Grėsmių kibernetinėje erdvėje daugėja – kaip apsisaugoti?

Reklama publikuota: 2022-06-08
svg svg

Siekiant efektyviausiai užtikrinti organizacijos kibernetinį saugumą, vien technologijos nėra visagalės – žmogaus vaidmuo išlieka esminis. Apie tai, kokia yra saugumo operacijų centrų (SOC) efektyvumo paslaptis, kokį vaidmenį jie atlieka stiprinant organizacijos kibernetinę saugą bei kokias technologijas galima pasitelkti į pagalbą, kalbėjo kasmetinės SOC konferencijos pranešėjai.

Kaip ir fizinėje erdvėje, internetinėje erdvėje organizacijas nuo įsibrovimų saugo įranga ir sargai. Taigi čia svarbios ir kompetencijos (žmonės su žiniomis, įgūdžiais bei gebėjimais), ir technologijos, įgalinančios specialistus veikti kur kas efektyviau. Už šių dviejų slypi dar viena, nematoma ir dėl to neretai nuvertinama, tačiau ne mažiau svarbi kibernetinio saugumo dedamoji – procesai, užtikrinantys darnią ir kokybišką specialistų bei technologijų sąveiką. Specialistų kompetencijas, technologijų galimybes bei gerai sustyguotus procesus į visumą, padedančią efektyviai identifikuoti  pavojingus incidentus, sujungia saugumo operacijų centrai.

Artūras Šriupša NRD Cyber Security CyberSOC direktorius.
Artūras Šriupša NRD Cyber Security CyberSOC direktorius.

„Tokio centro veiklos esmė – atpažinti potencialius informacinio saugumo incidentus apdorojant pakankamai platų informacinio saugumo įvykių bei kontekstinių duomenų kiekį. Informacinio saugumo incidentai gali būti kibernetinės atakos, įsilaužimai, duomenų nutekėjimas, saugumo politikų pažeidimai. Šias užduotis efektyviausiai atlieka kibernetinio saugumo analitikai, pasitelkdami technologijas“, – dėsto Artūras Šriupša, „NRD Cyber Security CyberSOC“ direktorius. 

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Technologiniai sprendimai – ne panacėja

Saugumo operacijų centrai nebėra naujiena, pasaulyje jie veikia bent porą dešimtmečių. Vis dėlto, pasak Viliaus Benečio, bendrovės „NRD Cyber Security“ direktoriaus, Lietuvoje vis dar kyla nemažai klausimų apie SOC veiksmingumą ir sukuriamą vertę. Viena aišku: kibernetinė erdvė plečiasi ir išpuolių joje tik daugės, todėl SOC poreikis augs. O kartu didės ir kibernetinio saugumo specialistų paklausa, nes pilnai pakeisti žmogaus šioje srityje kol kas nepajėgi jokia mašina.

„Visiškai automatizuotas SOC tiesiog neegzistuoja, nes jo esmė yra gerokai platesnė nei technologijų panaudojimas. Žinoma, kai kuriuos darbus galima ir reikia automatizuoti, tačiau mašininiai sprendimai (angl. MDR, Manage, Detection and Response) yra tik dalis SOC. SOC pagrindas yra žmonės ir procesai. Pastarieji užtikrina, kad iš įvairių specialistų susidedančio SOC darbas bus pastovios ir kontroliuojamos kokybės“, – tikina V. Benetis.

Pagal pasaulyje pirmaujančios reagavimo į incidentus asociacijos FIRST (Forum of Incident Response and Security Teams) modelį, SOC apima penkias paslaugų sritis, nuo informacinio saugumo incidentų bei pažeidžiamumo valdymo, stebėjimo iki kibernetinio saugumo kultūros įtvirtinimo organizacijoje. Kiekvienoje jų reikalingos skirtingos specialistų kompetencijos ir tik dalis jų funkcijų gali būti automatizuotos.

Vilius Benetis, bendrovės „NRD Cyber Security“ direktorius.
 Vilius Benetis, bendrovės „NRD Cyber Security“ direktorius.

