Kibernetski kriminal išče razpoke v najrazličnejših aplikacijah, sistemih in omrežjih podjetij, zato se morajo ta lotiti aktivnega iskanja napadalcev. Če ti ostanejo skriti oz. prikriti, lahko namreč povzročijo ogromno poslovno škodo.

Kibernetska varnost postaja ena izmed prioritet podjetij vseh velikosti, saj ta razumejo, da so digitalne grožnje in napadalci nova poslovna realnost, ki jih je potrebno opredeliti tudi v tveganjih poslovanja.

 

Hekerski napad, vdor v sisteme, kraja in zloraba podatkov pa se lahko zgodijo prav vsakemu podjetju. Razlika je le v tem, ali znajo te napade odkriti in se nanje ustrezno odzvati, saj le pravočasen in ustrezen odziv zmanjša povzročeno škodo. V primerih, ko napadalci odnesejo kritične informacije, občutljive, zaupne in osebnih podatke, podjetja doletijo visoki stroški, povezani z izgubo ugleda ter strank, konkurenčne prednosti, krpanja sistemov in kazni s strani regulatorjev.

Splošna evropska uredba o varstvu osebnih podatkov (GDPR) je močno vplivala na poslovanje vseh poslovnih subjektov – zagroženih kazni v višini do 20 milijonov evrov ali do 4 % letnega prometa podjetja in nujnost poročanja o kibernetskih incidentih v 72 urah ne gre jemati zlahka.

 

Naloga tistih, ki v podjetjih skrbijo za informacijsko varnost, je iz dneva v dan težja, le redko katero podjetje lahko z gotovostjo trdi, da je nalogi kos. Zato se je na trgu oblikovala ponudba storitev varnostno-operativnih centrov (SOC), ki stalno bdijo nad krajino groženj in podjetja opozarjajo nanje, pomagajo pa jim tudi pri preprečevanju napadov ali pa odpravljanju posledic le-teh. A, trenutna ponudba storitev SOC še ni prepričala slovenskih podjetij. Pa lahko za varnost po vzoru SOC-a poskrbijo sama? Vsekakor. Potrebujejo pa napredne rešitve, ki zagotavljajo odkrivanje varnostnih groženj in potencialnih incidentov v zgodnjih fazah.

 

Najpomembneje je zaznati možnosti odtujitve podatkov še preden se le-ta zgodi in vpliva na poslovno škodo. Znano je, da lahko napadalec prebije več mesecev v omrežju, ne da bi ga zaznali in tako pritajeno čaka ter zbira vse podatke o poslovanju, storitvah, intelektualni lastnini, da jih bo kasneje tudi odtujil. Ob odtujitvi je pomembno takojšnje ukrepanje, bodisi v smeri preprečitve nadaljnjega poteka kraje podatkov, vzpostavite normalnega delovanja storitve in prijave incidenta.

Torej ključna točka je zgodnja zaznava anomalije, ki lahko preraste v incident. Za zaznavo pa lahko uporabimo tudi strojno učenje, ki pomaga IT ekipi pri zgodnjem odkrivanju groženj in zagotovi podatke za nadaljnjo interpretacijo poteka napada, je izpostavil Matjaž Katarinčič, vodja kibernetske varnosti tehnološkega področja kibernetska varnost v podjetju Smart Com.

Varnost kot platforma

Večina napadalcev v omrežje podjetij vstopi najpogosteje preko interneta ali pa morebitne kakšne druge ranljive točke v omrežju podjetja, preko t.i. vektorjev napadov. Najboljše varnostne prakse kažejo, da velja napadalce loviti in zaustaviti že na robu omrežja, z različnimi mehanizmi kot so: požarne pregrade naslednje generacije, ki znajo pregledovati delovanje posameznih aplikacij, spletni prehodi za elektronsko pošto in spletne vsebine.

Dodatno prednost pa pridobimo tudi z vpogledom v prometne tokove, saj le-ta prinaša vidljivost napadov v realnem času in zbira vse podrobnosti o napadu ter tako skrbniku za informacijsko varnost omogoča, takojšnje ukrepanje. Platforma Vectra Cognito je nadgrajena tudi z algoritmi s področja umetne inteligence in strojnega učenja, zato stalno izvaja avtomatiziran lov na morebitne napadalce. To počne z uporabo modelov obnašanja, ki se nenehno učijo, posledično pa lahko hitro in učinkovito razkrije najrazličnejše anomalije ter prikrite in neznane napadalce še preden ti uspejo povzročiti škodo. Ne nazadnje mora tudi napadalec v informacijskem sistemu najprej poiskati vir podatkov, ki jih potrebuje za varnostni napad.

Tovrstna rešitev prinaša še pokrivanje t. i. slepih peg, saj neposredno analizira ves omrežni promet ter lahko pridobi podroben pregled nad dejanji vseh naprav – vključno z napravami interneta stvari (IoT). Vectra Cognito tako bedi nad delovanjem povezave med lokalnim omrežjem, podatkovnim centrom in oblakom ter skrbi, da so napadalci hitro odkriti.

