Intervju: ESET podira rekorde pri odzivanju na grožnje

Podjetje ESET je poznano po kakovostnih rešitvah kibernetske varnosti, ki po vseh neodvisnih preizkusih krojijo sam vrh svetovne ponudbe. Podjetje je nedavno ponudilo kronsko rešitev, ESET MDR, ki avtomatizira njegove rešitve za podporo razširjenemu odkrivanju in odzivanju XDR.

O izzivih podjetij pri obvladovanju današnjih kibernetskih groženj in koristih ESET MDR smo povprašali Mateja Ravnika, sistemskega inženirja – specialista v ESET Slovenija.

Za uvod, kako bi čim bolj preprosto definirali MDR?

Sama kratica označuje Manage Detection and Response – upravljano odkrivanje in odziv. Ko varnostna programska oprema zazna grožnjo, MDR izvede analizo, s katero recimo ugotovi, kako je prišlo do grožnje, kakšne aktivnosti je sprožila in kakšna je časovnica aktivnosti. Pridobljene podatke primerja s svojo zbirko znanja in tako odkrije, ali gre za resnično grožnjo, ki predstavlja varnostni incident, ali za lažno pozitivno zaznavo. V primeru, da gre za incident, izvede aktivnosti za odpravo grožnje. MDR lahko izvajajo notranje IT-ekipe ali ekipe varnostnih analitikov pri ponudnikih zunanjih storitev s pomočjo ustrezne programske opreme. Lahko pa to izvaja umetna inteligenca, kjer njene zaključke ljudje samo še potrjujejo, kot je v primeru storitve ESET MDR.

V svetu in v Sloveniji število incidentov narašča, kar pomeni, da so podjetja in ustanove vse bolj oblegane s strani kibernetskih napadalcev. Kaj je prednost ESET MDR za organizacije?

Prednost je v tem, da deluje samodejno na podlagi strojnega učenja in umetne inteligence. To pomeni neprimerljivo manjše obremenitve ljudi, ki se ukvarjajo s kibernetsko zaščito. Danes namreč organizacije uvajajo vse bolj zmogljive varnostne rešitve, ki ustvarjajo na tisoče zaznav dnevno. S tem se mora nekdo ukvarjati, saj drugače vsa ta vlaganja v kibernetsko zaščito nimajo smisla. Pri tem naletimo na osnovne kadrovske izzive, kdo bo to delal, in zraven še, ali ima sploh ustrezna znanja. Majhna in srednja podjetja običajno nimajo ljudi za osnovno obvladovanje svojih virov informacijskih tehnologij. V velikih podjetjih, kjer imajo lastne varnostno operativne centre (SOC) pa tudi težko dobijo in zaposlijo nove ljudi. Podobno je tudi pri vseh ponudnikih storitev kibernetske varnosti. S tega vidika je prednost ESET MDR, da veliko večino dela opravi umetna inteligenca. Ljudje se ukvarjajo samo še z incidenti, ki jih UI ne more razrešiti. Poleg tega storitev ustvari vse potrebne zapise, obvestila in poročila, kar zmanjša obremenitve tudi z vidika administracije.

Katere organizacije se odločajo za MDR in kakšni so razlogi oziroma problemi, s katerimi se srečujejo?

Lahko rečem za ESET MDR … Pri nas se recimo za osnovni paket ESET MDR odločajo podjetja vseh velikosti, z od ene do tisoč delovnimi postajami. Za MDR Ultimate se odločajo podjetja, ki se uvrščajo med bistvene ali pomembne subjekte in zahtevajo namestitveno rešitev ali tista, ki nimajo virov za interni SOC in varnostno operativo v celoti predajajo v ESET-ov SOC. Izpostavil bi, da so pri nas organizacije v primerjavi z ostalimi državami glede na število delovnih postaj večinoma majhne. Na Poljskem recimo podjetje s 1.000 delovnimi postajami v ESET velja za majhno stranko.

Če povzamem za Slovenijo gre pri uporabnikih večinoma za podjetja, ki imajo nekoga, ki skrbi za informatiko ali pa imajo manjši IT-oddelek, ki pa ne zmore neprestano spremljati, kaj vse odkrije rešitev za zaščito končnih točk in takoj reagirati na odkrite grožnje. Na drugi strani so podjetja, ki sicer imajo strokovnjaka za kibernetsko varnost ali celo svoj notranji SOC, vendar se jim dogaja, da med množico odkritij enostavno spregledajo resnične grožnje, kar lahko vodi v hude incidente. Pravzaprav je največji problem, da čisto po človeški plati ne zmorejo dosledno spremljati delovanja varnostne rešitve ter pravočasno odkrivati in razreševati incidentov. 

Kakšne so vaše izkušnje z delovanjem ESET MDR?

Imam zelo pozitivne izkušnje, v smislu, da ko pride do incidenta, sistem zelo hitro reagira. ESET je na osnovi analiz delovanja storitve odkril, da čas od prve potencialno škodljive zaznave do začetka reševanja incidenta znaša v povprečju samo še 6 minut, kar je absoluten rekord v panogi. To smo dosegli s strojnim učenjem in z umetno inteligenco. Ko smo pred leti začeli s to storitvijo, je tako imenovani čas MTTR znašal 20 minut, pa že to je bil odličen in marsikomu nedosegljiv rezultat.

