Raport specjalny | Forum Bezpieczeństwa Banków – Trend Micro | Cyberodporność firm – threat hunting i jego kluczowa rola w organizacji, szczególnie w kryzysie
Jak COVID-19 wpływa na cyberbezpieczeństwo? Czy są instytucje, które obecnie są szczególnie narażone na ataki oraz takie, które mogą spać spokojnie?
– Pandemia, podobnie jak każdy inny poważny kryzys w wymiarze społeczno-gospodarczym, negatywnie wpływa na bezpieczeństwo IT. Wynika to z rozproszenia uwagi, większej trudności w realizacji zadań oraz intensyfikacji działań przestępców.
Niestety, w obecnej sytuacji żadna organizacja nie znajduje się poza obszarem zainteresowania cyberprzestępców, którzy słabości i rozproszenie wykorzystują do realizacji własnych celów. Dlatego większą wagę do kwestii bezpieczeństwa, szczególnie teraz, powinny przyłożyć zarówno duże – lepiej chronione struktury – jak i te mniejsze, słabiej zabezpieczone organizacje. Każda z nich może stać się ofiarą ataku. Różnica tkwić będzie w poziomie zaawansowania przestępców. Z naszych obserwacji wynika, że najczęściej atakowane są podmioty z branży finansowej, ochrony zdrowia, organizacje rządowe oraz sektor przemysłowy.
Co warto podkreślić, ograniczenie fizycznego kontaktu wymusiło na wielu organizacjach przeniesienie praktycznie wszystkich możliwych operacji do systemów online. Ponadto pracownicy są często przeciążeni pracą z uwagi na braki zasobów. Cyberprzestępcy świetnie zdają sobie z tego sprawę i wykorzystują presję utrzymania ciągłości działania, szczególnie w branżach bezpośrednio odpowiedzialnych za walkę z pandemią, do zwiększenia skuteczności i zasięgu własnych kampanii. Każdy z nas jest tylko człowiekiem i rządzą nami instynktowne reakcje na sytuacje kryzysowe i presję. Praktycznie każdy z ataków opiera się na scenariuszu, w którym atakujący przewiduje konkretną reakcję ofiary.
Czy pomimo to instytucje mogą zabezpieczyć się przed atakami, a przynajmniej ich częścią?
– Dla każdej instytucji najistotniejsze jest utrzymanie ciągłości świadczonych usług. Wszystkie z nich są reprezentowane w informatycznym systemie jako zbiór danych, który jest najczęstszym przedmiotem ataku. Dane są więc swojego rodzaju walutą dla przestępców. Odpowiednie zabezpieczenie i monitorowanie ich użycia to konieczność. Utrata kontroli nad danymi może skutkować karami finansowymi – wynikającymi z regulacji – oraz szkodami wizerunkowymi.
Dobrze działająca organizacja powinna zatem posiadać prawidłowo stworzony proces zarządzania incydentami. W czasie dużego rozproszenia, pracy zdalnej (poza kontrolowanymi punktami styku) oraz dynamicznie zmieniającej się infrastruktury, jest to szczególnie trudne, jednak konieczne. Proces powinien pozwalać na identyfikację aktualnych zagrożeń, czyli przewidywać, w który punkt organizacji może uderzyć atak, jaki może być jego przebieg i czy ewentualnie już nie dotknął naszej firmy. W większych przedsiębiorstwach operacje związane z tropieniem zagrożeń realizowane są przez threat hunterów, a w tych mniejszych threat hunting stanowi część obowiązków działu bezpieczeństwa.
O rozwiązaniach porozmawiamy za chwilę, wróćmy do pozycji samego threat huntera. Czym zajmuje się taka osoba?
– Threat hunter to jedna z trzech istotnych ról w procesie zarządzania zagrożeniami. W organizacji zajmuje się ciągłym i proaktywnym wykrywaniem zaawansowanych zagrożeń, które wymykają się automatycznym rozwiązaniom zabezpieczającym. Pozostałe role to analityk threat intelligence, który odpowiada za tzw. wywiad bezpieczeństwa, oraz incident response, czyli osoba odpowiedzialna za działania reaktywne.
Threat hunter potrzebuje wiedzy odnośnie zagrożeń – które są zazwyczaj dostarczane przez osoby lub zespół zbierający takie dane (threat intelligence) – oraz odpowiednich narządzi, aby jego działania były skuteczne. Dzięki tym elementom przeszukuje organizację, starając się wykryć obecność przestępców w środowisku IT oraz analizuje artefakty i zdarzenia, składając je w model działania danego ataku, czyli techniki, taktyki i procedury (ang. TTP – tactics, techniques and procedures). Oczywiście osoba taka musi znać swoją organizację na tyle, żeby móc zidentyfikować nieprawidłowość oraz wiedzieć, jakie operacje są dozwolone, czy jakie znaczenie ma dany proces biznesowy.
Threat hunter po zidentyfikowaniu potencjalnych zagrożeń zbiera dane, które pozwolą na neutralizację ataku i wprowadzenie zmian w systemach bezpieczeństwa uniemożliwiających ponowną kompromitację. Reakcja na incydent często podejmowana jest przez oddzielny zespół, zatem im lepiej threat hunter wykona swoją pracę, tym skuteczniej zabezpieczona zostanie organizacja.
Brzmi skomplikowanie i wydaje się ponad siły, szczególnie w mniejszych organizacjach. Jak to wygląda w praktyce – czy threat hunting dla firm to obowiązek, czy opcja?
– Oczywiście takie działania są złożone. Bez właściwych narzędzi mniejsze organizacje mogą więc polec, a większe mieć duży problem z identyfikacją tych istotnych zdarzeń oraz ich właściwą korelacją. Już sama wiedza o zagrożeniach nie jest łatwa do pozyskania, a bez odpowiednich danych threat hunter nie będzie wiedział, czego ma szukać. Oprócz danych istotne są również umiejętności analityczne i praca zespołowa.
W kontekście danych należy wspomnieć, że ich zbieranie (threat intelligence) może być realizowane wewnętrznie, poprzez śledzenie podziemia przestępczego i publicznych informacji dostępnych na portalach tematycznych oraz informacji wymienianych sektorowo. Dobrze jest jednak korzystać z dedykowanych źródeł informacji o zagrożeniach i uzupełniać własne działania w tym obszarze, bądź outsourcować je całkowicie do zewnętrznej organizacji. Pozwala to skupić się na jak najsprawniejszej identyfikacji i zatrzymaniu zagrożeń we własnym środowisku. Pamiętajmy również, że cały proces zarządzania zagrożeniami to nie modny trend, ale wręcz obowiązek wskazywany w wielu regulacjach, np. ustawie o krajowym cyberbezpieczeństwie czy dotyczącej ochrony danych osobowych. Zatem threat hunting to wysiłek i inwestycja, która nie tylko pomaga zapobiegać kryzysom wizerunkowym firmy, ale również ograniczać koszty likwidowania szkód po incydencie oraz chronić ją przed ewentualnymi karami.
Wróćmy do wspomnianego outsourcingu oraz rozwiązań – co warto o nich wiedzieć?
– Złożoność i nakład pracy związanej z realizacją threat huntingu powoduje, że coraz więcej firm dostrzega korzyści płynące z automatyzacji tego procesu. Z myślą o nich powstała platforma Trend Micro Vision One™, która pomaga precyzyjnie zidentyfikować ryzyko w organizacji, poddać zdarzenia klasyfikacji i priorytetyzacji. Dzięki temu analityk nie szuka zagrożeń, tylko trafia bezpośrednio do miejsca, gdzie zaistniała sytuacja istotnie wpływająca na poziom bezpieczeństwa w organizacji. Platforma jest automatycznie zasilana w wiedzę zdobytą przez laboratoria Trend Micro, jak i informacje pozyskiwane z zewnętrznych źródeł. Z tych danych wyciągana jest wiedza o modus operandi przestępców, co pozwala na automatyczne i ciągłe przeszukiwanie środowiska IT firmy. Analityk otrzymuje alert ze wskazaniem, w którym miejscu w organizacji zmaterializowało się ryzyko, jakie operacje zostały wykonane przez przestępców oraz co było przyczyną wystąpienia. Każdy alert jest opisany, tzn. zawiera zestaw już skorelowanych ze sobą zdarzeń pozyskanych z całej organizacji (poczta, sieć, stacje robocze, serwery, chmura). Warto zaznaczyć, że jeśli firma nie posiada w swojej strukturze analityka lub odpowiednich zasobów czy też know-how, to nic straconego. Trend Micro może bowiem zaoferować dodatkowe wsparcie, czyli zespół wykwalifikowanych analityków, których praca pozwoli na ciągłe monitorowanie zagrożeń, a w przypadku zidentyfikowania skutecznego ataku wesprze organizację w powrocie do normalnego stanu.
Jak to wygląda od strony kosztów?
– Kwestię kosztów każda organizacja musi rozpatrzyć indywidualnie, ale warto zwrócić uwagę na kilka liczb dotyczących Trend Micro Vision One™, które – jak sądzę – pozwolą lepiej odpowiedzieć na to pytanie. Przede wszystkim to obecnie najlepsza dostępna na rynku platforma bezpieczeństwa, która pozwala sprawniej i szybciej reagować na zagrożenia. Zapewnia pełne monitorowanie środowiska, łącząc dane z poziomu poczty elektronicznej, stacji roboczych, serwerów, chmury oraz sieci, dając tym samym szerszą perspektywę i kontekst łańcucha zdarzeń związanych z atakiem. Dzięki temu można reagować aż o 65% szybciej. W sytuacji ataku, kiedy każda sekunda to kolejne utracone dane, możliwość tak dużego skrócenia czasu jest niezwykle istotna. Co więcej, dzięki Trend Micro Vision One™ dochodzi do 50% mniej ataków. Natomiast w zakresie wydajności platformę można porównać do pracy minimum ośmiu pełnoetatowych pracowników.
Na koniec – jak zatem można skutecznie unikać najgorszego dla organizacji, czyli jak uodpornić się na cyberataki, wycieki danych i ich konsekwencje?
– Podstawą jest oczywiście wiedza o środowisku, w jakim działamy. Jednak w tak dynamicznie zmieniającej się rzeczywistości nie wyobrażam sobie, by nie korzystać z rozwiązań automatyzacji monitoringu i oceny zdarzeń w tym procesie. Dużym wsparciem dla firm, spełniającym wszystkie powyższe wymogi, jest właśnie platforma Trend Micro Vision One™, która optymalizuje ten proces i pomaga organizacji skutecznie uodparniać się na ataki.