Prečo riešiť najväčšie problémy SOC?

|

Všetky IT štúdie potvrdzujú, že počet kybernetických útokov ročne narastá. V roku 2014 bolo postihnutých až 70 % spoločností na celom svete a vyplienená ekonomická hodnota predstavovala 190 miliárd eur. V dnešnej dobe neustále vzmáhajúcich sa útokov, ktoré sa snažia preniknúť cez firewally do vnútornej siete, a nedostatočnej informovanosti zo strany používateľov je prevencia informačnej bezpečnosti nie otázkou možnosti, ale nutnosti. Sú firmy na kybernástrahy 21. storočia pripravené?

Odpoveď je viac než znepokojujúca. Podľa globálneho prieskumu EY iba 36 % firiem by kybernetický útok dokázalo odhaliť. Veľa firiem ani len netuší, že sa stali terčom kyberútočníkov a koľko ich firemných dát je už na predaj. Na porovnanie: v roku 2017 bol zaznamenaný  nárast až o neuveriteľných 255 % kybernetických útokov oproti predchádzajúcemu roku. 

Aj keď čoraz viac podnikov odpovedá na útoky zavádzaním rôznych nekoncepčných opravných systémov, bezpečnostné tímy nemajú dostatočný prehľad a automatizované technológie, aby tieto pokročilé hrozby dokázali detegovať a včas na ne zareagovať. Chýba im automatizácia zaisťujúca maximálne využitie prostriedkov. Schopnosť detekcie a reakcie na dnešné kybernetické hrozby, skrátka, nie je dostatočná. Bezpečnostné tímy používajú rôzne tzv. prepojené nesúrodé systémy, ktoré skôr zvyšujú zložitosť namiesto toho, aby poskytovali riešenia.

Práca s týmito izolovanými a nesúrodými systémami problém zbytočne komplikuje, pretože musia pracovať v rôznych prostrediach, na rôznych obrazovkách, čo zaberá príliš veľa času. To následne vedie k zahlcovaniu alarmov, pomalšiemu prešetrovaniu incidentov a nakoniec k meškajúcej reakcii. Útočníci tak majú viac času na pôsobenie v napadnutej sieti. Vaše dáta i financie sú vystavené zvýšenému riziku, pokiaľ prešetrovanie, reakcia a následne aj pobyt útočníka vo vašom systéme trvá dlhšie, než je prípustné. 

Iba antivírus nestačí 

Množstvo firiem považuje problém IT bezpečnosti za vyriešený v  momente nainštalovania antivírusového softvéru, čo predstavuje pre firmu absolútny hazard s dátami a citlivými údajmi. Kybernetických hrozieb neustále pribúda a žiadna spoločnosť si nemôže byť istá, že je v bezpečí. Veľká časť spoločností už investovala značné množstvo prostriedkov do dôležitej prevencie, ktorá je účinná pri bežných útokoch, ale neposkytuje primeranú ochranu v súčasnom dynamickom prostredí cielených útokov. Samotná prevencia už nie je dostatočná.  

Zlyhanie pod tiažou zložitosti a veľkosti bezpečnostných infraštruktúr 

Uvedomelé organizácie investovali prostriedky do implementácie bezpečnostných produktov, ktoré inicializujú/spustia alarm, kedykoľvek zistia akúkoľvek podozrivú udalosť. Niektoré firmy dokonca zamestnali a vyškolili bezpečnostných pracovníkov, ktorí sa snažia reagovať na vzniknuté alarmy. Teoreticky je to rozumný koncept, ale v praxi sa neosvedčuje. Spoločnosti zlyhávajú pod tiažou zložitosti a veľkosti bezpečnostných infraštruktúr, ktoré vytvorili, a strácajú sa v obrovskom množstve generovaných alarmov. Veľmi často narazia na problém chýbajúcich zamestnancov, ktorí by triedili, validovali, prešetrovali, bránili ďalšiemu šíreniu alebo zabezpečovali nápravu na základe generovaných alarmov/udalostí.  

Kameňom úrazu je rozpočet 

Organizácie obyčajne nemajú rozpočet na bezpečnostné tímy a taktiež nedokážu zohnať dostatočný počet potrebných kvalifikovaných bezpečnostných špecialistov, ktorí by dokázali zvládnuť také obrovské množstvá alarmov. Vo výsledku sa to končí tak, že bezpečnostní pracovníci nezvládajú reagovať na generované alarmy a v mnohých prípadoch útoky, ktoré sú závažné, uniknú ich pozornosti. Väčšina firiem si to však uvedomí, až keď sa stane niečo s čím nepočítali. Je preto podstatné najskôr kalkulovať s rizikom. Organizácie musia byť schopné odhaľovať útoky, ktoré prenikajú existujúcim perimetrom, reagovať na ne a zastaviť ich skôr, ako spôsobia škodu.  

Logy nie sú dostatočné pre odhalenie útokov 

Na dosiahnutie tohto cieľa je nevyhnutné si uvedomiť, že udalosti z logov nie sú dostatočnými informáciami o útokoch. Fragmentované údaje je ťažké korelovať a vyhodnocovať. Je potrebné zaviesť riešenia/systémy, ktoré obsahujú informácie o napadnutí alebo útokoch vrátane ich kontextu, nielen získavať ďalšie izolované údaje. To pomôže firmám predísť stratám, poprípade včas reagovať.  

Na to, aby mohli bezpečnostné tímy efektívne reagovať na väčšie množstvo bezpečnostných hrozieb v krátkom čase, je nevyhnutná dokonalá vizibilita, ktorá umožňuje rýchle rozhodovanie. Oproti tradičnému riešeniu treba vyhľadať také, ktoré vie spolu s vizibilitou poskytnúť aj automatizovanú detekciu a reakciu v koncových bodoch, čo neporovnateľne šetrí čas, ale aj náklady a straty s tým spojené. Aké by teda mali byť kľúčové otázky zodpovedajúceho systému? 

  • Dosiahol útok svoj cieľ? 
  • Bol útok aktivovaný? 
  • Čo sa stalo ešte pred útokom a čo po ňom? 
  • Vyskytla sa táto aktivita aj v nejakom ďalšom systéme v našom prostredí? 

Aj keď vie systém „slušne“ reagovať na všetky položené otázky, treba sa držať konsenzu, že pokiaľ ide o IT bezpečnosť, nulové riziko neexistuje. Je nevyhnutné, aby bezpečnostné tímy neustále napredovali, osvojovali si nové technológie a riešenia v snahe byť vždy o krok vpred pred potencionálnymi útočníkmi. Aj napriek najmodernejšej technológii bezpečnostné tímy čelia výzvam, s ktorými musia bojovať 24 hodín denne. Výzvy však predstavujú lepšiu budúcnosť a budúcnosť patrí aj lepšej bezpečnosti IT.

Vložiť komentár