Kibernetinės krizės: kaip pasiruošti, kad nepasidarytų karšta

NRD Cyber Security vadovas Vilius Benetis sako, kad tinkamam pasirengimui yra svarbus efektyvios koordinacijos numatymas bei procedūrų sudėliojimas: 

nuotrauka::1 right

„Galvojant apie kibernetines atakas ir pasiruošimą joms, vertėtų pradėti nuo dvipusės metodikos — svarstyti, kaip galima būtų pakelti atakos kainą ir mažinti potencialą pasipelnyti. Atakos kaina kyla tvarkantis higieniškai, t. y. kai norint sėkmingai įvykdyti kibernetinę ataką, nusikaltėliams reikia pereiti daugybę saugiklių. Pasipelnyti gali tapti sunku, kai, net sumokėjus išpirką už perimtus dokumentus ar sistemas, pinigų kelias sekamas ir galiausiai randami nusikaltėliai. Nemažai dalykų gali susitvarkyti pati organizacija, bet kartais reikia pasitikėti ir tikėtis įsitraukimo ir iš kitų suinteresuotų šalių – policijos, valstybės institucijų, Nacionalinio kibernetinio saugumo centro (NKSC), Europos elektroninių nusikaltimų centro (Europol EC3) ir pan. Taip pat verta pasvarstyti, ar įvykus krizei turėsite į ką atsiremti, su kuo pasitarti? Ar jie bus ne tik teoretikai, bet ir praktikai ir galės iškart pagelbėti tinkamai sureaguoti? 

Padėti susidėlioti veiksmų planą ir greitai sureaguoti gali ir supratimas, su kuo tiksliai susidūrėte. Kibernetinis incidentas – vis dažniau girdima sąvoka. Tačiau nedaugelis žino, kad šio žodžių junginio reikšmė yra aiškiai apibrėžta ir tai gali padėti planuojant atsakomybes ir veiksmus. Europos Sąjungos kibernetinio saugumo agentūros (ENISA) ir TF-CSIRT organizacijų sukurta darbo grupė parengė kibernetinio saugumo incidentų klasifikatorių, paaiškinantį, kokio tipo įvykiai gali ir turi būti vadinami kibernetiniais incidentais. Šie įvykiai yra kategorizuojami, tad reagavimo komandos, pagal nustatytas procedūras, gali atitinkamai reaguoti į skirtingus incidentus.“ 

nuotrauka::2 right

Svarstant kaip sustiprinti prevenciją galimoms atakoms, dažnas klausimas, kurį sau užduoda organizacijos – kokią saugumo įrangą pasirinkti ir kaip suprasti, kokio lygio apsaugą jos suteiks. NRD Cyber Security kibernetinio saugumo konsultantas Augustinas Daukšas teigia, kad vienareikšmiško atsakymo nėra, nes organizacijų rizikos, architektūra bei buitis skiriasi. Visgi specialistas pastebi, kad kibernetinio saugumo technologijos gali būti suskirstytos į kelis lygius: 

„Dar vadinamos bazine apsauga, antivirusinės programos ar ugniasienės veikia tarsi skydas ir atlieka saugančią funkciją. Jos prilygsta mūsų imuninei sistemai — „atmuša“ įvairius virusus, atfiltruoja el. brukalus ir pan. Tokie įrankiai įprastai atpažįsta tik akivaizdžius pavojus ar žalingus kodus. Kitas lygmuo yra naujos kartos automatizuotos apsaugos sistemos, tokios kaip EDR, XDR ar NDR – jų paskirtis yra ne tik aptikti ir sureaguoti į pasauliui žinomus žalingus kodus, tačiau ir stebėti įrenginius arba visą tinklą bei, pagal parašytas taisykles, sureaguoti į anomalijas ar įtarimą keliančias situacijas. Kadangi tokių technologijų automatizacija dar neprilygsta žmogaus analizės įgūdžiams, gebėjimui interpretuoti bei daryti išvadas, neretai prireikia ir trečio lygmens technologijų. Jos yra skirtos ne tiek apsaugai, kiek stebėjimui – šiuos įrenginius naudoja saugumo analitikai, grėsmių medžiotojai ar incidentų tyrėjai. Pavyzdžiui, SIEM (angl. Security information and event management) programinė įranga IBM QRadar.   

Renkantis kibernetinio saugumo įrangą, organizacijoms reikėtų neapsiriboti vien tik konsolės patogumu, vizualiniu turinio pateikimu, testais ar kaina, tačiau ir apsvarstyti įvairius scenarijus, t. y. suprasti, kokio lygio realią apsaugą technologija suteiks. Besiruošiant į pagalbą būtų galima pasitelkti MITRE ATT&CK[1] scenarijus ir palyginti, kaip efektyviai technologijos, kurias planuoja pasirinkti organizacija, padėtų susidoroti su potencialiomis atakuotojo technikomis. Kadangi sprendimų testavimas užima itin daug laiko, jų gamintojų galima prašyti pateikti technikų padengimo sąrašus“. 

CyberSOC vadovė Sigita Jurkynaitė teigia, kad geriausias scenarijus - kai technologijos ir geri specialistai vieni kitus papildo:  

nuotrauka::3 right

„Nors technologijos gali tikrai daug ir ateityje vis labiau galėsime pasitikėti automatizuotais sprendimais, saugumo specialisto rolė vis dar yra labai svarbi. Technologijos kol kas nėra pajėgios improvizuoti - net dirbtinio intelekto principais paremti įrenginiai geba tik identifikuoti, tačiau jeigu reiškinys yra netipinis, jo gali ir neatpažinti ar neatrasti svarbių sąsajų. Kibernetiniame saugume nėra viskas tik juoda ir balta – nemažai pilkų zonų. Interpretuojant technologijos neturi tam tikrų gebėjimų ir savybių, kurias turi tik žmogus. Patys turime CyberSOC kibernetinių incidentų analitikų komandą, kurie stebėdami mūsų klientų duomenų srautą, aptinka ir išanalizuoja daugybę anomalijų, bet didelė dalis jų skelbia apie netikrą pavojų, tad svarbu gebėti įvertinti kontekstą ir atrinkti tik tai, kas aktualu. Tačiau be įrangos geras specialistas irgi kaip be rankų . Visgi sakyčiau, kad svajonių kibernetinio saugumo komanda – tai ne tik technologijos ir žmonės, bet ir procesai, nes svarbu ne tik kas, su kuo, bet ir kaip dirba.“  

Norime palinkėti, kad tinkamas pasiruošimas, apsauga bei savo kibernetinės erdvės stebėjimas padėtų išvengti karštų momentų, kai jau tenka reaguoti ar net tirti įvykusius incidentus. Jeigu visgi taip nutiktų, apie incidentą pranešti ir pagalbos sulaukti galite iš pirmosios privačios kibernetinių incidentų tyrimų tarnybos Lietuvoje NRD CIRT. 

[1] MITRE ATT&CK® — tarptautinė duomenų bazė, kuri naudojama įvairiems kibernetinio saugumo pažeidžiamumų scenarijams dėlioti.