„Az igazi kiberbiztonság az, ha arra készülünk, ami jön, nem pedig arra, ami legutóbb történt.” Neil Rerup IT-biztonsági szakértő
A kibertámadások száma világszerte folyamatosan nő, a kiberbiztonsági szakemberek száma viszont nem tart lépést a fenyegetések erősödésével. Mit lehet tenni ilyenkor? A NetIQ szakértői szerint a leggyorsabb megoldás, ha gépi analitikával pótolják a hiányzó űrt.
Egy idei elemzés szerint nemzetközi szinten a vállalatok kétharmadánál hiányzik a megfelelő kiberbiztonsági szaktudás. Az ISACA jóslatai szerint 2019-re körülbelül kétmillióval kevesebb szakember lesz ezen a területen, mint amennyire szükség lenne. Ennek hatására megugrott az IT-biztonsági képzések kínálata, egyelőre azonban úgy tűnik, hogy a támadások száma még mindig gyorsabban nő, mint ahogyan a szervezetek védekezési képessége fejlődik.
A szakértői közösségekben természetesen keresik a megoldást az egyensúly javítására, illetve az utánpótlás bővítésére. Egyes kezdeményezések a nők szerepét kívánják növelni a területen, hiszen egy 2017-es jelentés szerint a kiberbiztonsági szakmában mindössze 11 százalék a nők aránya, ráadásul ez a szám 2013 óta változatlan. Ennek a törekvésnek a része többek között, hogy a jövő évtől az amerikai cserkészlányok különféle kiberbiztonsági próbák és feladatok teljesítéséért is szerezhetnek új jelvényeket.
Géped, uram, ha szolgád nincs!
Hosszú távon mindenképpen sokat számít az új szakértők képzése és bevonása, rövid távon azonban az is óriási előnyökkel jár, ha a vállalatok a biztonsági analitikát terjesztik ki a gyanús tevékenységek azonosításához. Az ilyen jellegű elemzési módszereket már évtizedek óta használják a pénzügyi iparágban a csalások azonosítására, a kiberbiztonságban azonban csak az utóbbi években kezdték el alkalmazni.
A biztonsági analitikának két fő területe van. A felhasználói viselkedés elemzése (User Behavior Analytics – UBA) során azokat a gyanús tevékenységeket keresik, amelyek a rosszindulatú felhasználókra, illetve a feltört fiókokkal visszaélő kiberbűnözőkre utalnak. A hálózati analitika (Network Analytics) segítségével pedig a kártevő szoftverekkel fertőzött hosztokat próbálják feltérképezni.
Ezek a biztonsági elemzések alkalmasak arra, hogy a „front line” elemzők számára jól hasznosítható és értelmezhető adatokat hozzanak létre belőlük. Ha az erőforrások hiánya okozza a kihívást, a technológiát kell arra utasítani, hogy biztosítsa a szakembereknek mindazt, ami a támadók megfékezéséhez szükséges.
Az analitikusokat gyakran elárasztják az értesítések, ami rengeteg időt és energiát emészt fel, és elvonhatja a figyelmet az igazán fontos történésekről. A NetIQ SIEM (biztonsági információ- és eseménykezelő) megoldásában, a Sentinelben ezért vezették be nemrégiben a Threat Response Dashboardot, amely képes csoportokba rendezni az értesítéseket státusz, illetékes személy vagy prioritás alapján. Az informatikai szakemberek így fontossági sorrend alapján kezelhetik a saját felelősségi körükbe tartozó eseményeket, mielőtt esetleg a kevésbé fontos incidensekkel kezdenének el foglalkozni.
Árulkodó nyomok felfedése
A SIEM technológiákkal integrált analitika ráadásul számos esetben megfelelő kiindulópontokat biztosíthat az elemzők számára, és a felderítési folyamatok során kiiktathat rengeteg, találgatáson alapuló munkát.
A naplóadatok például a legtöbb esetben tartalmazzák a „mit” és „hol” kérdésekre adható válaszokat, a „ki” azonban ritkán jelenik meg a felderítések során. Egy malware fertőzésnél viszont kritikus fontosságú, hogy tudjuk, mely felhasználó(k) van(nak) kitéve veszélynek. Az analitika segítségével sokkal egyszerűbben és gyorsabban megtalálhatók az adott eseményért felelős, pontosan beazonosítható felhasználók. Ha kiegészítik a biztonsági események információit a felhasználók és rendszergazdák egyedi személyazonossági adataival, az sokkal részletesebb betekintést nyújt abba, melyik felhasználó hol és mikor fért hozzá a rendszerhez.
A NetIQ megoldásai pontosan ezt teszik lehetővé: az Identity Manager személyazonosság-kezelő rendszer integrálható a SIEM megoldással, így az egyes tevékenységek hozzárendelhetők a felhasználókhoz. Ez fontos és jól használható adatokkal bővíti a rendelkezésre álló információk körét, nagyobb rálátást biztosít az infrastruktúrában zajló folyamatokra és tevékenységekre, és elősegíti a proaktív védekezést.
Az analitika egyéb módon is csökkentheti az elemzőkre nehezedő munkamennyiséget, így például a megfelelő kontextus biztosításával. Ha a fenyegetésekre vonatkozó információkat egyesítik egy adott biztonsági esemény adataival, és ezeket megfelelően vizualizálják is, az gyorsabb áttekintést kínál, továbbá olyan kapcsolatokra is rávilágíthat, amelyek elsőre nem tűnnek egyértelműnek. Mindez pedig felgyorsíthatja a válaszlépéseket egy támadás esetén.