Podjetjem vseh velikosti je jasno, da morajo dvigniti svojo kibernetsko zaščito, če ne želijo biti lahke tarče. A tisti, ki jim je res mar za podatke in informacije ter ne želijo, da bi ti prišli v napačne roke, ne čakajo na napad, temveč kibernetske napadalce aktivno iščejo!
Večina podjetij za zaščito svoje digitalne krajine in premoženja skrbi z namestitvijo požarnih pregrad na internetnih prehodih, protivirusnimi in protismetnimi programi. A to še zdaleč ni dovolj, niti ni dovolj dobro za premetene kibernetske kriminalce. Podjetja morajo zato okrepiti svoj digitalni ščit, predvsem pa svoje reaktivno delovanje zamenjati s proaktivnim pristopom – aktivno iskati napadalce in škodljive kode v svojem omrežju, sistemih, aplikacijah …
»S tehnološkimi rešitvami lahko podjetja poskrbijo za preprečevanje napadov tako, da najprej poskrbijo za osnovno digitalno higieno, ki obsega posodabljanje naprav in sistemov, omejevanje dostopa do virov ter ozaveščanje uporabnikov,« pravi Žiga Humar, vodja oddelka kibernetske varnosti v podjetju Our Space Appliances, in dodaja:
Prepoznavanje groženj z uporabo umetne inteligence
Varnostni inženirji si pri svojem delu pomagajo z različnimi zbirkami informacij o grožnjah. Te vsebujejo tudi tako imenovane indikatorje o napadalcih, ki navadno obsegajo IP-naslove, domene, elektronske naslove, izračunane zgoščene vrednosti datotek in različice programske opreme, ki jih uporabljajo »digitalni zlikovci«. Zbrane indikatorje nato primerjajo s podatki iz IT-okolja podjetja, največkrat z uporabo rešitve za upravljanje varnostnih dogodkov (SIEM), ti podatki pa so dobrodošli tudi za namene blokiranja škodljivih vsebin in povezav že na požarnih pregradah – torej preden bi digitalna grožnja lahko sploh »potrkala« na vrata podjetja.
Primeri takšnih zbirk so Dshield.org Block List, Proofpoint Emerging Threats, CrowdSec Fire, Feodo Tracker in podobne. Uporaba teh zbirk za avtomatsko blokiranje prometa na požarni pregradi je lahko povsem legitimen ukrep za dvig kibernetske zaščite organizacije z zavedanjem, da se lahko zgodi, da bo podjetje sem ter tja blokiralo tudi legitimne IP-naslove, ki se znajdejo na takšnih seznamih,« pojasnjuje Humar.
Poleg zbirk, ki jih pripravljajo varnostne skupnosti, obstajajo tudi zbirke, za katere skrbijo varnostna podjetja. Ta se zbiranja podatkov lotijo različno. Nekatera informacije zbirajo prek odjemalcev, nameščenih na delovnih postajah in strežnikih. Tako so podatki različnih organizacij uporabljeni za gradnjo indikatorjev, kar utegne biti sporno z vidika zaupnosti.
Omenjeno podjetje izvaja avtomatiziran zajem besedil, slik ter zvočnih in videoposnetkov iz več kot milijon različnih virov, ki so dostopni tako na javnem kot tudi na temnem delu spleta. Zbrane podatke nato analizirajo in določijo, ali gre za dejansko informacijo o grožnji. Pri tem sodeluje tudi »hišna skupina« Insinkt Group, ki še obogati informacije o grožnjah in z njimi dodatno trenira algoritme umetne inteligence. Rezultat je Intelligence GraphTM, ki je preslikava kibernetsko-realnega sveta v interno podatkovno zbirko.
Očitno je, da analize tako obsežne količine virov podatkov ni mogoče izvajati s človeškimi viri. »Recorded Future za izvajanje analiz uporablja napredno umetno inteligenco. Ta samodejno razbira vsebino, klasificira besedilo, prevaja vsebino iz osmih jezikov, določa kontekst posamezne grožnje, zaznava verjetnost uresničitve dogodka in napove, kdaj bi naj se dogodek zgodil. Pri tem rešitev izkorišča zmogljivosti procesiranja naravnega jezika in predikativno analitiko. Z velikimi jezikovnimi modeli lahko analitiki kibernetskih ali geopolitičnih groženj v nekaj sekundah ustvarijo poročila o posameznih grožnjah ali za posamezen sektor,« je navdušen Humar, ki pravi, da je rešitev podjetja Recorded Future nepogrešljiv pripomoček za vsakega varnostnega strokovnjaka in varnostno-operativni center.
Avtomatizacija varnostnih opravil
Sogovornik poudarja tudi pomen avtomatizacije varnostnih preverjanj. »Končni cilj avtomatizacije z umetno inteligenco je sprememba pravila 80/20, po katerem analitiki 80 odstotkov časa porabijo za zbiranje in procesiranje podatkov in 20 odstotkov časa za analizo.« Prednost varnostnih rešitev, ki ne servirajo le gore podatkov, temveč prepoznajo tudi kontekst groženj, je velikanska.
»Varnostnega inženirja ali varnostnega analitika, ki dela v proizvodnem sektorju, namreč manj zanimajo indikatorji, povezani z akterji, ki navadno ciljajo finančni sektor. Je pa zanj zlata vredna zbirka podatkov, ki mu pokaže, kdo in kako kaj nečednega počne v njegovi bližini. Še bolje pa je, ker je lahko o sumljivih indikatorjih (denimo uporabniških poverilnicah, ki so se znašle na temnem spletu) avtomatsko obveščen prek elektronske pošte. Tako obstaja precej večja verjetnost, da bo napadalca ustavil, še preden bi ta povzročil škodo.«
