CISO Insider: numer 2

Atakujący wykorzystujący oprogramowanie wymuszające okup celują w najcenniejsze zasoby organizacji — takie, za które ich zdaniem mogą wyłudzić najwięcej pieniędzy, niezależnie od tego, czy chodzi o zasoby, których przejęcie spowoduje największe zakłócenia, których wartość pozwoli uzyskać najwyższy okup, czy których poufny charakter wywoła szkody w przypadku ich ujawnienia.

Ważnym czynnikiem determinującym profil ryzyka organizacji jest branża — podczas gdy liderzy z sektora produkcji jako główny problem wymieniają zakłócenia w działalności biznesowej, dyrektorzy ds. bezpieczeństwa informacji z sektora handlu detalicznego i usług finansowych priorytetowo traktują ochronę poufnych danych osobowych. Natomiast organizacje opieki zdrowotnej w równym stopniu troszczą się o oba te zagrożenia. W reakcji na to liderzy ds. zabezpieczeń agresywnie poprawiają swój profil ryzyka w zakresie utraty i ujawnienia danych przez wzmacnianie zabezpieczeń obwodowych, tworzenie kopii zapasowych krytycznych danych oraz stosowanie systemów nadmiarowych i lepszego szyfrowania.

Obecnie w centrum uwagi wielu liderów znajdują się zakłócenia w działalności biznesowej. Działalność biznesowa generuje koszty, nawet jeśli przerwa jest krótka. Jeden z dyrektorów ds. bezpieczeństwa informacji z sektora opieki zdrowotnej powiedział mi niedawno, że pod względem operacyjnym atak z użyciem oprogramowania wymuszającego okup nie różni się od poważnej przerwy w dostawie prądu. Mimo że odpowiedni system zapasowy może pomóc w szybkim przywróceniu zasilania, nadal występuje przestój zakłócający działalność. Inny dyrektor ds. bezpieczeństwa informacji wspomniał, że zastanawia się nad tym, jak zakłócenia mogą wykroczyć poza główną sieć korporacji i objąć problemy operacyjne, takie jak problemy z rurociągami lub skutki uboczne odłączenia kluczowych dostawców przez oprogramowanie wymuszające okup.

Taktyki zarządzania zakłóceniami obejmują zarówno systemy nadmiarowe, jak i segmentację w celu zminimalizowania przestojów i umożliwienia organizacji przesunięcia ruchu do innej części sieci, a jednocześnie powstrzymania zagrożenia i przywrócenia dotkniętego problemem segmentu. Jednak nawet najbardziej niezawodne systemy zapasowe czy odzyskiwania po awarii nie pozwalają w pełni wyeliminować zagrożenia zakłócenia działalności czy ujawnienia danych. Dopełnieniem ograniczania ryzyka jest zapobieganie.

Wielu dyrektorów ds. bezpieczeństwa informacji, z którymi rozmawiam, stosuje szeroko zakrojone podejście do zapobiegania atakom i ich wykrywania, wykorzystując warstwy rozwiązań dostawców obejmujące testowanie pod kątem luk w zabezpieczeniach, testowanie zabezpieczeń obwodowych, zautomatyzowane monitorowanie, zabezpieczenia punktów końcowych, ochronę tożsamości itp. Niektórzy z nich traktują to jako strategię celowej nadmiarowości i mają nadzieję, że podejście warstwowe pozwoli zneutralizować wszelkie luki — jak w przypadku ułożonych w stos szwajcarskich serów, których dziury nie nakładają się na siebie.

Z naszych doświadczeń wynika, że ta różnorodność może skomplikować działania mające ograniczać zagrożenie, potencjalnie zwiększając narażenie na ryzyko. Jak zauważa jeden z dyrektorów ds. bezpieczeństwa informacji, wadą łączenia wielu rozwiązań jest brak widoczności z powodu fragmentacji: „Stosuję podejście oparte na używaniu najlepszych w swojej klasie rozwiązań, co samo w sobie stwarza pewne wyzwania wynikające z braku wglądu w zagregowane czynniki ryzyka, ponieważ są dostępne te niezależne konsole, na których zarządza się zagrożeniami, a nie ma zagregowanego obrazu tego, co dzieje się w systemie”. (Opieka zdrowotna, 1100 pracowników). W obliczu tego, że atakujący tworzą złożoną sieć obejmującą wiele różnych rozwiązań, uzyskanie pełnego obrazu struktury ataku, określenie zakresu naruszenia i całkowite wykorzenienie wszelkich ładunków złośliwego oprogramowania mogą być trudne. Zatrzymanie trwającego ataku wymaga możliwości przyjrzenia się wielu wektorom w celu wykrycia, odstraszenia i powstrzymania/ograniczenia ataków w czasie rzeczywistym.

