Vhodná správa útočného prostoru vyžaduje analýzu provozu pro zjištění potenciálních zranitelností a pochopení podmínek. Tyto informace by měly pomoci s vytvořením plánu, ale úspěch závisí na nasazení takového plánu ve všech částech organizace – v sítích, v systémech, kanálech a bodech kontaktu.
Co se dozvíte v článku
Zde jsou některé osvědčené postupy, které je dobré uvážit.
1. Zmapování útočného prostoru
Chcete-li vytvořit funkční obranu, musíte pochopit, jaká digitální aktiva potřebují ochranu, kde se útočníci s největší pravděpodobností zaměří na síť a jaké ochrany jsou zapotřebí.
Zvýšení viditelnosti útočného prostoru a vytvoření solidní reprezentace zranitelností je tedy kritické. Typy zranitelností, které je potřeba hledat, zahrnují starší a méně zabezpečené počítače a servery, nezazáplatované systémy, zastaralé aplikace a exponovaná zařízení IoT.
Prediktivní modelování může pomoci vytvořit realistický popis možných událostí a jejich rizik, dále posílit obranu a najít proaktivní opatření. Jakmile porozumíte rizikům, můžete modelovat, co se bude dít před, při a po události narušení.
Jaký rozsah finančních ztrát můžete očekávat? Jak rozsáhlé bude poškození pověsti v důsledku události? Přijdete o Business Intelligence, obchodní tajemství nebo ještě o něco dalšího?
„Úspěšné strategie mapování útočného prostoru jsou celkem přímočaré: Zjistit, co chráníte, tedy mít přesný inventář aktiv, dále monitorovat zranitelnosti těchto aktiv, a používat Threat Intelligence pro zjišťování způsobů, jak dochází k útokům na tato aktiva s danými zranitelnostmi,“ popisuje John Pescatore, ředitel SANS pro oblast nových bezpečnostních trendů.
Podle něj každá z těchto tří fází vyžaduje kvalifikovaný personál a bezpečnostní technologie, aby bylo možné udržovat krok s rychlostí změn ve všech třech oblastech.
2. Minimalizace zranitelností
Jakmile mají organizace zmapován svůj útočný prostor, mohou přistoupit ke zmírňování rizika tvořeného nejdůležitějšími zranitelnostmi a potenciálními vektory útoku a poté přejít k úlohám s nižší prioritou.
Přesunutí aktiv do off-line režimu všude, kde je to možné, a posílení interních síti i sítí přicházejících do kontaktu s externím prostředím, jsou všechno klíčové oblasti, na které je potřebné se zaměřit.
Většina dodavatelů síťových platforem nyní nabízí nástroje, které pomáhají minimalizovat útočný prostor. Například pravidla Microsoft ASR (Attack Surface Reduction) umožňují blokovat procesy a spustitelné soubory, které útočníci běžně používají.
Většina narušení je ale způsobena lidskou chybou. Vybudování povědomí a školení zaměstnanců je tedy dalším kritickým aspektem minimalizace zranitelností.
Jaké zásady používáte, abyste jim pomohli k maximálnímu zabezpečení v práci i osobním životě? Chápou, co je potřebné? Jaké jsou bezpečnostní postupy, které by měli dodržovat, a jak může jejich nedodržení postihnout je samotné i celou firmu?
Ne všechny zranitelnosti je nutné řešit a některé budou přetrvávat i nadále. Spolehlivá strategie kybernetické bezpečnosti zahrnuje metody pro identifikaci nejdůležitějších zdrojů a označení takových, u kterých je větší pravděpodobnost, že se stanou cílem. To jsou zranitelnosti, které je potřeba zmírnit a monitorovat.
Většina firem nastavuje, prý pro jistotu, větší oprávnění přístupu, než je pro zaměstnance a smluvní dodavatele nutné. Adekvátně nastavená oprávnění ale mohou zajistit, že nedojde k narušení ani významným škodám i v případě kompromitace takového účtu.
Začněte tedy analýzou přístupových práv pro kritické systémy a pak omezte přístup každé osoby a každého zařízení jen na ta aktiva, kde je přístup nezbytný.
3. Zavedení solidních bezpečnostních postupů a zásad
Dodržování vyzkoušených dobrých bezpečnostních zásad velmi pomůže s minimalizací útočného prostoru. Patří mezi ně implementace systémů IDS (detekce narušení), provádění pravidelného posouzení rizik a zavedení jasných a účinných zásad.
Zde jsou některé postupy, které je dobré uvážit:
- Zajišťování správy účtů se silnými autentizačními protokoly a řízením přístupu.
- Zavedení konzistentních zásad pro instalaci oprav a aktualizací.
- Údržba a testování záloh kritických dat.
- Segmentace chráněné sítě s cílem minimalizovat škody v případě narušení.
- Monitorování a vyřazování starého vybavení, zařízení a služeb.
- Používání šifrování, kdekoli je to praktické.
- Zřízení či omezení zásad a programů BYOD.
