GravityZone se poslední roky rozrostlo z antimalware řešení na odhalení neznámých hrozeb o mnoho modulů, zajišťujících prevenci bezpečnostních průlomů, mimo jiné například patch management (správa patchů aplikací třetích stran), Full disk encryption (správa klíčů a vynucení šifrování pevných disků) či endpoint risk analytics (správa rizik koncových bodů, dále jen ERA), a tím se změnila z antimalware řešení na ucelenou bezpečnostní platformu, zajišťující nejen detekci a nápravu hrozeb, ale plnohodnotně i jejich prevenci.
Prevence snadno a rychle
Modul ERA umožňuje bezpečnostním týmům odhalit rizika v podobě zranitelných/zneužitelných systémových konfigurací a upozorňuje na zastaralé verze aplikací se známými zranitelnostmi. Na základě kombinace těchto faktorů vytváří skóre zranitelnosti jednotlivých koncových bodů a celé organizace.
Tím usnadňuje bezpečnostním týmům určovat priority, v jakém pořadí rizika odstraňovat. Pokud má společnost aktivní i modul patch management, nabízí jedním kliknutím instalaci bezpečnostní záplaty na všechny zranitelné aplikace.
Protože se Bitdefender věnuje prevenci průlomů v posledních letech velmi intenzivně, bylo čím dál více zřejmé, že hlídat konfigurace OS a zranitelnosti aplikací jednoduše nestačí, jelikož v drtivé většině (95% podle IBM Cyber Security Intelligence Index) zdokumentovaných průlomů je připisováno lidské chybě.
Jak je to možné? Protože organizace neinvestují tolik do vzdělání uživatelů jako do zabezpečení infrastruktury. Podle SANS Institute organizace vynakládají na zabezpečení infrastruktury desetkrát až dvacetkrát více prostředků než na vzdělávání uživatelů a trénink bezpečnostních praktik/směrnic. Bitdefender se proto zaměřil na analýzu „lidských rizik“ a vývoj platformy, která by pomohla bezpečnostním týmům tato rizika minimalizovat.
To se snadno řekne, ale hůř udělá
Začněme tedy od píky – lidské chování je ovlivňováno mnoha faktory, ale když se zaměříme na to, jak vznikají lidské chyby, identifikujeme tři hlavní činitele ovlivňující rizikovost chování uživatele – motivace, znalosti a příležitost.
Nyní podle motivace zapomeňme na předpoklad, že by zaměstnanec byl útočníkem (vnitřní hrozby řeší DLP systémy), a zaměřme se na loajální pracovníky, kteří jen mají tendence dělat chyby – jako všichni lidé. Takové chyby dělíme na dvě kategorie, které jsou ovlivněné znalostmi – chyby na základě nedostatečných znalostí (např. uživatel zná správný postup, avšak z nějakého důvodu udělá chybu z roztržitosti, nesoustředěnosti, přepracovanosti, apod.), a chyby na základě rozhodnutí (např. uživatel udělá špatné rozhodnutí, jelikož si ani neuvědomí, že tím rozhodnutím ovlivní bezpečnost organizace).
Posledním, ale neméně důležitým faktorem jsou příležitosti, a zde platí, že čím více příležitostí udělat chybu umožníme, tím více chyb uživatel udělá.
Jak tedy můžeme tyto tři hlavní faktory hlídat a zmírnit?
Existuje mnoho nástrojů na monitorování/nahrávání uživatelských akcí, avšak když se na něj nikdo nedívá v reálném čase, ničeho si nevšimne. Mimoto je nahrávání obrazovky uživatele velmi kontroverzním tématem s ohledem na soukromí, a lidská společnost je zatím rozdělena prakticky přesně 50 : 50 v názoru, zda je nahrávání veškerého dění na PC etické, nebo ne.
Je to otázka presumpce neviny – kamerový systém znamená, že předpokládám, že jsou všichni vinni, dokud se na kameře neprokáže opak. V právu západních zemí je tomu naštěstí naopak – všichni jsou nevinní, dokud není u soudu prokázán opak. Bitdefender se proto rozhodl jít jinou cestou, a tak vznikl modul Human Risk Analytics (dále jen HRA).
A jak to dělá?
HRA nezaznamenává a nezajímá ho, zda uživatel navštěvuje Facebook, LinkedIn nebo jakoukoli jinou stránku, či zda si připojuje vlastní USB flashku. Zaznamená však chyby, kterých se uživatel dopustí. Např.:
- uživatel navštěvuje webové stránky, které jsou známé svou závadností (obsahují malware)
- uživatel se přihlašuje na webových stránkách, když k nim přistupuje nešifrovaně
- opakovaně dochází k detekcím virů na USB flashdisku, který uživatel připojuje
- uživatel otevírá odkazy ve phishingových e-mailech
- uživatel má příliš staré heslo
- uživatel používá stále stejné heslo
- a mnoho dalších
Toto všechno se dá použít k sestavení rizikového profilu uživatele, a administrátor/organizace tak na tyto chyby může adekvátně reagovat – např. správně cílit bezpečnostní školení, nastavit odměňovací systém podle „skóre“ uživatele apod.
Jde o skvělý nástroj v rukou bezpečnostních týmů organizací, který jim dodává kvalitativní i kvantitativní informace o chování uživatelů, aniž narušuje jejich soukromí nahráváním jejich obrazovky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU