Jak proaktywnie zarządzać czynnikami ryzyka cybernetycznego

Coraz więcej przedsiębiorstw ma świadomość, że jeśli postawi na szybkie wykrywanie i skuteczne reagowanie na incydenty ma szansę ograniczyć ryzyko i skalę potencjalnych szkód.

Dla wielu organizacji podstawową i stosowaną od dawna strategią obrony przed cyberatakami są działania prewencyjne - a zatem przeciwdziałanie atakom, zanim te dojdą do skutku. Jednak coraz bardziej wyrafinowane metody po które sięgają cyberprzestępcy sprawiają, że coraz trudniej jest całkowicie wykluczyć ryzyko włamania. Nawet jeden wykryty zbyt późno atak na system firmy może przynieść straty liczone w milionach dolarów, sparaliżować jej działalność, a nawet doprowadzić do jej upadku.

Hakerzy, którzy mają nadzieję wykorzystać obawy w obliczu kryzysu COVID-19, coraz częściej uciekają się do ataków phishingowych i ransomware. Międzynarodowa Organizacja Policji Kryminalnej (Interpol) wykryła znaczny wzrost ataków ransomware na szpitale i innych dostawców opieki zdrowotnej na całym świecie.¹ Cyberprzestępcy coraz częściej atakują również urządzenia mobilne, a tendencja ta prawdopodobnie będzie się nasilać, ponieważ pracownicy zdalni korzystają ze swoich telefonów w celu prowadzenia działalności. Ponad połowa liderów IT ankietowanych w 2020 r. stwierdziła, że obrona urządzeń mobilnych jest bardzo lub niezwykle trudna.²

Sama prewencja nie wystarczy

Ponieważ ataki cyberprzestępców stają się coraz bardziej wyrafinowane, nawet najlepsze środki obrony czasem nie zdają egzaminu. Sprawcy sięgają dziś nawet po sztuczną inteligencję (AI). Na przykład hakerzy mogą tworzyć inteligentne złośliwe kody, które uczą się na udaremnionych atakach, samodzielnie opracowując modyfikacje, które podczas kolejnych prób są testowane i w końcu przełamują zabezpieczenia.

Osiemdziesiąt procent specjalistów IT ankietowanych w 2020 r. stwierdziło, że zapobieganie jest najtrudniejszym aspektem cyberbezpieczeństwa ze względu na niewystarczającą technologię, brak wewnętrznej wiedzy specjalistycznej i czas potrzebny na zidentyfikowanie zagrożeń.³ Ponad trzy czwarte respondentów zgodziło się z tym stwierdzeniem: "Moja organizacja koncentruje się na wykrywaniu cyberataków, ponieważ zapobieganie jest postrzegane jako zbyt trudne do osiągnięcia".

Chociaż działania profilaktyczne nadal odgrywać będą dużą rolę organizacje coraz częściej zdają sobie sprawę, że jeśli postawią na szybkie wykrywanie i skuteczne reagowanie na incydenty mają szansę ograniczyć ryzyko i skalę potencjalnych szkód.

Powszechnie występujące opóźnienia w wykrywaniu i reagowaniu na incydenty

Specjaliści ds. cyberbezpieczeństwa mają ograniczony czas na wykrycie i powstrzymanie ataku zanim zdąży on wyrządzić organizacji poważne szkody. Opóźnienia w reagowaniu na włamania dają cyberprzestępcom czas na kradzież lub modyfikację danych, co znacząco zwiększa skalę szkód. Jeszcze większe koszty mogą wiązać się z ewentualnymi procesami sądowymi, karami nakładanymi przez organy regulacyjne, a także utratą reputacji.

Dochodzenie Verizon z 2019 r. w sprawie tysięcy incydentów związanych z bezpieczeństwem wykazało, że wykrycie ponad połowy wszystkich naruszeń zajęło miesiące lub dłużej.⁴ Na przykład włamania do kart płatniczych zwykle nie są wykrywane, dopóki skradzione dane nie zostaną wykorzystane, co zwykle trwa tygodnie lub miesiące. Zgodnie z raportem z 2019 r. średni czas identyfikacji i powstrzymania naruszenia spowodowanego złośliwym atakiem wynosił 314 dni.⁵

Zalew fałszywych alarmów jest główną przyczyną zbyt późnego wykrywania i reagowania na cyberataki

Głównym powodem, dla którego naruszenia nie są wykrywane wcześniej, jest ogromna liczba alertów bezpieczeństwa, które przytłaczają specjalistów ds. bezpieczeństwa. Globalne badanie Cisco wykazało, że 17% organizacji otrzymuje co najmniej 100 000 lub więcej codziennych alertów w 2020 r., w porównaniu z 11% w 2017 r. Doprowadziło to do tego, że mniej więcej połowa realnych zagrożeń została zignorowana.^{cyfra arabska}

Oprogramowanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) zostało zaprojektowane, aby pomóc analitykom, zapewniając monitorowanie zagrożeń w czasie rzeczywistym. Szacuje się jednak, że analitycy spędzają około jednej czwartej swojego czasu na analizowaniu fałszywych alarmów (błędnie oznaczonych alertów, które w rzeczywistości nie są zagrożeniami) generowanych przez te narzędzia.⁶ Ankieta przeprowadzona w 2019 r. wśród specjalistów ds. cyberbezpieczeństwa wykazała, że zbadanie każdego alertu zajmuje ponad 10 minut, z czego około połowa ostatecznie okazuje się fałszywie dodatnia.⁷ W związku z tym analitycy spędzają większość czasu na zarządzaniu alertami, a nie na powstrzymywaniu lub korygowaniu zagrożeń. Coraz więcej dostawców SIEM wdraża technologie sztucznej inteligencji, aby pomóc w zmniejszeniu liczby fałszywych alarmów.

Inteligentna automatyzacja podstawą szybkiego wykrywania i reagowania na zagrożenia

Wraz ze wzrostem liczby zagrożeń coraz więcej organizacji łączy automatyzację ze sztuczną inteligencją, aby skuteczniej wykrywać ataki i reagować na nie. W 2019 r. organizacje bez automatyzacji zabezpieczeń poniosły prawie dwukrotnie wyższe koszty naruszenia zabezpieczeń niż organizacje z w pełni wdrożoną automatyzacją.⁵ A 75% specjalistów ds. bezpieczeństwa ankietowanych w 2019 r. stwierdziło, że automatyzacja jest bardzo cenna dla osiągnięcia odporności cybernetycznej.⁸

Narzędzia AI można zaprogramować tak, by automatycznie blokowały lub neutralizowały zagrożenia, np. wysyłając fałszywe sygnały, gdy złośliwe oprogramowanie stara się gromadzić informacje. Kiedy pojawia się nowy rodzaj złośliwego oprogramowania, narzędzia AI porównują go z zapisanymi w bazach danych poprzednimi wersjami i decydują, czy powinien zostać automatycznie zablokowany. Maszynowe uczenie się może ewoluować w kierunku rozpoznawania oprogramowania ransomware zanim zdoła ono zaszyfrować dane, a dodatkowo może ustalić, czy dana strona internetowa, na którą nawiguje użytkownik, prowadzi do domeny ze złośliwym kodem.

Najskuteczniejszy typ wykrywania zagrożeń obejmuje zarówno sztuczną inteligencję, jak i ludzi. Organizacje korzystające ze sztucznej inteligencji twierdzą, że skróciły czas potrzebny na wykrycie zagrożeń i naruszeń o 12%.⁹ Sztuczna inteligencja może również poprawić uwierzytelnianie użytkowników i ochronę hasłem.

SOAR w zarządzaniu alertami i przyspieszaniu reakcji

Wiele organizacji zwraca się obecnie w stronę technologii SOAR (Security Orchestration, Automation and Response - platforma orkiestracji i automatyzacji bezpieczeństwa oraz odpowiedzi na incydent), wykorzystującej dane z oprogramowania SIEM i innych systemów bezpieczeństwa organizacji w celu standaryzacji i skrócenia procesów reagowania na incydenty bezpieczeństwa. Platforma SOAR łączy na potrzeby wykrywania i powstrzymywania zagrożeń: orkiestrację, automatyzację, inteligentną ocenę zagrożeń oraz procesy uczenia się oparte zarówno na sztucznej, jak i ludzkiej inteligencji.

SOAR analizuje każdy incydent związany z bezpieczeństwem i decyduje, czy działać automatycznie, czy poprosić o interwencję człowieka. Na przykład SOAR może natychmiast odizolować lub zamknąć system w przypadku wykrycia złośliwej aktywności. Może również spowolnić rozprzestrzenianie się złośliwego oprogramowania, automatyzując działania, takie jak gromadzenie danych kryminalistycznych i przeprowadzanie skanowania luk w zabezpieczeniach. Według IBM, zautomatyzowane, skoordynowane reagowanie na incydenty pozwala zaoszczędzić średnio 1,5 miliona USD na kosztach naruszenia danych.¹⁰

Outsourcing wykrywania zagrożeń i reagowania na incydenty

Małe i średnie organizacje mogą nie mieć możliwości zainwestowania w technologie i zasoby ludzkie niezbędne do szybkiego wykrywania i reagowania na incydenty bezpieczeństwa. Drobne firmy, agencje sektora publicznego i placówki służby zdrowia coraz częściej stają się celem cyberprzestępców, którym łatwiej odnieść sukces w starciu z podatnym na ataki przeciwnikiem posiadającym obszerne bazy łatwych do wykradzenia danych.

Każda organizacja powinna obowiązkowo zadbać przynajmniej o tak podstawowe zabezpieczenia, jak terminowo aktualizowane oprogramowanie chroniące przed wirusami i innymi rodzajami złośliwego oprogramowania. Z punktu widzenia wykrywania potencjalnych zagrożeń i zapobiegania nieautoryzowanemu dostępowi nie mniej ważne jest posiadanie odpowiednio licznego zespołu specjalistów ds. bezpieczeństwa.

Wiele organizacji uważa, że outsourcing zabezpieczeń jest najlepszym rozwiązaniem, ale należy zachować ostrożność, aby wybrać niezawodnego dostawcę. Około jedna trzecia organizacji ankietowanych przez Cisco w 2020 r. zleciła na zewnątrz usługi reagowania na incydenty, a ponad połowa jako główny powód podała "szybsze reagowanie na incydenty".^{cyfra arabska}

Managed Detection Response (MDR) staje się coraz bardziej popularną opcją, zwłaszcza dla mniejszych organizacji. MDR to usługa, która wykrywa złośliwe oprogramowanie i złośliwą aktywność oraz pomaga organizacjom w szybkim reagowaniu w celu wyeliminowania tych zagrożeń. MDR zazwyczaj łączy technologię z zewnętrznymi analitykami. Gartner przewiduje, że do 2024 r. jedna czwarta organizacji będzie korzystać z usług MDR, w porównaniu z zaledwie 5% w 2019 r.¹¹