Hledání rovnováhy mezi automatizací a rolí lidských expertů

Aleš Pikora, , 04. červen 2017 09:30 0 komentářů
Hledání rovnováhy mezi automatizací a rolí lidských expertů

Vincent Weafer, viceprezident McAfee Labs, v komentáři k letošní dubnové studii, za hlavní výzvu v současnosti považuje sdílení informací mezi různými subjekty v celém ekosystému IT bezpečnosti. Automatická detekce hrozeb i řízení rizik, zejména s ohledem na stanovení priorit, na efektivním sdílení informací přímo závisí.

Jde stejně tak o sdílení informací v rámci firmy, mezi dodavateli a zákazníky, ale např. i mezi konkurujícími si bezpečnostními firmami, se specializovanými policejními útvary, v mezinárodním měřítku apod. Sdílení informací přitom mnohdy nefunguje ani v rámci produktů a služeb uvnitř jedné firmy. Příkladem může být situace, kdy systém zabezpečení podniku nedokáže mezi sebou korelovat informace získávané z různých typů zařízení. Samostatnou kapitolou je pak sdílení informací o zero day hrozbách a legální obchod s nimi, na němž se podílejí výrobci softwaru a hardwaru, nezávislí bezpečnostní výzkumníci i specializované firmy.

Problém izolace

Tradiční model bezpečnostních systémů v době stále sofistikovanějších hrozeb naráží na své limity. Izolované systémy často nedokáží zastavit útok, ačkoliv proti němu současně obstál jiný systém. Odborníci z McAfee Labs vysvětlují, že větší sdílení informací je nutné i vzhledem k následujícím výzvám:

  • Bezpečnostní incidenty je třeba stále přesněji třídit podle jejich povahy a závažnosti a volit priority. Specialisté mají pouze určité množství času.

  • Efektivní zabezpečení vyžaduje propojovat události, tj. dokázat rychle spojit detekci narušení s konkrétní hrozbou, kampaní, vektorem útoku.

  • Rozlišovat legitimní a škodlivé aktivity je dnes stále obtížnější. Aplikace, prostředí cloudu nebo různá zařízení se spolu propojují kdykoliv a odkudkoliv.

  • Řízení přístupu jako klíčová úroveň pro zabezpečení vyžaduje mít k dispozici aktuální informace o útočnících/útocích, což představuje další argument pro sdílení.

Úrovně informací a jejich zpracování

Informace o hrozbách (threat intelligence) můžeme rozdělit do tří kategorií: na strategické, provozní (operační) a taktické. Stejně tak lze rozlišovat různé funkce (úrovně) bezpečnostních systémů.

Mezi taktické informace patří údaje, které shromažďují bezpečnostní senzory, skenery a další zařízení. Většina těchto procesů je automatizovaná, totéž platí pro možné sdílení. Nicméně automatizované procesy někdy opomíjejí důležité podrobnosti a kontext informací (např. zablokují škodlivý soubor a poskytnou informace o něm, ne však už o zdrojových IP adresách útoku).

Příslušné kritické informace pro určení kontextu jsou záležitostí operačních (provozních) systémů. Zde se vytvářejí korelace mezi jednotlivými událostmi a z toho vyplývající navrhované postupy obrany i řešení incidentů. Přes veškerou automatizaci právě na této úrovni mají dosud hlavní roli zkušení experti na zabezpečení.

Strategická úroveň pak zahrnuje obecnější zpracování informací pro podporu úpravy bezpečnostních politik a plánování v rámci celé organizace. V této oblasti se už analyzují nejpravděpodobnější útočníci i jejich oblíbené cíle, vše se provazuje s řízením rizik, vazbou na regulační předpisy a legislativu. Bezpečnostní politiku vytvářejí téměř výlučně lidé na základě svých zkušeností. Nicméně i v této oblasti je dnes třeba provádět změny rychle (agilně), což vyžaduje rychlý tok informací k těm, kdo politiky vytvářejí. Rychle aktualizované politiky znamenají, že proti příštímu útoku stejného typu se již bude postupovat dle jiných, optimalizovaných pravidel („rámců“).

Technologie pro sdílení

V posledních letech v oboru IT bezpečnosti výrazně vzrostla automatizace, ať už jde o shromažďování nebo další zpracování (především taktických) informací. Tyto informace se většinou skládají z protokolů událostí (logů) a charakteristik útoku, jako jsou hashe souborů nebo související URL/IP adresy. Taková data mají často smysl jen pro daný okamžik a vzápětí hodnotu ztrácejí (útočníci např. mění IP adresy). Současně se jich však generuje velké množství a je obtížné mezi nimi vybrat ty důležité. I zde existují technologie, které umožňují chování malwaru popsat detailněji, např. různá simulovaná prostředí (sandboxy), pasti (honeypoty) nebo sofistikované karantény, kde se provádí pokročilá analýza.

Autor je ředitel divize DataGuard ve společnosti PCS, spol. s r.o.

Aleš Pikora,

Aleš Pikora,

Autor je ředitelem divize DataGuard spol. PCS, spol. s r. o.


Komentáře

RSS 

Komentujeme

Když obrázek není tím, čím se zdá být

Pavel Houser , 10. listopad 2018 06:30
Pavel Houser

Problematika falešných zpráva je dnes módní záležitostí. Následující výzkum se zaměřuje na jeden spe...

Více







RSS 

Zprávičky

Bitcoin pokračuje v poklesu, dostal se pod 4500 dolarů

ČTK , 20. listopad 2018 13:10

Krátce po poledni vykazoval bitcoin na burze Bitstamp pokles o sedm procent na 4400 dolarů....

Více 0 komentářů

Díky poptávce v Indii a v Evropě je Xiaomi za čtvrtletí v zisku

ČTK , 20. listopad 2018 09:00

Po vstupu na burzu firma hlásí výsledky hospodaření teprve podruhé. Z IPO získala 4,72 miliardy dola...

Více 0 komentářů

Apple snížil výrobní objednávky nových iPhonů

ČTK , 20. listopad 2018 08:00

Apple před několika týdny šokoval investory, když snížil odhad prodeje....

Více 0 komentářů

Starší zprávičky

Veeam v Česku vytvoří 500 nových pracovních míst

Pavel Houser , 19. listopad 2018 16:33

Firma investuje 3,39 miliard korun do svého hlavního centra pro výzkum a vývoj v Praze....

Více 0 komentářů

Před Vánoci vzroste počet karetních transakcí až o čtvrtinu

ČTK , 19. listopad 2018 12:07

Před Vánoci lidé více využívají karty místo ostatních forem plateb....

Více 0 komentářů

Apple a Samsung vs. banky

ČTK , 19. listopad 2018 08:00

Švýcarsko vyšetřuje domácí banky kvůli bojkotu platebních systémů....

Více 0 komentářů

Rovio zvyšuje zisk, potřebuje ale nové hry

ČTK , 18. listopad 2018 08:00

Letos v únoru cena akcií firmy klesla o 50 % pod cenu stanovenou pro primární nabídku akcií....

Více 0 komentářů