Leto 2022 je s stališča NIL-ovega varnostno operativnega centra (SOC) potrdilo dejstvo, da je obvladovanje kibernetskih tveganj v poslu postalo dnevna rutina. »Boj« med kriminalci in podjetji se dogaja neprestano. Izpostavljamo tri dobre prakse, ki bodo organizacijam tudi v 2023 pomagale poslovati varneje in posledično uspešno.
NIL-ov SOC v 2022: Zaznava in odziv kibernetskih incidentov v številkah
NIL-ov varnostno operativni center (SOC) je v letošnjem letu predvsem rastel, tako s stališča obsega poslovanja (število strank) in kapacitet ekipe. Že samo to potrjuje dejstvo, kako zelo pomembna je učinkovita obravnava kibernetskih incidentov za celovito varnost poslovanja. Dovolite mi, da tezo potrdim s konkretnimi številkami iz NIL-ovega SOC-a v letu 2022:
- več kot 37 000 alarmov, ki so zahtevali obravnavo varnostnega analitika,
- več kot 3500 potrjenih zlonamernih aktivnostih in omejenih incidentov,
- več 10 novih strank iz Slovenije in EU,
- nadgradnja naše osrednje storitve upravljane zaznave in odziva na incidente (angl. Managed Detection and Response – MDR),
- razširitev SOC ekipe: Zaposlili smo SOC-analitike na T1 in T2 nivojih ter investirali tako v kader kot kompetence s komplementarnih področij kibernetske obrambe (Threat Hunting, PlatOps, Purple Teaming, Analytics Creation and Detection Tuning, Threat Intelligence,).
Z ekipo za varnostne incidente (ang. Incident Response) smo posredovali tudi v 5 izjemno resnih situacijah v Sloveniji in tujini. To konkretno pomeni, da so bila podjetja zaradi kibernetskega incidenta prisiljena začasno prekiniti poslovanje. Izredno sem ponosen, da smo v vseh primerih s strokovnim in pravilnim odzivom uspeli incidente identificirati, izolirati, zamejiti ter tako preprečili nastanek še večje poslovne škode.
Vse to nakazuje na to, kako zelo pomembna je za stabilno poslovanje učinkovita zaznava in obvladovanje incidentov. Prepričani smo, da bo tudi v prihodnje tako. Zato vam v sledečih odstavkih delimo nekaj »novoletnih zaobljub«, za katere sem prepričan, da bodo v letu 2023 jeziček na tehtnici pri učinkoviti obravnavi incidentov.
Dobre prakse kibernetske obrambe za leto 2023
NIL-ov SOC bo v prihodnjem letu največ pozornosti namenil razvoju vrhunskega kadra in tehnologij. Predvsem na področjih varnostne orkestracije, avtomatizacije in povečanja zmogljivosti odziva na varnostne incidente.
V večini podjetij lastnega SOC-a nimate, se pa morajo vaše »modre ekipe« kljub temu vsakodnevno in po najboljših močeh upirati kibernetskih kriminalcem. Da bo delo v takšnih okoliščinah lažje in učinkovitejše, vam priporočam sledeče dobre prakse:
- Identifikacija osrednjega vzroka napada (angl. root cause) oz. vhodnega vektorja napada je ključna. Namenite ji dovolj pozornosti: Ko potrdimo varnostni incident, ne prehitevajmo z odločitvami. Napake v tem koraku lahko zmanjšajo učinkovitost kasnejšega odziva. Tipična takšna napaka je takojšnja povrnitev prizadetih sistemov v stanje pred zlorabo kritične pomanjkljivosti, brez da bi pred tem potrdili dejanski vzrok napada in poskrbeli za ustrezno zaščito dokazov. Restavriranje okuženega sistema (brez opravljene preiskave in odprave pomanjkljivosti) podari motiviranemu kriminalcu novo priložnost za napad.
- Že vzpostavljeni preventivni ukrepi določajo učinkovitost zaznave varnostnih odstopanj in uspešnost obrambe. V kolikor ukrepov nimate, jih vzpostavite: V organizacijah z okrnjenimi preventivnimi zmogljivostmi za zaščito in utrjevanje informacijskih sistemov je manjša tudi učinkovitost zaznave in odziva. Ohlapne implementacije varnostnih politik dajejo več prostora kriminalcem, da napade zakrijejo v legitimne poslovne komunikacijske kanale. Zmožnost enoumne zaznave kibernetskih incidentov (angl. detection) je bistveno višja v informacijskih okoljih z vzpostavljenimi tehničnimi kontrolami (npr. omejevanje privilegiranih uporabnikov, dodeljevanje dostopov in pravic po principu ničelne tolerance ipd.).
- Brez celovite varnostne vidljivosti je učinkovitost zaznavanja in ostalih varnostnih operacij zelo omejena. Investirajte v vidljivost in zaščito identitet. Napadalci se bodo v prihodnosti še bolj osredotočali na odtujitve ali zlorabe uporabniških identitet, sistemov (npr. delovne postaje, strežniki, podatkovna skladišča) in informacijskih sredstev v oblaku. Celostna varnostna vidljivost vseh IT-ekosistemov (ne le omrežja, temveč prednostno identitet, končnih točk in oblačnih storitev), je v varnostnih operacijah zato nujno potrebna.
Trdno verjamemo, da vam bodo ti varnostni ukrepi v letu 2023 bistveno pomagali k varnejšemu in posledično uspešnejšemu poslovanju.
V kolikor pri celovitem obvladovanju kibernetskih tveganj potrebujete pomoč, smo vam NIL-ovih strokovnjaki z veseljem na voljo. NIL-ov SOC skupaj z vsemi varnostnimi strokovnjaki na NIL-u si bo tudi v 2023 prizadeval, da bomo na vse taktike kibernetskih kriminalcev optimalno pripravljeni.
Članek je bil izvorno objavljen v Časniku Finance. Objavljamo z dovoljenjem.