Objavljeno: 11.6.2019 | Avtor: Miran Varga | Monitor Posebna 2019

Tudi varnostni strokovnjaki se učijo predvsem s prakso

Ste se kdaj vprašali, kakšna znanja in veščine potrebujejo varnostni strokovnjaki in kje jih lahko pridobijo? Verjemite, celo sami si zastavljajo ista vprašanja. Ogromno pa jih lahko nauči tudi ali predvsem praksa.

Ne glede na to, ali gre za vojaško omrežje, spletno trgovino ali neprofitno organizacijo, vsem je skupna varnostna komponenta – danes se podjetja ter organizacije vseh vrst in velikosti stalno soočajo z napadi najrazličnejših oblik. Od svojih varnostnih ekip pričakujejo, da jih ustrezno zavarujejo. To pa je zelo zahtevna naloga, saj je groženj v digitalni obliki tako rekoč nešteto, napadalci pa nekje daleč stran – no, vsaj s prsti ne moremo kar takoj pokazati nanje.

Kakšna znanja in veščine torej potrebujejo varnostni strokovnjaki? To, da jim je tehnologija blizu, je samoumevno, zaradi nje so se bržkone sploh začeli ukvarjati s področjem informacijske varnosti. A tisti najboljši niso le tehnični guruji, pohvalijo se lahko tudi s komunikacijskimi in poslovnimi veščinami, predvsem pa praktičnimi izkušnjami. Praksa je v svetu informacijske varnosti zagotovo ena najboljših učiteljic. Varnostni strokovnjaki oziroma njihove službe so najzgovornejši primer delovnega mesta, kjer je prisotno vseživljenjsko učenje. Delujejo namreč v izjemno dinamičnem okolju, ki se malodane stalno spreminja in raste. Žal ne vedno v smer, kot bi jo oni izbrali.

Izbrali smo sedem praktičnih primerov, ki bi jih moral izkusiti oziroma opraviti vsak posameznik, ki želi biti del varnostne ekipe podjetja ali pa se zaposliti v varnostno-operativnem centru.

Doživeti hekerski napad/vdor

Doživetje hekerskega napada ali vdora v podjetje in njegovo preživetje okrepita slehernega varnostnega strokovnjaka. Čeprav gre predvsem za psihično zelo bolečo izkušnjo, ta prispeva k strmejši krivulji učenja. Hekerski vdor namreč varnostnega strokovnjaka nauči, da neprebojne rešitve in sistemi ne obstajajo. Hekerji se namreč lahko lotijo prav vsakega podjetja in organizacije, za tiste, ki skrbijo za varovanje pred hekerji, pa je pomembno, da se znajo pravilno odzvati na napad ali vdor. To pomeni, da morajo čim prej omejiti oziroma omiliti škodo ter poiskati in zakrpati ranljivosti in druge varnostne pomanjkljivosti, ki so privedle do napada/vdora.

Ustrezno odzivanje na varnostne incidente je namreč v praksi vredno več kot zgolj (naj)novejša oprema.

Ustrezno odzivanje na varnostne incidente je namreč v praksi vredno več kot zgolj (naj)novejša oprema. Prav tako pa se bodo varnostni strokovnjaki, ki so se že soočili s kakšnim hekerskim napadom, znali bolje odzvati ob naslednjem napadu. Kot rečeno, hekerski napadi najhitreje opozorijo na varnostne pomanjkljivosti in naučijo ekipo informatike, da ni vsemogočna. Tudi za druge strokovnjake s področja IT (torej tiste, ki so v sekundarni vlogi) je hekerski napad pomembna izkušnja, saj spoznajo, kje so še priložnosti za izboljšave njihovega dela.

Udeležba na varnostnih tekmovanjih

Varnostne ekipe podjetij bi se morale udeleževati tudi varnostnih tekmovanj, organiziranih po vzoru strateških iger, kjer se med seboj pomerijo pri doseganju zastavljenega cilja (angl. Capture the flag). Na takšnem tekmovanju se namreč člani ekipe naučijo boljše komunikacije in sodelovanja, saj morajo cilj doseči v omejenem času, proti večinoma neznanim nasprotnikom in njihovim nameram. Tudi ekipe, ki ne končajo med zmagovalci, se zagotovo veliko naučijo in tako lažje odpravijo lastne pomanjkljivosti ali napake oziroma prevzamejo dobre prakse tistih, ki so bili boljši. Pomembno je, da se varnostna znanja širijo in krepijo.

