Koncentrirana skrb za varnost
Ne glede na to, ali podjetje premore lastnega skrbnika omrežja, varnostnooperativni center ali pa se za (delno) zagotavljanje teh storitev zanaša na ponudnika upravljanih varnostnih storitev, je jasno: spremljanje kondicije in varnosti omrežja podjetja postaja vse bolj ključno za njegovo poslovanje.
Omrežne in varnostne tehnologije se nenehno razvijajo, zato morajo tako informatiki kot skrbniki omrežij in varnostni strokovnjaki stalno napredovati. V času nenehnih sprememb se je pomenljivo spremenila tudi vloga operaterjev v nadzornih sobah in zaposlenih v varnostnooperativnih centrih (VOC). Danes imajo omrežni in varnostni analitiki vse bolj strateško in poslovno kritično vlogo. Povpraševanje po teh kadrih oziroma ustreznih znanjih pa je večje kot kadarkoli.
Več (varnostnih) aplikacij zahteva več znanja
Spremljanje in vizualizacija delovanja omrežja in varnosti organizacije sta celoviti nalogi, ki sta v praksi podprti z vedno večjim naborom analitičnih orodij in aplikacij. Podobno kot se v poslovnih okoljih »razraščajo« najrazličnejše poslovne aplikacije in storitve, raste tudi raba orodij, ki jih poznajo analitiki v SOC. Mednje sodijo:
–rešitve za zbiranje varnostnih informacij in upravljanje dogodkov (SIEM)
–sistem za zaznavanje vdorov (IDS)
–sistem za preprečevanje vdorov (IPS)
–analitika vedenja uporabnikov in naprav (UEBA)
–rešitve za upravljanje požarnega zidu
–rešitve za razširjeno zaznavanje in odziv (XDR)
–varnostna programska oprema
–rešitve za analizo škodljivih kod »v peskovniku«
Ob toliko orodjih in področjih specializacije je praktično nemogoče, da bi en analitik ali varnostni strokovnjak obvladal vse. Tehnološko okolje se namreč zelo hitro spreminja in postaja raznoliko, da je izziv že pridobivanje ustreznih strokovnjakov za delo v varnostnooperativnih centrih. Raziskava družbe Gartner je lani razkrila, da 64 odstotkov vodij IT kot enega največjih izzivov pri svojem delu navaja nezadostne vire in znanje. Hkrati pa so analitiki ugotovili, da skoraj tretjina (29 odstotkov) veščin, ki so jih zaposleni leta 2018 morali obvladati na povprečnem delovnem mestu na področju IKT-infrastrukture, letos ni več potrebnih.
Od oddelka IT in varnostnih skrbnikov ter varnostnooperativnih centrov se pričakuje, da bodo nenehno na tekočem z novimi tehnologijami. Še več, v sodobnem okolju za odkrivanje groženj se zaposleni ne morejo zanašati le na svoja tehnična orodja, tudi mehke veščine in kritično mišljenje postajajo veliko pomembnejši.
Vzemimo za primer analize škodljivih kod v t. i. peskovniku. Varnostni analitiki testirajo vse vrste sumljivih kod in zlonamerne programske opreme v varnem in izoliranem okolju brez kakršnegakoli tveganja za omrežje in druge vire podjetja. To je zahtevna naloga, ki od analitikov zahteva veliko več kot le nekaj korakov in »kljukic«. V boju proti škodljivim kodam, ki se želijo skriti, zamaskirati, a vseeno doseči tarčo, morajo uporabiti kritično razmišljanje, celo ustvarjalnost, in pri tem sodelovati z drugimi varnostnimi strokovnjaki, saj še vedno velja, da več glav več ve (in vidi).
Cilj avtomatizacije in umetne inteligence ni le učinkovito ravnanje z ogromno količino podatkov, ki ji noben človek ne bi bil kos, temveč tudi zmanjšanje napak in zagotavljanje neprekinjenosti storitev.
