CISO Insider: Drugo izdanje

Žena proverava oznaku u industrijskom skladištu

Ekonomija kibernetičkog kriminala podstiče brz rast sofisticiranih napada. U ovom izdanju, vodeći direktori za bezbednost informacija će nam reći šta se dešava u prvim redovima.

Pismo od Roba

Dobro došli u drugo izdanje podkasta CISO Insider. Ja sam Rob Leferts i vodim timove inženjera za Microsoft 365 Defender i Sentinel. U Microsoft bezbednosti neprestano slušamo svoje klijente i učimo od njih dok se kreću kroz sve komplikovanije bezbednosno okruženje. CISO Insider smo napravili sa namerom da delimo preporuke koje smo prikupili od vaših kolega i iz naših istraživanja u sektoru. U drugom izdanju, nastavljamo da se bavimo ranjivostima koje smo otkrili u 1. izdanju i detaljnije govorimo o kibernetičkoj iznudi i praksama koje istaknuti ljudi u bezbednosti koriste da zadrže te bočne napade uz minimalno ometanje poslovanja i bezbednosnog tima.

U 1. izdanju, pričali smo o tri najveće brige vodećih direktora za bezbednost informacija: prilagođavanju novim trendovima pretnji u hibridnom okruženju sa više oblaka, upravljanju pretnjama po lanac nabavke i bavljenju problemom nedostatka stručnjaka za bezbednost. U ovom izdanju, podrobnije ćemo se baviti haotičnim faktorima kibernetičkih rizika i odrediti kako organizacije unapređuju svoje taktike da bi osujetili sve veće pretnje. Prvo ćemo pogledati promenljivi profil rizika ransomvera i najbolje prakse koje mogu da pomognu u njegovom sprečavanju, kao i u sprečavanju drugih proboja koji se bočno šire mrežom. Zatim ćemo pogledati dva glavna resursa koja su ključna ne samo kao pomoć u sprečavanju proboja, već i za brzo reagovanje u prvim kritičnim trenucima – prošireno otkrivanje i reagovanje (XDR) i automatizacija. Oba pomažu u rešavanju ranjivosti kojima smo se bavili u 1. izdanju: proširene granice bezbednosti i identiteta današnjih mreža na hibridni rad i ekosisteme dobavljača i manjak ljudskih resursa za nadgledanje tih pretnji reagovanje na njih.

Ekonomija kibernetičkog kriminala daje prosečnim kibernetičkim kriminalcima pristup boljim alatkama i automatizaciji da bi se omogućilo proširivanje i niži troškovi. U kombinaciji sa ekonomijom uspešnih napada, ransomver ubrzano ide uzlaznom putanjom (Microsoft izveštaj o digitalnoj bezbednosti, 2021.). Napadači su pomerili granicu usvajanjem modela duple iznude, gde se od žrtve prvo iznuđuje otkup, a zatim se preti objavljivanjem ukradenih podataka. Videli smo i porast napada čija su meta resursi operativne tehnologije kako bi se remetila ključna infrastruktura. Vodeći direktori za bezbednost informacija se razilaze po pitanju šta je katastrofalniji trošak za preduzeće – ometanje posla ili izlaganje podataka, u zavisnosti od sektora i nivoa pripremljenosti. U svakom slučaju, priprema je ključna za upravljanje rizikom na oba fronta. Pored taktika za ublažavanje, uspešne mere prevencije, kao što su jača bezbednost na krajnjim tačkama, zaštita identiteta i šifrovanje, ključni su s obzirom na učestalost i ozbiljnost tih napada.

Vodeći direktori za bezbednost informacija strateški razmišljaju o bavljenju rizicima od ransomvera.

Napadači ransomverom targetiraju najvrednije resurse preko kojih misle da mogu da izvuku najviše novca od vas, bilo zato što će to najviše izazvati pometnju ili zato što su najvredniji ako se otmu, odnosno najosetljiviji ako se objave.

Sektor je važan faktor u profilu rizika neke organizacije – vodeći proizvođači navode da se najviše boje ometanja poslovanja, vodeći direktori za bezbednost informacija u maloprodajnim i finansijskim uslugama prednost daju zaštiti osetljivih podataka o ličnosti, dok su zdravstvene organizacije podjednako ranjive na oba fronta. Zato istaknuti ljudi u bezbednosti odlučno menjaju svoj profil rizika da bi sprečili gubitak i izlaganje podataka jačanjem granica, pravljenjem rezervnih kopija ključnih podataka, dodatnih sistema i boljim šifrovanjem.

Mnogi lideri se sada fokusiraju na smetnje u poslovanju. Preduzeće snosi troškove čak i kada je prekid kratak. Jedan vodeći direktor za bezbednost informacija u zdravstvu nedavno mi je rekao da ransomver ima isti efekat na poslovanje kao i ozbiljan nestanak struje. Iako odgovarajući rezervni sistem može brzo da vrati struju, svakako imate zastoj koji prekida posao. Jedan drugi vodeći direktor za bezbednost informacija pomenuo je da razmišlja o tome kako smetnje mogu da se prošire sa glavne poslovne mreže i izazovu probleme u poslovanju, kao što su problemi sa cevovodima ili sekundarni efekat prekida kod ključnih dobavljača usled ransomvera.

Taktike za upravljanje smetnjama obuhvataju i dodatne sisteme i segmentaciju kako bi se zastoj sveo na minimum, a organizacije mogle da preusmere saobraćaj na druge delove mreže dok saniraju i oporavljaju pogođeni segment. Međutim, čak ni najizdržljiviji procesi pravljenja rezervi i oporavka posle katastrofe ne mogu u potpunosti da reše pretnju od ometanja poslovanja ili izlaganja podataka. Naličje ublažavanja je prevencija.

Da biste zaštitili svoju organizaciju od ransomvera preporučujemo sledeće:

Pripremite se na odbranu i oporavak. Uspostavite internu kulturu nultog poverenja prema pretpostavljenom proboju, a istovremeno primenite sistem oporavka i pravljenja rezervnih kopija podataka, kao i bezbednog pristupa podacima. Brojni istaknuti ljudi u bezbednosti već su preduzeli najvažniji korak ublažavanja uticaja napada pomoću rezervnih kopija i šifrovanja, što može da bude odbrana od gubitka i izloženosti podataka. Važno je da se te rezervne kopije zaštite od namernog brisanja ili šifrovanja od strane napadača označavanjem zaštićenih fascikli. Kada postoji spreman, izvežban plan kontinuiteta poslovanja i oporavka od katastrofe (BC/DR), tim može da brzo ukloni pogođene sisteme sa mreže i omete napredak napada i da pritom nastavi sa poslovima uz minimalni zastoj. Nulto poverenje i bezbedan pristup pomažu organizaciji da se odbrani i oporavi tako što se napad izoluje, a napadačima znatno oteža da se bočno kreću mrežom.
Zaštitite identitet od ugrožavanja. Svedite mogućnost krađe akreditiva i bočnog kretanja na minimum primenom strategije privilegovanog pristupa. Važan korak u odbrani od ransomvera jeste sveobuhvatan nadzor akreditiva na mreži vaše organizacije. Privilegovani akreditivi su osnova svih drugih bezbednosnih garancija – napadač koji ima kontrolu nad vašim privilegovanim nalozima može da podriva sve druge bezbednosne garancije. Microsoft preporučuje strategiju postepene izgradnje sistema „zatvorene petlje“ za privilegovani pristup gde samo pouzdani, „čisti“ uređaji, nalozi i posrednički sistemi mogu da se koriste za privilegovani pristup sistemima osetljivim za preduzeće. Microsoft preporučuje strategiju postepene izgradnje sistema „zatvorene petlje“ za privilegovani pristup gde samo pouzdani, „čisti“ uređaji, nalozi i posrednički sistemi mogu da se koriste za privilegovani pristup sistemima osetljivim za preduzeće.
Sprečite, uočite i reagujte na pretnje. Doprinesite zaštiti od svih pretnji u svim radnim skupovima korišćenjem sveobuhvatnih i integrisanih mogućnosti za otkrivanje pretnji i reagovanje na njih. Izolovana rešenja često dovode do propusta u sprečavanju i usporavaju otkrivanje i reagovanje na aktivnosti koje prethode ransomveru. Microsoft nudi integrisani SIEM i XDR kako bi pružio sveobuhvatno rešenje za zaštitu od pretnji, koje obezbeđuje najbolje sprečavanje, otkrivanje i reagovanje na svim digitalnim sredstvima sa više oblaka i više platformi.

Te tri najbolje prakse zajedno čine sveobuhvatnu bezbednosnu strategiju, sa integrisanim upravljanjem podacima, identitetom i mrežom zasnovanim na pristupu nulte pouzdanosti. Za mnoge organizacije, primena nulte pouzdanosti podrazumeva širu transformaciju u pogledu bezbednosti. Iako većina istaknutih ljudi u bezbednosti prelazi na nultu pouzdanost, neki su izrazili zabrinutost da segmentirano okruženje može da ometa produktivnost radnika ili bezbednosnog tima do te mere da se prebrzi prelazak na tešku segmentaciju ni ne isplati.

Premda svaka organizacija ima sopstvene zahteve koje mora da ispoštuje, želeo bih da istaknem da je moguće izvući najbolje i iz pristupa i bezbednosti. Segmentacija ne mora da bude smetnja. Koristi naročito vidimo kada organizacije kombinuju težnje ka upravljanju identitetima i bezbednosnoj transformaciji, kao što je primena potvrde identiteta bez lozinke, tako da korisnici ne moraju da se bave gomilom ometajućih prijava. Bret Arsenolt, vodeći direktor za bezbednost informacija u korporaciji Microsoft, objašnjava kako odsustvo lozinke pospešuje bezbednost: „Važno je obezbediti uređaje, ali to nije dovoljno. Treba da se fokusiramo i na obezbeđivanje osoba. Možemo da poboljšamo vaše iskustvo i bezbednost tako što ćemo vas pustiti da vi postanete lozinka.“ S obzirom da je krađa akreditiva ulazna tačka kod većine napada, na primer više od 80% proboja veb aplikacija desilo se usled ukradenih akreditiva, prema Izveštaju o ispitivanju curenja podataka kompanije Verizon iz 2022. (DBIR), odsustvo lozinke je takođe korisno u otklanjanju tog ključnog propusta u bezbednosti.

„Važno je obezbediti uređaje, ali to nije dovoljno. Treba da se fokusiramo i na obezbeđivanje osoba. Možemo da poboljšamo vaše iskustvo i bezbednost tako što ćemo vas pustiti da vi postanete lozinka.“

– Bret Arsenault, vodeći direktor za bezbednost informacija u korporaciji Microsoft

Sveobuhvatni pristup ransomveru zahteva odlične alatke

Mnogi vodeći direktori za bezbednost informacija sa kojima razgovaram imaju šaroliki pristup sprečavanju i otkrivanju napada, te koriste slojeve rešenja dobavljača koja obuhvataju testiranje ranjivosti, testiranje granica, automatizovani nadzor, bezbednost krajnjih tačaka, zaštitu identiteta itd. Za neke je to namerna redundantnost jer se nadaju da će slojeviti pristup otkloniti sve propuste, kao u modelu švajcarskog sira, u nadi da se rupe neće poklopiti.

Prema našem iskustvu, ta raznovrsnost može da komplikuje težnju ka oporavku i da potencijalno stvori veću izloženost riziku. Kako jedan vodeći direktor za bezbednost informacija ističe, loša strana spajanja više različitih rešenja jeste manja vidljivost usled fragmentacije: „Imam najbolji pristup u klasi, koji sam po sebi pravi određene probleme jer nema dovoljno uvida u ukupne rizike s obzirom da imate nezavisne konzole pomoću kojih upravljate pretnjama, a nemate jedinstven uvid u ono što se događa kod vas.“ (Zdravstvo, 1100 zaposlenih) Kada napadači pletu složenu mrežu koja se prostire na nekoliko različitih rešenja, može biti teško stvoriti kompletnu sliku o stepenima napada, odrediti razmere ugroženosti i u potpunosti ukloniti zlonamerne korisne podatke. Zaustavljanje napada dok traje zahteva sposobnost nadgledanja nekoliko vektora da bi se napadi uočili, odvratili i zadržali/sanirali u realnom vremenu.