Obietnica związana z rozszerzonymi możliwościami wykrywania zagrożeń i reagowania na nie (XDR) pozostaje w przypadku większości organizacji niezrealizowana. Wielu dyrektorów ds. bezpieczeństwa informacji, z którymi rozmawiamy, zrealizowało zaawansowane wdrożenie początkowe w postaci rozwiązania do wykrywania i reagowania w punktach końcowych (EDR). EDR to sprawdzony atut: zaobserwowaliśmy, że obecni użytkownicy rozwiązań do wykrywania i reagowania w punktach końcowych szybciej wykrywają i zatrzymują oprogramowanie wymuszające okup (ransomware).

Ponieważ jednak XDR jest rozwinięciem EDR, niektórzy dyrektorzy ds. bezpieczeństwa informacji pozostają sceptyczni co do jego użyteczności. Czy XDR to nie jest po prostu EDR z dodanymi rozwiązaniami punktowymi? Czy naprawdę muszę używać całkowicie osobnego rozwiązania? Czy moje rozwiązanie EDR nie zapewni ostatecznie tych samych możliwości? Bieżący rynek rozwiązań XDR jeszcze wzmacnia zamieszanie w miarę tego, jak dostawcy prześcigają się w dodawaniu produktów XDR do swoich ofert. Niektórzy dostawcy rozszerzają narzędzia EDR, aby uwzględnić obsługę dodatkowych danych o zagrożeniach, podczas gdy inni bardziej skupiają się na budowaniu dedykowanych platform XDR. Rozwiązania z tej drugiej kategorii są tworzone od podstaw, aby zapewniać gotową integrację i funkcje skupione wokół potrzeb analityka ds. zabezpieczeń, pozostawiając najmniej luk, którymi zespół organizacji musiałby zajmować się ręcznie.

W obliczu niedoboru specjalistów ds. zabezpieczeń i konieczności szybkiego reagowania w celu powstrzymywania zagrożeń zachęcamy liderów do stosowania automatyzacji w celu odciążenia pracowników, aby mogli oni skupić się na obronie przed najgorszymi zagrożeniami, zamiast zajmować się przyziemnymi zadaniami, takimi jak resetowanie haseł. Interesujący jest fakt, że wielu liderów ds. zabezpieczeń, z którymi rozmawiałem, wspomniało, iż nie wykorzystują jeszcze w pełni funkcji zautomatyzowanych. Niektórzy liderzy ds. zabezpieczeń nie są w pełni świadomi tej możliwości, a inni wahają się przed wdrożeniem automatyzacji z obaw przed utratą kontroli, wytworzeniem niedokładności lub wglądu w zagrożenia. Obawy przejawiane w przypadku tej drugiej postawy są jak najbardziej uzasadnione. Jednak z naszych obserwacji wynika, że użytkownicy skutecznie dodający automatyzację uzyskują efekt całkowicie odwrotny — większą kontrolę, mniej fałszywych alarmów, mniej szumu i więcej praktycznych szczegółowych informacji — dzięki wdrażaniu automatyzacji jako uzupełnienia zespołu ds. zabezpieczeń, aby wyznaczać kierunki prac tego zespołu i koncentrować jego działania.

