Hledání rovnováhy mezi automatizací a rolí lidských expertů

Aleš Pikora, , 04. červen 2017 09:30 0 komentářů
Hledání rovnováhy mezi automatizací a rolí lidských expertů

Vincent Weafer, viceprezident McAfee Labs, v komentáři k letošní dubnové studii, za hlavní výzvu v současnosti považuje sdílení informací mezi různými subjekty v celém ekosystému IT bezpečnosti. Automatická detekce hrozeb i řízení rizik, zejména s ohledem na stanovení priorit, na efektivním sdílení informací přímo závisí.

Jde stejně tak o sdílení informací v rámci firmy, mezi dodavateli a zákazníky, ale např. i mezi konkurujícími si bezpečnostními firmami, se specializovanými policejními útvary, v mezinárodním měřítku apod. Sdílení informací přitom mnohdy nefunguje ani v rámci produktů a služeb uvnitř jedné firmy. Příkladem může být situace, kdy systém zabezpečení podniku nedokáže mezi sebou korelovat informace získávané z různých typů zařízení. Samostatnou kapitolou je pak sdílení informací o zero day hrozbách a legální obchod s nimi, na němž se podílejí výrobci softwaru a hardwaru, nezávislí bezpečnostní výzkumníci i specializované firmy.

Problém izolace

Tradiční model bezpečnostních systémů v době stále sofistikovanějších hrozeb naráží na své limity. Izolované systémy často nedokáží zastavit útok, ačkoliv proti němu současně obstál jiný systém. Odborníci z McAfee Labs vysvětlují, že větší sdílení informací je nutné i vzhledem k následujícím výzvám:

  • Bezpečnostní incidenty je třeba stále přesněji třídit podle jejich povahy a závažnosti a volit priority. Specialisté mají pouze určité množství času.

  • Efektivní zabezpečení vyžaduje propojovat události, tj. dokázat rychle spojit detekci narušení s konkrétní hrozbou, kampaní, vektorem útoku.

  • Rozlišovat legitimní a škodlivé aktivity je dnes stále obtížnější. Aplikace, prostředí cloudu nebo různá zařízení se spolu propojují kdykoliv a odkudkoliv.

  • Řízení přístupu jako klíčová úroveň pro zabezpečení vyžaduje mít k dispozici aktuální informace o útočnících/útocích, což představuje další argument pro sdílení.

Úrovně informací a jejich zpracování

Informace o hrozbách (threat intelligence) můžeme rozdělit do tří kategorií: na strategické, provozní (operační) a taktické. Stejně tak lze rozlišovat různé funkce (úrovně) bezpečnostních systémů.

Mezi taktické informace patří údaje, které shromažďují bezpečnostní senzory, skenery a další zařízení. Většina těchto procesů je automatizovaná, totéž platí pro možné sdílení. Nicméně automatizované procesy někdy opomíjejí důležité podrobnosti a kontext informací (např. zablokují škodlivý soubor a poskytnou informace o něm, ne však už o zdrojových IP adresách útoku).

Příslušné kritické informace pro určení kontextu jsou záležitostí operačních (provozních) systémů. Zde se vytvářejí korelace mezi jednotlivými událostmi a z toho vyplývající navrhované postupy obrany i řešení incidentů. Přes veškerou automatizaci právě na této úrovni mají dosud hlavní roli zkušení experti na zabezpečení.

Strategická úroveň pak zahrnuje obecnější zpracování informací pro podporu úpravy bezpečnostních politik a plánování v rámci celé organizace. V této oblasti se už analyzují nejpravděpodobnější útočníci i jejich oblíbené cíle, vše se provazuje s řízením rizik, vazbou na regulační předpisy a legislativu. Bezpečnostní politiku vytvářejí téměř výlučně lidé na základě svých zkušeností. Nicméně i v této oblasti je dnes třeba provádět změny rychle (agilně), což vyžaduje rychlý tok informací k těm, kdo politiky vytvářejí. Rychle aktualizované politiky znamenají, že proti příštímu útoku stejného typu se již bude postupovat dle jiných, optimalizovaných pravidel („rámců“).

Technologie pro sdílení

V posledních letech v oboru IT bezpečnosti výrazně vzrostla automatizace, ať už jde o shromažďování nebo další zpracování (především taktických) informací. Tyto informace se většinou skládají z protokolů událostí (logů) a charakteristik útoku, jako jsou hashe souborů nebo související URL/IP adresy. Taková data mají často smysl jen pro daný okamžik a vzápětí hodnotu ztrácejí (útočníci např. mění IP adresy). Současně se jich však generuje velké množství a je obtížné mezi nimi vybrat ty důležité. I zde existují technologie, které umožňují chování malwaru popsat detailněji, např. různá simulovaná prostředí (sandboxy), pasti (honeypoty) nebo sofistikované karantény, kde se provádí pokročilá analýza.

Autor je ředitel divize DataGuard ve společnosti PCS, spol. s r.o.

Aleš Pikora,

Aleš Pikora,

Autor je ředitelem divize DataGuard spol. PCS, spol. s r. o.


Komentáře

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

21. 10. WordCamp Brno 2017
24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
RSS 

Zprávičky

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Starší zprávičky

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů

Ransomware Locky v září masivně útočil ve světě i v ČR

Pavel Houser , 19. říjen 2017 09:30

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016....

Více 0 komentářů

Podnikové služby tvoří už 5 % českého HDP

Pavel Houser , 19. říjen 2017 09:00

Podnikové služby v ČR rostly o 19 %, největší boom zažívají centra poskytující IT služby....

Více 0 komentářů