4 výzvy, proti ktorým musia bezpečnostné tímy bojovať

|

Strácate sa v záplave alertov a bezpečnostných udalostí? Zaujíma vás pohľad do histórie, kde vznikol a kam sa šíril konkrétny bezpečnostný incident? Máte problém nájsť kvalifikovaných expertov na bezpečnosť, ktorí by relevantne vyhodnotili jednotlivé incidenty? Máte pocit, že vaši interní zamestnanci môžu predstavovať väčšiu bezpečnostnú hrozbu ako hackeri z vonka?

Ak ste aspoň na jednu z týchto otázok odpovedali kladne, tento článok je určený vám.

1. Prioritizácia alertov

Aj keď sa prakticky všetky bezpečnostné systémy snažia každému alarmu priradiť „úroveň kritickosti“, v skutočnosti nedokážu rozlišovať medzi útokmi, ktoré sú len pokusom o prienik, a útokmi, ktoré boli skutočne úspešné. Bezpečnostní analytici potom nevedia, kde začať a ktoré alarmy naozaj vyžadujú pozornosť, keďže väčšina z nich sú „false positive“. To vedie k zbytočnému zahlcovaniu alarmov a neschopnosti správne vyhodnotiť, ktoré z nich sú prioritné. Alarmy generované staršími infraštruktúrami neobsahujú dostatok kontextu, aby bezpečnostným analytikom umožnili zo záplavy informácií z izolovaných produktov, z ktorých každý hlási iný aspekt útoku, zostaviť ucelený obraz o útoku.

2. Chýba možnosť retrospektívneho pohľadu

Neselektívna retrospektívna vizibilita v jednom zjednotenom systéme je nedoceniteľná. Napodobňuje fungovanie ľudského mozgu – predtým než človek učiní nejaké rozhodnutie, zvažuje, čo vie na základe svojej predošlej skúsenosti. Moderné systémy by mali pracovať rovnako, čo analytikom pomôže efektívne odhaliť určité typy hrozieb, ktoré možno zistiť len na základe určitého vzorca, ktorý sa vytvorí až po istom čase. Bezpečnostní analytici potrebujú kontext a prehľad o celom životnom cykle hrozby, podľa čoho sú schopní nájsť pacienta nula, vyčistiť koncové body, vytvoriť forenznú analýzu a analýzu vektora útoku.

3. Závislosť od IT a chýbajúci bezpečnostní analytici

Bezpečnostné systémy síce vedia každému alarmu priradiť úroveň kritickosti, no v skutočnosti nedokážu rozlíšiť medzi pokusmi o prienik a reálnymi útokmi. Generované alarmy neobsahujú dostatok kontextu a neumožňujú z veľkého množstva alarmov z izolovaných systémov zostaviť ucelený obraz útoku. Všetky bezpečnostné tímy sú závislé od iných IT tímov, aby mohli správne zozbierať informácie a udalosti dôkladne vyhodnotiť. Navyše, nie je vôbec neobvyklé vidieť bezpečnostných analytikov obklopených ôsmimi až dvanástimi monitormi,medzi ktorými kopírujú a prenášajú informácie z jedného systému do druhého, čo v okamihu napadnutia môže predstavovať potenciálnu slabinu.

4. Nedostatočné bezpečnostné povedomie

Nie sú to vždy len hekeri, ktorí môžu pre firmu predstavovať nebezpečenstvo. „Zlo“ veľakrát drieme aj vo vnútri samotnej firmy v podobe zamestnancov, ktorí často ani len netušia, že niečo zlé spôsobili. Zamestnanec, ktorému sa útok prihodil, vôbec nemusí mať nekalé úmysly. Úplne stačí, ak je nedostatočne vzdelaný, čo sa týka bezpečnosti, a napríklad otvorí nejaký súbor, prípadne vloží USB kľúč, ktorý našiel na ulici, a problém je na svete.