Aukštesnis kibernetinės saugos lygis Lietuvoje – 24/7 veikianti „CyberSOC“ paslauga

O Rusijos agresija Ukrainoje ir hibridinio karo veiksmai Lietuvoje išryškino dar didesnį kibernetinio saugumo poreikį. Todėl Lietuvos įmonė „NRD Cyber Security“ nusprendė išplėsti savo saugumo operacijų centro „CyberSOC“ paslaugą ir teikti ją 24 val. per parą ir 7 dienas per savaitę. 

„Organizacijos, turinčios aktyvius ar budinčius už reagavimą atsakingus IT specialistus, dabar galės turėti tvirtą užnugarį – mūsų saugumo analitikų komandą, kuri atlieka aktyvų saugos įvykių stebėjimą, jų analizę ir teikia pagalbą klientams. Taip visi kartu galime užtikrinti aukšto lygio kritinės IT infrastruktūros saugą“, – teigia Artūras Šriupša, „CyberSOC“ paslaugos direktorius. 

Naujovė – jau nuo birželio

Pasak A. Šriupšos, be pertrūkių vykdomas kritinės infrastruktūros saugos įvykių stebėjimas yra svarbi kibernetinės saugos užtikrinimo priemonė, kurią šalia kitų saugumo sprendimų renkasi vis daugiau Lietuvos įmonių bei organizacijų. 

„Su klientais ir kitais rinkos dalyviais esame daug diskutavę apie padengiamus kibernetinių atakų vektorius. Tai skatina mus imtis iniciatyvos ir būti pirma Lietuvos organizacija, rinkai siūlanti 24 valandas per parą ištisus metus veikiančio saugumo operacijų centro (SOC) paslaugas. 

Su „CyberSOC“ nuo birželio 1 dienos pereiname prie naujo 24/7 tiekimo modelio, kas reiškia, kad paslaugos tiekimo laikas pailgės net keturis kartus, palyginti su tuo, kaip veikėme anksčiau“, – sako paslaugos direktorius A. Šriupša, pabrėždamas, kad „NRD Cyber Security“ buvo pirmoji Lietuvos įmonė, kuri Lietuvos rinkai pasiūlė SOC funkciją kaip paslaugą ir dabar jau turi daugiau nei dvi dešimtis šios paslaugos klientų. 

Kibernetinės grėsmės kyla dieną naktį

Tarptautinė IBM ir Ponemon instituto parengta ataskaita „Cost of a Data Breach 2022“ nurodo, kad už IT saugumą atsakingoms komandoms įmonėse prireikia vidutiniškai 277 dienų, kad duomenų saugumo pažeidimas būtų nustatytas ir užkardytas. 

„Tuo pačiu ir mūsų patirtis rodo, kad visi kibernetiniai incidentai nenutinka staiga ir per dieną. Kartais gali susidaryti įspūdis, jog incidentai įvyksta labai greitai dėl staigios paskutinės fazės – šifravimo, duomenų pasisavinimo ar veiklos sutrikdymo. Tačiau visa atakos grandinė dažniausiai vystosi gana lėtai ir yra vos pastebimai vykstantys procesai, tarsi labai pamažu gręžiama skylė IT infrastruktūroje. Žinoma, 277 dienos (t. y. daugiau negu 9 mėnesiai) yra labai ilgas laikotarpis, per kurį organizacija gali patirti didelių nuostolių, todėl labai svarbu kuo anksčiau aptikti pirmuosius atakos grandinės veiksmus – skenavimus, bandymus pasisavinti arba jau pasisavintų vartotojų prisijungimų išnaudojimą, įvairias anomalijas tinkle ir panašiai“, – pastebi bendrovės „NRD Cyber Security“ kibernetinio saugumo konsultantas Augustinas Daukšas. 

Anot A.Daukšo, pasaulis niekada nemiega, o kibernetiniai nusikaltėliai ir automatinės įsilaužimo priemonės neskaičiuoja darbo valandų. Tad momentas, kai kritinė organizacijos IT infrastruktūra lieka viena akis į akį su kibernetinėmis grėsmėmis, dabar ne vienam vadovui kelia vis didesnį susirūpinimą. 

Vien įrankių neužtenka

A. Daukšo teigimu, šiuo metu apstu įrankių, kurie padeda stiprinti įmonių bei organizacijų kibernetinį atsparumą: SIEM, EDR/XDR, NDR ir kiti. Pagrindinė tokių įrankių paskirtis yra apdoroti didelius duomenų kiekius ir identifikuoti potencialias grėsmes. 

Anot „NRD Cyber Security“ ekspertų, toliau galimi keli scenarijai: arba įrankis pagal nustatytas taisykles automatiškai vykdo grėsmės užkardymą arba informuoja apie tai saugumo specialistą, kuris atlikęs saugumo įvykio analizę priima sprendimą apie konkretaus pavojaus lygį ir tuomet vykdo numatytus veiksmus. 

„Tačiau kol kas joks įrankis pats nepradeda veikti įvertindamas konkrečiai organizacijai būdingos specifikos. Dėl to palikus viską vien įrankiui galima sulaukti nepageidaujamų reagavimo veiksmų arba labai didelio neaktualių ar klaidingų  „alertų“ skaičiaus, vadinamųjų „false positives“. Taip pat, kad ir kokios pažengusios yra technologijos bei jų automatizacija, tam tikri „pilkosios zonos“ įvykiai vis tiek turi būti išanalizuoti saugumo analitiko. Labai dažnai pasitaiko atvejų, kai automatiniu būdu neįmanoma vienareikšmiškai nuspręsti, ar tai saugumo pažeidimas ar ne“, – pastebi A. Daukšas. 

Abu pašnekovai sutaria, kad dar nėra tokio įrankio, kuris kokybiškai veiktų savarankiškai, pats sugebėtų įvertinti konkrečiai organizacijai būdingą specifiką ir būtų galima teigti, jog automatizacija pakeitė žmogų. Kol kas kibernetinės saugos srityje iki to dar tolokai. 

Padeda nepaklysti pranešimų sraute

Bendrovės „NRD Cyber Security“ statistika iš SIEM (angl. Security information and event management) sprendimų, kurie naudojami paslaugų teikimui, rodo, jog iš visų jų sugeneruotų įspėjimų saugos incidentais virsta iki 20 procentų – t. y. po atliktos analizės tik iki penktadalio saugos įvykių yra patvirtinami kaip realūs pavojai ar incidentai. Statistikos duomenimis, likę 4 iš 5 įspėjimų po analizės ir vertinimo įvardijami kaip nepavojingi. 

„Būtent šią analizę atlieka saugos specialistai, ištisą parą nepertraukiamai reaguojantys į gautus pranešimus bei stebintys kibernetinių grėsmių aplinką, kad „atsijotų“ klaidingus suveikimus ir identifikuotų iš tiesų pavojingus atvejus, apie kuriuos turi būti informuojami kliento IT specialistai“, – kolegą papildo „CyberSOC“ paslaugos direktorius A. Šriupša. Taigi, pasak jo, viena iš pagrindinių saugos analitiko užduočių yra „išmokyti“ žurnalinių įrašų apdorojimui naudojamus įrankius (SIEM, XDR, NDR) teisingai identifikuoti pavojų ir tai daryti nuolat, nes aplinka keičiasi kiekvieną dieną. 

„Kita saugos analitiko užduotis – po įspėjimo iš stebėjimo sistemos atlikti analizę (angl. triage), pasitelkus savo įgūdžius, patirtį ir žinias, išsiaiškinti incidento kritiškumą, poveikį organizacijai bei atsiradimo kelią. Ši informacija padeda organizacijos IT specialistams greičiau ir tiksliau reaguoti į iškilusią arba potencialią grėsmę“, – dėsto A. Šriupša. 

Veikia proaktyviai, kad apsauga būtų efektyvesnė

Nauja bendrovės „NRD Cyber Security“ paslauga užtikrina, kad 24 valandas per parą veiks ne tik stebėjimo sistemos, kurios gali automatiškai reaguoti ar siųsti įspėjimus, bet ir visada šalia dirbs kvalifikuoti saugos analitikai, vykdantys visų saugos įvykių analizę realiu laiku. 

Kad sauga būtų proaktyvi ir efektyvi, analitikai reguliariai peržiūri turimų saugos įspėjimų scenarijus, tikrina jų aktualumą ir suveikimo kriterijus, priderina juos prie organizacijos veiklos aktualijų, kad įspėjamieji pranešimai būtų kuo tikslesni ir aktualūs.  

Analitikai periodiškai vykdo organizacijų tinklų bei interneto svetainių pažeidžiamumų patikrą–skenavimą ir apie pastebėtas saugumo spragas informuoja klientą. Parengiami siūlymai, kas turėtų būti padaryta, kad tų spragų neliktų. Taip potencialią grėsmę galima užkardyti anksčiau nei ji pasireiškia kaip incidentas ir virsta žala. 

O žala gali būti milžiniška: specialioje „Cybersecurity Ventures“ apžvalgoje prognozuojama, kad kibernetinių nusikaltimų žala pasaulyje šiemet gali pasiekti 8 trilijonus JAV dolerių, 2025 metais – jau 10,5 trilijono[2]. Palyginti, visos Europos Sąjungos BVP pernai siekė 16,6 trilijono JAV dolerių.

[1] https://blog.checkpoint.com/2023/01/05/38-increase-in-2022-global-cyberattacks/#:~:text=Global%20cyberattacks%20increased%20by%2038,%2Dlearning%20post%20COVID%2D19. 

[2] https://cybersecurityventures.com/cybercrime-damage-costs-10-trillion-by-2025/