O automatizaci zabezpečení se sice hodně mluví, ale některé pojmy jsou nejasné.
Například Gartner se ve své zprávě o inteligentní a automatizované kontrole zabezpečení zaměřil na komponentu threat intelligence a další nové prvky automatizace zabezpečení označil souhrnně poněkud obecnějším způsobem.
Zde jsou čtyři z nejnovějších a nejpokročilejších prvků, které byste měli uvážit při diskuzi o automatizaci zabezpečení:
- Vykonávání pravidel
Jak významně vzrostla složitost sítí, stala se ruční správa souvisejících zásad zabezpečení téměř nemožnou. Automatizace vykonávání pravidel označuje automatizaci jakékoliv správní činnosti požadované zabezpečením IT.
Řada dodavatelů nabízí nástroje pro automatizaci správy zásad zabezpečení sítě, které dokážou pomoci snáze dodržet interní a regulační požadavky zabezpečení. Někteří také nabízejí automatizované služby pro úkoly správy, jako je přidání a odebrání uživatele a řízení životního cyklu uživatelů.
Automatizace přidání, odebrání a uživatelského přístupu může pomoci týmům IT získat větší kontrolu nad daty, náklady a časem. Společnosti nabízející tyto nástroje někdy o sobě uvádějí, že nabízejí automatizaci zabezpečení.
- Monitorování varování a stanovení priorit
Někteří lidé pohlížejí na činnost automatizace optikou monitorování a stanovení priorit varování. Tradičně bylo monitorování a stanovení priorit varování ruční a velmi jednotvárnou úlohou.
Tým analytiků v provozním centru zabezpečení by musel shromažďovat data a doslova celý den zírat na monitory, aby mohl rozhodnout, jaké údaje byly důležité. V současné době existují metody pro automatizaci monitorování a stanovení priorit varování. Liší se ale rozsahem propracovanosti.
Například mohou zahrnovat stanovení pravidel a prahových hodnot, využívání threat intelligence a implementaci pokročilejší behaviorální analytiky a technologie strojového učení.
Nastavení pravidel a prahových hodnot má menší efektivitu, protože závisí na ručním zadání údajů od osoby, která rozhodne, jaká varování jsou důležitá a jaká ne.
Vyžaduje to také pravidelnou údržbu těchto pravidel, protože se počítačové hrozby stále mění a hackeři často přesně vědí, jaká varování budou firmy hledat.
Spoléhání se na threat intelligence je na druhou stranu o něco spolehlivější. Tato forma automatizace odkazuje na soubor threat intelligence z různých zdrojů, a to může pomoci společnostem zjistit, jaká varování hledat a jaká jsou pro ně skutečně důležitá.
Pokud například podnik dokáže využívat více zpravodajských zdrojů, dozví se, když se někde ve světě objeví určitý typ útoku. Automatizované zpracování threat intelligence potom může společnosti pomoci připravit její ochranu před potenciálním útokem dříve, než by bylo příliš pozdě.
Behaviorální analytika a strojové učení patří mezi nejpokročilejší formy automatizace monitoringu a stanovení priorit varování, protože se nespoléhají na pravidla a prahové úrovně tzv. známých hrozeb.
Namísto toho se tento typ technologie dokáže učit, jak vypadá normální chování sítě, a snadno a okamžitě může upozornit na libovolné neobvyklé chování a následně statisticky skórovat prioritu každé potenciální hrozby, kterou by bylo dobré prošetřit.
- Plánování reakce na incidenty
Plánování reakce na incidenty se také označuje za automatizaci zabezpečení. Jedním ze způsobů, jak si lze představit tuto technologii, je inteligentní systém tiketů, který pomáhá společnostem sledovat vývoj bezpečnostního incidentu a koordinovat kroky potřebné reakce.
Dodavatelé v tomto segmentu pomáhají společnostem vytvářet manuály pro různé typy hrozeb, takže mohou automatizovat části svých reakcí, kdy se počítá každá vteřina.
Automatizují pracovní postupy a pomáhají firmám zajistit komunikaci s příslušnými interními a externími kontakty, dodržovat regulační předpisy pro záležitosti, jako je oznámení týkající se soukromí, a vytvářet jasné záznamy pro audit.
- Vyšetřování, akce a náprava
Automatizace vyšetřování, akce a náprava pro počítačové hrozby se týkají využívání technologie k takovému plnění úkolů, jako by je vykonával kvalifikovaný počítačový analytik.
Ostatní prvky automatizace zabezpečení (od zásad přes stanovení priority až po plánování) pracují určitým způsobem na dosažení tohoto konečného cíle – rychlého zjištění hrozeb a jejich eliminaci dříve, než ovlivní provoz.
Existují různé aspekty, co by mohl dodavatel zautomatizovat v oblasti vyšetřování, akce a nápravy. Někteří například řeší jen jednu z těchto tří komponent, zatímco jiní se zaměřují na specifické úlohy, jako je například automatizace karantény kompromitovaných zařízení.
Existují také firmy, které využívají automatizaci a umělou inteligenci k řízení celého procesu od začátku až do konce, jako by to dělal počítačový analytik.
