Hledání rovnováhy mezi automatizací a rolí lidských expertů

Aleš Pikora, , 04. červen 2017 09:30 0 komentářů
Hledání rovnováhy mezi automatizací a rolí lidských expertů

Vincent Weafer, viceprezident McAfee Labs, v komentáři k letošní dubnové studii, za hlavní výzvu v současnosti považuje sdílení informací mezi různými subjekty v celém ekosystému IT bezpečnosti. Automatická detekce hrozeb i řízení rizik, zejména s ohledem na stanovení priorit, na efektivním sdílení informací přímo závisí.

Jde stejně tak o sdílení informací v rámci firmy, mezi dodavateli a zákazníky, ale např. i mezi konkurujícími si bezpečnostními firmami, se specializovanými policejními útvary, v mezinárodním měřítku apod. Sdílení informací přitom mnohdy nefunguje ani v rámci produktů a služeb uvnitř jedné firmy. Příkladem může být situace, kdy systém zabezpečení podniku nedokáže mezi sebou korelovat informace získávané z různých typů zařízení. Samostatnou kapitolou je pak sdílení informací o zero day hrozbách a legální obchod s nimi, na němž se podílejí výrobci softwaru a hardwaru, nezávislí bezpečnostní výzkumníci i specializované firmy.

Problém izolace

Tradiční model bezpečnostních systémů v době stále sofistikovanějších hrozeb naráží na své limity. Izolované systémy často nedokáží zastavit útok, ačkoliv proti němu současně obstál jiný systém. Odborníci z McAfee Labs vysvětlují, že větší sdílení informací je nutné i vzhledem k následujícím výzvám:

  • Bezpečnostní incidenty je třeba stále přesněji třídit podle jejich povahy a závažnosti a volit priority. Specialisté mají pouze určité množství času.

  • Efektivní zabezpečení vyžaduje propojovat události, tj. dokázat rychle spojit detekci narušení s konkrétní hrozbou, kampaní, vektorem útoku.

  • Rozlišovat legitimní a škodlivé aktivity je dnes stále obtížnější. Aplikace, prostředí cloudu nebo různá zařízení se spolu propojují kdykoliv a odkudkoliv.

  • Řízení přístupu jako klíčová úroveň pro zabezpečení vyžaduje mít k dispozici aktuální informace o útočnících/útocích, což představuje další argument pro sdílení.

Úrovně informací a jejich zpracování

Informace o hrozbách (threat intelligence) můžeme rozdělit do tří kategorií: na strategické, provozní (operační) a taktické. Stejně tak lze rozlišovat různé funkce (úrovně) bezpečnostních systémů.

Mezi taktické informace patří údaje, které shromažďují bezpečnostní senzory, skenery a další zařízení. Většina těchto procesů je automatizovaná, totéž platí pro možné sdílení. Nicméně automatizované procesy někdy opomíjejí důležité podrobnosti a kontext informací (např. zablokují škodlivý soubor a poskytnou informace o něm, ne však už o zdrojových IP adresách útoku).

Příslušné kritické informace pro určení kontextu jsou záležitostí operačních (provozních) systémů. Zde se vytvářejí korelace mezi jednotlivými událostmi a z toho vyplývající navrhované postupy obrany i řešení incidentů. Přes veškerou automatizaci právě na této úrovni mají dosud hlavní roli zkušení experti na zabezpečení.

Strategická úroveň pak zahrnuje obecnější zpracování informací pro podporu úpravy bezpečnostních politik a plánování v rámci celé organizace. V této oblasti se už analyzují nejpravděpodobnější útočníci i jejich oblíbené cíle, vše se provazuje s řízením rizik, vazbou na regulační předpisy a legislativu. Bezpečnostní politiku vytvářejí téměř výlučně lidé na základě svých zkušeností. Nicméně i v této oblasti je dnes třeba provádět změny rychle (agilně), což vyžaduje rychlý tok informací k těm, kdo politiky vytvářejí. Rychle aktualizované politiky znamenají, že proti příštímu útoku stejného typu se již bude postupovat dle jiných, optimalizovaných pravidel („rámců“).

Technologie pro sdílení

V posledních letech v oboru IT bezpečnosti výrazně vzrostla automatizace, ať už jde o shromažďování nebo další zpracování (především taktických) informací. Tyto informace se většinou skládají z protokolů událostí (logů) a charakteristik útoku, jako jsou hashe souborů nebo související URL/IP adresy. Taková data mají často smysl jen pro daný okamžik a vzápětí hodnotu ztrácejí (útočníci např. mění IP adresy). Současně se jich však generuje velké množství a je obtížné mezi nimi vybrat ty důležité. I zde existují technologie, které umožňují chování malwaru popsat detailněji, např. různá simulovaná prostředí (sandboxy), pasti (honeypoty) nebo sofistikované karantény, kde se provádí pokročilá analýza.

Autor je ředitel divize DataGuard ve společnosti PCS, spol. s r.o.

Aleš Pikora,

Aleš Pikora,

Autor je ředitelem divize DataGuard spol. PCS, spol. s r. o.


Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Čtvrtletní zisk Googlu výrazně překonal očekávání

ČTK , 24. duben 2018 08:48

Tržby firmy Alphabet se meziročně zvýšily o 26 procent na 31,1 miliardy dolarů....

Více 0 komentářů

EK zkoumá, zda nechá Apple převzít Shazam

ČTK , 24. duben 2018 08:00

Apple by za aplikaci mohl zaplatit asi 400 milionů dolarů....

Více 0 komentářů

Čínská služba pro streamování hudby Tencent míří na burzu

ČTK , 23. duben 2018 11:19

Spotify byla nedávno ohodnocena na 30 miliard dolarů. 25 miliard očekávaných u Tencentu je také obro...

Více 0 komentářů

Starší zprávičky

Obchod s kryptoměnami se stěhuje mimo burzy

ČTK , 23. duben 2018 09:00

Objem obchodování s kryptoměnami je oproti konci roku poloviční....

Více 0 komentářů

Čtvrtina Čechů vyzkoušela služby sdílené ekonomiky

ČTK , 23. duben 2018 08:00

Více než polovina lidí zná služby Zonky (74 procent) a Uber (62 procent)....

Více 0 komentářů

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů

Těžba bitcoinů při kurzu pod 8 600 dolarů je ztrátová

ČTK , 20. duben 2018 11:21

Analytici se domnívají, že poptávka po hardwaru pro těžbu bitcoinů dál klesne, stejně jako cena kryp...

Více 1 komentářů