CISO Insider: Číslo 2

Útočníci využívajúci ransomware sa zameriavajú na najcennejšie zdroje, pri ktorých sa domnievajú, že im umožnia získať od obete najviac peňazí. Môžu to byť zdroje, ktorých zablokovanie a držanie ako rukojemníkov najviac naruší prevádzku alebo má najväčšiu cenu, prípadne zdroje, ktoré sú najcitlivejšie na prípadné zverejnenie.

Typ odvetvia predstavuje dôležitý faktor, ktorý určuje rizikový profil organizácie. Zatiaľ čo lídri vo výrobe uvádzajú ako hlavný problém narušenie prevádzky, riaditelia CISO v maloobchode a finančných službách uprednostňujú ochranu citlivých osobných údajov. Zdravotnícke organizácie sú potom v rovnakej miere zraniteľné v oboch smeroch. V reakcii na to lídri v oblasti zabezpečenia agresívne menia svoje rizikové profily preč od straty a vystavenia údajov prostredníctvom posilnenia zabezpečenia svojich perimetrov, zálohovania dôležitých údajov, redundantných systémov a lepšieho šifrovania.

V centre pozornosti mnohých lídrov je teraz narušenie prevádzky. Firmám vznikajú náklady, a to aj keď je prerušenie krátke. Jeden riaditeľ CISO z oblasti zdravotníctva mi nedávno povedal, že z prevádzkového hľadiska sa ransomware nijak nelíši od veľkého výpadku prúdu. Hoci vhodný záložný systém môže pomôcť rýchlo obnoviť dodávku energie, aj tak ide o výpadok, ktorý preruší prevádzku. Iný riaditeľ CISO zas spomenul, že sa pozerajú na to, ako sa narušenie môže rozšíriť mimo hlavnú podnikovú sieť a spôsobiť prevádzkové problémy s kanálmi alebo sekundárny efekt odstavenia kľúčových dodávateľov pre ransomware.

Stratégie na zvládanie narušenia zahŕňajú redundantné systémy, ako aj segmentáciu. To pomáha minimalizovať výpadky a umožňuje organizácii presunúť prevádzku do inej časti siete a zároveň obmedziť a obnoviť postihnutý segment. Ani tie najrobustnejšie procesy zálohovania alebo zotavenia po havárii však nemôžu celkom vyriešiť hrozbu narušenia prevádzky alebo vystavenia údajov. Druhou stranou zmierňovania je prevencia.

Mnoho riaditeľov CISO, s ktorými sa rozprávam, pristupujte k prevencii a detekcii útokov prostredníctvom palety rôznych opatrení a využíva vrstvy dodávateľských riešení, ktoré zahŕňajú testovanie zraniteľností, testovanie perimetrov, automatizované monitorovanie, zabezpečenie koncových bodov, ochranu identít atď. Niektorí s touto nadbytočnosťou pracujú zámerne, pretože dúfajú, že prístup využívajúci vrstvy zakryje prípadne medzery, podobne, ako keď na seba naukladáte plátky ementálu, v nádeji, že diery nebudú v jednej línii.

Naše skúsenosti ukazujú, že táto rôznorodosť môže skomplikovať úsilie o nápravu, čo môže potenciálne viesť k ešte väčšiemu vystaveniu rizikám. Ako poznamenal jeden z riaditeľov CISO, nevýhodou zostavovania viacerých riešení je nedostatočný prehľad pre fragmentáciu: „Zastávam prístup ‚používanie toho najlepšieho‘, čo samo o sebe prináša určité problémy, pretože potom vám chýba prehľad o súhrnných rizikách. Máte tieto nezávislé konzoly, ktorými spravujete hrozby, ale nemáte súhrnný prehľad o tom, čo sa u vás deje.“ (Zdravotníctvo, 1 100 zamestnancov) Keďže útočníci vytvárajú zložitú sieť, ktorá sa rozprestiera naprieč rôznymi riešeniami, môže byť náročné získať úplný obraz o štruktúre útoku, určiť rozsah napadnutia a úplne odstrániť malware. Zastavenie prebiehajúceho útoku vyžaduje schopnosť preverovať viac vektorov, aby bolo možné útoky rozpoznať, odvrátiť a zastaviť/napraviť v reálnom čase.

Sľubovaný prínos XDR zostáva väčšinou nerealizovaný. Mnoho riaditeľov CISO, s ktorými hovoríme, implementovalo ako účinný východiskový bod systém EDR. Detekcia a reakcia v koncových bodoch (EDR) má osvedčený prínos. Videli sme, že používatelia používajúci detekciu a reakciu v koncových bodoch dokázali rýchlejšie rozpoznávať a zastavovať ransomware.

Pretože však XDR predstavuje evolúciu EDR, niektorí riaditelia CISO zostávajú skeptickí, pokiaľ ide o užitočnosť XDR. Je XDR len EDR s pridanými bodovými riešeniami? Naozaj musím používať celkom oddelené riešenie? Alebo bude moje riešenie EDR časom ponúkať rovnaké funkcie? Súčasný trh s riešeniami XDR prináša ďalšie nejasnosti v situácii, keď sa dodávatelia predbiehajú v pridávaní ponúk XDR do portfólia produktov. Niektorí dodávatelia rozširujú svoje nástroje EDR o ďalšie údaje o hrozbách, zatiaľ čo iní sa viac zameriavajú na vytváranie špecializovaných platforiem XDR. Tieto špecializované platformy sú od základu vytvorené tak, aby poskytovali vopred pripravené možnosti integrácie a funkcie zamerané na potreby bezpečnostných analytikov, takže váš tím bude musieť manuálne pokryť len minimum medzier.

Vzhľadom na nedostatok talentov v oblasti zabezpečenia a potrebu rýchlo reagovať pri potlačovaní hrozieb lídrom odporúčame, aby využívali automatizáciu, ktorá im pomôže uvoľniť ľudí na to, aby sa mohli sústrediť na obranu pred tými najhoršími hrozbami, namiesto toho, aby sa zaoberali bežnými úlohami, ako je resetovanie hesiel. Zaujímavé je, že mnoho lídrov v oblasti zabezpečenia, s ktorými som sa rozprával, spomenulo, že zatiaľ nevyužívajú automatizované funkcie naplno. V niektorých prípadoch si lídri v oblasti zabezpečenia túto príležitosť tak celkom neuvedomujú, iní váhajú s implementáciou automatizácie zo strachu, že stratia kontrolu, zvýšia nepresnosť alebo že prídu o prehľad o hrozbách. Druhá z týchto obáv je veľmi oprávnená. Vidíme však, že tí, kto si automatizáciu efektívne osvojujú, dosahujú pravého opaku – väčšiu kontrolu, menej falošných poplachov, menej šumu a viac užitočných prehľadov – tým, že nasadzujú automatizáciu po boku tímu zabezpečenia, aby pomáhala viesť a zameriavať úsilie tohto tímu.

Automatizácia zahŕňa celý rad funkcií od základných automatizovaných administratívnych úloh až po inteligentné posudzovanie rizík s využitím strojového učenia. Väčšina riaditeľov CISO uvádza, že používa prvý typ automatizácie – automatizáciu spúšťanú udalosťami alebo založenú na pravidlách – ale menej ich využíva integrované funkcie umelej inteligencie a strojového učenia, ktoré umožňujú rozhodovanie o prístupe na základe rizík v reálnom čase. Automatizácia bežných úloh určite pomáha uvoľniť kapacitu tímu zabezpečenia, aby sa mohol sústrediť na strategickejšie myslenie, ktoré ľudia ovládajú najlepšie. Ale práve v tejto strategickej oblasti – napríklad pri určovaní odozvy na incidenty – má automatizácia najväčší potenciál posilniť možnosti tímu zabezpečenia ako inteligentný partner, ktorý spracúva údaje a porovnáva vzory. Umelá inteligencia a automatizácia napríklad dokážu korelovať signály zabezpečenia, aby podporili komplexnú detekciu a reakciu na narušenie zabezpečenia. Približne polovica odborníkov na zabezpečenie, medzi ktorými sme nedávno robili prieskum, uviedla, že musia signály korelovať manuálne.1   To je časovo nesmierne náročné a takmer to znemožňuje rýchlu reakciu na potlačenie útoku. Pri správnom použití automatizácie – ako je napríklad korelácia signálov zabezpečenia – možno útoky často rozpoznávať takmer v reálnom čase.