Kako se to obnese pri strankah, v resničnem svetu? Lahko predstavite kakšen zanimiv primer?

Lahko potrdim s primerom, da je to res tako. Stranka nas je obvestila, da je neka wordova datoteka sumljiva. Ker niso bili prepričani in niso imeli licenčnega paketa, ki bi jim omogočal zaščito pred napadi ničtega dne, smo jim svetovali, da nam pošljejo to datoteko. Pri nas seveda uporabljamo ESET MDR. Ko sem prejel datoteko, sprva res ni bilo nič nenavadnega, vendar je MDR že po nekaj minutah izoliral moj računalnik iz omrežja. Kmalu nato sem prejel e-pošto z obvestilom, da je prišlo do incidenta. V nadzorni konzoli sem preveril, kaj točno se je dogajalo s tem dokumentom in odkril, da je hotel z medmrežja prenesti datoteko winrar.exe, jo namestiti v tihem načinu in verjetno nadaljevati z napadom. Vprašanje je, s kakšnim namenom; ali na primer z bočnim premikanjem ali s širjenjem v omrežju za krajo identitet, za iznašanje podatkov ali za šifriranje sistemov in potem izsiljevanje. Vse to je bilo že v nekaj minutah zaustavljeno oziroma onemogočeno s strani programske opreme ESET. Storitev mi je ponudila tudi navodila za razrešitev incidenta, tako da sem samo še preveril, kje se nahaja v računalniku, jo zbrisal in nato izklopil izolacijo iz omrežja. V konzoli me je tudi že čakalo poročilo o podrobnostih poteka zaznave, analize in razreševanja incidenta, recimo, če bi moral o njej poročati nadzornemu organu, kot je pri nas SI-CERT.

Katere so glavne prednosti ESET MDR, omenili ste, da se sistem samodejno in nenehno izboljšuje, kar omogoča vse hitrejše odzivanje?

Eno je, da naša rešitev izvaja zaznave in analize na osnovi podatkov iz odprtih virov varnostnega obveščanja, kakor tudi iz ESET-ovih internih varnostno-obveščevalskih virov, ki so eni najboljših na svetu. ESET namreč zbira podatke z vsega sveta, z več kot sto milijonov naprav in ima svoje varnostne laboratorije na vseh celinah. Poleg tega je storitev povezana z zbirko tehnik in taktik napadov Mittre. S pomočjo umetne inteligence samodejno analizira zaznave in v primeru resnične grožnje sproža incidente. To pomeni, da se ljudje ukvarjajo samo še z resničnimi grožnjami in ne več z lažno pozitivnimi. Poleg tega se hitro priuči glede na posebnosti posameznega informacijskega okolja, kar pomeni, da so zaznave prilagojene vsaki stranki posebej. Gre za edinstveno kombinacijo najsodobnejše tehnologije in poglobljenega človeškega znanja in izkušenj. To pomeni, da so kljub visoki stopnji avtomatizacije ključne odločitve še vedno v rokah človeka. Nenazadnje tudi zato, ker sama rešitev nikoli ne zmore ali pa ne sme samodejno rešiti prav vseh incidentov. Recimo, si predstavljate, da storitev zvečer zazna sumljivo delovanje strežnika, ki skrbi za sprejemanje naročil just-in-time. Če bi ga neusmiljeno izklopila, bi lahko to do jutra povzročilo zaustavitev velikega dela nabavne verige. V takšnih primerih o ukrepih odloča človek, storitev pa se iz tega lahko nauči, kako odreagirati ob naslednjem takšnem dogodku.

Ali lahko danes podjetja še zagotavljajo varnost brez avtomatizacije odkrivanja in odzivanja?

Menim, da ne, saj je zaznav preprosto preveč. Z današnjimi sistemi, kot je recimo XDR, ki ga pri nas omogoča ESET Inspect, se mora nekdo ukvarjati. Ta nekdo pa je postavljen pred stalen tok množice informacij, med katerimi zelo hitro spregleda anomalijo, ki daje slutiti, da gre za resnično grožnjo. In tu se izkaže vrednost umetno inteligenčne rešitve, kot je ESET MDR. Ta iz toka dogodkov, ki ga generirajo različni zaščitni sloji na končnih točkah, od osebnih računalnikov in strežnikov do mobilnih naprav in omrežja, izlušči aktivnosti, ki so po vsej verjetnosti res zlonamerne. Po drugi strani razpolaga z obveščevalnimi informacijami, ki jih običajno odgovorni za kibernetsko varnost sploh nimajo. Če ne veš, da neka aktivnost predstavlja grožnjo, niti ne veš, da je do incidenta prišlo. In ko incident zaznajo varnostne kontrole ali ko so anomalije že tako očitne, da jih občutijo uporabniki, je že precej pozno. Škoda je že narejena in lahko se samo še vprašamo, kakšne bodo posledice za poslovanje.