Naj me ščiti nekdo drug ...
Vsako podjetje si želi imeti najsodobnejšo zaščito pred kibernetskimi napadi, zlasti ker so ti napadi vedno pogostejši in nevarnejši. Ranljivosti, napake in prevare lahko posamezno podjetje stanejo na milijone evrov. Zelo hitro se zato tam pojavi misel: Kaj pa, če bi za našo kibernetsko varnost skrbel nekdo drug?
Kdo le? Specializirani ponudnik na področju kibernetske varnosti oziroma varnostno-operativni center (SOC) premore varnostna orodja in znanje, ki so potrebni za zagotavljanje varnosti in odpornosti slehernega okolja IT. SOC lahko torej razumemo kot centralizirano enoto, ki vključuje fizično lokacijo, osebje in orodja, namenjena spremljanju, odkrivanju in zmanjševanju groženj kibernetske varnosti drugih podjetij in organizaciji ter odzivanju nanje. Tudi v Sloveniji že deluje več varnostno-operativnih centrih, največ jih premorejo telekomunikacijski operaterji in podjetja, specializirana za področje varnostnih rešitev. Sprva so jih razvila oziroma vzpostavila za lastne namene varovanja pred vse bolj kompleksnimi varnostnimi grožnjami in napadi, kaj hitro pa so spoznala, da lahko z njimi tudi služijo denar. In sicer tako, da svoje storitve nudijo drugim podjetjem.
Ali se to v praksi obnese? Se. Vsaj takrat, ko imajo opravka z resnimi strankami, s takimi, ki jim je dejansko mar za kibernetsko varnost in odpornost, in s takimi, ki se zavedajo, da morajo zanju tudi same kaj postoriti. Scenarija iz uvoda, da bi za kibernetsko varnost lahko celovito skrbel nekdo drug, pač za zdaj še ni. Še tako dobre varnostne rešitve namreč ne opravijo svojega dela, če napadalce, karikirano, skozi vhodna vrata pospremi kar zaposleni v podjetju.
Ker se področje spremljanja varnosti nenehno razvija, se tudi trendi in najboljše prakse SOC sčasoma spreminjajo. Preverili smo, s kakšnimi spremembami se ta hip soočajo SOC in kako jih upravljajo. V nasprotju s skrbniki informacijske in kibernetske varnosti v podjetjih se SOC posvečajo predvsem naprednejšim in proaktivnejšim pristopom k odkrivanju groženj in odzivanju nanje. Skratka, napadalce in grožnje aktivno iščejo in blokirajo, še preden bi lahko v omrežjih in podjetjih povzročili večjo škodo.
Storitve odkrivanja in odzivanja na grožnje
Tradicionalno so se podjetja pri spremljanju svojih omrežij in sistemov ob morebitnih grožnjah večinoma zanašala na notranje varnostne ekipe oziroma oddelek IT, pa če je ta premogel kakšnega »čistokrvnega« varnostnega strokovnjaka ali ne. Zaradi vse večje kompleksnosti IT-okolij in širjenja naprednih kibernetskih groženj osebju je vse težje slediti najnovejšim varnostnim grožnjam. Storitve upravljanega odkrivanja in odzivanja (MDR), ki jih nudi SOC, podjetjem omogočajo dostop do specializiranega strokovnega znanja in naprednih orodij, s katerimi lahko učinkoviteje spremljajo svoje sisteme in odkrivajo morebitne varnostne težave ter jih še pravočasno zakrpajo.
Avtomatizirati vse, kar se avtomatizirati da
Ko imajo varnostni strokovnjaki opraviti z več tisoč grožnjami dnevno, postane jasno, da želijo avtomatizirati čim več nalog, sploh zato, ker si je večina varnostnih groženj (vsaj za zdaj) relativno podobnih. Vse večja priljubljenost varnostnega orkestriranja, avtomatizacije in odzivanja na grožnje je vodila do razvoja orodij SOAR. Ta so zasnovana tako, da podjetjem (in SOC) pomagajo avtomatizirati in racionalizirati postopke odzivanja na varnostne grožnje. Z uporabo orodij SOAR se lahko hitro in učinkovito odzovejo na morebitne varnostne grožnje, kot so napadi z zlonamerno programsko opremo ali vdori v omrežje in sisteme. Delujejo namreč kot centralizirana platforma za usklajevanje in upravljanje različnih korakov pri odzivanju na varnostni incident. Tako lahko samodejno zbirajo in analizirajo podatke iz več virov, kot so omrežne naprave (stikala, usmerjevalniki, internetni prehodi), strežniki in aplikacije. Podatki iz teh virov se zbirajo in uporabljajo za prepoznavanje anomalij in morebitnih varnostnih groženj ter določanje ustreznega odziva na neko grožnjo ali varnostni incident, na primer izolacijo posameznih naprav, povezav ali spremembo nastavitev (blokad) v požarnem zidu. Rezultat? Podjetja tako lahko hitro omejijo in ublažijo vpliv varnostnega incidenta ter preprečijo njegovo širjenje v druge dele okolja IT.
SIEM, NDR in EDR
SOAR se lahko uporablja v povezavi z orodji za upravljanje varnostnih informacij in dogodkov (SIEM), rešitev za zaznavanje in odzivanje na anomalije v omrežju (NDR) ter programov za zaznavanje in odzivanje na napravah (EDR). Ti pristopi si ne nasprotujejo, temveč se dopolnjujejo. Orodja in rešitve SIEM, NDR ter EDR imajo pomembno vlogo v prvi liniji varnosti, ki jo nudi SOC, saj filtrirajo in odkrivajo varnostne incidente. SOAR pa varnost SOC dvigne na naslednjo raven, saj ponuja ustrezno sanacijo resničnih groženj.
Dodatno dimenzijo učinkovitosti teh orodij pa je prinesla tehnologija umetne inteligence, saj so njeni algoritmi pri prepoznavanju anomalij še veliko boljši od varnostnih strokovnjakov in tudi bliskovito odzivni. Najboljše omrežne rešitve napadalca oziroma anomalijo v omrežju zaznajo in blokirajo v delčku sekunde – vsekakor dovolj hitro, da ne more povzročiti resne škode.
Res pa je, da so popolni nabori varnostnih orodij, ki jih je iz meseca v mesec več, za posamezno podjetje, če ne govorimo ravno o globalni korporaciji, predragi. Za podjetja vseh vrst in velikosti je zato precej boljši varnostni recept ta, da najamejo storitve varnostno-operativnega centra, po možnosti takega, ki je specializiran za varovanje sistemov in IT-okolij v njihovi panogi.