Shawn P. Murray zná z osobní zkušenosti, jak důležité je dobře využít threat intelligence – tedy zpravodajské i běžné informace o kybernetických hrozbách.
Co se dozvíte v článku
Je pro vás pojištění IT rizik zajímavé?
Poskytoval totiž rady jednomu z dodavatelů obranného průmyslu v situacích, kdy informace od threat intelligence upozornily na problém spojený se zájmy tohoto dodavatele.
Na základě citlivých zpravodajských dat Murray odhalil problém v dodavatelském řetězci dané společnosti a zjistil, že potenciální nový partner, který předstíral, že je Kanaďan, má ve skutečnosti sídlo v Rusku a je napojený na organizovaný zločin.
Další informace ukazovaly také na to, že by veškerá data sdílená s tímto dodavatelem nakonec skončila na ruských serverech.
„Prostřednictvím informací o hrozbách se nám podařilo zabránit vzniku významného problému,“ popisuje Murray, nyní šéf představenstva Asociace pro bezpečnost informačních systémů ISSA (Information Systems Security Association).
Přestože lze považovat jeho zkušenost za unikátní, hodnota obsažená v informacích o hrozbách je užitečná nejen v takto výjimečných případech, ale může přinášet užitek i v širším měřítku.
Malá výtěžnost
Mnoho šéfů zabezpečení (CISO) využívá informace o hrozbách – nebo přesněji data o kybernetických hrozbách – již roky a současně si uvědomují, že jim další údaje z prostředí hrozeb mohou pomoci lépe se připravit a bránit se útočníkům.
Značné procento těchto manažerů však uvádí, že ve využívání informací o hrozbách zaostávají. Zpráva Searchlight Cyber March 2023 uvádí, že se 93 % dotázaných CISO obává hrozeb pocházejících z dark webu, ale každý pátý nemá vůbec žádnou funkci, která by zpravodajství o hrozbách nějak využívala.
A loňská zpráva společnosti Enterprise Strategy Group dodává, že téměř polovina bezpečnostních manažerů zprávy o kybernetických hrozbách nevyužívá pravidelným způsobem.
Tato čísla poskytují podle analytiků jen zběžný pohled na to, co se děje. Upozorňují, že skutečným problémem dnes není to, zda CISO mají přístup ke zpravodajským informacím, nebo je dokonce dostávají (a zdůrazňují, že téměř všechny bezpečnostní týmy mají nějaké informace o hrozbách integrované do bezpečnostních nástrojů a služeb, které jsou nyní standardem ve všech organizacích).
Otázka spíše je, zda se daří z pozice CISO zajistit efektivní využívání informací o hrozbách, které dostávají, a do jaké míry se jim daří tyto údaje využít v reálném provozu.
„Právě tam vidíme problémy – v efektivitě využití zpravodajských informací o hrozbách,“ říká Kevin Urbanowicz, šéf poradenství v oblasti kybernetických a strategických rizik ve společnosti Deloitte.
„Využití threat intelligence v provozu je oblastí, kde v některých organizacích existují nedostatky. Je to nešťastně chybějící díl skládačky, když se podniky snaží pokročit na vyšší úroveň ve svém bezpečnostním programu.“
Klíčem je kontext
CISO, stejně jako všichni ostatní vysocí manažeři, získávají informace z mnoha zdrojů, aby mohli lépe rozhodovat a formulovat své plány. Zpravodajství o kybernetických hrozbách je prostě jen jednou částí tohoto informačního toku, ale má některé unikátní kvality a hodnoty.
„Zpravodajství o kybernetických hrozbách jsou včasné, přesné a relevantní informace o kybernetických hrozbách, které CISO mohou využít ke stanovení svých interních priorit a zaměřit úsilí na relevantní rizika,“ popisuje David Sandell, ředitel analytického centra CI-ISAC.
„V souvislosti s threat intelligence existuje velké množství nesprávných pojmů,“ vysvětluje a dodává, že „většina informací prodávaných nebo shromažďovaných jako ‚zpravodajské‘ jsou ve skutečnosti jen čirá data či informace“.
Aby bylo možné tyto informace klasifikovat jako zpravodajské, musejí být rozšířené o kontext, který by je umožnil efektivně využít k řízení rizik, podotýká Sandell.
Ne každá hrozba je ale podle něj rizikem. CISO proto potřebují situační povědomí o různých hrozbách, aby je mohli posoudit ve vztahu ke svému prostředí a svým bezpečnostním opatřením. To jim ukáže, jaká jsou jejich skutečná rizika nebo možnosti expozice.
„To následně formuje způsob, jakým se stanoví priority odpovídající reakce,“ popisuje Sandell. threat intelligence umožňuje týmům vyhodnotit relevantní hrozby právě pro jejich organizaci a informovaně rozhodovat o tom, co je nutné udělat.
K využitelnosti informací o hrozbách je tedy klíčem kontext. Z něj plynou odpovědi na otázky: Co je hrozbou? Jaké lze očekávat události? Jak složitá je realizace? Kdo je zodpovědný? Je pravděpodobné, že budeme cílem? Jsme zranitelní?
Sandell vysvětluje, že bez pochopení hrozeb se týmy zabezpečení spoléhají spíše na reaktivní bezpečnostní opatření. „Přístup ke kvalitnímu zdroji threat intelligence jim naopak umožňuje proaktivně ošetřit všechny nedostatky bezpečnostních opatření – s nadějí, že se to stihne dříve, než by hrozby pronikly do jejich prostředí.“
Informace od zdrojů threat intelligence se dostávají k šéfům zabezpečení různými kanály – některé jsou zdarma, ale většina je zpoplatněná. Přestože mají někteří CISO zdroje na shromažďování svých vlastních informací o hrozbách – většina je získává od vládních agentur, výzkumníků a center ISAC.
Další možností je nakupovat informace o hrozbách od komerčních společností zabývajících se kybernetickou bezpečností. Ty nabízejí tyto údaje prostřednictvím informačních kanálů a zpráv či díky automatickým aktualizacím technologií a služeb, které prodávají firemním bezpečnostním oddělením.
Klíč k obranné strategii
Zkušení CISO, bezpečnostní výzkumníci i další bezpečnostní lídři uvádějí, že dostupnost a přístup k informacím o hrozbách dnes už nejsou problémem a že totéž platí i pro důvody stojící za zjištěními průzkumů, že v některých organizacích se nevyužívají takové informace vůbec nebo jen omezeně.
Skutečný problém spočívá podle expertů v tom, zda a jak dobře mohou bezpečnostní týmy využít informace o hrozbách v provozu. K využití údajů o hrozbách dochází třemi způsoby, popisuje Brian Wrozek, hlavní analytik společnosti Forrester.
První způsob je taktický – toto použití je často automatizované. Například bezpečnostní nástroje, které blokují nebezpečné IP adresy, se automaticky aktualizují, když výrobci těchto nástrojů získají informace o nových adresách, které jsou považované za problematické.
Druhý způsob je provozní a představuje další krok na stupnici vyspělosti zabezpečení – bezpečnostní týmy využívají zpravodajské informace k přizpůsobení svých reakcí na incidenty. Zpravodajství může například informovat o tom, jaké další kroky lze očekávat, pokud ve svém prostředí zaznamenají určitý typ hrozby.
Třetí způsob je strategický a jde o nejdůmyslnější využití informací o hrozbách. Zde se integrují zpravodajské údaje s prostředím hrozeb, svým prostředím IT, svou organizací a svým oborem, aby formovaly strategická rozhodnutí v rámci funkce zabezpečení a pro organizaci jako celek.
Poslední dvě oblasti jsou ty, kde bezpečnostní týmy ještě nevyužívají efektivně informace o hrozbách. „Threat intelligence stále není součástí každodenního provozu aktivit CISO,“ uvádí Sergio Tenreiro de Magalhaes z univerzity Champlain College Online a specialista na digitální forenzní vědy.
Přitom právě v těchto dvou oblastech může zpravodajství o hrozbách přinést největší výhody, protože organizacím umožňuje přesněji stanovit priority pro své limitované bezpečnostní zdroje, lépe připravit svou obranu a prozíravěji rozhodovat o dalších krocích.
Urbanowicz uvádí, že využití zmíněného zpravodajství je nezbytné pro vytvoření „obrany utvářené hrozbami“. „Bezpečnostní manažeři musejí upřednostňovat to, co je pro ně nejdůležitější, svůj sektor a odvětví, protože neexistuje rozpočet k pokrytí všeho myslitelného,“ prohlašuje.
Dodává, že zpravodajství o hrozbách poskytuje k tomu potřebné parametry. „Chceme se podívat na trendy, jakým směrem se útoky vyvíjejí, co nám tyto tendence říkají o budoucnosti a jak nás všechny ty věci, které útočníci dělají, motivují k tomu, co musíme dělat my.“
Jason Rader, viceprezident společnosti Insight a bývalý manažer firmy RSA, popisuje, jak zpravodajství o hrozbách jeho týmu umožnilo zabránit potenciálním incidentům po odhalení kritických zranitelností v knihovně Apache Log4j.
Tvrdí, že pokud tým převádí do reálného provozu zpravodajské informace o hrozbách, „jde v podstatě o definici přechodu od reaktivního k proaktivnímu přístupu – tedy o předcházení požárům, nikoli o jejich hašení“.
Ostatní s tímto hodnocením souhlasí. „Přestože to, že se nepoužívá threat intelligence, nezaručuje, že se vyskytne bezpečnostní incident, organizace je v důsledku nevyužití zpravodajství o hrozbách méně připravená, a tedy i zranitelnější vůči kybernetickým hrozbám,“ tvrdí Bryon Hundley, viceprezident firmy Retail & Hospitality ISAC.
Důsledky toho, že se nevyužívá threat intelligence, podle něj mohou zahrnovat nedostatek viditelnosti nově se objevujících hrozeb, pomalejší detekci a reakci, neefektivní reakci na nastalé incidenty, riziko porušení předpisů a finanční ztráty.
„Je také důležité si uvědomit, že i útočníci používají formu threat intelligence, takže je v nejlepším zájmu organizací, aby dělaly totéž.“
Zlepšení schopností
Stejně jako v případě bezpečnosti se efektivní využití zpravodajství o hrozbách na všech třech úrovních – taktické, provozní a strategické – snáze popisuje, než realizuje. Zkušení bezpečnostní lídři upozorňují, že firemní CISO obvykle čelí ve svém úsilí v této oblasti nesčetným výzvám.
Jak už to v kybernetické bezpečnosti často bývá, hlavní překážkou úspěchu je problém získat pro tento úkol vhodný personál, popisuje Urbanowicz.
Bezpečnostní manažeři se obecně zaměřují na najímání technicky kompetentních pracovníků a ve většině případů tento přístup funguje.
Optimalizace využití hodnoty zpravodajství o hrozbách však vyžaduje také analytické dovednosti a situační povědomí – dovednosti, které týmům zabezpečení umožňují přeměnit informace na v praxi realizovatelné úkony a opatření.
„Threat intelligence se o něco více týká kvality – vyžaduje více analytické myšlení – a lidé s těmito schopnostmi nejsou první, kdo se najme,“ tvrdí Urbanowicz.
Bezpečnostní personál také potřebuje dostatečně chápat dané prostředí IT, firemní provoz, strategie i daný sektor. Tyto poznatky umožňují analytikům nejprve zjistit, jaké informační zdroje a zprávy o hrozbách jsou pro danou organizaci nejdůležitější, a potom se zaměřit na takový obsah z těchto zdrojů údajů, který má pro danou firmu a její unikátní bezpečnostní situaci největší relevanci.
Tým zabezpečení pak potřebuje vědět, co s těmito kousky zpravodajského zlata dělat – ať už to znamená doladit systém správy informací a událostí zabezpečení (SIEM), investovat do nových nástrojů, které lépe chrání před identifikovanými hrozbami, nebo upravit firemní strategii v reakci na měnící se scenérii hrozeb.
Tenreiro de Magalhaes uvádí, že bezpečnostní manažeři často čelí společné překážce, když se pokoušejí zvládnout tyto další problémy – jde o získání financí nutných k pořízení zpravodajských informací a zaplacení personálu potřebného k jejich využívání.
„Týmy zabezpečení se obecně snaží udržet organizaci v bezpečí a reagovat na průběžné provozní požadavky, takže se může velmi snadno stát, že takový úkol nakonec ztratí prioritu,“ upozorňuje Sandell.
Toto nedostatečné zohlednění potřebné priority však už možná dlouho nevydrží, konstatuje Wrozek z Forresteru, a vysvětluje, že efektivní využití zpravodajství o hrozbách „se stává stále více nezbytností bezpečnostních programů“.
Svítá na lepší časy
Většina CISO posiluje své schopnosti využívat threat intelligence – Forrester Research ve své nedávné zprávě uvádí, že téměř dvě třetiny dotázaných osob s rozhodovací pravomocí v oblasti bezpečnosti zvýšily od roku 2022 do roku 2023 své výdaje na tyto technologie.
Forrester ve svém průzkumu také zjistil, že 22 % osob s rozhodovací pravomocí v oblasti bezpečnostních technologií označilo zlepšování schopností threat intelligence za svou hlavní taktickou prioritu zabezpečení IT, takže je nyní na třetím místě v seznamu všech hlavních taktických priorit zabezpečení IT.
„Hrozeb existuje obrovské množství. Jak se v tom vyznat? Jak stanovit priority? Je to právě zpravodajství, které vám pomůže stanovit priority a zlepšit rozhodování,“ dodává Wrozek.
Tento přísvěvek vyšel v Security Worldu 1/2024.
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
Chcete si článek přečíst celý?
Tento článek je součástí exkluzivního obsahu pouze pro odběratele našeho newsletteru.
Přihlaste se k odběru newsletteru a my vám do mailu pošleme odkaz na celý článek.