Tad kad ir kaip norėtųsi dėti dideles viltis į „visagalį“ mašininį mokymąsi ir dirbtinį intelektą, realybė kitokia. Kibernetiniai nusikaltimai gimsta ne mašinų, o žmonių, pakankamai sėkmingai apeinančių technologijų užkardas, galvose, tad adekvatų atkirtį jiems gali suduoti taipogi tik žmogaus protas. Artimiausiu metu tai nesikeis – pasak V. Benečio, laikas, kai galėsime pasikliauti vien ar beveik vien technologijomis, yra labai miglota perspektyva.

Apie tai, kad kompetencijos kibernetinio saugumo srityje įgaus vis didesnį svorį, byloja ir kitos aplinkybės. Pavyzdžiui, pasaulyje itin sparčiai daugėja naujų kibernetinio saugumo technologijų. Joms sukurti ir parduoti skiriamos milžiniškos investicijos, o atsirinkti šioje gausoje, suprasti, kaip technologija praktiškai sukurs vertę konkrečioje organizacijoje, be specializuotų žinių bus vis labiau komplikuota.

SIEM ar tinklo stebėsena?

Technologijos nepakeis žmogaus dėl jam tenkančių itin kompleksinių užduočių, tačiau mašininiai sprendimai neabejotinai reikalingi efektyviam SOC darbui. Pagrindinė automatizuotų sistemų užduotis – apdoroti didelius duomenų kiekius, kuriuos vėliau SOC analitikai analizuos ir interpretuos, kad būtų galima tiksliai įvardyti užfiksuotos grėsmės pavojų.   

Pasak Rimtauto Černiausko, „NRD Cyber Security“ kibernetinio saugumo sprendimų architekto ir buvusio NKSC vadovo, galvojant apie SOC komandos techninį aprūpinimą ir būdus kibernetinei aplinkai stebėti, galimi du keliai.

„Organizacija, jau išaugusi bazinio kibernetinio saugumo lygį, nori ne tik turėti technologijas (ugniasienes, antivirusines programas, pažeidžiamumų skanavimo įrankius ir pan.), bet ir matyti, ką jos fiksuoja, bei aktyviai arba proaktyviai reaguoti. Tipinis šiame etape diegiamas sprendimas – SIEM, pavyzdžiui, „IBM Qradar“, – dėsto R. Černiauskas.

Rimtautas Černiauskas_NRD Cyber Security kibernetinio saugumo sprendimų architektas.
Rimtautas Černiauskas_NRD Cyber Security kibernetinio saugumo sprendimų architektas.

SIEM (angl. Security Information and event management) – tai žurnalinių įvykių rinkimas ir analizė. Tam, kad įvykiai būtų kokybiškai surinkti ir tinkamai interpretuojami, reikalingi aukštos kvalifikacijos analitikai. Be to, ką daryti su įrengimais, kurie įvykių žurnalų tiesiog nesiunčia? Priežasčių gali būti įvairių, tačiau „NRD Cyber Security“ patirtis rodo, kad net 20 – 40 proc. įrenginių organizacijose neveikia taip, kaip iš jų tikimasi. „Turime daug durų, tačiau dalis jų – be spynų“, – vaizdžiai situaciją apibūdina ekspertas.

Tad kaip padengti tą spragą, kurios neaprėpia SIEM žurnalinių įvykių fiksavimas?

Reikia papildomai stebėti tinklo srautą. Tinklo srauto stebėsenos  technologijos užfiksuoja bet kokią komunikaciją tinklo viduje – net ir darbuotojo ar svečio nuosavame telefone ar kompiuteryje, jei jis prijungtas prie organizacijos interneto. Geriausiai žinomos šio tipo technologijos yra „Netflow“ arba ugniasienių įvykių žurnalai, leidžiančios protokolo ar net turinio lygiu matyti visus tinkle paliekamus pėdsakus. Dar išmanesnis yra abu šiuos variantus sujungiantis specializuotas tinklo srauto analizės sprendimas. Jis nesudėtingai įdiegiamas ir, kas labai svarbu, neturi jokio šalutinio poveikio serveriui – pasak R. Černiausko, neretai organizacijos itin skrupulingai nuo naujos programinės įrangos saugo kritinius savo serverius, ypač jei turi patirties, kai įdiegti sprendimai paveikė jų darbą. Specializuota tinklo analizės srauto aplikacija gali atpažinti ne tik užklausų adresus, bet ir domenų vardus, parodyti sertifikatus, naudojamus užmezgant sesiją, bei į kokį kompiuterį (vartotoją) kreipiamasi.  