Razvoj IT in varnostnih znanj

Nihče ne pričakuje, da bodo varnostni strokovnjaki obvladali prav vsa IT-področja, vsekakor pa je priporočljivo, da premorejo čim več znanja in izkušenj na naslednjih področjih: omrežja, upravljanje sistemov in operacijski sistemi. Prav tako je pomembno, da imajo vsaj del znanja tudi na področju programiranja in programske kode. Potem pridejo na vrsto varnostna znanja, npr. upravljanje identitete in dostopa, odkrivanje težav in ranljivosti naprav, varnost v oblaku, nadzor omrežja, upravljanje ranljivosti in upravljanje orodij v varnostno-operativnem centru. Varnostnih orodij danes resnično ne manjka, je pa res, da lahko kaj hitro zastarijo, še posebej če so povezana zgolj s posameznimi napravami proizvajalcev. Jasno je, da nihče ne more obvladati vseh orodij, si pa varnostni strokovnjaki pri svojem delu kljub temu želijo več univerzalnih orodij, pač takih, ki ne bodo vezana zgolj na posamezno opremo.

Ustvarjanje varnostne ekipe

Tako kot v športu je tudi na področju informacijske varnosti nadvse pomembna ekipa strokovnjakov – omenili smo že, da nihče ne ve in zna vsega. Poleg tega mora vodja ekipe poskrbeti tudi za njeno dobro delovanje, da se zaposleni razumejo in dopolnjujejo. Terminologija varnostnih strokovnjakov pozna več ekip: rdečo, modro in vijoličasto. Medtem ko so v rdeči ekipi strokovnjaki, ki odkrivajo vzroke in razloge napada ali vdora in se osredotočajo na napadalce, se modra ekipa osredotoča na obrambo – kako zaustaviti napad, minimirati nastalo škodo in se pravilno odzvati. Strokovnjaki sicer priporočajo, da se ekipe vsaj v fazi izobraževanja in treninga tudi kdaj premešajo ali celo zamenjajo vloge, saj bodo tako bolje razumele delo obeh strani.

Če imamo v varnostni ekipi mešane strokovnjake iz rdeče in modre ekipe, smo ustvarili vijoličasto ekipo. Ta je lahko učinkovitejša od obeh. Npr. če napadalec pridobi višje pravice, mora to modra ekipa takoj ugotoviti, rdeča ekipa pa preuči, kaj je šlo narobe, da se je napadalec prebil tako daleč – in seveda te informacije posreduje modri ekipi. Boljša kot sta komunikacija in sodelovanje, večja je verjetnost, da ima podjetje učinkovito vijoličasto ekipo.

Spremljanje poslovnežev/vodstva

Varnostni strokovnjaki se pogosto posvečajo iskanju injekcij SQL-ukazov v programsko kodo in porazdeljenih napadov z zavrnitvijo storitve. Čeprav so strokovnjaki za tehnologijo in sledijo vsem najnovejšim raziskavam varnostnih groženj, ne razumejo vedno, kaj se v podjetju dogaja okoli njih. Že sicer je priporočljivo, da se varnostni strokovnjaki poučijo o tem, kaj podjetje dela in kako, saj lahko tako bolje predvidijo, kakšne varnostne grožnje in napadi so uperjeni proti njim. Strokovnjaki tudi priporočajo, da bi morali varnostni strokovnjaki pogosteje spremljati aktivnosti vodstva podjetja in se pogovoriti z njim ter ugotoviti, kaj je za podjetje najpomembneje – katere aplikacije in sistemi morajo nujno delovati, če naj podjetje opravlja svoje poslanstvo. Ko to razumejo, lahko izvedejo analizo varnostnega tveganja za poslovanje ključnih podatkov in sistemov.

Razvoj storitvenega pristopa

Obstaja veliko teorij o tem, kako delujejo najboljše varnostne ekipe in kako so sestavljene. Stroka priporoča varnostne ekipe, ki so mešanica profilov različnih veščin in osebnosti. V praksi so se na varnostnem področju v povprečju najbolj dokazali kadri, ki so imeli ozadje v vojski ali policiji. Seveda pa ni nujno, da ima varnostni strokovnjak vcepljen »vojaški dril«. V ospredje vedno bolj stopa storitvena miselnost oziroma pristop – varnost je storitev varovanja in tudi varnostni strokovnjaki morajo razumeti, da imajo v podjetjih opravka z ljudmi, ki so na neki način njihove stranke.

Stalno iskanje in odpravljanje pomanjkljivosti v IT-okolju

Informacijska varnost je močna le toliko, kolikor je močan njen najšibkejši člen – prav nanj tudi merijo napadalci. Podjetja se pogosto zavedajo svojih adutov in konkurenčnih prednosti, precej manj podrobno pa raziskujejo šibke točke poslovanja, ki so pravzaprav kritične z vidika informacijske varnosti. Penetracijski testi in redna varnostna preverjanja IT-okolja ter zaposlenih morajo postati praksa, saj je za podjetje ceneje, če sama odkrijejo in odpravijo varnostne pomanjkljivosti, kot pa da pride do napada ali vdora oziroma celo kraje finančnih ali osebnih podatkov in druge intelektualne lastnine. Varnostne ekipe se morajo tako posvetiti predvsem analizi IT-okolja in tudi dela zaposlenih – predvsem pa veliko delati na področju izobraževanja zaposlenih, saj prav vsak zaposleni v podjetju lahko predstavlja bodisi varnostno tveganje ali pa steber obrambe.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji