Hledání rovnováhy mezi automatizací a rolí lidských expertů

Aleš Pikora, , 04. červen 2017 09:30 0 komentářů
Hledání rovnováhy mezi automatizací a rolí lidských expertů

Vincent Weafer, viceprezident McAfee Labs, v komentáři k letošní dubnové studii, za hlavní výzvu v současnosti považuje sdílení informací mezi různými subjekty v celém ekosystému IT bezpečnosti. Automatická detekce hrozeb i řízení rizik, zejména s ohledem na stanovení priorit, na efektivním sdílení informací přímo závisí.

Jde stejně tak o sdílení informací v rámci firmy, mezi dodavateli a zákazníky, ale např. i mezi konkurujícími si bezpečnostními firmami, se specializovanými policejními útvary, v mezinárodním měřítku apod. Sdílení informací přitom mnohdy nefunguje ani v rámci produktů a služeb uvnitř jedné firmy. Příkladem může být situace, kdy systém zabezpečení podniku nedokáže mezi sebou korelovat informace získávané z různých typů zařízení. Samostatnou kapitolou je pak sdílení informací o zero day hrozbách a legální obchod s nimi, na němž se podílejí výrobci softwaru a hardwaru, nezávislí bezpečnostní výzkumníci i specializované firmy.

Problém izolace

Tradiční model bezpečnostních systémů v době stále sofistikovanějších hrozeb naráží na své limity. Izolované systémy často nedokáží zastavit útok, ačkoliv proti němu současně obstál jiný systém. Odborníci z McAfee Labs vysvětlují, že větší sdílení informací je nutné i vzhledem k následujícím výzvám:

  • Bezpečnostní incidenty je třeba stále přesněji třídit podle jejich povahy a závažnosti a volit priority. Specialisté mají pouze určité množství času.

  • Efektivní zabezpečení vyžaduje propojovat události, tj. dokázat rychle spojit detekci narušení s konkrétní hrozbou, kampaní, vektorem útoku.

  • Rozlišovat legitimní a škodlivé aktivity je dnes stále obtížnější. Aplikace, prostředí cloudu nebo různá zařízení se spolu propojují kdykoliv a odkudkoliv.

  • Řízení přístupu jako klíčová úroveň pro zabezpečení vyžaduje mít k dispozici aktuální informace o útočnících/útocích, což představuje další argument pro sdílení.

Úrovně informací a jejich zpracování

Informace o hrozbách (threat intelligence) můžeme rozdělit do tří kategorií: na strategické, provozní (operační) a taktické. Stejně tak lze rozlišovat různé funkce (úrovně) bezpečnostních systémů.

Mezi taktické informace patří údaje, které shromažďují bezpečnostní senzory, skenery a další zařízení. Většina těchto procesů je automatizovaná, totéž platí pro možné sdílení. Nicméně automatizované procesy někdy opomíjejí důležité podrobnosti a kontext informací (např. zablokují škodlivý soubor a poskytnou informace o něm, ne však už o zdrojových IP adresách útoku).

Příslušné kritické informace pro určení kontextu jsou záležitostí operačních (provozních) systémů. Zde se vytvářejí korelace mezi jednotlivými událostmi a z toho vyplývající navrhované postupy obrany i řešení incidentů. Přes veškerou automatizaci právě na této úrovni mají dosud hlavní roli zkušení experti na zabezpečení.

Strategická úroveň pak zahrnuje obecnější zpracování informací pro podporu úpravy bezpečnostních politik a plánování v rámci celé organizace. V této oblasti se už analyzují nejpravděpodobnější útočníci i jejich oblíbené cíle, vše se provazuje s řízením rizik, vazbou na regulační předpisy a legislativu. Bezpečnostní politiku vytvářejí téměř výlučně lidé na základě svých zkušeností. Nicméně i v této oblasti je dnes třeba provádět změny rychle (agilně), což vyžaduje rychlý tok informací k těm, kdo politiky vytvářejí. Rychle aktualizované politiky znamenají, že proti příštímu útoku stejného typu se již bude postupovat dle jiných, optimalizovaných pravidel („rámců“).

Technologie pro sdílení

V posledních letech v oboru IT bezpečnosti výrazně vzrostla automatizace, ať už jde o shromažďování nebo další zpracování (především taktických) informací. Tyto informace se většinou skládají z protokolů událostí (logů) a charakteristik útoku, jako jsou hashe souborů nebo související URL/IP adresy. Taková data mají často smysl jen pro daný okamžik a vzápětí hodnotu ztrácejí (útočníci např. mění IP adresy). Současně se jich však generuje velké množství a je obtížné mezi nimi vybrat ty důležité. I zde existují technologie, které umožňují chování malwaru popsat detailněji, např. různá simulovaná prostředí (sandboxy), pasti (honeypoty) nebo sofistikované karantény, kde se provádí pokročilá analýza.

Autor je ředitel divize DataGuard ve společnosti PCS, spol. s r.o.

Aleš Pikora,

Aleš Pikora,

Autor je ředitelem divize DataGuard spol. PCS, spol. s r. o.


Komentáře

RSS 

Komentujeme

Umělá inteligence rozpoznává tvář zločince

Pavel Houser , 27. červen 2017 12:30
Pavel Houser

Když dnes člověk prohlásí, že rysy tváře souvisejí se zločinností, bude za šarlatána, který chce kří...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

ČR mezi 10 nejpostiženějšími zeměmi ransomwarového útoku

Pavel Houser , 28. červen 2017 07:00

K aktuálním útokům ransomwarem, který byl zaznamenán nejprve na Ukrajině a v Rusku, začaly vydávat s...

Více 0 komentářů

Hackeři napadli ukrajinské banky a podniky, i ruskou Rosněfť

ČTK , 27. červen 2017 18:27

Ukrajinu dnes zasáhla největší vlna hackerských útoků v historii země, informovalo ukrajinské minist...

Více 0 komentářů

Google dostal od Evropské komise rekordní pokutu 2,4 miliardy eur

ČTK , 27. červen 2017 13:06

Google se musí začít ke konkurenčním srovnávačům cen chovat stejně jako k vlastní službě. ...

Více 0 komentářů

Starší zprávičky

Do sporu ruských úřadů se sítí Telegram se vložila i tajná služba

ČTK , 27. červen 2017 09:00

Podle provozovatele majitel sítě žádný "šifrovací klíč" nemá, ty si vytváří zařízení uživatele....

Více 0 komentářů

NSZ zrušilo kvůli vadám stíhání šesti lidí v kauze IT zakázek

ČTK , 27. červen 2017 08:00

Případ se týká tendrů Integrovaného operačního programu ministerstva vnitra. ...

Více 0 komentářů

Konica Minolta umožňuje skenovat dokumenty mobilním telefonem

Pavel Houser , 26. červen 2017 16:04

Nová aplikace podle dodavatele zrychlí ve firmách zpracování dokumentů. Uživatelé mohou s každým dok...

Více 0 komentářů

Toshiba vypadne z hlavního indexu tokijské burzy Nikkei 225

ČTK , 26. červen 2017 10:00

Společnost dosud nezveřejnila auditované výsledky za uplynulý finanční rok, protože auditoři jí výsl...

Více 0 komentářů