τμηματοποίηση για να ελαχιστοποιηθεί ο χρόνος εκτός λειτουργίας, επιτρέποντας στον οργανισμό να μεταφέρει την κυκλοφορία σε διαφορετικό τμήμα του δικτύου, ενώ συγκρατεί και αποκαθιστά ένα επηρεαζόμενο τμήμα. Ωστόσο, ακόμη και οι πιο ισχυρές διαδικασίες δημιουργίας αντιγράφων ασφαλείας ή αποκατάστασης καταστροφής δεν μπορούν να επιλύσουν πλήρως την απειλή διατάραξης της επιχείρησης ή έκθεσης δεδομένων. Η άλλη πλευρά του μετριασμού είναι η πρόληψη.

Για να βοηθήσετε στην προστασία του οργανισμού σας από ransomware, προτείνουμε τα εξής:

  • Προετοιμαστείτε για προστασία και αποκατάσταση. Υιοθετήστε εσωτερική κουλτούρα μηδενικής εμπιστοσύνης με εικαζόμενη παραβίαση, ενώ αναπτύσσετε ένα σύστημα ανάκτησης δεδομένων, δημιουργίας αντιγράφων ασφαλείας και ασφαλούς πρόσβασης. Πολλοί ηγέτες ασφάλειας έχουν ήδη κάνει το κρίσιμο βήμα για τον μετριασμό των επιπτώσεων μιας επίθεσης μέσω δημιουργίας αντιγράφων ασφαλείας και κρυπτογράφησης, τα οποία μπορούν να βοηθήσουν στην άμυνα έναντι της απώλειας και της έκθεσης δεδομένων. Είναι σημαντικό να προστατεύσετε αυτά τα αντίγραφα ασφαλείας από σκόπιμη διαγραφή ή κρυπτογράφηση από έναν εισβολέα, ορίζοντας προστατευμένους φακέλους. Με ένα δοκιμασμένο σχέδιο επιχειρηματικής συνέχειας/αποκατάστασης καταστροφής (BC/DR), η ομάδα μπορεί να φέρει γρήγορα τα επηρεαζόμενα συστήματα εκτός σύνδεσης και να διακόψει την πρόοδο της επίθεσης, αποκαθιστώντας τις λειτουργίες με ελάχιστο χρόνο εκτός λειτουργίας. Η μηδενική εμπιστοσύνη και η ασφαλής πρόσβαση βοηθούν στην προστασία και την αποκατάσταση ενός οργανισμού απομονώνοντας την επίθεση και καθιστώντας πολύ πιο δύσκολο για τους εισβολείς να μετακινηθούν πλευρικά στο δίκτυο.
  •  Προστατέψτε την ταυτότητα από παραβιάσεις. Ελαχιστοποιήστε την πιθανότητα κλοπής διαπιστευτηρίων και πλευρικής μετακίνησης με την εφαρμογή μιας στρατηγικής προνομιακής πρόσβασης.. Ένα σημαντικό βήμα για την άμυνα έναντι του ransomware είναι ένας ολοκληρωμένος έλεγχος των διαπιστευτηρίων δικτύου του οργανισμού σας. Τα προνομιακά διαπιστευτήρια είναι θεμελιώδη για όλες τις άλλες διαβεβαιώσεις ασφαλείας - ένας εισβολέας που ελέγχει τους προνομιούχους λογαριασμούς σας μπορεί να υπονομεύσει όλες τις άλλες διασφαλίσεις ασφαλείας. Η προτεινόμενη στρατηγική της Microsoft είναι η σταδιακή δημιουργία ενός συστήματος «κλειστού βρόχου» για προνομιακή πρόσβαση που διασφαλίζει ότι μόνο αξιόπιστες «καθαρές» συσκευές, λογαριασμοί και συστήματα διαμεσολάβησης μπορούν να χρησιμοποιηθούν για προνομιακή πρόσβαση σε ευαίσθητα επιχειρηματικά συστήματα. Η προτεινόμενη στρατηγική της Microsoft είναι η σταδιακή δημιουργία ενός συστήματος «κλειστού βρόχου» για προνομιακή πρόσβαση που διασφαλίζει ότι μόνο αξιόπιστες «καθαρές» συσκευές, λογαριασμοί και συστήματα διαμεσολάβησης μπορούν να χρησιμοποιηθούν για προνομιακή πρόσβαση σε ευαίσθητα επιχειρηματικά συστήματα.
  •  Αποτρέψτε, εντοπίστε και ανταποκριθείτε στις απειλές. Βοηθήστε στην άμυνα έναντι απειλών σε όλους τους φόρτους εργασίας αξιοποιώντας ολοκληρωμένες, ενσωματωμένες δυνατότητες ανίχνευσης και απόκρισης απειλών. Οι λύσεις αποσιωπούμενων σημείων συχνά οδηγούν σε προληπτικά κενά και επιβραδύνουν τον εντοπισμό και την απόκριση σε δραστηριότητες pre-ramsom. Η Microsoft προσφέρει ενσωματωμένο SIEM και XDR για την παροχή μιας ολοκληρωμένης λύσης προστασίας από απειλές που παρέχει την καλύτερη πρόληψη, εντοπισμό και απόκριση στην κατηγορία του σε όλους τους ψηφιακούς πόρους πολλαπλών πλατφορμών, πολλαπλών cloud.

