CISO Insider, випуск 2

Зловмисники зосереджують увагу на найцінніших ресурсах, які, на їхню думку, здатні принести їм найбільше грошей. При цьому немає значення, чого боїться власник ресурсів – утрати доступу до них чи їх загальнодоступності.

Галузь є важливим фактором, що визначає профіль ризику організації: на виробничих підприємствах головною проблемою називають переривання робочих процесів, тоді як у торгових і фінансових організаціях перевагу віддають захисту конфіденційних персональних даних. Водночас організації у сфері охорони здоров’я однаково вразливі в обох випадках. У відповідь на це керівники служб безпеки активно намагаються вилучити зі свого профілю ризиків можливість утрати даних і їх оприлюднення шляхом посилення периметра захисту, резервного копіювання критично важливих даних, резервного копіювання систем і покращення шифрування.

Багато хто зараз зосереджує увагу на небезпеці переривання бізнес-процесів. Навіть короткі перерви в роботі дорого обходяться підприємствам. Один керівник відділу ІТ-безпеки у сфері охорони здоров’я нещодавно сказав мені, що з операційної точки зору зловмисні програми з вимогою викупу нічим не відрізняються від масштабних перебоїв в електропостачанні. Хоча достатньо потужна резервна система може допомогти швидко відновити живлення, бізнес‑процеси все одно перериваються на певний час. Інший керівник розповів про свої побоювання того, що збій може вийти за межі основної корпоративної мережі й спричинити операційні проблеми, пов’язані із системами забезпечення, або порушити зв’язки з ключовими постачальниками.

Тактика боротьби зі збоями включає як резервні системи, так і сегментацію інфраструктури для мінімізації часу простою. Це дає змогу перенаправляти трафік в іншу частину мережі, поки виконуються роботи з локалізації й відновлення ураженого сегмента. Однак навіть найнадійніші рішення з резервного копіювання або аварійного відновлення не можуть повністю усунути загрозу переривання бізнес-процесів або витоку даних. Зворотна сторона зведення наслідків до мінімуму – запобігання порушенням безпеки.

Багато керівників відділів ІТ-безпеки, з якими я спілкуюся, застосовують усесторонній підхід до виявлення атак і запобігання їм, використовуючи різнорівневі рішення від незалежних постачальників. Ці рішення охоплюють тестування вразливостей і периметра, автоматизований моніторинг, безпеку кінцевих точок, захист ідентифікаційних даних тощо. Дехто вважає це навмисною надлишковістю, упровадженою через сподівання, що багаторівневий підхід допоможе закрити всі прогалини, як дірки у швейцарському сирі, за умови, що дірки не вишикуються в одну лінію.

Наш досвід показує, що таке розмаїття може ускладнити процес усунення наслідків, потенційно створюючи більший ризик. Як зазначив один із керівників відділів ІТ-безпеки, зворотною стороною поєднання кількох рішень є погіршення контролю через фрагментарність: "Я використовую найкращий у своєму роді підхід, який теж має певні недоліки, а саме обмежене бачення сукупних ризиків. Для керування загрозами використовуються незалежні консолі, і ви не маєте загального уявлення про те, що відбувається у вашому робочому середовищі". (Сфера охорони здоров’я, 1100 співробітників) Оскільки зловмисники плетуть складну павутину, яка охоплює багато розрізнених рішень, буває важко отримати повну картину багатоетапної кібератаки, визначити ступінь скомпрометованості та повністю видалити будь-яке корисне навантаження шкідливого програмного забезпечення. Зупинення атаки, що триває, вимагає здатності до багатовекторного бачення для виявлення, стримування та локалізації / усунення наслідків атак у реальному часі.

Більшість не усвідомлює потенціал XDR. Багато керівників відділів ІТ-безпеки, з якими ми спілкувалися, упровадили рішення EDR, яке стало для них потужною відправною точкою. Рішення EDR підтвердило свою ефективність: ми побачили, що поточні користувачі систем протидії загрозам у кінцевих точках швидше виявляють і зупиняють зловмисні програми з вимогою викупу.

Оскільки XDR є вдосконаленою версією EDR, деякі керівники відділів ІТ-безпеки скептично ставляться до корисності XDR. Чи XDR – це просто технологія EDR, доповнена деякими точковими рішеннями? Чи дійсно мені потрібне окреме рішення? Можливо, з часом EDR матиме ті ж самі функції? Сучасний ринок рішень XDR заплутує користувачів іще більше, оскільки постачальники намагаються додати пропозиції XDR до своїх портфелів продуктів. Деякі постачальники доповнюють свої інструменти EDR додатковими даними про загрози, тоді як інші більше зосереджені на створенні спеціальних платформ XDR. Останні створюють із нуля, щоб забезпечити готову інтеграцію і можливості, орієнтовані на потреби аналітиків із питань безпеки. Команді лишається опрацювати вручну незначну кількість прогалин.

