Leto 2022 je s stališča NIL-ovega varnostno operativnega centra (SOC) potrdilo dejstvo, da je obvladovanje kibernetskih tveganj v poslu postalo dnevna rutina. »Boj« med kriminalci in podjetji se dogaja nenehno. V ospredje postavljamo tri dobre prakse, ki bodo organizacijam tudi v letu 2023 pomagale poslovati varneje in posledično uspešno.
NIL-ov varnostno operativni center (SOC) je v tem letu predvsem rastel, tako s stališča obsega poslovanja (število strank) kot zmogljivosti ekipe. Že samo to potrjuje, kako zelo pomembna je učinkovita obravnava kibernetskih incidentov za celostno varnost poslovanja. Naj to tezo potrdim s konkretnimi številkami iz NIL-ovega SOC v letu 2022:
- več kot 37 tisoč obravnavanih alarmov, ki so zahtevali obravnavo varnostnega analitika,
- več kot 3.500 potrjenih zlonamernih aktivnosti in omejenih incidentov,
- več 10 novih strank iz Slovenije in EU,
- nadgradnja naše osrednje storitve upravljanje zaznave in odziva na incidente (angl. Managed Detection and Response – MDR),
- razširitev ekipe SOC: zaposlili smo SOC-analitike na nivojih T1 in T2 ter investirali tako v kader kot kompetence s komplementarnih področij kibernetske obrambe.
Z ekipo za varnostne incidente (ang. Incident Response) smo posredovali tudi v petih izjemno resnih situacijah v Sloveniji in tujini. To konkretno pomeni, da so bila podjetja zaradi kibernetskega incidenta prisiljena začasno ustaviti poslovanje. Izredno sem ponosen, da nam je v vseh primerih s strokovnim in pravilnim odzivom uspelo incidente identificirati, izolirati, zamejiti ter tako preprečili nastanek še večje poslovne škode.
Vse to nakazuje, kako zelo pomembna sta za stabilno poslovanje učinkovita zaznava in obvladovanje incidentov. Prepričani smo, da bo tudi v prihodnje tako. Zato navajamo nekaj »novoletnih zaobljub«, za katere sem prepričan, da bodo v letu 2023 jeziček na tehtnici pri učinkoviti obravnavi incidentov.
Dobre prakse kibernetske obrambe za leto 2023
NIL-ov SOC bo v prihodnjem letu največ pozornosti namenil razvoju vrhunskega kadra in tehnologij. Predvsem na področjih varnostne orkestracije, avtomatizacije in povečanja zmogljivosti odziva na varnostne incidente.
V večini podjetij lastnega SOC nimate, se pa morajo vaše »modre ekipe« kljub temu vsakodnevno in po najboljših močeh upirati kibernetskih kriminalcem. Da bo delo v takšnih okoliščinah lažje in učinkovitejše, vam priporočam naslednje dobre prakse:
1. Identifikacija osrednjega vzroka napada (angl. root cause) oziroma vhodnega vektorja napada je ključna. Namenite ji dovolj pozornosti. Ko potrdimo varnostni incident, ne prehitevajmo z odločitvami. Napake v tem koraku lahko zmanjšajo učinkovitost poznejšega odziva. Tipična takšna napaka je takojšnja povrnitev prizadetih sistemov v stanje pred zlorabo kritične pomanjkljivosti, ne da bi pred tem potrdili dejanski vzrok napada in poskrbeli za ustrezno zaščito dokazov. Restavriranje okuženega sistema brez opravljene preiskave in odprave pomanjkljivosti podari motiviranemu kriminalcu novo priložnost za napad.
2. Že vzpostavljeni preventivni ukrepi določajo učinkovitost zaznave varnostnih odstopanj in uspešnost obrambe. Če ukrepov nimate, jih vzpostavite. V organizacijah z okrnjenimi preventivnimi zmogljivostmi za zaščito in utrjevanje informacijskih sistemov je manjša tudi učinkovitost zaznave in odziva. Ohlapne implementacije varnostnih politik dajejo več prostora kriminalcem, da napade zakrijejo v legitimne poslovne komunikacijske kanale. Zmožnost enoumne zaznave kibernetskih incidentov (angl. detection) je bistveno večja v informacijskih okoljih z vzpostavljenimi tehničnimi kontrolami (na primer omejevanje privilegiranih uporabnikov, dodeljevanje dostopov in pravic po načelu ničelne tolerance in podobno).
3. Brez celostne varnostne vidljivosti je učinkovitost zaznavanja in preostalih varnostnih operacij zelo omejena. Investirajte v vidljivost in zaščito identitet. Napadalci se bodo v prihodnosti še bolj osredotočali na odtujitve ali zlorabe uporabniških identitet, sistemov (delovne postaje, strežniki, podatkovna skladišča) in informacijskih sredstev v oblaku. Celostna varnostna vidljivost vseh IT-ekosistemov (ne le omrežja, temveč prednostno identitet, končnih točk in oblačnih storitev) je v varnostnih operacijah zato nujno potrebna.
Trdno verjamemo, da vam bodo ti varnostni ukrepi v letu 2023 bistveno pomagali k varnejšemu in posledično uspešnejšemu poslovanju.