Czym jest kontekst w cyberbezpieczeństwie i dlaczego jest istotny

Home / Aktualności / Czym jest kontekst w cyberbezpieczeństwie i dlaczego jest istotny

Słownik oksfordzki definiuje „kontekst” jako „okoliczności, które tworzą otoczenie wydarzenia, stwierdzenia lub idei i pod kątem których można je w pełni zrozumieć i ocenić”. Definicja w pełni oddaje, jego znaczenie w analizie zdarzeń z zakresu cyberbezpieczeństwa: to informacje kontekstowe zapewniają wgląd w okoliczności zdarzenia i to właśnie ten wgląd nierzadko decyduje o poprawnej kwalifikacji danego zdarzenia jako incydentu lub ­false-positive.


Znaczenie kontekstu w analizie zdarzeń i neutralizacji podatności jest nadrzędne.

Podstawowym celem analizy bezpieczeństwa w organizacji jest zdobycie wiedzy, która umożliwi skuteczne zabezpieczenia sieci.

Oznacza to dwie rzeczy:

  • Mniej „false-positives”w incydentach generowanych przez dotychczas istniejące technologie.

  • Adaptację nowych technologii by pokryć „ślepe punkty” – miejsca, gdzie atakujący mogą przeniknąć do Twojego środowiska bez wykrycia lub gdzie dodatowe zdarzenie mogłoby szybciej doprowadzić do stworzenia incydentu.

Niestety, wiele działań związanych z bezpieczeństwem nie przynosi tych korzyści z powodu braku informacji kontekstowych. Ich brak ostatecznie zostawia analityka z koniecznością podjęcia tzw. educated guess. To, dlatego doświadczenie w IT Security jest na wagę złota – jednak zmieniający się krajobraz cyberzagrożeń deprecjonuje jego wartość.Pojedyncza informacja rzadko zapewnia jasność w zdarzeniach związanych z bezpieczeństwem, a analiza zdarzeń historycznych zawodzi w przypadku nowych taktyk atakujących.


Niedawno pojawił się główny trend w kierunku głębszej integracji danych z czarnych list i innych artefaktów w ramach terminologii „integracja danych wywiadowczych w zakresie bezpieczeństwa”. Chociaż te dane są nieocenione, brakuje ich kontekstu i, jeśli nie są właściwie wykorzystywane, mogą być przyczyną nieefektywności operacji bezpieczeństwa zamiast być rozwiązaniem.

  • Weźmy na przykład informacje oparte na IP, która pochodzi od organizacji publikujących czarne listy.

  • Informacje przechwytywane przez te organizacje są bezpośrednim wynikiem procesu obejmującego wykrywanie zagrożeń, ustalanie ich celu, określanie ich pochodzenia, określanie metodologii, z której korzystają zagrożenia etc.

  • Często wynik śledztwa ogranicza się do pojedynczych bitów informacji, takich jak adres IP lub nazwa DNS.

  • Rezultatem jest proces nieefektywny dla korzystających z tych informacji – ze względu na brak kontekstu, specjaliści korzystający z tych danych niewiedzę jak bardzo uwzględniać je w porównaniu z innymi sygnałami z ich środowiska czy też jak bardzo jest to dla nich istotne.

Informacje ciężkie do przetworzenia – jak ta powyżej oparta o IP – są szeroko spotykane głównie dlatego, że tworzenie wiedzy uwzględniającej kontekst jest niezwykle trudne. Zespoły ds. bezpieczeństwa korzystające z tego rodzaju „ogólnych” wiadomości muszą same stworzyć kontekst i uzyskać widoczność dzięki pracy zespołowej, przejrzystej komunikacji i znajomości specyfiki środowiska, w którym pracują.



Warto tu wymienić w jaki sposób dzielić informacje na bezpośrednie i kontekstowe:

Informacje bezpośrednie:

  • Jaki alarm został uruchomiony

  • Jakie jest źródło zdarzenia?

  • Jakie są szczegóły ruchu, który wygenerował alert?

  • Czy to rzeczywisty atak czy false-positive?

Informacja kontekstowa:

  • Czy alert jest wiarygodny?

  • Czy rozwiązanie jest znane z fałszywych alarmów?

  • Czy to wydarzenie jest powszechne?

  • Czy podobne zdarzenie zostało wcześniej odnotowane jako false-positive?

  • Co wiadomo o źródle?

  • Czy jest na czarnej liście z powodów związanych z widzianym ruchem?

  • Czy wystąpiły inne zdarzenia, które mogły zapewnić atakującemu wgląd niezbędny do wykonania tego ataku?

  • Czy w systemie były powiązane zdarzenia?

  • Czy użytkownik zaangażowany w zdarzenie wywołał inne zdarzenia, które budzą podejrzenia?

  • Czy przed atakiem czy po nim wykryto anomalie w ruchu sieciowym?

  • Czy wiadomo, że system jest podatny na ataki tego rodzaju?

  • Czy są jakieś dodatkowe informacje, które byłyby przydatne?


Rezultatem konieczności posiadania jak największej liczby odpowiedzi na powyższe są ruchy w kierunku centralizacji i integracji technologii bezpieczeństwa i automatyzacji ręcznych procesów. Systemy takie jak SIEM SOAR pozwalają skorelować wiadomości z kilku źródeł i zapewnić zespołowi bezpieczeństwa niezbędny wgląd w okoliczności zdarzenia. Biorąc pod uwagę fakt, że zdecydowana większość przyjętych technologii koncentruje się przede wszystkim na ostrzeganiu o konkretnych technicznych aspektach ataku a nie o źródłowej przyczynie ataku – praca i tak pozostaje wyzwaniem.


Kluczem do osiągnięcia głębszego poziomu wykrywania poprzez automatyzację jest połączenie wielu zdarzeń związanych z bezpieczeństwem z informacjami środowiskowymi aby nadać im kontekst.


Powiązane artykuły

Metody heurystyczne w cyberbezpieczeństwie
Czym jest event, incydent, alert oraz notyfikacja
Analityka cyberbezpieczeństwa. A dokładniej...?
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji