CISO Insider: 2. väljaanne

Lunavararündajad sihivad teie kõige väärtuslikumaid varasid: neid, mille eest nad saaksid teilt enda arvates kõige rohkem raha välja pressida, olgu nende pantvangi võtt siis võimalikult tegevust halvav või avaldamine kõige tundlikum.

Valdkond on organisatsiooni riskiprofiili määratlemisel üks olulisemaid tegureid. Kui tootmisettevõtete juhtide jaoks on äritegevuse halvamine kõige pakilisem mure, siis jaemüügi- ja finantsteenuste infoturbejuhtide jaoks on prioriteet eeskätt delikaatsete isikuandmete kaitsmine. Tervishoiuasutused on võrdselt haavatavad mõlemal rindel. Ohtudele reageerimiseks ning andmelekete ja andmete riskile avatuse vähendamiseks on turbejuhid asunud oma riskiprofiili muutma, tugevdades perimeetreid, tehes olulistest andmetest varukoopiaid, kasutades liiassüsteeme ja võttes kasutusele senisest parema krüptimise.

Paljude juhtide jaoks on nüüd fookuses äritegevuse halvamine. Ettevõttele kaasnevad kulud ka siis, kui katkestus on põgus. Üks tervishoiuvaldkonna infoturbejuht ütles mulle hiljuti, et operatiivsest vaatenurgast pole lunavararünne kuigivõrra erinev suurest elektrikatkestusest. Ehkki piisav varusüsteem aitab elektri kiiresti jälle tagasi saada, kaasneb katkestusega siiski tegevust häirivaid seisakuid. Teine infoturbejuht mainis, et neile annab mõtteainet see, kuidas katkestused võivad ettevõtte põhivõrgust kaugemale ulatuda, mõjutades näiteks müügikonveierit, või kuidas nende tegevust võib mõjutada see, kui lunavara halvab oluliste tarnijate töö.

Katkestustega toime tulemise taktika hõlmab nii liiassüsteeme kui ka segmentimist, mis aitavad seisakuaega vähendada ning võimaldavad organisatsioonil viia liikluse mõnda teise võrguossa üle, kuni nad probleemi kõrvaldavad ja mõjutatud segmendi taastavad. Äritegevuse halvamise või andmete riskile avatuse ohtu ei saa siiski täielikult kõrvaldada ka kõige toekamad varundus- või avariijärgse taaste protsessid. Leevenduse teine külg on ennetus.

Paljud infoturbejuhid, kellega räägin, on rünnete ennetamiseks ja tuvastamiseks valinud nn palettlähenemise, kasutades kihiti erinevate tarnijate lahendusi, mis hõlmavad nõrkuste testimist, perimeetri testimist, automaatset seiret, lõpp-punktide turvet, kasutajaidentiteetide kaitset jne. Mõne juhi jaoks on selline liiasus tahtlik: loodetakse, et kihiline lähenemine katab kõik lüngad – nagu virn Šveitsi juustu, lootes, et augud ei jää kohakuti.

Meie kogemused on näidanud, et selline mitmekesisus võib aga kahjutustamist keerulisemaks muuta ja teabe potentsiaalselt veelgi rohkem riskile avada. Nagu märkis üks infoturbejuht, kaasneb mitme lahenduse kombineerimisega killustumine, mis omakorda vähendab nähtavust: „Minu valitud lähenemise põhimõte on „parim omataoline“, mis toob aga kaasa teatud probleemid – puudub ülevaade kõigist riskidest korraga, kuna ohtude tõrjumine käib omaette konsoolide kaudu ning turbemeeskonnal pole koondvaadet kõigest, mis süsteemis toimub.“ (Tervishoid, 1100 töötajat) Kui ründajad on pununud tiheda võrgu, mis ulatub üle mitme omaette lahenduse, on keeruline saada tapuahelast täielikku pilti, teha kindlaks turbemurde ulatus ja ründevaralastid üleni välja juurida. Käimasoleva ründe peatamiseks on vaja näha tegevust mitmel suunal, et ründed reaalajas tuvastada, tõkestada ja ohjeldada või kahjutustada.

Enamik kasutajaid pole XDR-i potentsiaali täielikult realiseerinud. Paljud infoturbejuhid, kellega oleme rääkinud, on EDR-i näol kasutusele võtnud tugeva lähtepunkti. EDR on end juba tõestanud: oleme näinud, et lõpp-punkti ohutuvastuse ja -kõrvalduse lahenduste praegused kasutajad tuvastavad ja peatavad lunavara kiiremini.

Ent kuna XDR on EDR-i edasiarendus, on osa infoturbejuhte XDR-i kasulikkuse suhtes skeptilised. Kas XDR on lihtsalt EDR, kuhu on lisatud mõned punktlahendused? Kas peame tõesti kasutama täiesti omaette uut lahendust? Või pakub meie EDR edaspidi samu funktsioone? XDR-i lahenduste praegune turg annab segadusele veelgi hoogu juurde, kuna tarnijad kiirustavad XDR-i pakkumisi üksteise võidu oma tooteportfellidesse lisama. Mõned tarnijad laiendavad oma senist EDR-i tööriista täiendavate ohuandmete kaasamiseks, teised aga keskenduvad sihtotstarbeliste XDR-i platvormide rajamisele. Sellised platvormid töötatakse välja täiesti algusest peale, et pakkuda kasutusvalmis integratsiooni ja turbeanalüütiku vajaduste järgi kohandatud funktsioone, jättes teie meeskonnale võimalikult vähe käsitsi täitmist vajavaid tühemikke.

Kuna turbetöös on andekatest ja oskustega inimestest alati puudus ning ohtude ohjeldamiseks on tähtis kiiresti reageerida, oleme juhtidel soovitanud kasutada rohkem automaatikat, et võimaldada inimestel keskenduda organisatsiooni kaitsmisele kõige suuremate ohtude eest, selmet kulutada väärtuslikku aega rutiinsetele toimingutele (nt paroolide lähtestamisele). Huvitaval kombel mainivad paljud turbejuhid, kellega olen juttu ajanud, et nad pole veel kõiki automaatseid funktsioone kasutusele võtnud. Mõnel juhul pole turbejuhid sellest võimalusest täielikult teadlikud; teised kõhklevad automaatika kasutusele võtmisel, kartes kaotada kontrolli või ülevaadet ohtudest või arvates, et automaatika pole piisavalt täpne. See mure on ka igati mõistetav. Samas näitab praktika, et organisatsioonides, kus automaatika on kasutusele võetud, on lugu hoopis vastupidine – juhtidel on turbe üle suurem kontroll, valepositiivseid teateid ja müra on vähem ning turbetöötajate käsutuses on rohkem praktilist, tegutsemist võimaldavat teavet. Selleks tuleb automaatika kasutusele võtta turbemeeskonna tööga paralleelselt, et see aitaks meeskonna tööd suunata ja fookust õigetele küsimustele juhtida.

Automaatika hõlmab väga mitmekesiseid funktsioone, elementaarsetest automatiseeritud haldustoimingutest alustades ja tehisintelligentse masinõpet toetava riskianalüüsiga lõpetades. Enamik infoturbejuhte on küll kasutusele võtnud sündmuste põhjal käivitatava või reeglipõhise automaatika, kuid tunduvalt vähem on neid, kes on juba ära kasutanud sisseehitatud tehisintellekti ja masinõppe funktsioone, mis võimaldavad teha reaalajas riskipõhiseid juurdepääsuotsuseid. Rutiinsete toimingute automatiseerimine on muidugi abiks, kuna jätab turbemeeskonnale rohkem aega keskenduda strateegilist mõtlemist nõudvatele ülesannetele, mis on inimeste tugev külg. Ent just selles strateegilises valdkonnas (näiteks intsidentidele reageerimise triaažis) on automaatikal turbemeeskondade toetamisel kõige suurem potentsiaal, tegutsedes andmeid analüüsiva ja mustreid otsiva tehisintelligentse partnerina. Tehisintellekt ja automaatika oskavad näiteks väga hästi turbesignaale korreleerida, toetamaks turbemurde tuvastamist ja sellele reageerimist. Ligikaudu pool turbetöötajatest, keda hiljuti küsitlesime, nentis, et neil tuleb signaale käsitsi korreleerida.1   See on erakordselt ajamahukas ning muudab kiire reageerimise, mis on ründe ohjeldamiseks hädavajalik, peaaegu võimatuks. Automaatika õige rakendamise korral (nt turbesignaalide korreleerimiseks) saab ründeid sageli tuvastada peaaegu reaalajas.

Oleme leidnud, et paljud turbemeeskonnad ei kasuta piisavalt ära ka juba olemasolevatesse lahendustesse sisse ehitatud automaatikat. Sageli on automaatika rakendamine väga lihtne (ja väga suure mõjuga!) – sisuliselt on tegu saadaolevate funktsioonide konfigureerimisega, näiteks asendades püsireeglipõhised poliitikad riskipõhiste tingimuspääsupoliitikatega, koostades reageerimise tegevusstsenaariumid jne.

Infoturbejuhid, kes otsustavad automaatika pakutavatest võimalustest loobuda, teevad seda sageli umbusu tõttu – neile teeb muret võimalus, et süsteem teeb ilma inimese jälgimiseta töötades mõne vea, millest ei saa taastuda. Potentsiaalsete stsenaariumide hulgas on mainitud näiteks võimalust, et süsteem kustutab soovimatult kasutaja andmed, põhjustades ebamugavust juhtivtöötajale, kellel on vaja süsteemile juurdepääsu, või – mis veelgi hullem – põhjustab kontrolli kaotamise või ülevaate puudumise nõrkusest, mida ründaja on ära kasutanud.

Turvalisus nõuab igapäevaste väikeste ebamugavuste ja katastroofilise ründe pideva ohu vahel õige tasakaalu leidmist. Automaatika suudab toimida sellise ründe eelhoiatussüsteemina ning sellega kaasnevad ebamugavused saab kõrvaldada või neid vähemalt leevendada. Lisaks ei tööta õigesti kasutusele võetud automaatika täiesti omaette, vaid koostöös inimestega: inimintellekt saab tehisintellektilt abi, kuid viimane sõna jääb siiski inimesele.

Sujuva kasutuselevõtu tagamiseks oleme oma lahendustesse lisanud aruanderežiimi, mis võimaldab meil pakkuda toodete prooviversiooni. Sel viisil saab turbemeeskond automaatika kasutusele võtta omas tempos, automatiseerimisreegleid peenhäälestades ja automaatsete tööriistade tööd jälgides.

Automaatikat kõige tõhusamalt kasutavad turbejuhid on selle kasutusele võtnud meeskonna tegevusega paralleelselt, lünkade täitmiseks ja kaitse eesliinina tegutsemiseks. Nagu üks infoturbejuht mulle hiljuti ütles, on peaaegu võimatu (ja liiga kallis) pidada palgal turbemeeskonda, mis on keskendunud kõigele ja kogu aeg – ja isegi kui see oleks võimalik, siis tuleb arvestada, et turbemeeskondades vahetuvad töötajad sageli. Automaatika lisab alati sisselülitatud kestlikkuse ja järjepidevuse kihi, et toetada turbemeeskonda seda kestlikkust vajavates valdkondades, näiteks liikluse jälgimisel ja eelhoiatussüsteemides. Selles tugirollis kasutatuna võtab automaatika inimeste õlgadelt kohustuse logisid ja süsteeme ise käsitsi üle vaadata ning võimaldab neil proaktiivsemalt tegutseda. Automaatika ei asenda inimesi – tegemist on tööriistadega, mis võimaldavad teie inimestel teateid ja hoiatusi prioriseerida ning keskenduda oma töös sellele, mis on kõige olulisem.