Umetna inteligenca in avtomatizacija zahtevata nove vloge varnostnih strokovnjakov
V nadzorno sobo varnostnooperativnega centra se tako vsak dan steka ogromno podatkov. Skupna količina podatkov iz strojne in programske opreme ter plaz opozoril in kibernetskih groženj, ki jih je treba spremljati, več kot očitno presega »zmogljivosti« (beri: sposobnosti) posameznika. Sodobni SOC se zato vedno bolj zanašajo na avtomatizirane procese analize dnevnikov varnostnih dogodkov, ki jih vodi umetna inteligenca.
Dobra novica je ta, da je manj zapletene naloge SOC mogoče v celoti avtomatizirati, tako da je potreba varnostnih strokovnjakov po posredovanju med korektivnimi ukrepi manjša. Še celo ko beseda nanese na fizično varovanje, mobilni roboti za nadzor površin in okolice podjetij niso več znanstvena fantastika. Z uporabo algoritmov umetne inteligence se lahko varnostni sistemi naučijo izvajati naloge zaposlenih na podlagi preteklih izkušenj ter ogromne količine podatkov o usposabljanju in standardizirane postopke opravljajo bliskovito hitro, natančno in predvsem zanesljivo.
Cilj avtomatizacije in umetne inteligence ni le učinkovito ravnanje z ogromno količino podatkov, ki jih noben človek ne bi bil kos, temveč tudi zmanjšanje napak in zagotavljanje neprekinjenosti storitev. Glede na prejeta in analizirana obvestila ter opozorila varnostnih rešitev lahko umetna inteligenca zažene vrsto avtomatiziranih nalog za odpravo varnostne grožnje/tveganja. Seveda ljudje nismo izključeni iz te enačbe. Ko se zgodi hekerski napad ali podoben večji varnostni incident, so varnostni strokovnjaki ključnega pomena. Več rešitev avtomatizacije in umetne inteligence, dodane delovnemu toku varnostnega strokovnjaka, pa je vsekakor dobrodošlih, saj se ta tako lahko osredotoči na manj vsakdanje, manj ponavljajoče se naloge in posveti »anomalijam« ter varnostnim dogodkom, ki zahtevajo kritično razmišljanje.
Strah pred »zastrupitvijo« umetne inteligence
Strah pred uporabo rešitev, ki se zanašajo na umetno inteligenco, v poslovnih okoljih je prav v njihovi mogoči zlorabi s kibernetskimi napadi. Ena največjih groženj sistemom umetne inteligence je možnost »zastrupitve« njihovih podatkov o usposabljanju/učenju. Napadalec s slabimi nameni, ki bi pridobil dostop do podatkov o učenju algoritmov, bi lahko vnesel informacije, ki bi povzročile, da bi algoritem deloval na način, ki ga razvijalci niso pričakovali. Ker je avtomatizacija dela/procesov lahko predvidljiva, to močno olajša delo hekerjem. Sistem oziroma algoritem se navadno osredotoči na eno nalogo. Prav zato nad delom umetne inteligence v varnostnooperativnih centrih še vedno vsaj delno bedijo ljudje – dodana vrednost varnostnega strokovnjaka je, da lahko združi vse informacije iz različnih sistemov in dobi širšo sliko situacije. In »začuti«, da je morebiti nekaj narobe.
Od reaktivnega pristopa k proaktivnemu
Pregovor pravi, da je preventiva boljša od kurative. Tudi za SOC velja, da se v svojem delovanju vedno bolj preusmerja od reaktivnega pristopa k proaktivnemu. Z rednim in s proaktivnim pregledovanjem t. i. indikatorjev ogroženosti (IoC) lahko SOC izloči lažne pozitivne rezultate in ukrepa ob varnostnih opozorilih, ki predstavljajo resnične grožnje. Tudi proaktivno izvajanje rednih ocen tveganja, kjer se določijo ustrezni ukrepi še pred nastankom varnostnih incidentov, je dobrodošlo, saj pomeni, da so varnostni centri in njihove stranke bolje pripravljeni na sanacijo morebitnih prihodnjih varnostnih ranljivosti in se znajo v primeru kibernetskega napada ustrezno odzvati.
Tudi proaktivno izvajanje rednih ocen tveganja, kjer se določijo ustrezni ukrepi še pred nastankom varnostnih incidentov, je dobrodošlo.
Sodelovanje je ključnega pomena
Zadnjih nekaj let je postreglo s številnimi scenariji, ki so temeljito preizkusili delovanje komunikacijskih omrežij v izjemnih situacijah. Med pandemijo je zaradi naraščajočega števila zaposlenih, ki so delali na daljavo, velik izziv oddelkom IT predstavljalo že zagotavljanje zanesljive povezljivost in neprekinjenega poslovanja. Pandemija je pospešila tudi selitev poslovanja podjetij v oblak, kar je še bolj obremenilo omrežja. Številna podjetja so morala nadgraditi svoje omrežne rešitve, marsikatero je iskalo tudi kakšno bližnjico, saj so se jim rešitve za varno povezljivost in spremljanje infrastrukture v oblaku zdele predrage (ali pa nepotreben strošek).
Nekatera podjetja so skrb za informacijsko in kibernetsko varnost preprosto zaupala zunanjim izvajalcem – ponudnikom storitev SOC. Spet druga so se odločila za hibridni varnostni model, pri katerem za del varnostnih operacij še vedno skrbijo interno, medtem ko so druge varnostne naloge oddane v izvajanje specializiranim ponudnikom. Za manjša podjetja, ki varnostnih strokovnjakov ne zaposlujejo niti si jih ne morejo privoščiti, sta selitev poslovanja v oblak in uporaba upravljanih varnostni storitev ponudnikov ne le privlačna, temveč kar priporočljiva možnost.
Za večja podjetja, ki premorejo lastni oddelek IT in so v zadnjem desetletju ustvarila še ločen oddelek za informacijsko varnost, je SOC priložnost za zmanjšanje stroškov in optimizacijo virov. Združitev varnostnih in omrežnih operacij v t. i. center za varnost in omrežne operacije (SNOC) je smiselna, saj oba oddelka opravljata podobne funkcije – spremljata omrežni promet in konfiguracije naprav ter zagotavljata neprekinjeno poslovanje.
Če se podjetje odloči za predajo skrbi za varnost zunanjemu ponudniku, a želi hkrati obdržati lastni oddelek IT, pa mora najti načine za učinkovito sodelovanje obeh, da ob težavah ne pride do prelaganja odgovornosti med obema stranema. V večini primerov ponudniki ne bodo prevzeli celotne odgovornosti za vsakodnevne operacije, ampak samo nekatere naloge oddelka IT. V tem primeru bodo morale IT-ekipe določiti jasne vloge in poiskati učinkovite načine za sodelovanje v kriznih primerih, da bi zagotovile sprejemanje kritičnih odločitev v realnem času.
Vloga varnosti pri digitalni preobrazbi
IT ima vse pomembnejšo vlogo v poslovanju. To je bilo očitno že med pandemijo in se bo obdržalo tudi v prihodnjih letih. Vloga varnostnooperativnega centra bo postala enako strateška za poslovanje. Sploh zato, ker se nekateri v pandemiji uvedeni ukrepi ohranjajo – npr. delo na daljavo. Nov način dela ni le zabrisal ločnice med zasebnim in poslovnim življenjem, temveč je zaposlene izpostavil kibernetskim grožnjam. To pomeni, da se IT-okolje podjetja širi tudi v domove zaposlenih, z vidika IT in varnostnih strokovnjakov pa je to podobno, kot bi imelo podjetje toliko podružnic, kolikor ima zaposlenih. Vsak od njih in njegove naprave ter poverilnice so lahko tarča napadalcev.
Informatiki in varnostni strokovnjaki morajo posvetiti posebno pozornost deljenju podatkov z zaposlenimi, ki delajo na daljavo. Omrežne povezave in varnostne rešitve so danes pomembnejše kot kadarkoli, informacijska in kibernetska varnost pa eden temeljev sodobnega poslovanja. In ker se na slabih temeljih ne da graditi, velja poskrbeti, da bo varnostna kondicija podjetij kar najboljša, če naj njihova digitalna preobrazba uspe.