Tri hrozby za minútu
„Každých 20 sekúnd vzniká vo svete phishingový link. Vieme o ňom iba vtedy, ak sa nájde prvá obeť, ale to už je neskoro,“ varuje Ľuboš Chovan, systémový inžinier Palo Alto Networks.
Čas na rozhodovanie sa nielenže skrátil, ale takmer neexistuje. V reálnom čase a bez signatúry musia obrancovia vedieť identifikovať, že link je škodlivý alebo je súčasťou útoku.
V súčasnosti sú útoky také masívne a sofistikované, že nároky na obrancov rastú raketovou rýchlosťou.
Zmena od základov
Juraj Přibyl je manažérom v stredisku bezpečnostných operácií (SOC) NN Group a dianie v kybernetickej bezpečnosti pozoruje z hľadiska dennej prevádzky aj skúseností trinástich krajín, za ktoré je zodpovedný.
Pozitívny trend v kybernetickej bezpečnosti vidí v tom, že sa zvyšuje povedomie v top manažmente. Negatívom je akési „prilepenie“ nových IT nástrojov a technológií k existujúcej infraštruktúre bez dlhodobej stratégie.
„Mali by sme sa vrátiť k základom a bezpečnostnú architektúru postaviť na nových princípoch,“ hovorí Juraj Přibyl. V tomto tvrdení vychádza z toho, že klasický perimeter už neexistuje, reprezentuje ho každé zariadenie pripojené do infraštruktúry a základom je nulová dôvera.
O krok vpred
V súčasnosti sa obrana sústreďuje na analýzu správania, prevenciu a detekciu, aby ochránila organizáciu pred kybernetickými hrozbami. Trendom je však predikcia.
Moderátor panelu Roman Čupka, hlavný konzultant Progress Software a CEO Synapsa Networks, formuluje zásadný trend stručne: „Adaptívna bezpečnosť predstavuje nepretržitý proces, ktorý zahŕňa prevenciu, okamžitú detekciu s automatizovanou reakciou, a to na základe prediktívnych informácií o hrozbách.“
V tejto súvislosti si preto profesionáli dávajú otázku, ako vyberať technológie, aby vedeli plánovať ľudské zdroje a aplikovať procesy v informačnej a kybernetickej bezpečnosti.
Čím menej, tým lepšie?
S rastom trhu bezpečnostných technológií prichádza pasca nekonečného výberu. „Vybrať si to najlepšie od každého ešte neznamená vybrať si vo finále najlepšie bezpečnostné riešenie,“ upozorňuje Stanislav Smolár, manažér oddelenia bezpečnosti Soitron. „V praxi napríklad vidíme, že od počtu 15 výrobcov ideme k trom.“
Samotný manažment zariadení od rôznych výrobcov a ich integrácia predstavujú čoraz viacej námahy. Nastáva konsolidácia výrobcov na menšie počty.
Čím viac, tým lepšie
O to väčší dôraz však dávajú dodávatelia bezpečnostných služieb na to, čo chrániť a ako. Čiže aké sú aktíva v organizácii, aký softvér a s tým súvisiace zraniteľnosti.
Povinnosťou integrátora je vedieť, čo má chrániť. V identifikácii aktív sa dá pomôcť zákazníkovi, keďže sa na to využívajú štandardné nástroje. Ale o tom, akú hodnotu to má pre organizáciu, musí rozhodovať vždy samotná organizácia.
„Slovenským paradoxom je, že výrobné podniky majú často výborne zabezpečenú IT infraštruktúru a o svojej výrobnej linke nevedia takmer nič,“ s ľútosťou konštatuje Stanislav Smolár.
Preteky s časom
Aj v adaptívnej bezpečnostnej architektúre platí, že ju vnímame ako živý dynamický celok. Cieľom je znižovať reakčný čas na kybernetické bezpečnostné incidenty. Preto bezpečnostní profesionáli nedajú dopustiť na automatizáciu a threat intelligence, čiže zdieľané informácie o kybernetických hrozbách.
Automatizácia tu pomáha nielen pri inventarizácii a riadení aktív, ale vo veľkej miere dokáže pomáhať pri reakcii na obranu proti kybernetickým útokom, pri riešení incidentov či samotnej prevencii.
Tu však Roman Čupka upozorňuje, že až zarážajúce množstvo organizácií ešte stále nevyužíva tieto možnosti. Dôvera voči automatizácii či umelej inteligencii v bezpečnostnej obrane tak zaostáva za útočníkmi, ktorí tento trend intenzívne využívajú.
Niečo ako pletivo
Architektúra, kde sa spájajú aktuálne požiadavky na zdieľanie informácií o hrozbách, incidentoch, stave zariadení či IT hygiene, dostala názov mesh architektúra. „Všetko so všetkým súvisí a všetko je so všetkým prepojené,“ vysvetľuje Peter Kočík, tím líder konzultantov Fortinet pre strednú a východnú Európu.
To isté platí aj pre obranu, že reakcia musí byť komplexná. Incident treba ošetriť súbežne vo viacerých bodoch. Peter Kočík to označuje ako okamih pravdy. Vtedy sa ukáže, či sú riešenia prepojené. A tam sa vraciame k cieľu adaptívnej bezpečnostnej architektúry, čiže k tomu, aby sa v bezpečnosti skracoval reakčný čas.