Grėsmių kibernetinėje erdvėje daugėja – kaip apsisaugoti?

Kaip ir fizinėje erdvėje, internetinėje erdvėje organizacijas nuo įsibrovimų saugo įranga ir sargai. Taigi čia svarbios ir kompetencijos (žmonės su žiniomis, įgūdžiais bei gebėjimais), ir technologijos, įgalinančios specialistus veikti kur kas efektyviau. Už šių dviejų slypi dar viena, nematoma ir dėl to neretai nuvertinama, tačiau ne mažiau svarbi kibernetinio saugumo dedamoji – procesai, užtikrinantys darnią ir kokybišką specialistų bei technologijų sąveiką. Specialistų kompetencijas, technologijų galimybes bei gerai sustyguotus procesus į visumą, padedančią efektyviai identifikuoti  pavojingus incidentus, sujungia saugumo operacijų centrai.

„Tokio centro veiklos esmė – atpažinti potencialius informacinio saugumo incidentus apdorojant pakankamai platų informacinio saugumo įvykių bei kontekstinių duomenų kiekį. Informacinio saugumo incidentai gali būti kibernetinės atakos, įsilaužimai, duomenų nutekėjimas, saugumo politikų pažeidimai. Šias užduotis efektyviausiai atlieka kibernetinio saugumo analitikai, pasitelkdami technologijas“, – dėsto Artūras Šriupša, „NRD Cyber Security CyberSOC“ direktorius. 

Technologiniai sprendimai – ne panacėja

Saugumo operacijų centrai nebėra naujiena, pasaulyje jie veikia bent porą dešimtmečių. Vis dėlto, pasak Viliaus Benečio, bendrovės „NRD Cyber Security“ direktoriaus, Lietuvoje vis dar kyla nemažai klausimų apie SOC veiksmingumą ir sukuriamą vertę. Viena aišku: kibernetinė erdvė plečiasi ir išpuolių joje tik daugės, todėl SOC poreikis augs. O kartu didės ir kibernetinio saugumo specialistų paklausa, nes pilnai pakeisti žmogaus šioje srityje kol kas nepajėgi jokia mašina.

„Visiškai automatizuotas SOC tiesiog neegzistuoja, nes jo esmė yra gerokai platesnė nei technologijų panaudojimas. Žinoma, kai kuriuos darbus galima ir reikia automatizuoti, tačiau mašininiai sprendimai (angl. MDR, Manage, Detection and Response) yra tik dalis SOC. SOC pagrindas yra žmonės ir procesai. Pastarieji užtikrina, kad iš įvairių specialistų susidedančio SOC darbas bus pastovios ir kontroliuojamos kokybės“, – tikina V. Benetis.

Pagal pasaulyje pirmaujančios reagavimo į incidentus asociacijos FIRST (Forum of Incident Response and Security Teams) modelį, SOC apima penkias paslaugų sritis, nuo informacinio saugumo incidentų bei pažeidžiamumo valdymo, stebėjimo iki kibernetinio saugumo kultūros įtvirtinimo organizacijoje. Kiekvienoje jų reikalingos skirtingos specialistų kompetencijos ir tik dalis jų funkcijų gali būti automatizuotos.

Tad kad ir kaip norėtųsi dėti dideles viltis į „visagalį“ mašininį mokymąsi ir dirbtinį intelektą, realybė kitokia. Kibernetiniai nusikaltimai gimsta ne mašinų, o žmonių, pakankamai sėkmingai apeinančių technologijų užkardas, galvose, tad adekvatų atkirtį jiems gali suduoti taipogi tik žmogaus protas. Artimiausiu metu tai nesikeis – pasak V. Benečio, laikas, kai galėsime pasikliauti vien ar beveik vien technologijomis, yra labai miglota perspektyva.

Apie tai, kad kompetencijos kibernetinio saugumo srityje įgaus vis didesnį svorį, byloja ir kitos aplinkybės. Pavyzdžiui, pasaulyje itin sparčiai daugėja naujų kibernetinio saugumo technologijų. Joms sukurti ir parduoti skiriamos milžiniškos investicijos, o atsirinkti šioje gausoje, suprasti, kaip technologija praktiškai sukurs vertę konkrečioje organizacijoje, be specializuotų žinių bus vis labiau komplikuota.

SIEM ar tinklo stebėsena?

Technologijos nepakeis žmogaus dėl jam tenkančių itin kompleksinių užduočių, tačiau mašininiai sprendimai neabejotinai reikalingi efektyviam SOC darbui. Pagrindinė automatizuotų sistemų užduotis – apdoroti didelius duomenų kiekius, kuriuos vėliau SOC analitikai analizuos ir interpretuos, kad būtų galima tiksliai įvardyti užfiksuotos grėsmės pavojų.   

Pasak Rimtauto Černiausko, „NRD Cyber Security“ kibernetinio saugumo sprendimų architekto ir buvusio NKSC vadovo, galvojant apie SOC komandos techninį aprūpinimą ir būdus kibernetinei aplinkai stebėti, galimi du keliai.

„Organizacija, jau išaugusi bazinio kibernetinio saugumo lygį, nori ne tik turėti technologijas (ugniasienes, antivirusines programas, pažeidžiamumų skanavimo įrankius ir pan.), bet ir matyti, ką jos fiksuoja, bei aktyviai arba proaktyviai reaguoti. Tipinis šiame etape diegiamas sprendimas – SIEM, pavyzdžiui, „IBM Qradar“, – dėsto R. Černiauskas.

SIEM (angl. Security Information and event management) – tai žurnalinių įvykių rinkimas ir analizė. Tam, kad įvykiai būtų kokybiškai surinkti ir tinkamai interpretuojami, reikalingi aukštos kvalifikacijos analitikai. Be to, ką daryti su įrengimais, kurie įvykių žurnalų tiesiog nesiunčia? Priežasčių gali būti įvairių, tačiau „NRD Cyber Security“ patirtis rodo, kad net 20 – 40 proc. įrenginių organizacijose neveikia taip, kaip iš jų tikimasi. „Turime daug durų, tačiau dalis jų – be spynų“, – vaizdžiai situaciją apibūdina ekspertas.

Tad kaip padengti tą spragą, kurios neaprėpia SIEM žurnalinių įvykių fiksavimas?

Reikia papildomai stebėti tinklo srautą. Tinklo srauto stebėsenos  technologijos užfiksuoja bet kokią komunikaciją tinklo viduje – net ir darbuotojo ar svečio nuosavame telefone ar kompiuteryje, jei jis prijungtas prie organizacijos interneto. Geriausiai žinomos šio tipo technologijos yra „Netflow“ arba ugniasienių įvykių žurnalai, leidžiančios protokolo ar net turinio lygiu matyti visus tinkle paliekamus pėdsakus. Dar išmanesnis yra abu šiuos variantus sujungiantis specializuotas tinklo srauto analizės sprendimas. Jis nesudėtingai įdiegiamas ir, kas labai svarbu, neturi jokio šalutinio poveikio serveriui – pasak R. Černiausko, neretai organizacijos itin skrupulingai nuo naujos programinės įrangos saugo kritinius savo serverius, ypač jei turi patirties, kai įdiegti sprendimai paveikė jų darbą. Specializuota tinklo analizės srauto aplikacija gali atpažinti ne tik užklausų adresus, bet ir domenų vardus, parodyti sertifikatus, naudojamus užmezgant sesiją, bei į kokį kompiuterį (vartotoją) kreipiamasi.  

„Prie visų durų – po pastatytą sargą“, – tinklo srauto stebėseną taikančių organizacijų kibernetinio saugumą vaizdą piešia R. Černiauskas.

Tinklo stebėsena leidžia sužinoti, kiek organizacijos turimų įrenginių iš tiesų siunčia signalus ir yra aktyvūs, o tai, anot specialisto, jau yra didelis žingsnis didesnio kibernetinio saugumo link. „Žinant realią padėtį, galime jau kokybiškai sutvarkyti ir žurnalinių įvykių surinkimą. Todėl protinga būtų pirmiausia įsidiegti tinklo stebėseną, juolab kad tai neilgai užtrunka. O pilną vaizdą apie viso perimetro saugumą leidžia susidaryti šių abiejų sprendimų integravimas“, – reziumuoja ekspertas.

SOC kaip paslauga

Saugumo operacijų centrai dėl savo gebėjimo įveiklinti žmonių bei technologijų sinergiją yra viena efektyviausių kibernetinių atakų prevencijos priemonių. Vis dėlto SOC yra imlūs kompetencijoms, čia reikalingi įvairūs kibernetinio saugumo specialistai – analitikai, tyrėjai, grėsmių medžiotojai. Todėl kiekviena organizacija turėtų gerai pasverti, ar ji gali skirti pakankamai resursų ir turėti SOC savo viduje, ar efektyviau būtų ieškoti tiekėjų ir įsigyti SOC kaip paslaugą, o galbūt derinti vidines ir išorines kompetencijas.

Kaip atrodo SOC analitiko darbas identifikuojant nebūdingas veiklas ar anomalijas organizacijos infrastruktūroje? Rokas Žebrauskis, „NRD Cyber Security“ kibernetinio saugumo analitikas, paaiškina: grėsmės aptinkamos ir analizuojamos naudojant pažangius techninius sprendimus – tiek SIEM, tiek ir tinklo srauto analizės. Klientui suformuojamas lakoniškas, tačiau informatyvus pranešimas apie aptiktus incidentus ir išdėstomos veiksmų rekomendacijos kiekvienu atveju.  

„Nesvarbu ar SOC yra vidinė paslauga, kurią teikia organizacijoje dirbantys kibernetinio saugumo specialistai, ar perkama iš išorės, jos užsakovai, t.y. Informacinio saugumo vadovai (CISO), turi gerai žinoti visus savo valdomos IT infrastruktūros elementus, visus „išėjimus/įėjimus“, kuriuos reikia stebėti. Tai – pirma būtina sąlyga efektyviam SOC darbui. Be to, reikia prisiminti, kad saugumo operacijų centras atlieka tik vieną iš penkių funkcijų, skirtų kibernetinio saugumo rizikoms mažinti.   Sistemingas ir metodiškas požiūris, nepamirštant ir kitų sričių – identifikavimo, apsaugojimo, reagavimo ir atstatymo – gal ir negarantuos šimtaprocentinės apsaugos, bet tikrai užtikrins įmonės veiklos tęstinumą įvykus saugumo incidentui“, – pabrėžia „CyberSOC“ direktorius A. Šriupša.