Ενορχήστρωση και αυτοματισμός στα πλαίσια υπηρεσιών διαχείρισης και ανίχνευσης απειλών
Ο κυβερνοχώρος και ειδικότερα οι οργανισμοί που ασχολούνται με την ανίχνευση και αντιμετώπιση διαδικτυακών απειλών, διαδίδουν διαρκώς ότι όσο νωρίτερα η επιχείρηση αναγνωρίζει και αντιμετωπίζει παραβίαση δεδομένων στην υποδομή της, τόσο μικρότερος θα είναι ο αντίκτυπός της στα δεδομένα της, στην εμπιστοσύνη που της δείχνουν οι πελάτες της και τελικά στα έσοδά της.
Διονυσία Αδαμοπούλου
Product Owner Enorasys SOCStreams
Encode – www.encodegroup.com
Παρ’ όλα αυτά, σύμφωνα με τις έρευνες Ponemon για 3 συνεχή χρόνια, ο μέσος χρόνος για να αναγνωριστεί μια παραβίαση δεδομένων εξακολουθεί να είναι περίπου 6 μήνες, ενώ χρειάζονται περισσότερο από 2 μήνες για την αντιμετώπιση του προβλήματος. Σε πολλές περιπτώσεις η απώλεια μεταφράζεται σε πολλά δισεκατομμύρια για τις επιχειρήσεις.
Οι προκλήσεις που αντιμετωπίζει μια επιχείρηση είναι ανάλογες με την αξία των δεδομένων που διαχειρίζεται και όσο μεγαλύτερη είναι αυτή η αξία, τόσο πιο εχθρικό είναι το περιβάλλον για εκείνη. Οι επιχειρήσεις έχουν συνειδητοποιήσει αυτήν την κατάσταση και στρέφονται σε διάφορες και δαπανηρές τεχνολογικές λύσεις που χρειάζονται άτομα με τις απαραίτητες γνώσεις και εμπειρία για να τα διαχειριστούν.
Ο αριθμός των ατόμων με τα κατάλληλα προσόντα για τη διαχείριση περιστατικών ασφαλείας είναι περιορισμένος και εάν οι απαιτούμενες γνώσεις στον οργανισμό λείπουν, τα εργαλεία από μόνα τους παρέχουν μια κατακερματισμένη εικόνα των γεγονότων. Αυτό έρχεται σε αντίθεση με την υπόθεση ότι όσο περισσότερο επενδύεις σε νέες τεχνολογικές λύσεις τόσο καλύτερη θα είναι και η προστασία ενός οργανισμού. Αυτή η θεώρηση των πραγμάτων φέρνει συχνά πολλούς CISO σε δύσκολη θέση καθώς θα πρέπει να εξηγήσουν γιατί η μεγάλη επένδυση σε λογισμικό δεν κατάφερε να προλάβει την παραβίαση.
Όσο και να έχει προετοιμαστεί η υποδομή μιας επιχείρησης, χωρίς ένα οργανωμένο σχέδιο διαχείρισης περιστατικών ασφάλειας, είναι πολύ δύσκολο, και πρακτικά αδύνατο, να μετριαστεί ο κίνδυνος στον κατάλληλο χρόνο. Η ανάγκη για ταχεία επίλυση έρχεται επίσης σε αντίθεση με παραδοσιακές μορφές παρακολούθησης των δεικτών παραβίασης. Ο όγκος των ειδοποιήσεων που χειρίζονται οι αναλυτές ασφάλειας είναι συνήθως πολύ υψηλός και η ακρίβειά τους αμφισβητείται καθώς το υψηλό ποσοστό των false positives τραβάει την προσοχή των αναλυτών από σοβαρά υποβόσκοντα προβλήματα.
H ανάγκη για μια ολοκληρωμένη λύση αυτοματισμού και ενορχήστρωσης
Η συλλογή των logs και η μετατροπή τους σε ειδοποιήσεις μέσω μιας πλατφόρμας SIEM (Security Information Event Management) αποτελεί βασικό βήμα για την έγκαιρη ανίχνευση παραβιάσεων. Πολλά Security Operation Centers έχουν αρχίσει να παρακολουθούν τα συστήματά τους μέσω SIEM λύσεων. Ωστόσο, οι ειδοποιήσεις στην πραγματικότητα πυροδοτούν την έναρξη μιας διαδικασίας και έχουν νόημα μόνο όταν τις βλέπεις σε συνάρτηση με το υπόλοιπο περιβάλλον. Αυτή η διαδικασία επικύρωσης και αντιμετώπισης μιας επίθεσης απαιτεί εκτενή έρευνα σε πολλαπλά συστήματα και αποτελεσματική συνεργασία μεταξύ των εμπλεκόμενων μερών. Τα σύγχρονα SOC δεν χρειάζονται απλώς ένα σύστημα παρακολούθησης, αλλά μια ολοκληρωμένη λύση που ενορχηστρώνει τη διαδικασία μειώνοντας τον χρόνο ανίχνευσης και απόκρισης σε επιθέσεις από μήνες σε ώρες και από ώρες σε δευτερόλεπτα.
Μπορεί να ακούγεται υπερβολικό, αλλά ένα τυπικό false positive θα μπορούσε να επιλυθεί μέσα σε λίγα δευτερόλεπτα με την εφαρμογή αυτοματισμού μέσω μιας λύσης αυτοματισμού και ενορχήστρωσης (Security Orchestration Automation Response), επιτρέποντας στους αναλυτές να επενδύσουν χρόνο σε πιο σοβαρές και πολύπλοκες απειλές.
Για να επιτρέψουν ταχύτερους χρόνους απόκρισης, οι λύσεις πρέπει να επικεντρωθούν στη βελτίωση της ορατότητας και του χειρισμού των συμβάντων. Σε μια τυπική έρευνα που πραγματοποιείται σε μια υπηρεσία διαχείρισης ανίχνευσης και απόκρισης που παρέχεται από ένα MSSP (Managed Security Service Provider), η διαδικασία ανάλυσης ξεκινά αμέσως μετά τη δημιουργία των ειδοποιήσεων με τη βοήθεια μιας πλατφόρμας SOAR, με απώτερο σκοπό είτε να κλείσει το alert είτε να κλιμακωθεί για περαιτέρω έρευνα. Μετά την επιβεβαίωση του συμβάντος, ο αναλυτής μπορεί να ενημερώσει τον πελάτη και στη συνέχεια να συνεχίσει την έρευνα χρησιμοποιώντας τις εγκατεστημένες τεχνολογικές λύσεις. Η επίλυση συνεχίζεται με δράσεις σε πολλά συστήματα, όπως firewalls, συστήματα EDR ή άλλες συσκευές ασφαλείας, μέσω της κεντρικής πλατφόρμας. Μόλις ληφθούν τα απαραίτητα μέτρα, ο αναλυτής μπορεί να κλείσει το περιστατικό και να στείλει λεπτομερή αναφορά στον πελάτη. Χωρίς κεντρικοποιημένη προσέγγιση η διαδικασία που περιγράφηκε θα μπορούσε να διαρκέσει μέχρι και μήνες, ενώ οι μηχανισμοί ενορχήστρωσης βοηθούν όχι μόνο να αυξηθεί σημαντικά η ετοιμότητα της ομάδας διαχείρισης περιστατικών, αλλά και να τηρούνται τα απαραίτητα πρότυπα ασφάλειας.
Προχωρώντας ένα βήμα παραπέρα, η διαχείριση περιστατικών ασφάλειας μπορεί να εκτελεστεί ως μέρος ενός αυτοματοποιημένου playbook βοηθώντας τους αναλυτές να αποφύγουν επαναλαμβανόμενες εργασίες, όπως τον χειρισμό γνωστών false positives, την αυτόματη παρεμπόδιση απειλών χαμηλού κινδύνου και την ιεράρχηση των ειδοποιήσεων.
Έτσι, μια διαδικασία που χρειάστηκε λίγες ώρες ανά περιστατικό μέσω μιας κεντρικής τεχνολογικής λύσης μπορεί να διαρκέσει μερικά λεπτά, αυξάνοντας σημαντικά το capacity ενός Security Operation Center και αποδεικνύοντας την αξία της επένδυσης σε ένα οργανωμένο σχέδιο διαχείρισης περιστατικών.
Συμπερασματικά
Θέλω να κλείσω με το εξής: Μια επιχείρηση μπορεί να έχει προετοιμάσει την υποδομή της για να αποφύγει μια παραβίαση δεδομένων, αλλά δεν μπορούμε να υποθέσουμε ότι οι μηχανισμοί πρόληψης μπορούν να αντιμετωπίσουν κάθε προσπάθεια στοχοποίησης των δεδομένων της. Γι’ αυτό είναι σημαντικό να υπάρχει ένα οργανωμένο σχέδιο διαχείρισης περιστατικών εκ των προτέρων. Με αυτή τη σωστά ευθυγραμμισμένη νοοτροπία, οι οργανισμοί μπορούν να επιλέξουν πλατφόρμες που βελτιστοποιούν τη διαδικασία διαχείρισης συμβάντων με τον καλύτερο δυνατό τρόπο.