Když bezpečnostní nástroje způsobí více škody než užitku

Bezpečnostní systémy, které mají pomáhat, dokážou mnohdy svými alerty zahltit také celé IT oddělení banky. Výzkum společnosti Ovum mezi bankami zjistil, že 40 % z nich se musí každý den vypořádat v průměru se 160 000 chybnými, nadbytečnými nebo jinak irelevantními výstrahami. A viník? Příliš mnoho bezpečnostních nástrojů. Společnost Ovum zjistila, že 73 % IT oddělení využívá nejméně 25 samostatných bezpečnostních nástrojů.

Citlivá místa zabezpečení finanční instituce

• Soulad s předpisy: nevhodná manipulace s daty vede k porušování předpisů, nařízení a pokutám.
• Identifikace a autentizace: finanční instituce musí kon­tro­lo­vat přístup k datům nejen ze strany zaměstnanců a externích osob, ale systémy musí být rovněž zabezpečeny odpovídajícími přístupovými právy před samotnými IT operátory.
• Bezpečnost: narušení bezpečnosti finančních institucí je mediálně vděčné téma a většinou míří rovnou na titulní stranu. Narušuje důvěru zákazníků a poškozuje pověst instituce.

Jak eliminovat citlivá místa bezpečnostním monitoringem

Monitorování na základě rizik

Vždy začněte tím, že identifikujete nejpravděpodobnější rizika a útoky, kterým může vaše instituce čelit. Znalost konkrétních kyber­ne­tic­kých útoků, kterými může být vaše instituce zasažena, poskyt­ne představu o tom, která zařízení nebo logy je nutné upřednostnit a sledovat monitorovacím řešením. S každým takovým řešením jsou spojeny náklady. Nemáte jednoduše dostatek prostředků pro pra­vi­del­né zpracování těchto informací ani dostatek lidských zdrojů pro třídění všech upozornění ve vašem bezpečnostním týmu.

Budete muset navíc velmi pečlivě vybrat, jaká data chcete monitorovat. Je potřeba iterativní přístup ke zdokonalení a vyladění monitorovacího systému tak, aby se mohl zaměřit na hlavní rizika vaší instituce. Přemíra dat je příčinou velkého množství šumu a falešně pozitivních výsledků, na které musí vaše týmy reagovat.

Soulad s předpisy

Vykazování compliance má zásadní význam, protože díky těmto reportům jsou bezpečnostní a IT týmy informovány o potenciálních problémech, které by mohly vést k narušení. V případě incidentu je užitečné zjistit, k jakému porušení zásad a předpisů přesně došlo a co mohlo být porušeno. Monitorování zajišťuje viditelnost skrze sledování, analýzu a archivaci logů, které vypovídají o průběhu aktivit. Shromažďujte logy o klíčových částech infrastruktury a využijte tato data k odhalení případných problémů a míst, kde dodržování předpisů buď není, nebo je z tohoto hlediska podezřelé.

Identifikace a autentizace

Ovládnutí firemního IT systému je pro hackery doslova zlatý důl. Pomocí řešení pro monitorování sítě můžete zobrazit nejen všechny síťové prvky, ale i to, jak jsou nakonfigurovány a používány a kdo je používá. Na ochranu těchto životně důležitých prvků využívejte princip nejnižších privilegií a přihlašovací údaje založené na identitě uživatele a silném ověření, kterým útočníci obvykle začínají. Kyberzločinci mohou začít s phishingovými útoky, pátrat po kompromitovaných heslech na internetu nebo využívat řešení pro prolamování hesel. Útočník toho moc nezmůže, pokud nemá přístup k uživatelským přihlašovacím údajům.

Monitoring s vyšším stupněm viditelnosti

Můžete získat úplný vhled do stavu systémů, aplikací a sledovat síťová zařízení, servery, virtuální počítače, cloudová a bezdrátová rozhraní v různých souvislostech. Velké množství dat z monitorování vám poskytne záznamy o stopách nebo (pokud jsou dostatečně velké) o rozsahu jakéhokoli kybernetického útoku.

Monitorování sítě také umožňuje snadno získat detailní přehled o síťovém provozu a zjistit, kteří uživatelé, aplikace a protokoly spotřebovávají šířku pásma, a identifikovat výchozí a cílové destinace síťového provozu. Tento přehled vám umožní nastavit zásady využívání šířky pásma a odhalit neobvyklé využívání známých cílů, které by mohly znamenat bezpečnostní problém. Výchozí a cílové destinace síťového provozu vám také mohou poskytnout vodítka pro stanovení atribuce a umožnit vám tak zjistit, kdo a jaké typy útočných schémat jsou vašemu protivníkovi známé.

Vyhledávejte rychleji případy narušení bezpečnosti

S moderními monitorovacími nástroji můžete kombinovat síťovou telemetrii pro komplexnější přehled o aktivitách probíhajících v síťovém provozu a automatizovat zasílání alertů bezpečnostnímu a IT týmu. Pro začátek je vhodné nastavit varování formou zasílání e-mailu, chatových zpráv nebo SMS upozornění na změny v konfiguraci zařízení, zásadách ověřování nebo činnostech, které jsou v souladu se známými indikátory kompromitace (typicky sdílené informace ze známých narušení nebo útoků). Co nejvíce automatizujte a nechte těžkou práci na počítačích.

Vyhněte se zahlcení alerty a nezničte důvěru

Pozor na únavu

Méně je někdy více platí i v oblasti kybernetické bezpečnosti. Setkali jsme se se situací, kdy zákazník opakoval každou druhou minutu tytéž úkony. Když se systém stal nedostupným, dostával e-mailové upozornění – i když byl výpadek jen minutu. Každé dvě minuty poté nástroj pro monitorování sítě odesílal další e-mail. Lidé si na to tak zvykli, že začali tato varování ignorovat. Když je jich příliš mnoho, lidé je jednoduše přestanou vnímat.

Doporučujeme zajistit, aby e-maily odcházely pouze tehdy, když se někdo přihlásí do systému a podnikne něco závažného. V souladu s naším doporučením se však ujistěte, že jste systém nakonfigurovali tak, aby uživatele nespamoval zprávami i ve chvílích, kdy není nikdo přihlášený.

Poskládejte vše dohromady a řádně otestujte

Všechny IT a bezpečnostní týmy jsou vytížené a snadno mohou přehlédnout některé z kritických míst, které útočníci zákonitě odhalí. To neznamená, že jsou nekompetentní. Využijte možnosti pra­vi­del­né­ho testování zra­ni­tel­nos­tí a pene­trač­ních testů. Zajistěte, že testovací postupy mohou sledovat vaše bez­peč­nost­ní a IT týmy. Jsem velkým příznivcem tzv. „Red Teamu“ (ofenzivní testy černých skříněk). „Red Team“ testy představují kompletní napadení, jejímž cílem je co nejvěrněji simulovat útok. Tyto typy testů obvykle zná pouze omezený počet osob v rámci instituce. Po realizaci „Red Team“ testu však můžete přijít o důvěru ostatních týmů, neboť to, co pova­žo­va­ly za skutečné narušení, bylo jen cvičení napo­do­bu­jí­cí poten­ci­ál­ně závažné napadení. Alter­na­ti­vou, která k testování přistu­pu­je na základě větší spo­lu­prá­ce, je tzv. „Purple Team“ test. Ten kom­bi­nu­je a koor­di­nu­je útočná i obranná cvičení s cílem zjistit, do jaké míry jsou zahá­je­né útoky zazna­me­ná­ny nebo vidi­tel­né pro IT a bez­peč­nost­ní týmy.

Richard Barretto Autor článku je Chief Information Security Officer společnosti Progress.