Zistili sme, že mnoho tímov zabezpečenia nedostatočne využíva automatizáciu integrovanú v existujúcich riešeniach, ktoré už používajú. V mnohých prípadoch je použitie automatizácie jednoduché (a má veľký vplyv) a stačí iba nakonfigurovať dostupné funkcie, ako je nahradenie politík prístupu s pevnými pravidlami politikami podmieneného prístupu založenými na riziku, vytvorenie manuálov pre reakcie atď.

Riaditelia CISO, ktorí sa rozhodnú vzdať sa príležitostí, ktoré automatizácia ponúka, tak často konajú z nedôvery a uvádzajú obavu, že systém bude pri prevádzke bez ľudského dohľadu robiť nenapraviteľné chyby. Niektoré z možných scenárov zahŕňajú systém, ktorý nevhodne odstraňuje používateľské údaje, spôsobuje problémy manažérovi, ktorý potrebuje prístup do systému, alebo v horšom prípade povedie k strate kontroly alebo prehľadu o zneužitej zraniteľnosti.

Zabezpečenie však býva rovnováhou medzi každodenným drobným nepohodlím a neustálou hrozbou katastrofického útoku. Automatizácia má potenciám slúžiť ako systém včasného varovania pred takým útokom a jej nepohodlné aspekty možno zmierniť alebo eliminovať. Okrem toho automatizácia v najlepších scenároch nepracuje samostatne, ale po boku ľudských operátorov, keď jej umelá inteligencia môže informovať ľudskú inteligenciu a tiež môže byť ľudskou inteligenciou kontrolovaná.

Aby sme pomohli zaistiť bezproblémové nasadenie, pridávame do svojich riešení režimy iba na nahlasovanie, ktoré umožňujú skúšobnú prevádzku pred nasadením. To umožňuje tímu zabezpečenia implementovať automatizáciu vlastným tempom, dolaďovať automatizačné pravidlá a monitorovať výkonnosť automatizovaných nástrojov.

Lídri v oblasti zabezpečenia, ktorí používajú automatizáciu najefektívnejšie, ju nasadzujú v súčinnosti so svojim tímom, aby vypĺňala medzery a slúžila ako prvá línia obrany. Ako mi nedávno povedal jeden riaditeľ CISO, je takmer nemožné a neúmerne nákladné mať tím zabezpečenia zameraný na všetko a vždy – a keby to aj možné bolo, tímy zabezpečenia sú náchylné k častej fluktuácii pracovníkov. Automatizácia poskytuje vrstvu nepretržite fungujúcej kontinuity a konzistencie, ktorá podporuje tím zabezpečenia v oblastiach, ktorú túto konzistenciu vyžadujú, ako sú monitorovanie prevádzky a systémy včasného varovania. Nasadenie automatizácie v tejto podpornej funkcii pomáha uvoľniť tím tým, že sa nemusí venovať manuálnej kontrole protokolov a systémov, a umožňuje mu fungovať proaktívnejšie. Automatizácia nenahrádza ľudí – je to nástroj, ktorý vašim ľuďom umožňuje uprednostňovať upozornenia a zamerať úsilie tam, kde je to najdôležitejšie.