Automatyzacja obejmuje szereg funkcji, od podstawowych zautomatyzowanych zadań administracyjnych po inteligentną ocenę ryzyka opartą na uczeniu maszynowym. Większość dyrektorów ds. bezpieczeństwa informacji zgłasza wdrożenie tego pierwszego zestawu funkcji, automatyzacji wyzwalanej zdarzeniami lub opartej na regułach. Mniejsza liczba z nich wykorzystuje wbudowane funkcje sztucznej inteligencji i uczenia maszynowego, które umożliwiają podejmowanie decyzji dotyczących dostępu na podstawie ryzyka w czasie rzeczywistym. Automatyzacja rutynowych zadań na pewno pomaga zespołowi ds. zabezpieczeń w skupieniu się na zadaniach wymagających myślenia strategicznego, z czym ludzie radzą sobie najlepiej. Jednak to właśnie w obszarze decyzji strategicznych — na przykład podczas wybierania reakcji na zdarzenia — automatyzacja przejawia największy potencjał do wspierania zespołu ds. zabezpieczeń jako inteligentny partner przetwarzający dane i porównujący sytuacje ze wzorcami. Sztuczna inteligencja i automatyzacja potrafią na przykład doskonale korelować sygnały zabezpieczeń, aby wspierać kompleksowe wykrywanie naruszeń i reagowanie na nie. Mniej więcej połowa specjalistów zajmujących się zabezpieczeniami, których niedawno ankietowaliśmy, twierdzi, że musi ręcznie korelować sygnały1. Jest to niezwykle czasochłonne, a szybkie zareagowanie w celu powstrzymania ataku jest niemal niemożliwe. Przy właściwym zastosowaniu automatyzacji, na przykład korelacji sygnałów zabezpieczeń, ataki często można wykrywać w czasie zbliżonym do rzeczywistego.

Ustaliliśmy, że wiele zespołów ds. zabezpieczeń w niewystarczającym stopniu wykorzystuje automatyzację wbudowaną w już używane przez nich rozwiązania. W wielu przypadkach zastosowanie automatyzacji jest tak proste (i niezwykle skuteczne!), jak skonfigurowanie dostępnych funkcji, na przykład zastąpienie zasad dostępu opartych na stałych regułach zasadami dostępu warunkowego opartymi na czynnikach ryzyka, utworzenie podręczników reagowania itp.

Dyrektorzy ds. bezpieczeństwa, którzy rezygnują z możliwości automatyzacji, często robią to z nieufności, powołując się na obawy, że system działający bez nadzoru człowieka może popełnić nieodwracalne błędy. Niektóre z potencjalnych scenariuszy to błędne usuniecie przez system danych użytkowników, utrudnianie pracy kierownikowi potrzebującemu dostępu do systemu albo, najgorszy przypadek, utrata kontroli lub widoczności związanych z wykorzystaną luką w zabezpieczeniach.

Jednak zapewnianie bezpieczeństwa zwykle polega na znalezieniu równowagi między drobnymi codziennymi niedogodnościami i ciągłym zagrożeniem katastrofalnym atakiem. Automatyzacja może służyć jako system wczesnego ostrzegania przed takim atakiem, a związane z nią niedogodności można ograniczyć lub wyeliminować. Poza tym automatyzacja w najlepszym wydaniu nie działa sama, lecz wraz z operatorami — w systemie, w którym jej sztuczna inteligencja dostarcza informacje, ale podlega nadzorowi ludzkiej inteligencji.

W celu ułatwienia płynnego wdrażania dodajemy do naszych rozwiązań tryby obejmujące tylko zgłaszanie informacji, aby umożliwić przeprowadzenie okresu próbnego przed właściwym wdrożeniem. Dzięki temu zespół ds. zabezpieczeń może zaimplementować automatyzację we własnym tempie, dostrajając reguły automatyzacji i monitorując działanie narzędzi zautomatyzowanych.

Liderzy ds. zabezpieczeń, którzy najskuteczniej wykorzystują automatyzację, wdrażają ją jako uzupełnienie pracy zespołu, aby za jej pomocą wypełnić luki i używać jej jako pierwszej linii obrony. Jak powiedział mi niedawno jeden z dyrektorów ds. bezpieczeństwa informacji, utrzymywanie zespołu ds. zabezpieczeń zdolnego do skupienia się na wszystkich obszarach i przez cały czas jest niemal niemożliwe i niezwykle kosztowne — ale nawet gdyby było to możliwe, skład tych zespołów często się zmienia. Automatyzacja zapewnia zawsze aktywną warstwę ciągłości i spójności, która wspiera zespół ds. zabezpieczeń w obszarach wymagających takiej spójności, jak na przykład monitorowanie ruchu i systemy wczesnego ostrzegania. Automatyzacja wdrożona w takiej roli pomocniczej pomaga odciążyć zespół, eliminując ręczne przeglądanie dzienników i systemów, i pozwala mu pracować proaktywniej. Automatyzacja nie zastępuje pracy ludzi — są to narzędzia, które umożliwiają pracownikom ustalanie priorytetów alertów i skupianie działań w obszarach, w których mają one największe znaczenie.