4. Zavedení monitorování a testování zabezpečení
Solidní program kybernetické bezpečnosti vyžaduje neustálé úpravy zrcadlící změny IT infrastruktury i vývoj schopností útočníků. To vyžaduje nepřetržité monitorování a pravidelné testování. Takové testování často zajišťují nezávislí dodavatelé v podobě služeb penetračního testování.
Monitorování se obvykle vykonává prostřednictvím automatizovaného systému, jako je třeba software pro správu informací a událostí zabezpečení (SIEM, security information and event management).
Ten shromažďuje data generovaná hostitelskými systémy, aplikacemi i síťovými a bezpečnostními zařízeními, jako jsou brány firewall a antivirové filtry. Software SIEM pak identifikuje, kategorizuje a analyzuje incidenty a události.
Penetrační testování zase nabízí nezaujatou nezávislou zpětnou vazbu, která pomáhá lépe rozumět zranitelnostem. Penetrační testeři provádějí simulované útoky určené k odhalení kritických zranitelností.
Toto testování by se mělo týkat základních prvků podnikové sítě, zařízení BYOD a dalších zařízení používaných třetími stranami. Pro připomenutí – mobilní zařízení dnes už představují přibližně 60 % interakcí s firemními daty.
5. Zvýšení odolnosti e-mailového systému
Phishing je běžným způsobem, jak útočníci kompromitují sítě. Některé organizace však přesto nemají plně zavedené e-mailové protokoly určené k omezení počtu škodlivých e-mailů, které zaměstnanci dostávají. Jsou to protokoly:
- SPF (Sender Policy Framework) pro ochranu před podvržením legitimní návratové adresy.
- DKIM (Domain Keys Identified Mail) pro ochranu před podvržením adresy odesilatele, která se příjemci zobrazuje při náhledu na zprávu či při jejím otevření.
- DMARC (Domain-Based Message Authentication, Reporting and Conformance) umožňující nastavit pravidla pro nakládání s nedoručenými či podvrženými e-maily identifikovanými pomocí SPF a DKIM.
Pescatore vzpomíná na spolupráci s Jimem Routhem, když byl ředitelem zabezpečení ve společnosti Aetna. „Dokázal společnost přesunout na zabezpečený vývoj softwaru a implementovat silnou e-mailovou autentizaci, protože přesvědčil management, že když ho podpoří v potřebných změnách, tak dokáže garantoval vyšší přínos pro firmu, než jsou náklady na zabezpečení.“
Ne všechny iniciativy se uskutečnily, ale Routh se osvědčil. Jeho změny vedly k menšímu počtu zranitelností softwaru a ke zkrácení uvádění na trh. „Přesun na DMARC a silná e-mailová autentizace zvýšily prokliky marketingových kampaní a v podstatě se více než zaplatily.“
6. Pochopení předpisů
Všechny organizace by měly mít zavedené zásady a postupy pro výzkum, identifikaci a pochopení interních i legislativních standardů. Cílem je zajistit, aby všechny bezpečnostní zásady byly v souladu s předpisy a aby existoval řádný plán reakce na různé typy útoků a narušení.
Vyžaduje to stanovit pracovní skupinu a strategii pro kontrolu nových zásad a regulací, když začnou mít relevanci. Přestože je dodržování předpisů v moderních strategiích kybernetické bezpečnosti kritické, neznamená to nutně, že by to měla být priorita.
Pescatore se domnívá, že „dodržování předpisů bývá na prvním místě a že téměř všechny společnosti, které zažily narušení s únikem informací o kreditních kartách, dodržovaly standardy PCI. Problém ale spočíval v tom, že nebyly dostatečně zabezpečené.“
Domnívá se, že strategie kybernetické bezpečnosti by měly nejprve posoudit riziko a ustanovit procesy a kontroly, které budou chránit společnost a zákazníky. „Teprve poté by podniky měly vytvářet dokumentaci požadovanou různými předpisy (např. zmíněné PCI), kde by popsaly, jak strategie odpovídá předpisům.”
7. Najměte auditory
Dokonce i nejlepší bezpečnostní týmy někdy potřebují pohled někoho zvenčí při posuzování útočného prostoru podniku. Najmout bezpečnostní auditory a analytiky může být krok, který pomůže objevit útočné vektory a zranitelnosti, které by jinak mohly zůstat nepovšimnuté.
Mohou také pomoci s vytvářením plánů správy událostí pro zvládání potenciálních narušení a útoků. Příliš mnoho organizací je stále nepřipravených na kybernetické útoky, protože nemají kontroly a způsob posuzování svých zásad.
„Při pokusu o objektivní zjištění bezpečnostního rizika může být externí nezaujatá perspektiva extrémně přínosná,“ prohlašuje Jason Mitchell, technologický ředitel společnosti Smart Billions.
„Využijte nezávislý proces monitorování, který pomůže rozpoznat rizikové chování a hrozby dříve, než se stanou problémem v koncových bodech, zejména v případě nového digitálního vybavení, nových dodavatelů a zaměstnanců pracujících na dálku.“