Kako redne samodejne simulacije kibernetskih napadov izboljšajo stanje kibernetske varnosti

• Možnost vsakodnevnega izvajanja samodejnih simulacij vdorov in napadov za neprestano usklajevanje varnostnih sistemov z najnovejšimi grožnjami v kibernetskem okolju organizacije.
• Ugotavljanje vrzeli, pomoč pri odločanju glede prednostnih ukrepov ter informacije za kredibilno usmerjanje naložb v kibernetsko varnost.
• Prilagojene vsebine za izboljšanje varnosti glede na posamezne varnostne kontrole in produkte, ki jih že uporablja organizacija.

Podjetje CREAplus je sklenilo zastopstvo z ameriškim podjetjem Picus Security, pionirjem pri razvoju rešitev za simuliranje kibernetskih vdorov in napadov. V okviru zastopstva je slovenskim organizacijam in ponudnikom storitev kibernetske varnosti ponudilo platformo Picus Complete Security Validation Platform, ki ponuja samodejno 24/7 preverjanje stanja kibernetske varnosti, vpoglede v učinkovitost zaščite ter podaja predloge za izboljšave trenutnega sistema kibernetske obrambe.

Enkratletno vdorno preizkušanje ni več dovolj

Vdorni preizkus, ki ga izvedejo etični hekerji, je tako rekoč edini smiseln preizkus uspešnosti kibernetske zaščite. Večja in nekatera srednja podjetja, ki so dovolj varnostno ozaveščena, izvedejo takšen preizkus običajno enkrat letno. Večina slovenskih podjetij pa tudi javnih organizacij pa takšnega preizkusa sploh še ni izvedla.

»Organizacije, ki nimajo velikega proračuna ali ekip za kibernetsko varnost, ne morejo izvajati rednih vdornih preizkusov. Večina organizacij vdornega preizkusa sploh še ni izvedla. Tiste, ki so ga že, ga v najboljšem primeru ponavljajo enkrat letno, kar je veliko premalo glede na dinamiko razvoja kibernetskih groženj in spremembe v samem informacijskem okolju,« je izpostavil Mitja Trampuž, direktor podjetja CREAplus in certificiran menedžer informacijske varnosti.

Platforma Picus Complete Security Validation Platform v nasprotju z ročnimi vdornimi preizkusi, ki jih izvajajo etični hekerji, ponuja rešitve za izvajanje simulacij kibernetskih vdorov in drugih oblik kibernetskih napadov. Platforma organizacijam omogoča zaganjanje simulacij na dnevni ravni, kar je velika pridobitev, v primerjavi z enkrat letnimi preizkusi.

»Preko rednega izvajanja simulacij kibernetskih napadov organizacije odkrivajo, kakšne so njihove trenutne vrzeli glede na vrsto in obseg informacijskih sredstev, ki jih uporabljajo ter glede na aktualne grožnje. Picusove simulacije vključujejo več kot 10.000 tipov in scenarijev kibernetskih naprav, to znanje pa se povečuje iz dneva v dan, kar pomeni, da lahko organizacije res preizkušajo svojo zaščito in obvladujejo tveganja glede na realne razmere v njihovem kibernetskem prostoru,« je razložil Trampuž.

Preizkušanje odpornosti na napade tudi znotraj omrežja

Poleg samih simulacij napadov na zunanjo površino organizacije platforma Picus Complete Security Validation Platform izvaja aktivnosti tako imenovanega red teaminga. Samodejno odkriva in vizualizira korake, ki bi jih napadalec izvedel po morebitnem preboju zaščite oziroma po vstopu v računalniško omrežje, z namenom kompromitiranja kritičnih sistemov, podatkov in uporabniških računov. S simulacijo realnih dejanj nasprotnika odkriva poti napada, ki predstavljajo največje tveganje in zagotavlja vpoglede za njihovo odpravljanje. Platforma odpravlja tudi težave zaradi preobremenjenosti varnostnih ekip (v SOC) z lažno pozitivnimi opozorili in pregledovanjem dnevniških zapisov. Omogoča pregledno obvladovanje zbirke pravil za odkrivanje resničnih groženj, avtomatizira ročne postopke priprave pravil ter neprekinjeno in proaktivno preverja učinkovitosti teh pravil.

Etični hekerji ostajajo – za specializirane naloge

Kot pravi Trampuž, bodo organizacije kljub poenostavitvi varnostnega preverjanja kibernetske zaščite s simulacijami vdorov in napadov še vedno najemale etične hekerje.

»Etične hekerje bodo podjetja in javne ustanove potrebovale za vdorno preizkušanje specifičnih aplikacij in sistemov. Je pa res, da bodo s takšno rešitvijo postali vdorni preizkusi dostopni tudi za vse tiste organizacije, predvsem majhna in srednja podjetja, ki si doslej takšnega preverjanja in posledično razvoja kibernetske zaščite niso mogla privoščiti,« je še zaključil Trampuž.

S simuliranjem vdorov in napadov organizacije pridobijo predvsem sprotne informacije o vrzelih in tveganjih, ki jih v nadaljevanju uporabijo pri nastavljanju trenutnega sistema kibernetske zaščite ali za načrtovanje naložb v dodatne sloje obrambe. Poleg tega izvajalcem bistvenih storitev, javnim ustanovam ter proizvodnim podjetjem v reguliranih dejavnostih omogoča, da pregledno izkazujejo skladnost z zakoni in panožnimi zahtevami oziroma standardi. Rešitve za podjetja Picus Security bodo po napovedih podjetja CREAplus tudi v Sloveniji kmalu postale sestavni del arzenala za zmanjševanje tveganj in obrambo pred grožnjami kibernetski varnosti.