VOC naslednje generacije

Krepitev proaktivne kibernetske varnosti s sodelovanjem in z izmenjavo informacij o kibernetskih grožnjah.

Področje kibernetske varnosti posta­ja vse pomembnejše in zahtevnejše, saj se v zadnjem času soočamo z na­prednimi tehnikami napadov in s porastom iz­postavljenosti, kompleksnosti ter povezljivo­sti informacijsko-komunikacijskih sistemov, ki so ključ za doseganje vseprisotne digitalizaci­je. Prav tako ne smemo prezreti posledic ka­skadnih učinkov kibernetskih napadov, ki lah­ko zlasti v okoljih kritične infrastrukture in bi­stvenih storitev ogrozijo povezane vire različ­nih deležnikov. To krepi težnje po sodelova­nju, ki jih dodatno poudarja dejstvo, da so za učinkovito upravljanje kibernetskih groženj bistveni dobra obveščenost ter souporaba znanja, postopkov in modelov za zaznavanje napadov ter odzivanje nanje. V ospredje tako prihajajo proaktivni pristopi in sodelovalni vi­diki kibernetske varnosti. Ti vključujejo izme­njavo obveščevalnih informacij za odločanje, standardizacijo in izmenjavo odzivnih proce­dur, vzpostavitev ekspertnih skupnosti z vple­tenostjo varnostnih operativnih centrov in od­zivnih ekip na korporativni ali nacionalni rav­ni, uporabo pretočnih kanalov in platform za upravljanje kibernetskih dogodkov ter števil­ne druge mehanizme.

Avtomatizacija odzivanja na kibernetske incidente

Učinkovito in hitro odzivanje na incidente je ključnega pomena za kibernetsko varnost, saj omeji vplive kibernetskih incidentov, skraj­ša čas okrevanja ter zmanjša stroške, potrebne za odpravo posledic in obnovitev normalnega delovanja. Še posebej v okoljih kritične infra­strukture mora upoštevati vidike različnih de­ležnikov, ki se povezujejo v proizvodnih in do­bavnih verigah, slediti nacionalni zakonodaji ter zagotoviti skladnost z direktivo NIS2, ki jo je Evropska unija sprejela kot regulativni okvir za krepitev kibernetske odpornosti evropske­ga prostora, dvig varnosti dobavnih verig in standardizacijo postopkov poročanja nacio­nalnim odzivnim centrom v primerih resnej­ših incidentov.

Za zagotavljanje skladnosti z zakonodajni­mi zahtevami je ključno vpeljati standardizira­ne odzivne procedure (angl. playbooks) in va­nje vključiti pravila ter mehanizme poročanja, ki sovpadajo s fazami priprave, zaznavanja in analize, zamejitve in odprave napak, okreva­nja ter aktivnosti po incidentu. To omogoči, da v korporativnih okoljih in varnostnih operativ­nih centrih samodejno prožimo in avtomati­ziramo odzivne postopke. Sodelovalne aktiv­nosti, podprte z ustreznimi orodji, omogočijo koordinirani odziv na kibernetske incidente in tako znatno zmanjšajo njihove negativne vpli­ve. Takšen pristop zahteva uporabo formata za opis strojno berljivih, izvedljivih in izmen­ljivih odzivnih procedur ter oblikovanje več­nivojskega procesa, ki omogoči varnostnim analitikom, da uskladijo odzivne procedure na podlagi informacij in zahtev iz različnih korpo­rativnih okolij in virov. Procesno ogrodje za­gotovi opisovanje odzivnih procedur na več ravneh abstrakcije, zlasti v grafični modelirni notaciji BPMN (Business Process and Notation) ter v izvedljivi obliki, ki sloni na standardu CA­CAO Security Playbooks, za katerim stoji orga­nizacija OASIS.

Izmenjava obveščevalnih informacij o kibernetskih grožnjah

Za potrebe koordinacije in večanja informi­ranosti posegamo po platformah in orodjih, ki podpirajo izmenjavo obveščevalnih infor­macij (Cyber Threat Intelligence – CTI), ker lah­ko z njimi osnovne parametre napadov, kot so tipi napadov in IP-naslovi napadalcev, ter osta­le indikatorje zlorab (Indicators of Compromi­se – IoC) neposredno delimo s širšo skupno­stjo povezanih deležnikov na področju kiber­netske varnosti. To omogoči drugim deležni­kom takojšnje proaktivno ukrepanje za pre­prečevanje istih incidentov. Uveljavljeni plat­formi sta STIX/TAXII in MISP (Malware Informa­tion Sharing Platform). Ker omogočata varno izmenjavo informacij o kibernetskih dogod­kih in ukrepih, zagotovita potrebno raven za­upanja med deležniki, ki se povezujejo v sku­pnosti z namenom izmenjave obveščevalnih informacij.

Učinkovito in hitro odzivanje na incidente je ključnega pomena za kibernetsko varnost.

Sodelovanje z uporabo platforme MISP

MISP (Malware Information Sharing Plat­form) je odprtokodna platforma za izmenja­vo tehničnih in netehničnih informacij o zlo­namerni programski opremi, kibernetskih na­padih, incidentih in grožnjah ter drugih splo­šnih obveščevalnih informacij. Podatki so predstavljeni v standardizirani in strukturi­rani obliki, tako da je poleg osnovnih varno­stnih podatkov, kot so indikatorji zlorab in varnostni dogodki, mogoče shranjevati in de­liti tudi kompleksnejše strukture, kakršne so odzivne procedure. Na ta način se lahko var­nostne ekipe poenotijo pri obravnavi varno­stnih informacij in hitreje razpoznavajo var­nostne grožnje ter jih lažje premostijo. Sprotna izmenjava aktualnih podatkov o varno­stnih dogodkih lahko pomaga organizaci­jam pri učinkovitejšem preprečevanju kibernetskih napadov. Pogoj je, da se organizacije, sektorski VOC in nacionalni odzivni centri po­vezujejo v skupnosti, tako da omogočijo pre­tok informacij med njihovimi lastnimi strežni­ki za platformo MISP.

Implementacija izmenjave obveščevalnih informacij s platformo MISP v praksi

Pridobivanje podatkov CTI in indikator­jev zlorab je šele prvi korak. Naslednji je ak­tivna raba teh za prepoznavanje in omejitev varnostnih groženj. Ker so podatki na platfor­mi MISP prisotni v standardizirani in strukturi­rani obliki, jih lahko ob pomoči API (Applica­tion Programming Interface) izvozimo in upo­rabimo v drugih orodjih za kibernetsko var­nost, kot so požarne pregrade ali sistemi SIEM. Pri tem se lahko osredotočimo na podatke, ki nas najbolj zanimajo – to so IP-naslovi, dome­ne, hashi datotek ali podatki, ki jih deli specifi­čen partner. Cilj je, da avtomatiziramo vse pro­cese, ki se dogajajo od objave indikatorjev zlo­rab do ukrepanja na požarni pregradi. Primer bi bila blokada prometa iz specifičnih IP-naslo­vov ali opozarjanje analitika v VOC, ki bo na­prej raziskoval dogajanje.

Implementacija mehanizmov sodelovanja na področju kibernetske varnosti prinaša številne prednosti in priložnosti.

Kako lahko pomaga VOC Informatika?

Implementacija mehanizmov sodelova­nja na področju kibernetske varnosti prinaša številne prednosti in priložnosti. S standardi­zacijo in z izmenjavo odzivnih procedur ter mehanizmi za deljenje obveščevalnih infor­macij o kibernetskih grožnjah se vključuje­mo v nacionalne in mednarodne skupnosti, izboljšujemo reaktivno odzivanje na kiber­netske napade in njihovo proaktivno pre­prečevanje, podpiramo odločanje na strate­ški in taktični ravni ter krepimo splošno od­pornost IT- in OT-infrastrukture. Tehnike in tehnologije za podporo sodelovanju in iz­menjavi informacij lahko integriramo z dru­gimi temeljnimi tehnologijami za kibernet­sko varnost, kot so požarne pregrade ali sis­temi SIEM in SOAR, prav tako pa tudi z jav­nimi zbirkami in repozitoriji za izmenjavo in­formacij o ranljivostih in tehnikah napadov, kot so NVD (National Vulnerability Database), MITRE ATT&CK, CAPEC idr. S tem še dodatno dvignemo raven odpornosti.

VOC Informatika razvija, vpeljuje, izvaja in uporablja številne sodobne, napredne in pro­aktivne tehnike ter procese odzivanja na ki­bernetske grožnje in napade za obsežne IT-in OT-sisteme, zlasti v domeni energetike in tudi širše. Najem storitev VOC je zato prav gotovo prava odločitev in koristna dolgoroč­na investicija.