Napredne tehnologije za varnostni operativni center
Področje kibernetske varnosti v informacijsko-komunikacijskih okoljih postaja vse kompleksnejše, kar še posebej velja za sisteme kritične infrastrukture. Na to vpliva več dejavnikov, ki zajemajo pogostost in vpliv kibernetskih napadov, raznolikost in naprednost napadalskih tehnik, sofisticiranost vektorjev in motivov vdorov, geopolitične razmere, vpetost varnosti in informatizacije v družbo ter v poslovne sisteme itd.
Napadalci razvijajo zlonamerne programe, ki so čedalje bolj škodljivi in raznoliki, zaradi česar jih je težko odkriti. Uporabljajo številne napredne pristope in tehnologije, ki vključujejo napade DDoS, vdore z izkoriščanjem ranljivosti sistemov in programske kode, vdore na osnovi zlorabe prijavnih podatkov, izsiljevalsko programje, izrabo zaupanja ljudi s socialnim inženiringom, spletne goljufije, napade »na dan 0«, tuneliranje DNS, napade na naprave IoT ter škodljivo programsko opremo. V zadnjem času smo pri- ča porastu števila avtomatiziranih napadov, ki jih napadalci načrtujejo z uporabo strojnega učenja in umetne inteligence, pa tudi kompleksnih kombiniranih napadov, ki združujejo več tehnik, npr. zaporedje akcij ribarjenja, napada »na dan 0« in napada DDoS. Hkrati s številom zaznanih kibernetskih incidentov tako konstantno naraščajo tudi stroški posledic kibernetskega kriminala, ki naj bi do konca leta 2025 tako na letnem nivoju narasli na kar 10,5 bilijonov EUR.
Osnovna varnostna oprema, kot so požarne pregrade in protivirusno programje, tako ne zadošča več za učinkovito kibernetsko varnost. Potrebno je poseči po naprednej- ših in sodobnejših varnostnih tehnologijah. Temu k sreči sledi tudi varnostna industrija, ki letno za razvoj in uvedbo varnostnih rešitev ter tehnologij nameni okoli 150 milijard EUR, pri čemer naj bi ta številka do leta 2029 narasla na približno 380 milijard EUR. Na voljo so številne varnostne rešitve in tehnologije, ki predstavljajo pomemben tehnološki napredek. Najrelevantnejše med njimi uvajamo v varnostnem operativnem centru za sektor energetike, ki deluje sklopu v družbe Informatika.
Tehnologije za upravljanje varnostnih podatkov in postopke odzivanja
SIEM (Security Information and Event Management) je orodje, ki zagotavlja celovit prikaz omrežnega prometa varovanega omrež- ja. Dogodke pridobiva iz različnih omrežnih naprav, računalnikov ipd., katere je mogoče spremljati v realnem času. Podpira tudi pregledovanje in analiziranje dogodkov za nazaj. V povezavi s sistemom SIEM pogosto posežemo tudi po tehnologiji UBA (User Behavior Analytics), s pomočjo katere analiziramo vedenje uporabnikov in tako razpoznavamo zlonamerne in tvegane uporabnike, prepoznavamo nenavadne aktivnosti uporabnikov ter ugotavljamo možne zlorabe uporabniških računov in pravic dostopa.
SOAR (Security Orchestration, Automation and Response) je orodje, ki združuje avtomatizacijo varnostnih operacij, odzivanje na varnostne incidente ter upravljanje tveganj, ranljivosti in groženj. To nam omogoča, da prihranimo čas varnostnega osebja za zahtevnejša opravila.
Honeypot je orodje, ki se uporablja za odkrivanje ali preprečevanje nepooblaščenih dostopov. Sistem je nastavljen tako, da simulira realne podatke, varnostno pa deluje kot oslabljen oz. ranljiv sistem. Tako privablja potencialne napadalce, zraven pa beleži vse aktivnosti.
