Przyszłość cyberbezpieczeństwa część II: Potrzeba automatyzacji

Wiele organizacji niechętnie łata dziury w zabezpieczeniach lub wymienia uszkodzone urządzenia, ponieważ obawiają się zakłócenia niezbędnych usług i procesów. W dzisiejszej ekonomii cyfrowej, gdzie dane mają wartość pieniądza, bycie w trybie offline przez nawet najkrótszą chwilę może sprawić, iż konsumenci będą szukać usług, na które zgłaszają swój popyt, w innym miejscu. A ponieważ sieci rozwijają się bardzo szybko, wiele organizacji po prostu traci kontrolę nad urządzeniami w swojej sieci.

Jeżeli urządzenie jest zbyt istotne, aby zostać przełączone w tryb offline, powinna istnieć taka segmentacja sieci, żeby wpływ ewentualnego złamania bezpieczeństwa tego urządzenia był ograniczony do małego jej fragmentu. Następnie należy stworzyć redundancję, w taki sposób aby ruch mógł krążyć wokół urządzenia podczas jego aktualizacji. Konieczne są zautomatyzowane inwentaryzacje w celu identyfikacji wszelkich narażonych urządzeń w sieci. Jednakże faktem jest, iż nie można dłużej ignorować drobnych usterek. Równie dobrze można rozwinąć czerwony dywan oraz cyfrową strzałkę z napisem “cenne dane -> w tę stronę”.

Innym problemem jest to, iż zagrożenia nie tylko mogą być ukrywane w sieci przez całe miesiące przed przeprowadzeniem ataku, ale również potrafią nauczyć się normalnych zachowań w sieci i po ich przeprowadzeniu naśladować zwykły ruch sieciowy w celu uniknięcia wykrycia. Jednym z kluczy stanowiącym odpowiedź na ten rodzaj wyrafinowanych działań jest swoistego rodzaju związek pomiędzy śledzeniem zagrożeń oraz ich wykryciem. Biznes wymaga rozwiązań do zaawansowanego śledzenia zagrożeń – produktów takich jak SIEM (zarządzanie informacjami i zdarzeniami bezpieczeństwa), które mogą gromadzić i korelować ruch z różnorodnych urządzeń zebranych w całej sieci w celu identyfikacji oraz przeciwdziałania zaawansowanym zagrożeniom. Nawet najlepsze szkodliwe oprogramowanie musi w końcu albo modyfikować zasady albo uzyskiwać duży wolumen informacji, co może zostać wykryte. Wymaga to jednak czasami gromadzenia oraz śledzenia zagrożeń w celu zbadania anomalii.

Coraz bardziej krytycznym elementem skutecznej obrony jest automatyzacja. Cyberprzestępcy stale rozwijają i stosują zautomatyzowane ataki w celu bardziej skutecznego ich skalowania oraz ograniczenia bezpośredniego sterowania, którego wymaga większość ataków. Żeby skutecznie konkurować z tym typem strategii trzeba zwalczać automatyzację tą samą bronią.

Zagrożenia ewoluują tak szybko po ciemnej stronie sieci, iż jedyny sposób ich zwalczania stanowi automatyzacja oraz inteligentne warstwy bezpieczeństwa, które mogą szybko identyfikować nowe i istniejące zagrożenia, a następnie podejmować decyzje w celu ich minimalizacji. Nazywam ten rodzaj zapory cyberbezpieczeństwa “inteligencją funkcjonalną”. Wymaga ona zastosowania połączonych rozwiązań bezpieczeństwa w całym obrębie sieci, wnikając wewnątrz chmury plików. Celem jest stworzenie rozwiązania bezpieczeństwa, które jest w stanie wykryć i rozpoznać fazy zagrożenia oraz samodzielnie podjąć decyzje. System ekspercki tego typu jest w stanie zidentyfikować i zablokować ataki na poziomie prędkości sieci w taki sposób, żeby nie trzeba było polegać na ludziach, którzy często reagują zbyt wolno, aby podjąć działania.

Może to wymagać ponownego przemyślenia, a nawet przeprogramowania infrastruktury bezpieczeństwa. Po pierwsze, urządzenia muszą być w stanie widzieć siebie nawzajem oraz współdzielić śledzenie zagrożeń. Oznacza to, iż odizolowane urządzenia oraz platformy bezpieczeństwa będą musiały zostać wymienione na nowe narzędzia, które będą używać wspólnych systemów operacyjnych lub konsoli zarządzania oraz, które są budowane na otwartych standardach tak, aby mogły stać się integralną częścią zintegrowanej i inteligentnej struktury bezpieczeństwa.

Takie śledzenie musi być skorelowane i przetwarzane w celu wykrycia wysoce rozproszonych ataków, które w innym przypadku mogłyby zostać niewykryte. Wymaga to łączenia tradycyjnych narzędzi bezpieczeństwa takich jak zapory sieciowe, systemy zapobiegające włamaniom czy bramy bezpieczeństwa poczty elektronicznej oraz ruchu sieciowego z zaawansowanymi narzędziami zapobiegania zarządzeniom, takimi jak Sandbox, w celu wykrywania zaawansowanych i uprzednio niewykrytych zagrożeń.

W momencie, gdy zagrożenie zostało wykryte, śledzenie to musi zostać przekonwertowane w reguły oraz politykę funkcjonalną, które powinny być dystrybuowane automatycznie w sieci. Reguły zapory sieciowej oraz sygnatury IPS muszą być aktualizowane. Bramy bezpieczeństwa oraz punkty końcowe muszą zostać wzmocnione. Wrogie oraz zainfekowane urządzenia należy zidentyfikować, a segmentacja sieci wymaga dynamicznej izolacji wszelkich zagrożonych urządzeń, aby zapobiec rozprzestrzenianiu się wirusów. Należy rozpocząć analizę kryminalistyczną w celu wykrycia punktu zagrożenia oraz uszczelnić to naruszenie. Należy rozpocząć naprawę tak, aby urządzenia poddane kwarantannie mogły z zostać jak najszybciej przywrócone w tryb online.

Wszystko to powinno odbywać się automatycznie, w każdym obszarze i w tym samym czasie wewnątrz całej rozproszonej sieci. Obejmuje to środowiska fizyczne i wirtualne, rozproszone centra danych, zdalne biura, IoT [Internet rzeczy] (ang. Internet of Things) oraz końcowe urządzenia mobilne, a nawet powinno sięgać głębiej, do połączonych chmur danych, włączając w to wszystko, począwszy od skomplikowanych rozwiązań infrastrukturalnych po proste usługi oparte na chmurze.

Śledzenie funkcjonalne w połączeniu z wzmocnionymi systemami eksperckimi wraz ze zautomatyzowanym procesem, który umożliwia autonomiczne podejmowanie decyzji stanowi przyszłość cyberbezpieczeństwa. Organizacje, które przyjmą i zastosują taki rodzaj podejścia będą dobrze radzić sobie podczas transformacji cyfrowej społeczeństwa. Większość tych, którzy nie poczynią tych zmian prawdopodobnie nie przetrwają. To naprawdę jest tak proste.

Źródło: https://www.csoonline.com/article/3235945/security/the-future-of-cybersecurity-part-ii-the-need-for-automation.html.