Analityka cyberbezpieczeństwa. A dokładniej…?
Świat IT obfituje w zasady i dobre praktyki utrzymania cyberbezpieczeństwa – NIST Cybersecurity Framework, ISO 270001 czy SABSA, a to tylko początek. Zespoły ds. bezpieczeństwa IT są dosłownie bombardowane wymaganiami dotyczącymi utrzymania odpowiedniego poziomu bezpieczeństwa infrastruktury IT w organizacji. Bombardowane do tego stopnia, że potrzebny jest filtr pozwalający dopasować wymagania do poziomu zagrożenia. I tu wkraczają technologie analityki bezpieczeństwa skoncentrowane na dostarczaniu danych w celu zwiększenia możliwości oceny, analizy i zarządzania zagrożeniami bezpieczeństwa. W rezultacie organizacje coraz częściej zwracają się do analityków i konsultantów bezpieczeństwa, by uzyskać pomoc we wdrażaniu i utrzymywaniu ram bezpieczeństwa.
Termin „analityka bezpieczeństwa” nie odnosi się do konkretnej technologii ani fragmentu oprogramowania. Nie ma ujednoliconego narzędzia ani platformy do analizy bezpieczeństwa typu „wszystko w jednym”. Każda firma ma określone wyzwania techniczne i słabości infrastruktury. Obejmuje ona zestaw metod i technologii gromadzenia i agregowania danych w celu wykrywania i blokowania potencjalnych zagrożeń. Na przykład analiza bezpieczeństwa może obejmować używanie narzędzi do analizy zachowania w celu wykrywania zagrożeń i monitorowania bezpieczeństwa.
Analityka pozwala uzyskać obraz obecnego statusu w zakresie cyberbezpieczeństwa poprzez przejście następujących kroków:
- Zebrania danych z istniejących systemów bezpieczeństwa IT.
- Dopasowanie danych do założeń obecnej strategii bezpieczeństwa IT.
- Identyfikacja luk w aktualnym stanie bezpieczeństwa IT.
- Dobór rozwiązań uzupełniających.
- Monitorowanie wyników po wdrożeniu i oszacowanie stopnia poprawy.
Podążając za dobrą praktyką zarządzania, która priorytetyzuje planowanie na podstawie dostępnych danych, przyjrzymy się punktowi pierwszemu. Jest on najbardziej wyczerpujący, ponieważ zakłada dogłębną analizę i korelację outputu ze wszelkich dostępnych systemów stanowiących jakiekolwiek wsparcie w informatyce śledczej.
Obejmuje to wyszukiwanie, gromadzenie, przechowywanie i korelowanie danych bezpieczeństwa z wielu źródeł, w tym:
- Logów serwera i aplikacji.
- Urządzeń sieciowych i logów ruchu sieciowego.
- Serwerów fizycznych.
- Różnorodnych punktów końcowych.
- Maszyn wirtualnych i hypervisorów.
- Danych kontekstowych niezwiązanych z IT (ale to temat na oddzielny artykuł).
- Narzędzi do zarządzania tożsamością i dostępem.
- Analiz behawioralnych, które identyfikują wzorce aktywności użytkowników różniące się od wartości bazowej.
Rozprzestrzenianie się coraz bardziej zaawansowanych zagrożeń cyberbezpieczeństwa wymaga od organizacji znalezienie kompromisu i założenia, że ktoś już jest w systemie. Mityczny srebrny pocisk nigdy nie istniał w cyberbezpieczeństwie a tradycyjne narzędzia są tak skuteczne tylko w ograniczonym obszarze, który obejmują.
Dla przykładu – SIEM skoreluje wydarzenia zarejestrowane przez kilka systemów – ale stworzony incydent będzie tak dobry jak dobre są dane z tych systemów. Możliwe, że atak zostanie wyłapany przez Firewall i EDR – ale brak systemu DLP sprawi, że uzyskanie informacji o tym, co dokładnie było celem ataku zostanie opóźnione. Ponadto bez odpowiedniej konfiguracji i procesów zarządzania danymi ryzykujesz utonięcie w zalewie fałszywych alertów. Dlatego organizacja potrzebuje zbudowania silnej podstawy bezpieczeństwa poprzez wdrożenie analizy bezpieczeństwa dla całego zakresu funkcji bezpieczeństwa: identyfikacji, ochrony, wykrywania, reagowania i odzyskiwania.
Najczęstsze przypadki użycia analityki bezpieczeństwa to:
- Identyfikacja i likwidacja luk w zabezpieczeniach.
- Monitorowanie systemu pod kątem zagrożeń wewnętrznych.
- Wyszukiwanie anomalii w ruchu sieciowym i operacjach na urządzeniach końcowych.
- Blokowanie wycieków danych.
- Utrzymanie zgodności z regulacjami.
- Informatyka śledcza.
Aby zbudować skuteczną strategię analityki bezpieczeństwa, firmy muszą uchwycić, opisać i skategoryzować swoje przypadki użycia oraz wyznaczyć jasne cele, które chcą osiągnąć. Im bardziej złożony przypadek użycia, tym trudniej będzie rozpoznać i przewidzieć zagrożenia i tym bardziej złożona będzie Twoja strategia i operacje bezpieczeństwa IT.
Oto kilka najlepszych praktyk, które należy wziąć pod uwagę podczas eksploracji różnych narzędzi i metod analizy bezpieczeństwa
- Zdefiniuj, ustal priorytety i sklasyfikuj kluczowe przypadki użycia dla Twojej organizacji.
- Dokonaj ewidencji możliwości swojego istniejącego oprogramowania.
- Poszukaj rozwiązań, które uzupełniają i rozszerzają istniejące systemy.
Zacznij prosto. Zidentyfikuj luki w aktualnej analizie bezpieczeństwa, które kolidują z twoją wizją cyberbezpieczeństwa w organizacji.
Następnie poszukaj rozwiązania, które wzbogaci Twoje obecne rozwiązania i pozwoli odpowiedzieć na następujące pytania:
- Które informacje są wrażliwe? Gdzie to się znajduje? Czy to jest zagrożone?
- Kto ma dostęp do wrażliwych danych? Jak mogę zaradzić nadmiernemu dostępowi?
- Kto ma dostęp do wrażliwych danych? Czy jest jakaś niewłaściwa aktywność użytkownika uprzywilejowanego?
- Czy muszę zgłaszać naruszenie danych? Jak mogę szybciej podjąć świadomą decyzję?
- Jakie dane należałoby odzyskać w przypadku naruszenia bezpieczeństwa? Jak można było zatrzymać incydenty?
Dzięki wdrożeniu systemów dających Ci odpowiedzi na powyższe pytania, możesz usprawnić dochodzenie, skrócić czas reakcji na przewidywane zagrożenia, określić wagę naruszenia i przekształcić wszystkie informacje zebrane podczas włamania w spostrzeżenia, które wzmocnią Twoją infrastrukturę bezpieczeństwa przed podobnymi incydentami w przyszłości. Powodzenia!