Hledání rovnováhy mezi automatizací a rolí lidských expertů

Aleš Pikora, , 04. červen 2017 09:30 0 komentářů
Hledání rovnováhy mezi automatizací a rolí lidských expertů

Vincent Weafer, viceprezident McAfee Labs, v komentáři k letošní dubnové studii, za hlavní výzvu v současnosti považuje sdílení informací mezi různými subjekty v celém ekosystému IT bezpečnosti. Automatická detekce hrozeb i řízení rizik, zejména s ohledem na stanovení priorit, na efektivním sdílení informací přímo závisí.

Jde stejně tak o sdílení informací v rámci firmy, mezi dodavateli a zákazníky, ale např. i mezi konkurujícími si bezpečnostními firmami, se specializovanými policejními útvary, v mezinárodním měřítku apod. Sdílení informací přitom mnohdy nefunguje ani v rámci produktů a služeb uvnitř jedné firmy. Příkladem může být situace, kdy systém zabezpečení podniku nedokáže mezi sebou korelovat informace získávané z různých typů zařízení. Samostatnou kapitolou je pak sdílení informací o zero day hrozbách a legální obchod s nimi, na němž se podílejí výrobci softwaru a hardwaru, nezávislí bezpečnostní výzkumníci i specializované firmy.

Problém izolace

Tradiční model bezpečnostních systémů v době stále sofistikovanějších hrozeb naráží na své limity. Izolované systémy často nedokáží zastavit útok, ačkoliv proti němu současně obstál jiný systém. Odborníci z McAfee Labs vysvětlují, že větší sdílení informací je nutné i vzhledem k následujícím výzvám:

  • Bezpečnostní incidenty je třeba stále přesněji třídit podle jejich povahy a závažnosti a volit priority. Specialisté mají pouze určité množství času.

  • Efektivní zabezpečení vyžaduje propojovat události, tj. dokázat rychle spojit detekci narušení s konkrétní hrozbou, kampaní, vektorem útoku.

  • Rozlišovat legitimní a škodlivé aktivity je dnes stále obtížnější. Aplikace, prostředí cloudu nebo různá zařízení se spolu propojují kdykoliv a odkudkoliv.

  • Řízení přístupu jako klíčová úroveň pro zabezpečení vyžaduje mít k dispozici aktuální informace o útočnících/útocích, což představuje další argument pro sdílení.

Úrovně informací a jejich zpracování

Informace o hrozbách (threat intelligence) můžeme rozdělit do tří kategorií: na strategické, provozní (operační) a taktické. Stejně tak lze rozlišovat různé funkce (úrovně) bezpečnostních systémů.

Mezi taktické informace patří údaje, které shromažďují bezpečnostní senzory, skenery a další zařízení. Většina těchto procesů je automatizovaná, totéž platí pro možné sdílení. Nicméně automatizované procesy někdy opomíjejí důležité podrobnosti a kontext informací (např. zablokují škodlivý soubor a poskytnou informace o něm, ne však už o zdrojových IP adresách útoku).

Příslušné kritické informace pro určení kontextu jsou záležitostí operačních (provozních) systémů. Zde se vytvářejí korelace mezi jednotlivými událostmi a z toho vyplývající navrhované postupy obrany i řešení incidentů. Přes veškerou automatizaci právě na této úrovni mají dosud hlavní roli zkušení experti na zabezpečení.

Strategická úroveň pak zahrnuje obecnější zpracování informací pro podporu úpravy bezpečnostních politik a plánování v rámci celé organizace. V této oblasti se už analyzují nejpravděpodobnější útočníci i jejich oblíbené cíle, vše se provazuje s řízením rizik, vazbou na regulační předpisy a legislativu. Bezpečnostní politiku vytvářejí téměř výlučně lidé na základě svých zkušeností. Nicméně i v této oblasti je dnes třeba provádět změny rychle (agilně), což vyžaduje rychlý tok informací k těm, kdo politiky vytvářejí. Rychle aktualizované politiky znamenají, že proti příštímu útoku stejného typu se již bude postupovat dle jiných, optimalizovaných pravidel („rámců“).

Technologie pro sdílení

V posledních letech v oboru IT bezpečnosti výrazně vzrostla automatizace, ať už jde o shromažďování nebo další zpracování (především taktických) informací. Tyto informace se většinou skládají z protokolů událostí (logů) a charakteristik útoku, jako jsou hashe souborů nebo související URL/IP adresy. Taková data mají často smysl jen pro daný okamžik a vzápětí hodnotu ztrácejí (útočníci např. mění IP adresy). Současně se jich však generuje velké množství a je obtížné mezi nimi vybrat ty důležité. I zde existují technologie, které umožňují chování malwaru popsat detailněji, např. různá simulovaná prostředí (sandboxy), pasti (honeypoty) nebo sofistikované karantény, kde se provádí pokročilá analýza.

Autor je ředitel divize DataGuard ve společnosti PCS, spol. s r.o.

Aleš Pikora,

Aleš Pikora,

Autor je ředitelem divize DataGuard spol. PCS, spol. s r. o.


Komentáře

RSS 

Komentujeme

Jak probíhá adopce cloudu

Pavel Houser , 16. únor 2018 09:45
Pavel Houser

Cloud už neznamená jen SaaS, jenže… K dispozici je řada analýz i prognóz, které dokládají, jak se po...

Více








RSS 

Zprávičky

T-Mobile měl úspěšný rok

Pavel Houser , 23. únor 2018 09:00

T-Mobile oznámil finanční výsledky za rok 2017. Celkové tržby z mobilních a pevných služeb včetně pr...

Více 0 komentářů

NÚKIB loni řešil méně hlášení o kybernetických incidentech

ČTK , 23. únor 2018 08:00

Na podzim NÚKIB musel řešit i útok na weby, na kterých se zobrazovaly aktuální volební výsledky....

Více 0 komentářů

Hackeři zneužili cloudový systém Tesly k těžbě kryptoměn

ČTK , 22. únor 2018 10:00

Průnik se odehrál přes konzoli systému Kubernetes pro optimalizaci cloudových aplikací. ...

Více 0 komentářů

Starší zprávičky

Dvakrát ze světa open source CRM: Sugar a SuiteCRM

Pavel Houser , 22. únor 2018 09:00

CRM systém Sugar je nabízen v několika edicích. Placené edice lze standardně provozovat formou služb...

Více 0 komentářů

Intel chce investovat 5 miliard dolarů do izraelské továrny

ČTK , 22. únor 2018 08:00

Předpokládá se, že Intel na rozšíření továrny obdrží státní podporu v hodnotě až 10 % investice....

Více 0 komentářů

Apple chce kupovat kobalt přímo od těžařů

ČTK , 21. únor 2018 11:48

Kobalt se používá v bateriích pro smartphony. Jeho cena výrazně vzrostla dále ji zvýší nástup elektr...

Více 0 komentářů

Qualcomm zvýšil nabídku na převzetí NXP na 44 miliard dolarů

ČTK , 21. únor 2018 11:00

Krok by mohl Qualcommu rovněž pomoci odvrátit snahu rivala Broadcom o jeho převzetí....

Více 0 komentářů