„CISO Insider: Číslo 2

Útočníci využívající ransomware se zaměřují na nejcennější zdroje, u kterých se domnívají, že jim umožní získat od obětí nejvíce peněz. Můžou to být zdroje, jejichž zablokování jako rukojmích nejvíce naruší provoz nebo má největší cenu, nebo zdroje, které jsou nejcitlivější na případné zveřejnění.

Typ odvětví je důležitým faktorem, který určuje rizikový profil organizace. Zatímco lídři ve výrobě uvádějí jako hlavní problém narušení provozu, ředitelé CISO v maloobchodě a finančních službách upřednostňují ochranu citlivých osobních údajů. Zdravotnické organizace jsou pak stejnou měrou zranitelné v obou směrech. V reakci na to lídři v oblasti zabezpečení agresivně mění své profily rizik směrem od ztráty a vystavení dat prostřednictvím posílení zabezpečení svých perimetrů, zálohování důležitých dat, redundantních systémů a lepšího šifrování.

V centru pozornosti mnoha lídrů je nyní narušení provozu. Firmám vznikají náklady, i když je přerušení krátké. Jeden ředitel CISO z oboru zdravotnictví mi nedávno řekl, že z provozního hlediska se ransomware nijak neliší od velkého výpadku proudu. Přestože vhodný záložní systém může pomoct rychle obnovit dodávku energie, přesto se jedná o výpadek, který přeruší provoz. Jiný ředitel CISO zmínil, že se dívají na to, jak se narušení může rozšířit mimo hlavní podnikovou síť a způsobit provozní problémy, jako jsou problémy s potrubím nebo sekundární efekt odstavení klíčových dodavatelů kvůli ransomwaru.

Taktiky pro zvládání narušení zahrnují jak redundantní systémy, tak segmentaci. To pomáhá minimalizovat výpadky a umožňuje organizaci přesunout provoz do jiné části sítě a zároveň omezit a obnovit postižený segment. Ani ty nejrobustnější procesy zálohování nebo obnovy po havárii však nemůžou zcela vyřešit hrozbu narušení provozu nebo vystavení dat. Druhou stranou zmírňování je prevence.

Mnoho ředitelů CISO, se kterými mluvím, přistupuje k prevenci a detekci útoků prostřednictvím palety různých opatření a využívá vrstvy dodavatelských řešení, které zahrnují testování ohrožení zabezpečení, testování perimetru, automatizované monitorování, zabezpečení koncových bodů, ochranu identit atd. Někteří s touto nadbytečností pracují záměrně, protože doufají, že přístup využívající vrstvy zakryje případné mezery, podobně jako u plátků ementálského sýra v naději, že díry nebudou v jedné linii.

Naše zkušenosti ukazují, že tato různorodost může zkomplikovat úsilí o nápravu, což může potenciálně vést k většímu vystavení rizikům. Jak poznamenává jeden z ředitelů CISO, nevýhodou sestavování více řešení je nedostatečný přehled kvůli fragmentaci: „Zastávám přístup „používání toho nejlepšího“, což samo o sobě přináší určité problémy, protože pak vám chybí přehled o souhrnných rizicích. Máte tyto nezávislé konzole, kterými spravujete hrozby, ale nemáte souhrnný přehled o tom, co se u vás děje.“ (Zdravotnictví, 1 100 zaměstnanců) Vzhledem k tomu, že útočníci vytvářejí složitou síť, která se rozprostírá napříč různými řešeními, může být obtížné získat úplný obraz o struktuře útoku, určit rozsah napadení a plně odstranit veškerý malware. Zastavení probíhajícího útoku vyžaduje schopnost prověřovat více vektorů, aby bylo možné útoky rozpoznat, odvrátit a zastavit/napravit v reálném čase.

Slibovaný přínos XDR zůstává většinou nerealizován. Mnoho ředitelů CISO, se kterými hovoříme, implementovalo jako účinný výchozí bod systém EDR. Detekce a reakci v koncových bodech (EDR) má osvědčený přínos. Viděli jsme, že uživatelé používající detekci a reakci v koncových bodech dokázali rychleji rozpoznávat a zastavovat ransomware.

Protože však XDR představuje evoluci EDR, někteří ředitelé CISO zůstávají skeptičtí ohledně užitečnosti XDR. Je XDR jen EDR s přidanými bodovými řešeními? Opravdu musím používat zcela oddělené řešení? Nebo bude moje řešení EDR nakonec nabízet stejné funkce? Současný trh s řešeními XDR přináší další nejasnosti v situaci, kdy se dodavatelé předhánějí v přidávání nabídek XDR do portfolia produktů. Někteří dodavatelé rozšiřují své nástroje EDR o další data o hrozbách, zatímco jiní se více zaměřují na vytváření specializovaných platforem XDR. Tyto specializované platformy jsou od základu vytvořeny tak, aby poskytovaly předem připravené možnosti integrace a funkce zaměřené na potřeby analytiků zabezpečení, takže váš tým bude muset ručně pokrývat jen minimum mezer.

Vzhledem k nedostatku talentů v oblasti zabezpečení a potřebě rychle reagovat při potlačování hrozeb lídrům doporučujeme, aby využívali automatizaci, která jim pomůže uvolnit lidi k tomu, aby se mohli soustředit na obranu proti nejhorším hrozbám, místo aby se zabývali všedními úkoly, jako je resetování hesel. Zajímavé je, že mnoho lídrů v oblasti zabezpečení, se kterými jsem hovořil, uvádělo, že zatím plně nevyužívají automatizované funkce. V některých případech nemají lídři v oblasti zabezpečení o této příležitosti úplné povědomí, jiní váhají s automatizací ze strachu, že ztratí kontrolu, zvýší nepřesnost nebo že přijdou o přehled o hrozbách. Druhá z těchto obav je velmi oprávněná. Vidíme však, že ti, kdo si automatizaci efektivně osvojují, dosahují pravého opaku – větší kontroly, méně falešných poplachů, méně šumu a více užitečných poznatků – tím, že nasazují automatizaci vedle týmu pro zabezpečení, aby pomáhala vést a zaměřovat úsilí tohoto týmu.

Automatizace zahrnuje celou řadu funkcí, od základních automatizovaných administrativních úkonů až po inteligentní posuzování rizik s využitím strojového učení. Většina ředitelů CISO uvádí, že používají první typ automatizace – automatizaci spouštěnou událostmi nebo založenou na pravidlech – ale méně jich využívá integrované funkce umělé inteligence a strojového učení, které umožňují rozhodování o přístupu na základě rizik v reálném čase. Automatizace rutinních úkolů určitě pomáhá uvolnit kapacitu týmu pro zabezpečení, aby se mohl soustředit na strategičtější myšlení, které lidé umí nejlépe. Ale právě v této strategické oblasti – například při určování reakce na incidenty – má automatizace největší potenciál posílit možnosti týmu pro zabezpečení jako inteligentní partner, který zpracovává data a porovnává vzory. Umělá inteligence a automatizace například dokáží korelovat signály zabezpečení, aby podpořily komplexní detekci a reakci na narušení zabezpečení. Přibližně polovina odborníků na zabezpečení, kterých jsme se nedávno dotazovali, uvedla, že musí signály korelovat ručně.1   To je časově nesmírně náročné a téměř to znemožňuje rychlou reakci k potlačení útoku. Při správném použití automatizace – jako je například korelace signálů zabezpečení – lze útoky často rozpoznávat téměř v reálném čase.

Zjistili jsme, že mnoho týmů pro zabezpečení nedostatečně využívá automatizaci integrovanou ve stávajících řešeních, která už používají. V mnoha případech je použití automatizace snadné (a má velký dopad) a stačí jen nakonfigurovat dostupné funkce, jako je nahrazení zásad přístupu s pevnými pravidly zásadami podmíněného přístupu založenými na riziku, vytvoření playbooků pro reakce atd.

Ředitelé CISO, kteří se rozhodnou vzdát se příležitostí, které automatizace nabízí, tak často činí z nedůvěry a uvádí obavu, že systém bude při provozu bez lidského dohledu dělat nenapravitelné chyby. Některé z možných scénářů zahrnují systém, který nevhodně odstraní uživatelská data, způsobí potíže manažerovi, který potřebuje přístup do systému, nebo v horším případě povede ke ztrátě kontroly nebo přehledu o zneužitém ohrožení zabezpečení.

Zabezpečení však bývá rovnováhou mezi každodenním drobným nepohodlím a neustálou hrozbou katastrofického útoku. Automatizace má potenciál sloužit jako systém včasného varování před takovým útokem a její nepohodlné aspekty lze zmírnit nebo eliminovat. Kromě toho automatizace v nejlepších scénářích nepracuje sama o sobě, ale vedle lidských operátorů, kdy její umělá inteligence může informovat lidskou inteligenci a být lidskou inteligencí kontrolována.

Abychom pomohli zajistit bezproblémové nasazení, přidáváme do našich řešení režimy pouze pro reportování, které umožňují zkušební provoz před nasazením. To umožňuje týmu pro zabezpečení implementovat automatizaci vlastním tempem, dolaďovat automatizační pravidla a sledovat výkonnost automatizovaných nástrojů.

Lídři v oblasti zabezpečení, kteří používají automatizaci nejefektivněji, ji nasazují v součinnosti se svým týmem, aby vyplňovala mezery a sloužila jako první linie obrany. Jak mi nedávno řekl jeden ředitel CISO, je téměř nemožné a neúměrně nákladné mít tým pro zabezpečení soustředěný na vše a vždy – a i kdyby tomu tak bylo, týmy pro zabezpečení jsou náchylné k časté fluktuaci pracovníků. Automatizace poskytuje vrstvu nepřetržitě fungující kontinuity a konzistence, která podporuje tým pro zabezpečení v oblastech, které tuto konzistenci vyžadují, jako je monitorování provozu a systémy včasného varování. Nasazení automatizace v této podpůrné funkci pomáhá uvolnit tým tím, že se nemusí věnovat ruční kontrole protokolů a systémů, a umožňuje mu být proaktivnější. Automatizace nenahrazuje lidi – je to nástroj, který vašim lidem umožňuje prioritizovat upozornění a zaměřit úsilí tam, kde je to nejdůležitější.