W obecnym świecie postępu technologicznego, analizowanie i monitorowanie zagrożeń cyberbezpieczeństwa stało się jednym z topowych, a co za tym idzie, bardzo rozległych tematów. Instytucje duże, średnie i małe, branże finansowe, medyczne, produkcyjne i inne są narażone na cyberataki, których skutkiem mogą być straty finansowe oraz wizerunkowe, utrata danych firmy i danych klientów oraz przerwy w ciągłości biznesu. Z tego względu coraz więcej przedsiębiorstw inwestuje w zespoły Security Operation Center (dalej SOC), czyli operacyjne centra bezpieczeństwa, których głównym zadaniem jest ciągłe monitorowanie, wykrywanie, analizowanie i reagowanie na zagrożenia oraz analiza funkcjonowania bezpieczeństwa systemów i infrastruktury IT. SOC może być implementowany jako zespół wewnętrzny, outsourcing lub usługa chmurowa typu SOC as a Service/Security as a Service.
Część osób pracujących w jednostkach SOC jest odpowiedzialna za analizę wykrytych, potencjalnych zagrożeń. Nie da się w prosty sposób oddać osobie przystępującej do analizy zagrożenia instrukcji, bądź podręcznika ‘How to analyze cyberthreats’ z serii ‘for dummies’. Można natomiast zdecydowanie ułatwić to zadanie. Lepszym podejściem będzie wskazanie kroków i dostarczenie informacji, dzięki którym ogrom zaistniałych możliwości będziemy w stanie maksymalnie zawęzić. Dostarczając analizującemu informacji koniecznej i wystarczającej do przeprowadzenia kompleksowej analizy potencjalnego cyberzagrożenia. Zacznijmy od istotnych podstaw.
Poznaj siebie – wiedz co chronisz
Analiza zagrożeń ma jedno główne zadanie – ochronę infrastruktury IT. Podstawowym i kluczowym krokiem w dobrym zarządzaniu bezpieczeństwem jest inwentaryzacja zasobów IT i poznanie własnej sieci, usług, systemów oraz określenie krytyczności aktywów z punktu widzenia biznesowego. Możesz zebrać tysiące świetnie normalizowanych i korelowanych zdarzeń, ale bez dobrego opisu ich źródeł oraz ustalenia priorytetu zasobów, utrudnisz i opóźnisz proces analizy. Pomocne w tym przypadku będą systemy zarządzania zasobami klasy Asset Management oraz bazy danych zawierające konfiguracje systemów.
Określ powierzchnie ataku – słabe punkty
Określenie krytycznych oraz słabych punktów infrastruktury na podstawie inwentaryzacji zasobów pozwoli Ci skupić się na najbardziej wrażliwych obszarach sieci. Dodatkowo warto tutaj dołączyć informacje z przeprowadzonych audytów bezpieczeństwa i procesu zarządzania podatnościami. Na podstawie wymienionych informacji dostarczonych do analizy można w prosty sposób określić czy wykryty przez systemy detekcyjne atak miał szanse powodzenia.
Powierzchnia ataku, ciąg dalszy – obecne zagrożenia
Znamy już warunki występujące w naszym środowisku. Wiemy, na których obszarach powinniśmy skupić się w pierwszej kolejności, ale ocena słabości infrastruktury w wielu przypadkach jest niewystarczająca. Bardzo istotnym elementem wsparcia analiz bezpieczeństwa jest dostosowanie się do aktualnych zagrożeń jako najnowszych technik i sposobów na wykorzystanie podatności. Często mogą być to luki bezpieczeństwa w najmniej spodziewanych obszarach sieci. Istnieje wiele rozwiązań mogących dostarczać informacje o najnowszych cyberzagrożeniach. Zaczynając od blogów opisujących aktualności w świecie IT security, kończąc na organizacjach analizujących techniki wykorzystywane przez konkretne grupy przestępcze (APT).
Automatyzuj procesy
Każdy mniej lub bardziej złożony i powtarzalny proces można automatyzować, a wiele elementów w analizach bezpieczeństwa jest powtarzalnych. Aby uniknąć monotonnych działań wprowadź automatyzację od podstaw takich jak sprawdzanie reputacji zewnętrznych adresów IP, nazw domenowych czy funkcji skrótu analizowanych plików.
Na koniec: żyj w symbiozie
Analiza zagrożeń to niewątpliwie bardzo ważny, ale nie jedyny proces zarządzania bezpieczeństwem IT. Wiele przypadków pokazało, że dokładna analiza i reakcja na zagrożenie w odpowiednim tempie, może uchronić organizacje od materialnych i niematerialnych strat. Warto spełnić wyżej wymienione kroki, dostarczając niezbędną informację i automatyzując powtarzalne czynności. Wymiana informacji i współpraca pomiędzy jednostkami odpowiedzialnymi za poszczególne, zazębiające się procesy jest jednym z kluczowych elementów poprawy analiz bezpieczeństwa.