VOC naslednje generacije
Krepitev proaktivne kibernetske varnosti s sodelovanjem in z izmenjavo informacij o kibernetskih grožnjah.
Področje kibernetske varnosti postaja vse pomembnejše in zahtevnejše, saj se v zadnjem času soočamo z naprednimi tehnikami napadov in s porastom izpostavljenosti, kompleksnosti ter povezljivosti informacijsko-komunikacijskih sistemov, ki so ključ za doseganje vseprisotne digitalizacije. Prav tako ne smemo prezreti posledic kaskadnih učinkov kibernetskih napadov, ki lahko zlasti v okoljih kritične infrastrukture in bistvenih storitev ogrozijo povezane vire različnih deležnikov. To krepi težnje po sodelovanju, ki jih dodatno poudarja dejstvo, da so za učinkovito upravljanje kibernetskih groženj bistveni dobra obveščenost ter souporaba znanja, postopkov in modelov za zaznavanje napadov ter odzivanje nanje. V ospredje tako prihajajo proaktivni pristopi in sodelovalni vidiki kibernetske varnosti. Ti vključujejo izmenjavo obveščevalnih informacij za odločanje, standardizacijo in izmenjavo odzivnih procedur, vzpostavitev ekspertnih skupnosti z vpletenostjo varnostnih operativnih centrov in odzivnih ekip na korporativni ali nacionalni ravni, uporabo pretočnih kanalov in platform za upravljanje kibernetskih dogodkov ter številne druge mehanizme.
Avtomatizacija odzivanja na kibernetske incidente
Učinkovito in hitro odzivanje na incidente je ključnega pomena za kibernetsko varnost, saj omeji vplive kibernetskih incidentov, skrajša čas okrevanja ter zmanjša stroške, potrebne za odpravo posledic in obnovitev normalnega delovanja. Še posebej v okoljih kritične infrastrukture mora upoštevati vidike različnih deležnikov, ki se povezujejo v proizvodnih in dobavnih verigah, slediti nacionalni zakonodaji ter zagotoviti skladnost z direktivo NIS2, ki jo je Evropska unija sprejela kot regulativni okvir za krepitev kibernetske odpornosti evropskega prostora, dvig varnosti dobavnih verig in standardizacijo postopkov poročanja nacionalnim odzivnim centrom v primerih resnejših incidentov.
Za zagotavljanje skladnosti z zakonodajnimi zahtevami je ključno vpeljati standardizirane odzivne procedure (angl. playbooks) in vanje vključiti pravila ter mehanizme poročanja, ki sovpadajo s fazami priprave, zaznavanja in analize, zamejitve in odprave napak, okrevanja ter aktivnosti po incidentu. To omogoči, da v korporativnih okoljih in varnostnih operativnih centrih samodejno prožimo in avtomatiziramo odzivne postopke. Sodelovalne aktivnosti, podprte z ustreznimi orodji, omogočijo koordinirani odziv na kibernetske incidente in tako znatno zmanjšajo njihove negativne vplive. Takšen pristop zahteva uporabo formata za opis strojno berljivih, izvedljivih in izmenljivih odzivnih procedur ter oblikovanje večnivojskega procesa, ki omogoči varnostnim analitikom, da uskladijo odzivne procedure na podlagi informacij in zahtev iz različnih korporativnih okolij in virov. Procesno ogrodje zagotovi opisovanje odzivnih procedur na več ravneh abstrakcije, zlasti v grafični modelirni notaciji BPMN (Business Process and Notation) ter v izvedljivi obliki, ki sloni na standardu CACAO Security Playbooks, za katerim stoji organizacija OASIS.
Izmenjava obveščevalnih informacij o kibernetskih grožnjah
Za potrebe koordinacije in večanja informiranosti posegamo po platformah in orodjih, ki podpirajo izmenjavo obveščevalnih informacij (Cyber Threat Intelligence – CTI), ker lahko z njimi osnovne parametre napadov, kot so tipi napadov in IP-naslovi napadalcev, ter ostale indikatorje zlorab (Indicators of Compromise – IoC) neposredno delimo s širšo skupnostjo povezanih deležnikov na področju kibernetske varnosti. To omogoči drugim deležnikom takojšnje proaktivno ukrepanje za preprečevanje istih incidentov. Uveljavljeni platformi sta STIX/TAXII in MISP (Malware Information Sharing Platform). Ker omogočata varno izmenjavo informacij o kibernetskih dogodkih in ukrepih, zagotovita potrebno raven zaupanja med deležniki, ki se povezujejo v skupnosti z namenom izmenjave obveščevalnih informacij.