Z osredotočanjem na dejanja, ki so lastna zgolj napadalcem, ta varnostna rešitev podjetju omogoča ostati korak pred napadalci in jih ustaviti še preden povzročijo škodo. Gre za tehnološko napreden varnostni sistem, ki z vgrajeno tehnologijo strojnega učenja in umetne inteligence, omogoča vsebinsko analizo bodisi napadalcev bodisi delovanja škodljivih kod. S tovrstno stalno analizo varnostnih dogodkov in velike količine podatkov že na prvi stopnji, odpravlja potrebo po tem, da bi morale varnostne ekipe nenehno iskati in zaznavati grožnje. S tem razbremeni in zmanjša potrebo po dodatnem specializiranem kadru in poveča stopnjo varnosti podjetja.

 

Komu zaupate ključe svojega doma?

Najtežje je loviti napadalce, ki se predstavljajo kot pravi uporabniki sistemov, torej pooblaščeni uporabniki. Ti imajo »ključe od vrat« oziroma gesla ter ustrezne poverilnice za dostop do aplikacij in sistemov ter omrežja podjetja. Z vidika kibernetske varnosti so najbolj tvegani uporabniški računi z veliko pravicami in dostopi, tudi takšnimi, ki imajo popoln dostop, kot npr. IT-skrbniki, vzdrževalci, razvojniki, nekateri zunanji ponudniki in drugi, ki dostopajo do oziroma upravljajo različne, za poslovanje kritične sisteme in aplikacije. Kako jih nadzirati in za njimi zapirati in zaklepati vrata (beri: onemogočiti dostop), ko v našem digitalnem domu nimajo več kaj iskati? Z rešitvami upravljanja dostopa privilegiranih uporabnikov (ang. Privileged Access Management – PAM). Te so digitalna analogija fizični skrbi za »vhodna vrata«.

 

»Vsako večje podjetje premore fizično kontrolo dostopa, obstajata recepcija in varnostnik, kjer se moraš predstaviti, da greš lahko naprej. V podjetjih so kamere, ki snemajo dogajanje. Rešitve upravljanja dostopa privilegiranih uporabnikov pa so varnostni element, ki to dela na nivoju omrežja podjetja, pri čemer bedi nad delom uporabnikov, ki imajo večji oziroma celo popoln dostop. Tudi če podjetje meni, da rešitve upravljanja dostopa privilegiranih uporabnikov ne rabi, potrebuje ustrezno lokalno varnostno politiko, ki pokriva področje dostopa do omrežja in sistemov. Gre pač za pomembno obliko vstopa v podjetje, tokrat po digitalni poti,« je nujnost rabe rešitev za spremljanje privilegiranih uporabnikov pojasnil Pawel Rybczyk, ki v družbi Wallix skrbi za razvoj poslovanja v regijah CEE in CIS.

 

Težavnost upravljanja pravic uporabnikov je večplastna, pogosto tudi skrita. Nad prekomernim številom pravic se uporabniki navadno ne pritožujejo, zato sistemski skrbniki za ta problem velikokrat niti ne vedo. Vloga posameznika v podjetju se lahko spremeni, s čimer bi mu bilo določene pravice potrebno odvzeti, vendar se zaradi slabega pregleda in decentraliziranega nadzora to pogosto pozabi storiti.

 

V praksi se naložba v rešitev PAM najhitreje povrne podjetjem, ki najemajo veliko IT-storitev pri zunanjih ponudnikih. Z njimi natančno vidijo, kaj je izvajalec počel, do česa je dostopal in kar je najbolj ključno, kaj je spremenil – primer: lahko je delal 5 minut, a zaračunal 5 ur. Gre za odlično orodje za preverjanje, ali se ponudnik drži določil v pogodbi o nivoju izvajanja storitev (SLA). Dobra novica je tudi ta, da podjetja rešitve PAM ne rabi kupiti »za vedno«. Lahko jo uvede le začasno, npr. ob pomembni migraciji dela poslovanja v računalniški oblak. Jasno je, da podjetje ne more stati za hrbtom zunanjega ponudnika, a mu hkrati mora omogočiti dostop – npr. do oblaka in podatkov.

 

Ne smemo pa pozabiti tudi na regulativo GDPR oz. prihajajoči Zvop-2, ki narekuje vodstvu podjetja, da ustrezno zaščitijo dostop do osebnih podatkov.

V primeru sistemskih administratorjev, ko le-ti in če že rabijo polni dostop, se z rešitvijo PAM tudi ustrezno nadzoruje in zabeleži. Tovrstna rešitev omogoča revizijsko sled, ki lahko služi kasnejšemu dokazovanju morebitne zlorabe osebnih podatkov. Zaščita osebnih podatkov podjetja in ključnih IT-virov sta tako postali prioriteta vsakega podjetja, je zaključil Katarinčič.

 

Z Matjažem Katarinčičem se je pogovarjal Miran Varga. Članek je bil objavljen v časniku Delo, 9. septembra 2019.