Varovanje sistemskih storitev ter industrijskih, procesnih in integriranih okolij
Varnost verige je tako močna, kot varovanje njenega najšibkejšega člena. Prav zaradi tega je nujno spremljati delovanje in isto- časno varovati tudi sistemske storitve, kot je npr. DNS. Le-ta je dragocen vir informacij za zaznavo in preprečevanje vdorov. Istočasno je tudi komunikacijski kanal, po katerem lahko nepridipravi prenašajo podatke, ukaze C2C in/ali zlonamerno programsko opremo v obe smeri. DNS požarni zid je rešitev za preprečitev tovrstnih komunikacij, toda bolj iskane so rešitve z vgrajeno analitiko DNS poizvedb, algoritmi za zaznavo avtomatično generiranih domen (DGA) ter zaščito z dostopom do podatkov o aktualnih grožnjah. Trend pa je integracija orodji za spremljanje in varovanje DNS-a z drugimi varnostnimi orodji (vaba, peskovnik, iskalniki ranljivosti, zaščita končnih točk, NAC, SIEM ipd).
Industrijska okolja (ICS), procesni sistemi (OT) in internet stvari (IoT) so mamljiva tarča, še posebej v primeru kritične infrastrukture in bistvenih storitev. Za varovanje teh sistemov so potrebna specializirana orodja predvsem zaradi narave delovanja tovrstnih sistemov, njihove ranljivosti in omejitev.
Preventivna varnostna analitika
V današnjih časih postaja vse bolj nujna preventivna varnostna analitika. Namesto da zgolj čakamo na napad, se je smisleno nanj vnaprej pripraviti. Z brskanjem po javno dostopnih virih (OSINT), še posebej po temnem spletu (dark web), lahko pridobimo podatke, ki napovejo metodo in druge parametre napada. Postopek zbiranja in filtriranja tovrstnih podatkov ni učinkovit brez uporabe sofisticiranih orodji.
V preventivno varnostno analitiko se šteje tudi iskanje ranljivosti v varovanem sistemu, ki bi jih hekerji lahko uporabili za vdor. Sodobna orodja poleg iskanja ranljivosti vključujejo tudi funkcionalnosti, ki ranljivost odpravijo (korektivni ukrep ali posodobitev) ali informacijo o prežeči nevarnosti sporočijo v orodje za spremljanje (SIEM).
Inteligentni pristopi in tehnologije
Tehnologije za inteligenco kibernetskih groženj (CTI – Cyber Threat Intelligence) lahko dvignejo zaznavanje groženj in odzivanje nanje na višji, strateški varnostni nivo, ki omogo- ča razumevanje širših trendov in motivov napadalcev. To vključuje analizo in raziskovanje groženj, spremljanje napadalskih kampanj, profiliranje in zavajanje napadalcev ter samodejno zaznavanje in blokiranje kibernetskih napadov. Inteligenca kibernetskih groženj zagotovi kontekst, na osnovi katerega smo neprenehoma seznanjeni z aktualnimi grožnjami, identiteto in motivi napadalcev, metodami in vektorji napadov ter kazalniki povzro- čene škode. Te tehnologije zbirajo podatke o grožnjah iz različnih virov ter omogočajo njihovo obdelavo in izmenjavo. Podprte so z uveljavljenimi standardi, kot sta STIX in TAXII, ki služita za izmenjavo informacij o kibernetskih grožnjah, ter MITRE ATT&CK, ki predstavlja standardno bazo znanja o taktikah in tehnikah napadalcev.
Umetna inteligenca v povezavi s strojnim učenjem v splošnem bistveno olajša in pohitri delo s podatki ter najde vzorce v masovnih podatkih, ki jih sicer ne bi zasledili. Omogoča obdelavo velikih množic podatkov, s katerimi bi se varnostni strokovnjaki soočali le s težavo, s tem pa bistveno zmanjša število lažno pozitivnih zaznanih incidentov. Za obrambo uporabljamo defenzivno umetno inteligenco, ki okrepi varnostne mehanizme in predstavlja protiutež ofenzivni umetni inteligenci. Slednja je močno orodje v rokah napadalcev, katerim daje zmožnost izpeljave sofisticiranih vektorjev napadov, ki jih je težko zaznati, saj slonijo na ustvarjanju in uporabi lažne sintetične vsebine.
Temeljne podporne tehnologije
Osnova tehnologij za kibernetsko varnost je uporaba podatkovnih tehnologij in baz, ki shranjujejo veliko količino podatkov o varnostnih dogodkih in grožnjah ter omogočajo pregled in obdelavo le-teh. Ključni podatkovni viri zajemajo baze varnostnih podatkov, ki jih zbirajo sistemi SIEM in SOAR, ter baze znanja za inteligenco kibernetskih groženj. V praksi se uporabljajo različne zasnove podatkovnih baz. Poleg relacijskih in objektnih tehnologij pridobivajo na pomenu tehnologije veri- ženja blokov, ki omogočajo varno shranjevanje podatkov na porazdeljen in šifriran način.
Zelo pomembna je integracija med orodji, saj z njo pridobimo veliko koristi, bodisi pri avtomatizaciji lažjega dela in opravil bodisi v smislu doseganja večje funkcionalnosti orodij. Največkrat za integracijo med orodij uporabljamo vmesnike API (Application Programming Interfece) in različne programske jezike, kot je npr. Python.
VOC Informatika zagotavlja kibernetsko varnost v energetiki z uvajanjem in uporabo naprednih varnostnih tehnologij
Učinkovito kibernetsko varnost lahko zagotovi le pravilna kombinacija različnih tehnologij, saj so le-te funkcionalno kompleksne ter se dopolnjujejo in prekrivajo, kar pomeni, da je npr. umetna inteligenca pogosto sestavni del sistemov SIEM, SOAR, UBA in CTI. Umetnost uspešne kibernetske varnosti se tako skriva v pravi strategiji izbire, uvedbe in uporabe tehnologij. Prav tako mora biti delo s tehnologijami podprto z ustreznimi procesi in usposobljenimi kadri, zaradi česar lahko v kompleksnih okoljih in zlasti v sistemih kritič- ne infrastrukture tehnologije za kibernetsko varnost v celoti izkoristimo predvsem v sklopu varnostnih operativnih centrov (VOC). Takšen VOC je organiziran v družbi Informatika in pokriva kibernetsko varovanje sektorja kritične energetske infrastrukture. VOC Informatika uvaja in uporablja številne sodobne in napredne tehnologije za kibernetsko varnost, kar je še posebej ključno v današnji zapleteni geopolitični situaciji, ko je energetska infrastruktura izrazito izpostavljena zaradi energetske krize in vojne v Ukrajini. Prav tako se pri varovanju te infrastrukture soočamo z veliko kompleksnostjo zaradi velikega števila integriranih naprav in elementov omrežja ter zaradi potrebe po transparentnem varovanju povezanih vertikalnih nivojev, od operativnega nivoja energetskega omrežja (OT), prek nivoja upravljanja omrežja (ADMS/SCADA) do nivoja informacijske tehnologije (IT).
Poleg opisanih so pomembne so še druge tehnologije, ki jih je prav tako potrebno vklju- čiti v VOC. Med osnovne tehnologije spadajo protivirusni programi, programi za blokiranje neželenih vsebin, sistemi za upravljanje identitet in požarne pregrade. Med naprednejšimi rešitvami in pristopi pa gre izpostaviti še razširjeno zaznavo končnih točk in odzivanje (EDR/ XDR), enkripcijo za oblačne storitve, veriženje blokov, varovanje z zavedanjem konteksta, varovanje z ničelnim zaupanjem, sisteme za zaznavanje in preprečevanje vdorov (IDP – Intrusion Detection and Prevention) ter druge.
Več na www.informatika.si.