Αυτές οι τρεις βέλτιστες πρακτικές αλληλοσυνδέονται για να σχηματίσουν μια ολοκληρωμένη στρατηγική ασφάλειας, με ολοκληρωμένη διαχείριση δεδομένων, ταυτότητας και δικτύου που βασίζεται σε μια προσέγγιση μηδενικής εμπιστοσύνης. Για πολλούς οργανισμούς, η εφαρμογή μηδενικής εμπιστοσύνης απαιτεί έναν ευρύτερο μετασχηματισμό ασφάλειας. Ενώ οι περισσότεροι ηγέτες ασφάλειας κινούνται προς τη μηδενική εμπιστοσύνη, ορισμένοι έχουν εκφράσει την ανησυχία τους ότι ένα κατακερματισμένο περιβάλλον μπορεί να διαταράξει την παραγωγικότητα των εργαζομένων ή της ομάδας ασφαλείας πάρα πολύ ώστε να αξίζει να προχωρήσουμε πολύ γρήγορα σε εκτεταμένο κατακερματισμό.

Ενώ κάθε οργανισμός έχει τις δικές του απαιτήσεις που πρέπει να επιλύσει, θα ήθελα να δηλώσω ότι είναι δυνατό να αξιοποιήσετε το καλύτερο και από τους δύο κόσμους, την πρόσβαση και την ασφάλεια. Ο κατακερματισμός δεν χρειάζεται να προκαλεί διατάραξη. Βλέπουμε αυτό το πλεονέκτημα ειδικά όταν οι οργανισμοί συνδυάζουν τη διαχείριση ταυτότητας με προσπάθειες μετασχηματισμού ασφάλειας, όπως η εφαρμογή ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης, έτσι ώστε οι χρήστες να μην χρειάζεται να διαχειρίζονται ένα σωρό ενοχλητικές συνδέσεις. Ο Bret Arsenault, CISO της Microsoft, εξηγεί πώς η πρόσβαση χωρίς κωδικό διευκολύνει την ασφάλεια: "Η ασφάλεια των συσκευών είναι σημαντική, αλλά δεν αρκεί. Θα πρέπει επίσης να επικεντρωθούμε στην προστασία των ατόμων. Μπορούμε να βελτιώσουμε την εμπειρία και την ασφάλειά σας επιτρέποντάς σας να γίνετε εσείς ο κωδικός πρόσβασης." Δεδομένου ότι τα κλεμμένα διαπιστευτήρια είναι το σημείο εισόδου για τις περισσότερες επιθέσεις—για παράδειγμα, πάνω από το 80 τοις εκατό των παραβιάσεων εφαρμογών ιστού οφείλονταν σε κλεμμένα διαπιστευτήρια σύμφωνα με την Αναφορά Έρευνας Παραβίασης Δεδομένων του 2022 (DBIR) της Verizon —η πρόσβαση χωρίς κωδικό βοηθά επίσης να καλυφθεί αυτό το κρίσιμο κενό ασφαλείας.

"Η ασφάλεια των συσκευών είναι σημαντική, αλλά δεν αρκεί. Θα πρέπει επίσης να επικεντρωθούμε στην προστασία των ατόμων. Μπορούμε να βελτιώσουμε την εμπειρία και την ασφάλειά σας επιτρέποντάς σας να γίνετε εσείς ο κωδικός πρόσβασης."
– Bret Arsenault, CISO της Microsoft

Μια ολοκληρωμένη προσέγγιση στο ransomware απαιτεί εξαιρετικά εργαλεία

Πολλοί από τους CISO με τους οποίους συνομιλώ ακολουθούν μια προσέγγιση παλέτας για την πρόληψη και τον εντοπισμό επιθέσεων, χρησιμοποιώντας επίπεδα λύσεων προμηθευτών που καλύπτουν δοκιμές ευπάθειας, περιμετρικές δοκιμές, αυτοματοποιημένη παρακολούθηση, ασφάλεια τελικού σημείου, προστασία ταυτότητας κ.λπ. Για κάποιους, αυτό είναι σκόπιμος πλεονασμός, ελπίζοντας ότι μια πολυεπίπεδη προσέγγιση θα καλύψει τυχόν κενά - όπως στις στοίβες ελβετικού τυριού, με την ελπίδα ότι τα κενά δεν θα ευθυγραμμιστούν.

Η εμπειρία μας έχει δείξει ότι αυτή η ποικιλομορφία μπορεί να περιπλέξει τις προσπάθειες αποκατάστασης συμμόρφωσης, δημιουργώντας δυνητικά μεγαλύτερη έκθεση σε κινδύνους. Όπως σημειώνει ένας CISO, το μειονέκτημα της συγκέντρωσης πολλαπλών λύσεων είναι η έλλειψη ορατότητας λόγω κατακερματισμού: «Έχω μια καλύτερη προσέγγιση, η οποία από μόνη της παρουσιάζει ορισμένες προκλήσεις, επειδή υπάρχει έλλειψη γνώσης για τους συγκεντρωτικούς κινδύνους, επειδή έχετε αυτές τις ανεξάρτητες κονσόλες όπου διαχειρίζεστε απειλές και δεν έχετε τη συνολική εικόνα του τι συμβαίνει στη θέση σας». (Υγεία, 1.100 υπάλληλοι) Με τους εισβολείς να υφαίνουν έναν περίπλοκο ιστό που εκτείνεται σε πολλές διαφορετικές λύσεις, μπορεί να είναι δύσκολο να αποκτήσετε μια πλήρη εικόνα της αλυσίδας εξοντώσεων, να εντοπίσετε την έκταση του συμβιβασμού και να ξεριζώσετε πλήρως τυχόν ωφέλιμα φορτία κακόβουλου λογισμικού. Η διακοπή μιας επίθεσης σε εξέλιξη απαιτεί τη δυνατότητα εξέτασης πολλαπλών φορέων για τον εντοπισμό, την αποτροπή και τον περιορισμό/αποκατάσταση επιθέσεων σε πραγματικό χρόνο.

Συμπέρασμα

Μια ολοκληρωμένη, ενσωματωμένη λύση σάς βοηθά να διαχειριστείτε τα τρωτά σημεία, ώστε να μπορείτε να μειώσετε την επιφάνεια επίθεσης και να διακρίνετε τα κρίσιμα σήματα από τον θόρυβο. Αυτή η απλότητα είναι ζωτικής σημασίας για τους οργανισμούς που αγωνίζονται να διακρίνουν μια πραγματική απειλή από τη σταθερή ροή ειδοποιήσεων και ψευδών θετικών.

Βοηθήστε στην άμυνα ενάντια σε ransomware και άλλες εξελιγμένες επιθέσεις με το XDR

Πολλοί ηγέτες ασφάλειας στρέφονται στον εκτεταμένος εντοπισμό και απόκριση (XDR) για αυτό το πλεονέκτημα μεταξύ πλατφορμών. Το XDR βοηθά στο συντονισμό σημάτων σε ολόκληρο το οικοσύστημα—όχι μόνο στα τελικά σημεία—για να διευκολύνει τον ταχύτερο εντοπισμό και απόκριση εξελιγμένων απειλών.

Το XDR λειτουργεί όπως ο εκτεταμένος εντοπισμός και απόκριση τελικού σημείου (EDR), αλλά καλύπτει περισσότερο έδαφος, επεκτείνοντας τον εντοπισμό απειλών ασφαλείας και την απόκριση συμβάντων σε ολόκληρο το ψηφιακό περιβάλλον—συμπεριλαμβανομένων ταυτοτήτων, υποδομών, εφαρμογών, δεδομένων, δικτύων, cloud, κ.λπ. Αυτό το εκτεταμένο εύρος είναι κρίσιμο δεδομένης της πολυπλοκότητας των σύγχρονων επιθέσεων, οι οποίες εκμεταλλεύονται το σημερινό πολύπλοκο, κατανεμημένο περιβάλλον για να μετακινούνται πλευρικά σε τομείς. Οι επιθέσεις προχωρούν όλο και περισσότερο με μη γραμμικό τρόπο, κινούνται πλευρικά σε διαφορετικά σύννεφα, email, εφαρμογές SaaS κ.λπ.

Το XDR μπορεί να σας βοηθήσει να συγκεντρώσετε τα δεδομένα από όλα τα διαφορετικά συστήματά σας, ώστε να μπορείτε να δείτε ολόκληρο το περιστατικό από άκρη σε άκρη. Οι λύσεις σημείων μπορούν να καταστήσουν δύσκολη αυτή την ολοκληρωμένη ορατότητα, επειδή δείχνουν μόνο μέρος της επίθεσης και βασίζονται σε μια ομάδα ασφαλείας που συχνά κατακλύζεται για να συσχετίζει με μη αυτόματο τρόπο πολλαπλά σήματα απειλής από διαφορετικές πύλες. Τελικά, αυτό μπορεί να καταστήσει χρονοβόρα την πλήρη αποκατάσταση μιας απειλής — και σε ορισμένες περιπτώσεις, ακόμη και αδύνατη

Το άλμα από το EDR στο XDR

Η υπόσχεση του XDR παραμένει απραγματοποίητη από τους περισσότερους. Πολλοί CISO με τους οποίους μιλάμε έχουν εφαρμόσει ένα ισχυρό σημείο εκκίνησης στο EDR. Το EDR είναι ένα αποδεδειγμένο πλεονέκτημα: έχουμε δει ότι οι τρέχοντες χρήστες εντοπισμού και απόκρισης τελικού σημείου έχουν ιστορικό εντοπισμού και διακοπής ransomware γρηγορότερα.

Ωστόσο, επειδή το XDR είναι μια εξέλιξη του EDR, ορισμένοι CISO παραμένουν δύσπιστοι σχετικά με τη χρησιμότητα του XDR. Είναι το XDR μόνο EDR με ορισμένες λύσεις; Χρειάζεται πραγματικά να χρησιμοποιήσω μια εντελώς ξεχωριστή λύση; Ή μήπως το EDR μου θα προσφέρει τελικά τις ίδιες δυνατότητες; Η τρέχουσα αγορά λύσεων XDR προσθέτει περαιτέρω σύγχυση καθώς οι πωλητές αγωνίζονται να προσθέσουν προσφορές XDR στα χαρτοφυλάκια προϊόντων. Ορισμένοι προμηθευτές επεκτείνουν το εργαλείο EDR τους για να ενσωματώσουν πρόσθετα δεδομένα απειλών, ενώ άλλοι επικεντρώνονται περισσότερο στη δημιουργία αποκλειστικών πλατφορμών XDR. Οι τελευταίες είναι κατασκευασμένες από την αρχή για να παρέχουν ολοκληρωμένη ενοποίηση και δυνατότητες που επικεντρώνονται στις ανάγκες του αναλυτή ασφαλείας, αφήνοντας τα λιγότερα κενά στην ομάδα σας τα οποία πρέπει να συμπληρώσει χειροκίνητα.

Συμπέρασμα

Το XDR είναι τόσο συναρπαστικό στο σημερινό περιβάλλον ασφαλείας λόγω της κάλυψης και της ταχύτητάς του στον εντοπισμό και τον περιορισμό απειλών. Καθώς το ransomware και άλλες κακόβουλες επιθέσεις γίνονται όλο και πιο κοινές (ένας ερωτώμενος δήλωσε ότι ο οργανισμός του δέχεται επίθεση κατά μέσο όρο *καθημερινά*), οι ηγέτες ασφαλείας βλέπουν τον αυτοματισμό ως ένα κρίσιμο εργαλείο, που προσφέρει παρακολούθηση 24/7 και απόκριση σχεδόν σε πραγματικό χρόνο.

Χρησιμοποιήστε την αυτοματοποίηση για να αυξήσετε τον αντίκτυπο της ομάδας σας

Αντιμέτωποι με έλλειψη ταλέντων ασφαλείας και την ανάγκη να ανταποκριθούν γρήγορα για να περιοριστούν οι απειλές, ενθαρρύναμε τους ηγέτες να χρησιμοποιήσουν αυτοματισμούς για να βοηθήσουν τους ανθρώπους τους να απελευθερώσουν την άμυνα τους από τις χειρότερες απειλές αντί να χειρίζονται κοινές εργασίες, όπως η επαναφορά κωδικών πρόσβασης. Είναι ενδιαφέρον ότι πολλοί από τους ηγέτες ασφαλείας με τους οποίους μίλησα αναφέρουν ότι δεν εκμεταλλεύονται ακόμη πλήρως τις αυτοματοποιημένες δυνατότητες. Σε ορισμένες περιπτώσεις, οι ηγέτες ασφαλείας δεν γνωρίζουν πλήρως την ευκαιρία. Άλλοι διστάζουν να υιοθετήσουν την αυτοματοποίηση από φόβο μήπως χάσουν τον έλεγχο, προσκαλέσουν ανακρίβεια ή θυσιάσουν την ορατότητα σε απειλές. Το τελευταίο είναι μια πολύ εύλογη ανησυχία. Ωστόσο, βλέπουμε ότι όσοι υιοθέτησαν πιο αποτελεσματικά τον αυτοματισμό πετυχαίνουν ακριβώς το αντίθετο—περισσότερο έλεγχο, λιγότερα ψευδώς θετικά στοιχεία, λιγότερο θόρυβο και πιο αποτελεσματική εικόνα—με την ανάπτυξη αυτοματισμού παράλληλα με την ομάδα ασφαλείας για την καθοδήγηση και την εστίαση των προσπαθειών της ομάδας.

Ο αυτοματισμός καλύπτει μια σειρά δυνατοτήτων, από βασικές αυτοματοποιημένες εργασίες διαχείρισης έως αξιολόγηση κινδύνου με δυνατότητα έξυπνης μηχανικής εκμάθησης. Οι περισσότεροι CISO αναφέρουν ότι υιοθετούν τον προηγούμενο αυτοματισμό, που ενεργοποιείται από συμβάντα ή βασίζεται σε κανόνες, αλλά λιγότεροι έχουν εκμεταλλευτεί την ενσωματωμένη τεχνητή νοημοσύνη και τις δυνατότητες μηχανικής μάθησης που επιτρέπουν αποφάσεις πρόσβασης σε πραγματικό χρόνο με βάση τον κίνδυνο. Σίγουρα, η αυτοματοποίηση εργασιών ρουτίνας βοηθά στην απελευθέρωση της ομάδας ασφαλείας ώστε να επικεντρωθεί στην πιο στρατηγική σκέψη που οι άνθρωποι κάνουν καλύτερα. Αλλά είναι σε αυτό το στρατηγικό πεδίο - στη διαλογή απόκρισης σε περιστατικά, για να αναφέρουμε ένα παράδειγμα - ότι η αυτοματοποίηση έχει τις περισσότερες δυνατότητες να ενδυναμώσει την ομάδα ασφαλείας ως ένας έξυπνος συνεργάτης που συγκεντρώνει δεδομένα, ταιριάζει μοτίβα. Για παράδειγμα, η τεχνητή νοημοσύνη και ο αυτοματισμός είναι ικανά να συσχετίζουν σήματα ασφαλείας για να υποστηρίξουν τον ολοκληρωμένο εντοπισμό και την απόκριση σε μια παραβίαση. Περίπου οι μισοί από τους επαγγελματίες ασφαλείας που ρωτήσαμε πρόσφατα λένε ότι πρέπει να συσχετίζουν χειροκίνητα σήματα.1   Αυτό είναι απίστευτα χρονοβόρο και καθιστά σχεδόν αδύνατη την ταχεία απόκριση για τον περιορισμό μιας επίθεσης. Με τη σωστή εφαρμογή του αυτοματισμού —όπως η συσχέτιση των σημάτων ασφαλείας— οι επιθέσεις μπορούν συχνά να εντοπιστούν σε σχεδόν πραγματικό χρόνο.

«Χρειαζόμαστε την τεχνητή νοημοσύνη γιατί έχουμε μικρά περιθώρια κέρδους και δεν μπορούμε να προσλάβουμε πάρα πολλούς ανθρώπους». 
– Εστιατόριο/φιλοξενία, 6.οοο υπάλληλοι

Διαπιστώσαμε ότι πολλές ομάδες ασφαλείας χρησιμοποιούν ελάχιστα τον αυτοματισμό που είναι ενσωματωμένος σε υπάρχουσες λύσεις που ήδη χρησιμοποιούν. Σε πολλές περιπτώσεις, η εφαρμογή αυτοματισμού είναι τόσο εύκολη (και εντυπωσιακή!) όσο η διαμόρφωση των διαθέσιμων λειτουργιών, όπως η αντικατάσταση πολιτικών πρόσβασης σταθερού κανόνα με πολιτικές πρόσβασης υπό όρους βάσει κινδύνου, η δημιουργία εγχειριδίων τακτικής και στρατηγικής απόκρισης κ.λπ.

Οι CISO που επιλέγουν να παραιτηθούν από τις ευκαιρίες του αυτοματισμού συχνά το κάνουν λόγω δυσπιστίας, επικαλούμενοι ανησυχίες σχετικά με το ότι το σύστημα κάνει μη αναστρέψιμα σφάλματα ενώ λειτουργεί χωρίς ανθρώπινη επίβλεψη. Μερικά από τα πιθανά σενάρια περιλαμβάνουν ένα σύστημα που διαγράφει ακατάλληλα δεδομένα χρήστη, ενοχλεί ένα στέλεχος που χρειάζεται πρόσβαση στο σύστημα ή, το χειρότερο, οδηγεί σε απώλεια ελέγχου ή ορατότητας σχετικά με μια ευπάθεια που έχει εκμεταλλευτεί.

«Όποτε προσπαθούμε να βάλουμε πράγματα στη θέση τους που είναι αυτόματα, μερικές φορές με τρομάζει δεν ξέρω τι αντικαθιστώ. Από τι πρέπει να κάνω αποκατάσταση; Πώς προέκυψε αυτή η ενέργεια; 
– Χρηματοοικονομικές υπηρεσίες, 1.125 υπάλληλοι

Αλλά η ασφάλεια τείνει να είναι μια ισορροπία μεταξύ της καθημερινής μικρής ταλαιπωρίας που σταθμίζεται έναντι της συνεχούς απειλής μιας καταστροφικής επίθεσης. Ο αυτοματισμός έχει τη δυνατότητα να χρησιμεύσει ως σύστημα έγκαιρης προειδοποίησης για μια τέτοια επίθεση και οι ταλαιπωρίες του μπορούν να μετριαστούν ή να εξαλειφθούν. Και επιπλέον, ο αυτοματισμός στα καλύτερά του δεν λειτουργεί μόνος του, αλλά δίπλα σε ανθρώπινους χειριστές, όπου η τεχνητή νοημοσύνη του μπορεί να ενημερώσει και να ελεγχθεί από την ανθρώπινη νοημοσύνη.

Για να διασφαλίσουμε την ομαλή ανάπτυξη, προσθέτουμε λειτουργίες μόνο για αναφορές στις λύσεις μας, προκειμένου να προσφέρουμε μια δοκιμαστική εκτέλεση πριν από την κυκλοφορία. Αυτό επιτρέπει στην ομάδα ασφαλείας να εφαρμόζει την αυτοματοποίηση με τον δικό της ρυθμό, να ρυθμίζει τους κανόνες αυτοματισμού και να παρακολουθεί την απόδοση των αυτοματοποιημένων εργαλείων.

Οι ηγέτες ασφαλείας που χρησιμοποιούν τον αυτοματισμό πιο αποτελεσματικά τον αναπτύσσουν μαζί με την ομάδα τους για να καλύψουν τα κενά και να χρησιμεύσουν ως πρώτη γραμμή άμυνας. Όπως μου είπε πρόσφατα ένας CISO, είναι σχεδόν αδύνατο και απαγορευτικά δαπανηρό να έχει μια ομάδα ασφαλείας εστιασμένη παντού ανά πάσα στιγμή—και ακόμα κι αν ήταν, οι ομάδες ασφαλείας είναι επιρρεπείς σε συχνούς κύκλους εργασιών. Ο αυτοματισμός παρέχει ένα επίπεδο διαρκούς συνέχειας και συνέπειας για την υποστήριξη της ομάδας ασφαλείας σε τομείς που απαιτούν αυτή τη συνέπεια, όπως η παρακολούθηση της κυκλοφορίας και τα συστήματα έγκαιρης προειδοποίησης. Με αυτήν την υποστηρικτική ικανότητα, ο αυτοματισμός βοηθά στην απελευθέρωση της ομάδας από τον μη αυτόματο έλεγχο αρχείων καταγραφής και συστημάτων και τους επιτρέπει να είναι πιο προληπτικοί. Ο αυτοματισμός δεν αντικαθιστά τους ανθρώπους—αυτά είναι εργαλεία που δίνουν τη δυνατότητα στους ανθρώπους σας να δίνουν προτεραιότητα στις ειδοποιήσεις και να εστιάζουν τις προσπάθειές τους εκεί που μετράει περισσότερο.

Συμπέρασμα
Η πιο ισχυρή αμυντική στρατηγική συνδυάζει την τεχνητή νοημοσύνη και τα αυτοματοποιημένα εργαλεία με την πιο λεπτή επαγρύπνηση και τακτική απόκριση μιας ομάδας ασφαλείας. Πέρα από τα άμεσα οφέλη από την ολοκλήρωση εργασιών και τη λήψη άμεσων μέτρων για τον περιορισμό μιας επίθεσης, η αυτοματοποίηση βοηθά την ομάδα να διαχειρίζεται τον χρόνο της και να συντονίζει τους πόρους πιο αποτελεσματικά, ώστε να μπορεί να επικεντρωθεί σε δραστηριότητες έρευνας και αποκατάστασης υψηλότερης τάξης.

Όλες οι αναφερόμενες έρευνες της Microsoft χρησιμοποιούν ανεξάρτητες εταιρείες έρευνας για να επικοινωνήσουν με επαγγελματίες ασφάλειας τόσο για ποσοτικές όσο και για ποιοτικές μελέτες, διασφαλίζοντας προστασία απορρήτου και αναλυτική αυστηρότητα. Τα αποσπάσματα και τα ευρήματα που περιλαμβάνονται σε αυτό το έγγραφο, εκτός εάν ορίζεται διαφορετικά, είναι αποτέλεσμα ερευνητικών μελετών της Microsoft.

  1. [1]

    Ερευνητική μελέτη της Microsoft για CISO και επαγγελματίες ασφάλειας 2021

CISO Insider Ανθεκτικότητα στον κυβερνοχώρο Συσκευές και υποδομή Ransomware

Σχετικά άρθρα

CISO Insider Τεύχος 1

Περιηγηθείτε στο σημερινό τοπίο απειλών με αποκλειστικές αναλύσεις και προτάσεις από τους ηγέτες ασφαλείας.
Μάθετε περισσότερα

Cyber Signals: Τεύχος 1

Η διαχείριση ταυτοτήτων είναι το νέο πεδίο μάχης. Αποκτήστε γνώσεις σχετικά με τις εξελισσόμενες απειλές στον κυβερνοχώρο και τα μέτρα που πρέπει να λάβετε για την καλύτερη προστασία του οργανισμού σας.
Μάθετε περισσότερα

Cyber Signals Τεύχος 2: Οικονομικά του εκβιασμού

Μάθετε από ειδικούς πρώτης γραμμής για την ανάπτυξη του ransomware ως υπηρεσία. Από τα προγράμματα και τα ωφέλιμα φορτία έως τους μεσολαβητές πρόσβασης και τους συνεργάτες, μάθετε για τα εργαλεία, τις τακτικές και τους στόχους που προτιμούν οι εγκληματίες του κυβερνοχώρου και λάβετε οδηγίες για την προστασία του οργανισμού σας.
Μάθετε περισσότερα