Зіткнувшись із дефіцитом кадрів у сфері безпеки та необхідністю швидко реагувати на загрози, ми заохочуємо керівників використовувати автоматизацію, щоб звільнити людей і зосередитися на захисті від найбільших загроз, а не на виконанні рутинних завдань на кшталт зміни паролів. Цікаво, що багато керівників служб безпеки, з якими я спілкувався, згадують, що вони ще не повністю використовують переваги автоматизованих функцій. У деяких випадках керівники служб безпеки не до кінця усвідомлюють ці можливості; інші не наважуються впроваджувати автоматизацію, побоюючись втратити контроль, допустити неточності або пожертвувати видимістю загроз. Останнє зауваження є дуже обґрунтованим. Однак ми бачимо, що ефективні користувачі засобів автоматизації досягають прямо протилежного – більшого контролю, меншого числа помилкових розпізнавань, меншої кількості зайвих даних і більш дієвої аналітики – шляхом розгортання автоматизації разом із командою з питань безпеки, щоб спрямувати й зосередити її зусилля.

Автоматизація охоплює широкий спектр функцій – від базових адміністративних завдань до інтелектуальної оцінки ризиків на основі машинного навчання. Більшість керівників відділів ІТ-безпеки повідомляють, що застосовують попередній тип автоматизації – на основі подій або правил. При цьому меншість використовує вбудований штучний інтелект і можливості машинного навчання, які дають змогу приймати рішення про доступ у режимі реального часу на основі оцінки ризиків. Безумовно, автоматизація рутинних завдань допомагає розвантажити команду з питань безпеки, щоб зосередити зусилля на більш стратегічному мисленні, що є прерогативою людей. Але саме в цій сфері стратегічного керування, наприклад у сортуванні інцидентів для реагування, автоматизація має найбільший потенціал для розширення можливостей команди з питань безпеки як інтелектуальний партнер, який аналізує дані, здійснюючи пошук за взірцем. Наприклад, технології штучного інтелекту й автоматизації вміють співвідносити сигнали безпеки для комплексного виявлення порушень і реагування на них. Близько половини фахівців із питань безпеки, яких ми нещодавно опитали, кажуть, що їм доводиться вручну співвідносити сигнали.1   Це забирає неймовірно багато часу й майже унеможливлює швидке реагування для стримування атаки. У разі правильного застосування автоматизації, наприклад для співвіднесення сигналів системи безпеки, атаки часто можна виявляти практично в режимі реального часу.

Ми виявили, що багато команд із питань безпеки недостатньо використовують автоматизацію, вбудовану в рішення, які вони вже використовують. У багатьох випадках застосувати автоматизацію так само просто (і ефективно!), як налаштувати доступні функції, наприклад замінити політики доступу з фіксованими правилами на політики умовного доступу на основі ризиків, створити сценарії реагування тощо.

Керівники відділів ІТ-безпеки, які вирішують відмовитися від можливостей автоматизації, часто роблять це через недовіру, посилаючись на побоювання, що система може припуститися непоправних помилок, працюючи без людського нагляду. Деякі з можливих сценаріїв включають небажане видалення системою даних користувача, створення незручностей для керівника, якому потрібен доступ до системи, або, що найгірше, втрата контролю чи видимості використаної вразливості.

Але безпека, як правило, є балансом між щоденними невеликими незручностями та постійною загрозою катастрофічної атаки. Автоматизація може слугувати системою раннього попередження про таку атаку, а її незручності можна зменшити або усунути. Крім того, за оптимальних умов автоматизація працює не сама собою, а під наглядом людини-оператора, яка може керуватися підказками штучного інтелекту й перевіряти його.

Щоб підвищити зручність розгортання, ми доповнили наші рішення режимом лише звітування, щоб користувачі могли випробувати їх перед упровадженням. Завдяки цьому команди з питань безпеки отримують змогу впроваджувати автоматизацію в комфортному темпі, налаштовувати правила автоматизації і контролювати роботу автоматизованих інструментів.

Керівники служб безпеки, які використовують автоматизацію найбільш ефективно, упроваджують її разом зі своєю командою, щоб заповнити прогалини й сформувати першу лінію захисту. Як нещодавно сказав мені один керівник відділу ІТ-безпеки, майже неможливо й надто дорого утримувати команду з питань безпеки, здатну зосереджено працювати скрізь і завжди. І навіть якби це було можливо, команди з питань безпеки схильні до високої плинності кадрів. Автоматизація забезпечує рівень постійної доступності та узгодженості для підтримки команди з питань безпеки у сферах, які цього потребують, таких як моніторинг трафіку й системи раннього попередження. Розгорнута як допоміжна функція, автоматизація допомагає звільнити команду від ручної перевірки журналів і систем, а також дає спеціалістам змогу бути більш проактивними. Автоматизація не замінює людей – це інструмент, який дає вашим співробітникам змогу визначати пріоритетність оповіщень і зосереджувати свої зусилля там, де це найбільш важливо.