Suština

Sveobuhvatno, integrisano rešenje pomaže u upravljanju ranjivostima tako da možete da smanjite površinu napada i razlikujete ključne signale od šuma. Ta jednostavnost je ključna za organizacije koje imaju probleme da razlikuju prave pretnje od stabilnog toka upozorenja i lažno pozitivnih rezultata.

Lakše se štitite od ransomvera i drugih sofisticiranih napada uz XDR

Mnogi istaknuti ljudi u bezbednosti se okreću proširenom otkrivanju i reagovanju (XDR) da bi imali pregled nekoliko platformi. XDR pomaže u koordinisanju signala u celom ekosistemu, a ne samo na krajnjim tačkama, da bi se sofisticirane pretnje brže otkrivale i da bi se brže reagovalo na njih.

XDR funkcioniše kao otkrivanje i reagovanje na krajnjim tačkama (EDR), ali pokriva veću površinu, pa se otkrivanje bezbednosnih pretnji i reagovanje na incident proširuju na celo digitalno okruženje, uključujući identitete, infrastrukturu, aplikacije, podatke, mreže, oblake itd. Ovaj veliki opseg je ključan s obzirom na sofisticiranost modernih napada, koji iskorišćavaju današnje složeno, distribuirano okruženje za bočno kretanje domenima. Napadi se sve više odvijaju na nelinearan način, uz bočno kretanje različitim oblacima, e-poštom, SaaS aplikacijama itd.

XDR može da vam pomogne da skupite podatke sa svih različitih sistema da biste mogli da vidite ceo incident s jednog kraja na drugi. Pojedinačna rešenja mogu da otežaju sveobuhvatnu vidljivost jer prikazuju samo deo napada i oslanjaju se na to da će često pretrpani bezbednosni tim ručno povezivati više signala za pretnje sa različitih portala. Zbog toga, potpuna sanacija pretnje može da oduzme mnogo vremena, a u nekim slučajevima je čak i nemoguća

Prelazak sa EDR na XDR

Većina još uvek nema koristi od XDR. Mnogi vodeći direktori za bezbednost informacija sa kojima razgovaramo počeli su od otkrivanja i reagovanja na krajnjim tačkama. EDR je dokazani resurs: videli smo da trenutni korisnici otkrivanja i reagovanja na krajnjim tačkama brže otkrivaju i zaustavljaju ransomver.

Međutim, pošto XDR predstavlja nadogradnju EDR-a, neki vodeći direktori za bezbednost informacija i dalje su skeptični po pitanju njegove korisnosti. Da li je XDR samo EDR sa nalepljenim pojedinačnim rešenjima? Da li zaista moram da koristim potpuno odvojeno rešenje? Da li će moj EDR moći da ponudi iste mogućnosti? Trenutno tržište XDR rešenja unosi dodatnu zabunu jer se dobavljači takmiče u dodavanju XDR ponuda u proizvodni portfolio. Neki dobavljači proširuju svoje EDR alatke da bi obuhvatili dodatne podatke o pretnjama, a drugi se više fokusiraju na izgradnju namenskih XDR platformi. XDR platforme su napravljene iznova da bi se omogućila momentalna integracija i mogućnosti usredsređene na potrebe analitičara bezbednosti, tako da tim ima što manje propusta koje treba da otkloni ručno.

Suština

XDR je veoma primamljiv u današnjem bezbednosnom okruženju zbog pokrivenosti i brzine otkrivanja i zadržavanja pretnji. Kako napadi ransomvera i drugi zlonamerni napadi postaju sve češći (jedan ispitanik je izjavio da njegovu organizaciju u proseku napadaju *svaki dan*), istaknuti ljudi u bezbednosti vide automatizaciju kao ključnu alatku, koja nudi nadgledanje non-stop i reagovanje gotovo u realnom vremenu.

Koristite automatizaciju za jačanje uticaja tima

S obzirom na problem manjka stručnjaka za bezbednost i potrebe za brzom reakcijom radi ograničavanja pretnji, podstičemo lidere da koriste automatizaciju da bi rasteretili svoje ljudi i pomogli im da se fokusiraju na odbranu od najgorih pretnji, a ne na rešavanje dosadnih zadataka, kao što je menjanje lozinke. Zanimljivo je da mnogi istaknuti ljudi u bezbednosti sa kojima sam razgovarao kažu da još uvek ne iskorišćavanju mogućnosti automatizacije u potpunosti. U nekim slučajevima, istaknuti ljudi u bezbednosti nisu sasvim svesni prilike, drugi oklevaju da prihvate automatizaciju jer se boje da će izgubiti kontrolu, da će doći do netačnosti ili da će se narušiti vidljivost pretnji. Poslednje navedeno je legitiman razlog za brigu. Međutim, vidimo da oni koji efikasno usvajaju automatizaciju postižu suprotno – više kontrole, manje lažno pozitivnih rezultata, manje šuma i više akcionog uvida – korišćenjem automatizacije zajedno sa bezbednosnim timom, koja ih vodi i pomaže im da se usredsrede.

Automatizacija pokriva niz mogućnosti, od osnovnih automatizovanih administrativnih zadataka do pametne procene rizika omogućene mašinskim učenjem. Većina vodećih direktora za bezbednost informacija kaže da su usvojili ovo prvo, automatizaciju koju pokreću događaji ili zasnovanu na pravilima, ali manji broj koristi ugrađene sposobnosti veštačke inteligencije i mašinskog učenja koje omogućavaju odluke o pristupu zasnovane na riziku u realnom vremenu. Automatizacija rutinskih zadataka svakako rasterećuje bezbednosni tim i pomaže mu da se fokusira na strateško razmišljanje, koje čoveku najbolje i ide. Baš na tom strateškom polju, na primer u trijaži reagovanja na incident, automatizacija ima najveći potencijal da osnaži bezbednosni tim, kao inteligentni partner koji obrađuje podatke i prepoznaje obrasce. Na primer, AI i automatizacija su dobri u povezivanju bezbednosnih signala u cilju sveobuhvatnog otkrivanja i reagovanja na proboj. Otprilike polovina nedavnih ispitanika koji se praktično bave bezbednošću kažu da ručno moraju da spajaju signale.1 To oduzima strahovito mnogo vremena i maltene onemogućava brzo reagovanje kojim se zadržava napad. Uz odgovarajuću primenu automatizacije, kao što je povezivanje bezbednosnih signala, napadi često mogu da se otkriju gotovo u realnom vremenu.

„Potreban nam je AI jer imamo malo marže profita i ne možemo da zaposlimo previše ljudi.“

– Ugostiteljstvo, 6000 zaposlenih

Otkrili smo da mnogi bezbednosni timovi nedovoljno koriste automatizaciju ugrađenu u postojeća rešenja koja već koriste. U mnogim slučajevima, primena automatizacije je jednako jednostavna (i delotvorna) kao konfiguracija dostupnih funkcija, na primer zamena smernica za pristup sa fiksnim pravilima smernicama za uslovni pristup zasnovanim na riziku, osmišljavanje pravilnika o reagovanju itd.

Vodeći direktori za bezbednost informacija koji reše da propuste prilike za automatizaciju često rade to jer nemaju poverenje i navode da su zabrinuti da će sistem napraviti nepovratne greške dok radi bez ljudskog nadzora. Neki od potencijalnih scenarija su da sistem neprimereno izbriše korisničke podatke, pravljenje problema direktoru kojem je potreban pristup sistemu ili još gore, gubitak kontrole ili vidljivosti nad ranjivošću koja je iskorišćena.

„Kad god pokušavamo da uvedemo nešto automatsko, ponekad se uplašim jer razmišljam šta li to pišem preko starog sadržaja? Od čega se oporavljam? Šta je dovelo do ovoga?”

– Finansijske usluge, 1125 zaposlenih

Međutim, bezbednost je obično ravnoteža između svakodnevnih manjih neugodnosti nasuprot konstantnoj pretnji od katastrofalnog napada. Automatizacija ima potencijal da bude sistem ranog upozoravanja na takve napade, a neugodnosti koje donosi mogu da se ublaže ili otklone. Osim toga, u svom najboljem obliku, automatizacija ne radi sama, već sa ljudskim rukovaocima, gde njena veštačka inteligencija može da pruža informacije, ali i da se proveri ljudskom inteligencijom.

Da bi se osigurala neometana primena, dodavali smo svojim rešenjima režime samo za izveštavanje kako bismo ponudili probni rad pre početka korišćenja. To omogućava bezbednosnom timu da primenjuje automatizaciju svojim tempom, uz fino podešavanje pravila automatizacije i nadgledanje učinka automatizovanih alatki.

Istaknuti ljudi u bezbednosti koji najefikasnije koriste automatizaciju primenjuju je uz tim za otklanjanje nedostataka i kao prvu liniju odbrane. Kako mi je jedan vodeći direktor za bezbednost informacija nedavno rekao, gotovo da je nemoguće i papreno je skupo da se bezbednosni tim fokusira na sve u svakom trenutku, a čak i da je moguće, u bezbednosnim timovima je visoka fluktuacija radnika. Automatizacija pruža sloj stalnog kontinuiteta i doslednosti kao podrška bezbednosnom timu u oblastima koji zahtevaju takvu doslednost, kao što su nadzor saobraćaja i sistemi ranog upozoravanja. Kada se koristi kao podrška, automatizacija oslobađa tim od ručnog pregledanja evidencija i sistema i omogućava im da budu proaktivniji. Automatizacija ne zamenjuje ljude. To su alatke koje omogućavaju ljudima da određuju prioritete među upozorenjima i da usredsrede trud tamo gde je najpotrebnije.

Suština

Najmoćnija odbrambena strategija kombinuje AI i automatizovane alatke sa finijom budnošću i taktilnom reakcijom bezbednosnog tima. Pored neposredne koristi u smislu izvršavanja zadataka i preduzimanje hitnih mera radi zadržavanja napada, automatizacija pomaže timu da efikasnije upravlja svojim vremenom i koordiniše resurse da bi mogli da se fokusiraju na istraživačke i sanacione aktivnosti višeg reda.

Za sva navedena istraživanja kompanije Microsoft korišćene su nezavisne istraživačke firme za kontaktiranje stručnjaka za bezbednost radi kvantitativnih i kvalitativnih studija, uz obezbeđivanje zaštite privatnosti i analitičke temeljnosti. Citati i nalazi u ovom dokumentu predstavljaju rezultat studija iz istraživanja korporacije Microsoft ako nije navedeno drugačije.

[1]

Microsoft istraživačka studija iz 2021. o vodećim direktorima za bezbednost informacija i onima koji se bave bezbednošću u praksi

CISO insider Kibernetička otpornost Uređaji i infrastruktura Ransomver

Srodni članci

CISO Insider 1. izdanje

Snađite se u današnjem okruženje pretnji uz ekskluzivnu analizu i preporuke istaknutih ljudi u bezbednosti.

Saznajte više

Cyber Signals: Prvo izdanje

Identitet je novo bojno polje. Steknite uvid u razvoj kibernetičkih pretnji i korake koje treba preduzeti za bolju zaštitu organizacije.

Saznajte više

Drugo izdanje izveštaja „Cyber Signals“: Ekonomija iznude

Čujte šta stručnjaci u praktičnom radu imaju da kažu o razvoju ransomvera kao usluge. Od programa i korisnih podataka do posrednika i povezanih lica koji prodaju pristup – saznajte više o alatkama, taktikama i metama koje kibernetički kriminalci preferiraju i nađite smernice koje će vam pomoći da zaštitite organizaciju.

Saznajte više