Všechny tyto technologie automatizace zabezpečení uvolňují přetížený personál zabezpečení a dovolují týmům zabezpečení méně se věnovat všedním (ale nezbytným) činnostem a více se zaměřit na strategické iniciativy, které umožní zvýšit zabezpečení jejich společnosti.
Podle údajů Breach Level Index bylo v roce 2015 kompromitovaných každý den průměrně 1,9 milionu on-line záznamů. To je 80 766 záznamů každou hodinu a 1 346 záznamů každou minutu.
Téměř nepřetržitý výskyt on-line narušení přitom nevykazuje žádné známky zpomalení, takže si společnosti nemohou dovolit, aby je zdržovaly nedořešené otázky o konceptu a schopnostech automatizace zabezpečení.
Je dobré dát automatizaci infrastruktury zabezpečení IT vysokou prioritu a připustit, že lze automatizovat více oblastí, aby společnost zůstala v bezpečí. Automatizace vykonávání zásad, monitorování varování a stanovení priorit a plánování reakce na incidenty může dramaticky zvýšit firemní produktivitu a snížit náklady.
Pomocí plné automatizace vyšetřování, akcí a nápravy pro hrozby mohou firmy ve velkém simulovat zkušenosti a logiku zkušených počítačových analytiků, a zaručovat tak silnější zabezpečení a dodržování předpisů celkově.
Výhody a nevýhody automatizace zabezpečení
Kolem použití automatizace v oblasti počítačové bezpečnosti existuje celá řada obav:
Ztráta kontroly -- V mnoha případech je největší překážkou k automatizaci jednoduše vnímaná ztráta kontroly. Ve skutečnosti může správný nástroj automatizace zajistit vyšší míru viditelnosti a lepší přehled o celém procesu počítačové bezpečnosti.
Nedostatek důvěry -– Pro vysoce kvalifikované pracovníky je snadné mít pocit, že jsou schopnější řídit reakce na incidenty, než by to dokázal počítač. Nedůvěra k technologii tak může být neuvěřitelně velkou překážkou, kterou je potřeba překonat, ale nakonec – s ohledem na změnu druhu, frekvence a složitosti útoků – je to marný argument.
Strach ze změny – Asi největším omylem týkajícím se automatizace je představa, že přijetí automatizace způsobí určitý zánik pracovních míst.
Co se stane, když technologie převezme proces reakcí na incidenty? Bude oddělení IT nahrazeno roboty? Faktem je, že zatímco automatizace určitě mění způsob, jakým lidé pracují, vytváří stejně tolik příležitostí, kolik jich eliminuje.
Pro řešení těchto vnímaných nevýhod lze ale použít řadu významných faktů o pozitivní úloze automatizace v počítačovém zabezpečení.
Sjednocení sil – Žádný vojenský velitel by nešel do boje s armádou významně menší co do velikosti, síly a schopností, než by měl jeho nepřítel. Stejný koncept může být a měl by být aplikovaný na důležité úlohy počítačové bezpečnosti. Automatizace poskytuje schopnost reagovat na příchozí útoky krok za krokem, a poskytuje přitom nejvyšší možnou úroveň ochrany.
Zvýšená efektivita – Přidání automatizace do procesu reakce na incidenty pomáhá zjednodušit pracovní postupy a vytvořit mnohem jednotnější a efektivnější prostředí. Nejenže tedy zvyšuje sílu organizace ve smyslu zabezpečení, ale způsobuje také zlepšení celkové hospodárnosti.
Méně chyb – Mnoho z nejpozoruhodnějších počítačových narušení v posledních letech nastalo v důsledku lidských chyb z přepracovanosti. I ten nejzkušenější odborník v oblasti IT může udělat čas od času nějakou chybu.
Některé chyby se však bohužel mohou ukázat jako neuvěřitelně nákladné. Automatizace tento problém eliminuje tím, že z některých nebo ze všech částí procesu odstraní lidský faktor.
Lepší rozhodování – Jednou z největších výzev, kterým šéfové IT čelí, je kolosální úkol dělat v reálném čase důležitá firemní rozhodnutí. Další výhodou automatizace je schopnost shromažďovat, analyzovat a zvýšit prioritu důležitých dat na kliknutí tlačítka, což dále zlepšuje detekci hrozeb a proces správy incidentů.
Vzhledem k tomu, že jsou průměrné roční náklady na počítačové útoky v rozmezí od desítek tisíc dolarů u malých firem až po řadu miliard u globálních podniků, je téma počítačové bezpečnosti něco, na co by měl každý šéf organizace v současné době pamatovat.
Ještě důležitější je, že v současné době používané strategie je potřebné řádně posoudit a dostatečně opevnit, pokud se firma nechce stát další obětí.
Navzdory mnoha mylným pohledům se automatizace ukazuje jako ideální nástroj pro zefektivnění a posílení procesu reakce na incidenty a vytvoření lepší linie obrany, která obstojí ve zkoušce času.
Tento příspěvek vyšel v Security Worldu 4/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.