„Prie visų durų – po pastatytą sargą“, – tinklo srauto stebėseną taikančių organizacijų kibernetinio saugumą vaizdą piešia R. Černiauskas.

Tinklo stebėsena leidžia sužinoti, kiek organizacijos turimų įrenginių iš tiesų siunčia signalus ir yra aktyvūs, o tai, anot specialisto, jau yra didelis žingsnis didesnio kibernetinio saugumo link. „Žinant realią padėtį, galime jau kokybiškai sutvarkyti ir žurnalinių įvykių surinkimą. Todėl protinga būtų pirmiausia įsidiegti tinklo stebėseną, juolab kad tai neilgai užtrunka. O pilną vaizdą apie viso perimetro saugumą leidžia susidaryti šių abiejų sprendimų integravimas“, – reziumuoja ekspertas.

SOC kaip paslauga

Saugumo operacijų centrai dėl savo gebėjimo įveiklinti žmonių bei technologijų sinergiją yra viena efektyviausių kibernetinių atakų prevencijos priemonių. Vis dėlto SOC yra imlūs kompetencijoms, čia reikalingi įvairūs kibernetinio saugumo specialistai – analitikai, tyrėjai, grėsmių medžiotojai. Todėl kiekviena organizacija turėtų gerai pasverti, ar ji gali skirti pakankamai resursų ir turėti SOC savo viduje, ar efektyviau būtų ieškoti tiekėjų ir įsigyti SOC kaip paslaugą, o galbūt derinti vidines ir išorines kompetencijas.

Kaip atrodo SOC analitiko darbas identifikuojant nebūdingas veiklas ar anomalijas organizacijos infrastruktūroje? Rokas Žebrauskis, „NRD Cyber Security“ kibernetinio saugumo analitikas, paaiškina: grėsmės aptinkamos ir analizuojamos naudojant pažangius techninius sprendimus – tiek SIEM, tiek ir tinklo srauto analizės. Klientui suformuojamas lakoniškas, tačiau informatyvus pranešimas apie aptiktus incidentus ir išdėstomos veiksmų rekomendacijos kiekvienu atveju.  

„Nesvarbu ar SOC yra vidinė paslauga, kurią teikia organizacijoje dirbantys kibernetinio saugumo specialistai, ar perkama iš išorės, jos užsakovai, t.y. Informacinio saugumo vadovai (CISO), turi gerai žinoti visus savo valdomos IT infrastruktūros elementus, visus „išėjimus/įėjimus“, kuriuos reikia stebėti. Tai – pirma būtina sąlyga efektyviam SOC darbui. Be to, reikia prisiminti, kad saugumo operacijų centras atlieka tik vieną iš penkių funkcijų, skirtų kibernetinio saugumo rizikoms mažinti.   Sistemingas ir metodiškas požiūris, nepamirštant ir kitų sričių – identifikavimo, apsaugojimo, reagavimo ir atstatymo – gal ir negarantuos šimtaprocentinės apsaugos, bet tikrai užtikrins įmonės veiklos tęstinumą įvykus saugumo incidentui“, – pabrėžia „CyberSOC“ direktorius A. Šriupša.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Rašyti komentarą 0
Grėsmių kibernetinėje erdvėje daugėja – kaip apsisaugoti? Verslo tribūna

Siekiant efektyviausiai užtikrinti organizacijos kibernetinį saugumą, vien technologijos nėra visagalės –...

2022.06.08
Šiaulių banko eksperimentas – kada dirbti iš namų darbuotojai sprendžia patys Verslo tribūna 3

Pandemija parodė, kad dirbti iš namų įmanoma, o daliai darbuotojų tai yra net labiau priimtina. Kita vertus,...

2022.06.02
Abipusės naudos beieškant – ar įmanoma valstybės investicijų ir privačių finansuotojų sinergija? Verslo tribūna

Per 20 metų vien UAB „Investicijų ir verslo garantijos“ (INVEGA) į Lietuvos verslą įlieti daugiau nei 2 mlrd.

2022.05.31
Vilniaus kolegija parduoda sostinės centre esantį pastatą Verslo tribūna

Vilniaus kolegija (VIKO) parduoda nuosavybės teise valdomą pastatą, įsikūrusį Vilniuje Naugarduko gatvėje 5.