Učinkovito in hitro odzivanje na incidente je ključnega pomena za kibernetsko varnost.
Sodelovanje z uporabo platforme MISP
MISP (Malware Information Sharing Platform) je odprtokodna platforma za izmenjavo tehničnih in netehničnih informacij o zlonamerni programski opremi, kibernetskih napadih, incidentih in grožnjah ter drugih splošnih obveščevalnih informacij. Podatki so predstavljeni v standardizirani in strukturirani obliki, tako da je poleg osnovnih varnostnih podatkov, kot so indikatorji zlorab in varnostni dogodki, mogoče shranjevati in deliti tudi kompleksnejše strukture, kakršne so odzivne procedure. Na ta način se lahko varnostne ekipe poenotijo pri obravnavi varnostnih informacij in hitreje razpoznavajo varnostne grožnje ter jih lažje premostijo. Sprotna izmenjava aktualnih podatkov o varnostnih dogodkih lahko pomaga organizacijam pri učinkovitejšem preprečevanju kibernetskih napadov. Pogoj je, da se organizacije, sektorski VOC in nacionalni odzivni centri povezujejo v skupnosti, tako da omogočijo pretok informacij med njihovimi lastnimi strežniki za platformo MISP.
Implementacija izmenjave obveščevalnih informacij s platformo MISP v praksi
Pridobivanje podatkov CTI in indikatorjev zlorab je šele prvi korak. Naslednji je aktivna raba teh za prepoznavanje in omejitev varnostnih groženj. Ker so podatki na platformi MISP prisotni v standardizirani in strukturirani obliki, jih lahko ob pomoči API (Application Programming Interface) izvozimo in uporabimo v drugih orodjih za kibernetsko varnost, kot so požarne pregrade ali sistemi SIEM. Pri tem se lahko osredotočimo na podatke, ki nas najbolj zanimajo – to so IP-naslovi, domene, hashi datotek ali podatki, ki jih deli specifičen partner. Cilj je, da avtomatiziramo vse procese, ki se dogajajo od objave indikatorjev zlorab do ukrepanja na požarni pregradi. Primer bi bila blokada prometa iz specifičnih IP-naslovov ali opozarjanje analitika v VOC, ki bo naprej raziskoval dogajanje.
Implementacija mehanizmov sodelovanja na področju kibernetske varnosti prinaša številne prednosti in priložnosti.
Kako lahko pomaga VOC Informatika?
Implementacija mehanizmov sodelovanja na področju kibernetske varnosti prinaša številne prednosti in priložnosti. S standardizacijo in z izmenjavo odzivnih procedur ter mehanizmi za deljenje obveščevalnih informacij o kibernetskih grožnjah se vključujemo v nacionalne in mednarodne skupnosti, izboljšujemo reaktivno odzivanje na kibernetske napade in njihovo proaktivno preprečevanje, podpiramo odločanje na strateški in taktični ravni ter krepimo splošno odpornost IT- in OT-infrastrukture. Tehnike in tehnologije za podporo sodelovanju in izmenjavi informacij lahko integriramo z drugimi temeljnimi tehnologijami za kibernetsko varnost, kot so požarne pregrade ali sistemi SIEM in SOAR, prav tako pa tudi z javnimi zbirkami in repozitoriji za izmenjavo informacij o ranljivostih in tehnikah napadov, kot so NVD (National Vulnerability Database), MITRE ATT&CK, CAPEC idr. S tem še dodatno dvignemo raven odpornosti.
VOC Informatika razvija, vpeljuje, izvaja in uporablja številne sodobne, napredne in proaktivne tehnike ter procese odzivanja na kibernetske grožnje in napade za obsežne IT-in OT-sisteme, zlasti v domeni energetike in tudi širše. Najem storitev VOC je zato prav gotovo prava odločitev in koristna dolgoročna investicija.