Oglasno sporočilo
Objavljeno: 5.12.2023

Proaktivni VOC – napredne tehnike odzivanja na kibernetske grožnje

Hiter razvoj in napredek tehnologije ter vse večja kompleksnost in obsežnost digitalnih sistemov poleg vseh prednosti vržeta na plano tudi več ranljivosti, kar prinaša več priložnosti za kibernetske nepridiprave. V zaščito informacijskih sistemov organizacije vlagajo izjemne napore in visoke finančne vložke, kot na primer: varnostne ukrepe, kontrole, različne zaščitne mehanizme, rešitve in metode, ozaveščanje uporabnikov informacijske tehnologije … A se nam često zgodi, da se kakšen kos škodljivega programja vsemu navkljub izmuzne mimo vsega naštetega. Vse več varnostnih operativnih centrov (VOC) se zato poslužuje naprednih, proaktivnih metod in pristopov. V nadaljevanju si bomo tako pogledali nekaj takšnih oblik zoperstavljanja kibernetskim grožnjam.

Obveščanje o kibernetskih grožnjah

Obveščanje o kibernetskih grožnjah (Cyber Threat Intelligence – CTI) je v zadnjem času postalo eden ključnih elementov učinkovitega preprečevanja incidentov. S pomočjo CTI dobimo dragocene informacije o novih in kompleksnih grožnjah, ki jih lahko nepridipravi uspešno zlorabijo za napade na informacijske sisteme. S tem, ko se VOC osredotoči na pridobivanje in analizo obveščevalnih informacij o grožnjah, lahko še pravi čas sprejme ustrezne protiukrepe. V procesu pridobivanja CTI mora VOC najprej razpolagati z obsežnim naborom virov in partnerstev, ki zagotavljajo sveže in ažurne podatke. V naslednji fazi morajo pridobljeni podatki postati uporabne informacije. To skrb prevzamejo ustrezno usposobljeni analitiki, ki morajo podatke razumeti, jim določiti kontekst in tako pridobljene informacije uporabiti za nujne protiukrepe. Končen učinek je resda težko dokazljiv, a je po drugi strani samoumeven. Če se nam namreč incident ni zgodil, seveda še ne pomeni, da se nam ravno tako ne bi, če preventivnih ukrepov, sprejetih na osnovi CTI, ne bi izvedli. Ne vemo torej zagotovo, dejstvo pa je, da vsaka dodatna plast zaščite pripomore k višji skupni kibernetski odpornosti.

Obveščevalna orodja

Eno izmed orodij, ki postaja nepogrešljivo pri operativnem delovanju VOC, je prav gotovo MISP (Malware Information Sharing Platform). Ta prosto dostopna platforma se je v zadnjih letih močno razširila v organizacijah, ki razumejo pomen in moč obveščevalnih podatkov. V osnovi je namenjena izmenjavi, sodelovanju in deljenju obveščevalnih podatkov o kibernetskih grožnjah med organizacijami in skupnostmi, ki imajo vzpostavljeno medsebojno zaupanje. Lahko rečemo, da gre za skladišče obveščevalnih podatkov o grožnjah, ki lahko vsebujejo kazalnike kompromitiranja (Indicators of Compromise – IoC), vzorce kode, profile akterjev groženj, ukrepe, rešitve, tudi orodja. Standardizirana struktura podatkov (v formatih STIX, JSON, XML ali CSV) omogoča enostaven prenos, avtomatizacijo in integracijo z drugimi orodji, kot je na primer SIEM (Security Information and Event Management). MISP se nenehno razvija in v zadnjih različicah zmore tudi korelacijo med na videz nepovezanimi incidenti. Slednje znatno pripomore k razumevanju širše slike, kot je denimo identifikacija taktik, tehnik in procedur (TTP), ki jih uporabljajo napadalci. To omogoča boljše razumevanje in zgodnje odkrivanje ter posledično preprečitev napada.

Odzivanje na incidente v luči direktive NIS2

V zadnjem času se veliko govori o novi izdaji NIS direktive (NIS2), ki je bila vzpostavljena za izboljšanje kibernetske varnosti v Evropski uniji. Urad Republike Slovenije za informacijsko varnost (URSIV) mora določila NIS2 prenesti v nacionalni pravni red, to je v Zakon o informacijski varnosti (ZInfV) do konca oktobra Proaktivni VOC – napredne tehnike odzivanja na kibernetske grožnje H OGLASNO SPOROČILO naslednjega leta. ZInfV-2 bo po pričakovanjih bolj podrobno opredeljeval zavezance (vključno z dobavitelji) in strožje ukrepe, ki jih morajo ti sprejeti. Nekateri od ukrepov tako vzpodbujajo napredne pristope, ki naslavljajo predvsem kritično infrastrukturo. Direktiva skuša obravnavati izzive čezmejnega delovanja grožnje kibernetski varnosti, ki lahko vplivajo na več držav članic EU in zahtevajo usklajene odzive. Vsaka država članica za ta namen imenuje enega ali več odzivnih centrov (CSIRT). Le- -ti bodo spremljali in analizirali kibernetske grožnje, ranljivosti in incidente na nacionalni ravni, zagotovili zgodnja opozorila in obvestila ter poskrbeli za razširjanje informacij v skupnosti. Obenem CSIRT poskrbi tudi za obveščanje na ravni EU, pri čemer bo ENISA po posvetovanju s skupino za sodelovanje razvijala in vzdrževala evropsko zbirko ranljivosti.

Proaktivno ukrepanje proti ranljivostim

Zbirke ranljivosti so ključne za izvedbo premostitvenih ukrepov, ki proaktivno preprečijo ali zmanjšajo učinke varnostnih groženj in povečajo splošno odpornost organizacij ter informacijskih in tehnoloških sistemov. Takšen pristop omogoči, da se VOC pripravi na grožnje, oceni njihov vpliv in vpelje zaporedje akcij, ki jih izvede še pred morebitnim varnostnim dogodkom. Osrednja zbirka za identifikacijo splošnih znanih ranljivosti infrastrukturnih virov informacijskih, komunikacijskih in industrijskih sistemov je baza NVD (National Vulnerability Database). Ranljivosti so opisane v obliki CVE (Common Vulnerabilities and Exposures) in jim pripadajo ocene resnosti po sistemu CVSS (Common Vulnerability Scoring System). Oceno CVSS lahko VOC upošteva kot enega od objektivnih ocenitvenih kriterijev za prioretizacijo virov, vendar pa zaradi splošnosti in pogostih manipulacij s strani napadalcev, ki aktivno spremljajo bazo NVD, ni zadostna za samostojno obravnavo. Napredni VOC tako uporablja celovitejši odločitveni sistem za analizo ranljivosti in stroškovno učinkovito izbiro premostitvenih ukrepov, ki upošteva različne tehnične in poslovne kriterije ter sledi priporočilom standardov ISO 15408 in ISO 31000 kot tudi organizacij NIST in NESCOR za obvladovanje informacijskih varnostnih tveganj. Za upravljanje premostitvenih ukrepov VOC v varnostne procese in tehnologije neposredno integrira ogrodja za klasifikacijo ukrepov. Med uveljavljenimi ogrodji velja izpostaviti MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), ogrodje Critical Security Controls in strategije ACSC (Australian Cyber Security Centre). Še posebej relevantno je ogrodje MITRE ATT&CK, ki se gradi na podlagi stvarnih opazovanj, praktičnih izkušenj in dobrih praks. Za različne domene so definirane matrike, ki opišejo in ocenijo ranljivosti ter TTP-je. MITRE ATT&CK priporoča različne premostitvene ukrepe, ki naslavljajo posamezne TTP-je ter pomagajo organizacijam zmanjšati ranljivosti na napade in izboljšati splošni nivo odpornosti.

Avtomatizirane in standardizirane odzivne procedure

Osnovna naloga VOC je, da aktivno spremlja varnostne informacije in dogodke ter se nanje odziva. Čim zazna kibernetski napad, sproži ustrezne premostitvene ukrepe in odzivne procedure, s katerimi omili ali odstrani posledice napada. Pri tem lahko izdatno pomaga tehnologija SOAR (Security Orchestration, Automation and Response), ki omogoča avtomatizacijo varnostnih operacij in procedur odzivanja na varnostne incidente. Klasična orodja SOAR so v široki uporabi, vendar pa imajo pomanjkljivosti pri standardizaciji in izmenjavi odzivnih procedur. To je ključnega pomena zlasti v luči direktive NIS2, ki vzpodbuja usklajenost odzivov na incidente med različnimi državami Evropske unije, sektorskimi VOC, nacionalnimi CSIRT-i in poslovnimi sistemi. Proaktivni VOC tako implementira sodobne standarde in orodja za opisovanje, usklajevanje, upravljanje in izmenjavo odzivnih procedur. Takšen standard je CACAO Security Playbooks, ki ga uvaja standardizacijska organizacija OASIS in omogoča izvoz v obliko JSON. Računalniško opisljive odzivne procedure se avtomatizirano izvajajo na naprednih procesnih strojih in so neposredno vpete v procese obravnave incidentov na vseh nivojih VOC, kar pomeni, da vključujejo usmerjene preiskave varnostnih dogodkov na osnovi obveščevalnih informacij in kazalnikov IoC ter usklajeno delo notranjih in zunanjih odzivnih skupin.

VOC Informatike nudi napredne proaktivne tehnologije za domeno energetike in širše

Hiter napredek informacijske tehnologije ter vse večja kompleksnost digitalnih sistemov predstavljata tudi več ranljivosti in s tem večjo izpostavljenost napadom. Kibernetska varnost v korporativnih okoljih zato zahteva vse bolj proaktiven pristop. Ključno je, da se podjetja pravočasno odzovejo in poskrbijo za ustrezno raven kibernetske odpornosti. VOC Informatika razvija, vpeljuje, izvaja in uporablja številne sodobne, napredne in proaktivne tehnike ter procese odzivanja na kibernetske grožnje in napade za obsežne IT in OT sisteme, zlasti v domeni eneregetike, pa tudi širše. Najem storitev VOC je zato prav gotovo prava odločitev in koristna dolgoročna investicija.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji