Dotychczasowe podejście do cyberbezpieczeństwa już nie wystarcza, co teraz radzą specjaliści?

Reagujemy na wyspecjalizowane ataki

Jedną ze znaczących negatywnych konsekwencji ciągłej ewolucji technologii informatycznej jest towarzyszący jej, proporcjonalny postęp w nielegalnych działaniach internetowych. W ciągu ostatnich kilku lat nastąpił wzrost wyrafinowania cyberataków i aby z nimi walczyć, przedsiębiorstwa muszą być uzbrojone w lepsze narzędzia bezpieczeństwa.

Wiele dzisiejszych ataków jest wysoce ukierunkowanych. Atakujący nie szukają celów na ślepo lecz spędzają dużo czasu na zbieraniu informacji o swojej ofierze (liczonego w miesiącach) i uważnym szukaniu szansy, nawet najmniejszej, do rozpoczęcia działania. Organizacje, które nie inwestują w analizę zagrożeń cybernetycznych, są niczym najsłabsza antylopa w stadzie. Oprócz unikania luk typu zero-day przedsiębiorstwa muszą również chronić punkty końcowe swoich systemów i opracować inteligentny plan reagowania na cyberprzestępstwa.

Po pierwsze: analiza zagrożeń cybernetycznych (CTI)

Według firmy Gartner, informacje o zagrożeniach to wiedza oparta na dowodach, w tym kontekst, mechanizmy, wskaźniki, implikacje i praktyczne porady dotyczące istniejącego lub pojawiającego się zagrożenia lub zagrożenia aktywów, które można wykorzystać do podjęcia decyzji dotyczących reakcji podmiotu na to zagrożenie. Czyli po prostu gromadzenie i przetwarzanie informacji o podmiotach nam zagrażających i metodach obrony. Rozwiązania CTI zwykle wykorzystują sztuczną inteligencję i uczenie maszynowe oraz integrują się z innymi rozwiązaniami.

Chodzi głównie o umożliwienie analitykom ludzkim zrozumienie ogromnej ilości dostępnych im danych. W przeciwieństwie do innych podejść opartych na gromadzeniu i przetwarzaniu danych (takich jak SASE), CTI w mniejszym stopniu polega na automatyzacji, a bardziej na ludziach. Efektywne CTI wymaga więc nie tylko odpowiednich narzędzi, ale także wyszkolonych i intuicyjnych analityków.

Jest tu co robić. Według sondażu przeprowadzonego przez Cybersecurity Insiders, 85% pracowników odpowiedzialnych za cyberbezpieczeństwo nie przeszło żadnego szkolenia lub przeszło co najwyżej niewielkie szkolenie w zakresie technik i zagrożeń Open Source Intelligence (OSINT). Cyberbezpieczeństwo oparte na danych wywiadowczych to jeden ze sposobów reakcji na zagrożenia.

Po drugie: ochrona punktów końcowych

To rdzeń działań IT security w każdej firmie, szczególnie teraz gdy większość pracy odbywa się zdalnie. Organizacjom jest teraz znacznie trudniej chronić punkty wejścia, nie wspominając o wpływie rosnących polityk BYOD („przynieść własne urządzenie”).

Obecnie stan bezpieczeństwa punktów końcowych wydaje się kiepski skoro według badań Endpoint Security 2020 firmy Delta Risk:

• 55% organizacji zauważyło wzrost zagrożenia bezpieczeństwa punktów końcowych,
• 34% organizacji doświadczyło co najmniej jednego ataku na punkt końcowy, który skutecznie naruszył dane lub infrastrukturę IT,
• 67% uważa, że prawdopodobieństwo, że padną ofiarą udanego cyberataku w ciągu najbliższych 12 miesięcy, jest umiarkowane lub bardzo duże.

Punktem bezpieczeństwa punktów końcowych jest ochrona danych. Rozwiązania zabezpieczające punkty końcowe zwykle działają w modelu klient-serwer, chociaż niektóre są dostarczane jako SaaS. I najważniejsze: chociaż zapory i sieci VPN odgrywają istotną rolę w zapobieganiu włamaniom, nie stanowią zabezpieczeń punktów końcowych sensu stricte.

Po trzecie: plan reagowania na cyberprzestępstwa

Co dalej po naruszeniu danych? Ogólnie rzecz biorąc, większość firm mogłaby poradzić sobie lepiej, reagując na naruszenia cybernetyczne. Ankieta na temat cyberprzestępstw w 2020 roku przeprowadzona przez brytyjski Departament Kultury, Cyfryzacji, Mediów i Sportu wskazuje najczęstsze reakcje na naruszenia bezpieczeństwa cybernetycznego. Firmy:

• próbują znaleźć źródło ataku
• przydzielają ludziom określone role i obowiązki
• oceniają skutki
• formalnie rejestrują incydent

Sprawdź oferty pracy na TeamQuest

Jednak tylko 21% firm wykonuje wszystkie te działania a 30% żadnego z nich. Pokazuje to, że reakcje firm na naruszenia bezpieczeństwa danych są zwykle niezbyt wyczerpujące, a więcej firm (64%) koncentruje się raczej na zapobieganiu naruszeniom w przyszłości. A może:

• Sformułuj politykę reagowania, która obejmuje ocenę ryzyka, wyszczególnia poziomy alarmów dla różnych typów incydentów oraz definiuje role i obowiązki każdej osoby zaangażowanej w proces.
• Miej plany awaryjnego tworzenia kopii zapasowych, aby firma mogła działać nawet w przypadku poważnego incydentu.
• Nakaż, aby wszyscy Twoi pracownicy uczestniczyli w programie szkolenia uświadamiającego, przygotowującego ich do reagowania na incydenty. Symuluj scenariusze ataków i przećwicz swoje plany.
• Po incydencie oceń naruszenie, aby określić skuteczność swoich planów oraz zidentyfikować słabe punkty.

No i oczywiście czytaj inne publikacje TeamQuestu.