Kako dobri so vaši digitalni varnostniki?

Podjetja morajo zato okrepiti svoj digitalni ščit, predvsem pa svojo reaktivno delovanje zamenjati s proaktivnim pristopom – aktivno iskati napadalce in škodljive kode v svojem omrežju, sistemih, aplikacijah … Podjetjem vseh velikosti je jasno, da morajo dvigniti lastno kibernetsko zaščito, če ne želijo biti lahke tarče.

»S tehnološkimi rešitvami lahko podjetja poskrbijo za preprečevanje napadov tako, da najprej poskrbijo za osnovno digitalno higieno, ki obsega posodabljanje naprav in sistemov, omejevanje dostopa do virov ter ozaveščanje uporabnikov,« pravi Žiga Humar, vodja oddelka kibernetske varnosti v podjetju Our Space Appliances, in doda: »Podjetje nikoli ne ve, ali se ga bo v naslednjih dneh/tednih lotil kak akter ogrožanja. A če napadalce aktivno išče, lahko marsikateri napad prepreči. Preventiva pa je v svetu kibernetske varnosti vedno znatno cenejša od kurative, saj so stroški sanacije varnostnih incidentov vsako leto višji.«

Pomoč umetne inteligence

Varnostni inženirji si pri svojem delu pomagajo z različnimi zbirkami informacij o grožnjah. Te vsebujejo tudi t. i. indikatorje o napadalcih, ki navadno obsegajo IP-naslove, domene, elektronske naslove, izračunanje zgoščene vrednosti datotek in različice programske opreme, ki jih uporabljajo »digitalni zlikovci«. Zbrane indikatorje nato primerjajo s podatki iz IT-okolja podjetja, največkrat z uporabo rešitve za upravljanje varnostnih dogodkov (SIEM), ti podatki pa so dobrodošli tudi za namene blokiranja škodljivih vsebin in povezav že na požarnih pregradah – torej preden bi digitalna grožnja lahko sploh »potrkala« na vrata podjetja.

»Obstajajo javno dostopne zbirke informacij o grožnjah, za katere skrbijo varnostne skupnosti na podlagi aktualnih poskusov napadov. Primeri takšnih zbirk so Dshield.org Block List, Proofpoint Emerging Threats, CrowdSec Fire, Feodo Tracker in podobne. Uporaba teh zbirk za avtomatsko blokiranje prometa na požarni pregradi je lahko povsem legitimen ukrep za dvig kibernetske zaščite organizacije z zavedanjem, da se lahko zgodi, da bo podjetje sem ter tja blokiralo tudi legitimne IP-naslove, ki se znajdejo na takšnih seznamih,« pojasni Humar.

Poleg zbirk, ki jih pripravljajo varnostne skupnosti, obstajajo tudi zbirke, za katere skrbijo varnostna podjetja. Ta se zbiranja podatkov lotijo na različne načine. Nekatera informacije zbirajo preko odjemalcev, nameščenih na delovnih postajah in strežnikih. Tako so podatki različnih organizacij uporabljeni za gradnjo indikatorjev, kar utegne biti sporno z vidika zaupnosti. Impresiven je pristop podjetja Recorded Future, ki se je že leta 2009 zbiranja varnostnih podatkov lotilo v slogu varnostno-obveščevalnih služb. Omenjeno podjetje izvaja avtomatiziran zajem besedil, slik ter zvočnih in video posnetkov iz več kot milijon različnih virov, ki so dostopni tako na javnem kot tudi na temnem delu spleta. Zbrane podatke nato analizirajo in določijo, ali gre za dejansko informacijo o grožnji. Pri tem sodeluje tudi »hišna skupina« Insinkt Group, ki še obogati informacije o grožnjah in z njimi dodatno trenira algoritme umetne inteligence. Rezultat je Intelligence Graph^TM, ki je preslikava kibernetsko-realnega sveta v interno podatkovno zbirko.

Avtomatizacija postaja nuja

Očitno je, da analize tako obsežne količine virov podatkov ni mogoče izvajati s človeškimi viri.

»Recorded Future za izvajanje analiz uporablja napredno umetno inteligenco. Ta samodejno razbira vsebino, klasificira besedilo, prevaja vsebino iz osmih jezikov, določa kontekst posamezne grožnje, zaznava verjetnost uresničitve dogodka ter napove, kdaj naj bi se dogodek zgodil. Pri tem rešitev izkorišča zmogljivosti procesiranja naravnega jezika in prediktivno analitiko. S pomočjo velikih jezikovnih modelov lahko analitiki kibernetskih ali geopolitičnih groženj v nekaj sekundah ustvarijo poročila o posameznih grožnjah ali za posamezen sektor,« je navdušen Humar, ki pravi, da je rešitev podjetja Recorded Future nepogrešljiv pripomoček za vsakega varnostnega strokovnjaka in varnostno-operativni center.

Varnostni strokovnjaki poudarjajo tudi pomen avtomatizacije varnostnih preverjanj. Danes varnostni analitiki 80 % časa porabijo za zbiranje in procesiranje podatkov ter 20 % časa za analizo. To velja čim prej obrniti.

Več najdete na spletni strani www.ourspace.si (P.R.)