Statyba ir NT
2022.05.27
„NRD Cyber Security“ kviečia į kasmetinę „CyberSOC“ virtualią konferenciją Verslo tribūna

Gegužės 25 d. vyks jau ketvirtoji metinė konferencija, joje bus kalbama apie saugumo operacijų centrus (SOC),...

2022.05.18
Skaitmeninė revoliucija apskaitos darbų valdyme Verslo tribūna

Iš pirmo žvilgsnio gali atrodyti, kad apskaitoje daug vietos inovacijoms nėra, nes visi darbai persikėlė į...

2022.05.06
Patiriantiems finansinius sunkumus: namų darbai, kurie pravers kalbant su kreditoriais Verslo tribūna

Finansiniai sunkumai – nepriklausomai nuo to, ar jie sukelti vidinių, ar išorės veiksnių – neišvengiama...

2022.05.05
Kibernetinio saugumo specialistams IT žinios – privalumas, bet ne būtinybė Verslo tribūna

Kibernetinio saugumo specialistų poreikis auga ne tik Lietuvoje, bet ir visame skaitmenizacijos keliu...

2022.04.28
INVEGA: verslas turi būti finansuojamas atsakingai Verslo tribūna

Verslai skundžiasi, jog sulaukti finansavimo iš INVEGOS labai sudėtinga, esą keliami griežti reikalavimai,...

2022.04.26
Šiaulių banko patirtis: kodėl pardavimai ir rinkodara turi dirbti išvien Verslo tribūna

Sklandus skirtingų sričių kolegų darbas yra viena iš būtinų sąlygų verslo augimui. Bet realybėje skirtingi...

2022.04.07
VLK kibernetinį atsparumą stiprina bendradarbiaudama su „NRD Cyber Security“ Verslo tribūna

Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (VLK) užtikrina sveikatos priežiūrą,...

2022.03.30
INVEGA primena, kokiomis finansavimo priemonėmis verslas gali pasinaudoti krizių kontekste Verslo tribūna

Rusijai įsiveržus į Ukrainą verslai susiduria su naujais iššūkiais. INVEGA savo ruožtu keičia kai kurias jau...

2022.03.23
INVEGOS veikla prisideda prie kasmetinio beveik 2% šalies BVP sukūrimo Verslo tribūna

INVEGA ateina ten, kur numato valstybės strateginiai tikslai ir ten, kur verslui trūksta finansavimo, nes...

2022.02.17
Pandemijos įtaka verslui: santykis su darbuotojais keičiasi negrįžtamai Verslo tribūna

Besibaigiant antriems pandemijos metams, vis dar sunku tiksliai įvardyti, kiek neigiamos ir kiek teigiamos...

2022.01.19
Ar jūsų valdybos posėdžių dienotvarkėje jau įrašytas kibernetinis saugumas? Verslo tribūna 2

„McKinsey“ atlikta pasaulinė organizacijų valdybų apklausa atskleidė, kad kibernetinis saugumas yra vienas iš...

2021.12.22
Tyrimas: dovanas iš smulkiųjų vietos gamintojų perka kas penktas lietuvis Verslo tribūna

Perkant dovanas iš vietinių gamintojų, galima įsigyti išskirtinį daiktą ar paslaugą, o kartu ir paremti...

2021.12.21
Kalėdinės įmonių dovanos – kodėl ne lietuviškos? Verslo tribūna

Dalis smulkiųjų lietuviškų įmonių per šventinį laikotarpį pasiekia nuo 20% iki 50% visų metų apyvartos. Prie...

2021.12.08
Kibernetinį saugumą užtikrina ir technologijos, ir žmonės: ko svarbu nepraleisti pro akis Verslo tribūna

Jau pusantrų metų siaučianti pandemija paveikė ir kibernetinį saugumą – visame pasaulyje ženkliai padaugėjo...

2021.11.19
„Grinda“: prieš naują transformacijos etapą – įvertinti, kas padaryta Verslo tribūna 1

„Kas veža, tam krauna“. Nors Vilniaus „Grinda“ tarp Lietuvos savivaldybių valdomų įmonių neabejotinai...

2021.11.18
Šiaulių bankas: pasiruošti sukčių puolimui reikia taip, kaip ruošiamasi gaisrui Verslo tribūna

Aiški instrukcija ir procedūros, atsakomybių pasidalinimas, pratybos ir bendra kritinį mąstymą skatinanti...

2021.11.17

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku