Iz kibernetske obveščevalne sfere tako rekoč vsakodnevno dobivamo opozorila, da so na muhi kibernetskih kriminalnih organizacij tako velika kot mala podjetja vseh panog ter različne javne ustanove od zdravstva, sociale in izobraževanja do državnih organov in služb. Že nekaj časa niso tarča samo velike in bogate finančne ustanove ali globalna podjetja. To dokazuje tudi lansko poročilo o kršitvah varnosti podatkov, ki ga je pripravil IBM in ki je razkrilo, da je kar 83 odstotkov organizacij v letu 2022 doživelo več kot eno zlorabo podatkov. Po Gartnerjevi raziskavi kibernetske varnosti v letu 2022 se že 88 odstotkov podjetij zaveda, da so kibernetske grožnje poslovni problem.
Vsi, ki se ukvarjamo s kibernetsko varnostjo, ne razmišljamo več o tem, ali bo prišlo do kibernetskega incidenta, temveč samo čakamo, kdaj se bo to zgodilo. In ne glede na to, kako smo kibernetski varnostniki v resnici zaskrbljeni in poskušamo ozavestiti odločevalce v podjetjih, številne raziskave stanja kibernetske varnosti potrjujejo, da je od dve tretjini do tri četrtine podjetij še vedno nepripravljenih na kibernetski napad.
Tudi zbujeni največkrat spet zaspijo
Sistemski varnostni pregled je prvi korak, ki ga je smiselno storiti v spoznavanju lastnih tveganj kibernetske varnosti. Še boljši vpogled v dejanske vrzeli in kakšno potencialno škodo lahko povzroči kibernetski napad, pa organizacija pridobi z vdornim preizkusom.
V Sloveniji je zavedanje o vlaganjih v kibernetsko varnost še vedno razmeroma nizko. Po podatkih DIH je do leta 2022 vavčerje za kibernetsko varnost, ki so bili namenjeni za sistemski varnostni pregled oziroma vdorni preizkus, izkoristilo 450 od dobrih 75 tisoč aktivnih mikro, malih in srednjih podjetij, ki so jim bili namenjeni vavčerji. Informacije iz zavarovalnic kažejo, da je zavarovanje kibernetske zaščite, za pridobitev katerega je potreben vsaj osnovni varnostni pregled, doslej sklenilo manj kot odstotek slovenskih podjetij.
Podjetja, ki še niso izvedla niti varnostnega pregleda niti vdornega preizkusa, in teh je tako rekoč 99 odstotkov, hodijo po robu. Preverjeno je samo vprašanje časa, kdaj bodo doživela občutno izgubo ali kolaps poslovanja zaradi kibernetskega napada. Velikokrat smo že bili priča, da so direktorji po takšnih napadih razvezali mošnjičke, kupili močnejše sisteme za kibernetsko varnost in naročili preizkuse kibernetske varnosti. Vendar je bila škoda že narejena, in če je šlo po sreči, je bila le finančna. Nova zaščita in kakšno dodatno izobraževanje sta izboljšala občutek varnosti, pomirila slabo vest in podjetje je spet stopil na območje udobja. Na srečo se nekateri vseeno nekaj naučijo in svoje sisteme vsaj enkrat na leto varnostno pregledajo tudi ob pomoči etičnih hekerjev.
Enkrat na leto je premalo
Podjetja v Sloveniji, ki je del razvitega sveta, po izpostavljenosti kibernetskemu kriminalu ne zaostajajo za podjetji iz ZDA ali Nemčije. Poleg tega se je v letu 2022 število kibernetskih incidentov v Sloveniji povečalo za več kot 30 odstotkov, kar je sicer izjemna rast, a povsem primerljiva s svetom. Vse večja je torej pogostost napadov, predvsem z ribarjenjem, ki so vse bolj izpopolnjeni, kakor tudi novih kampanj z izsiljevalskimi virusi. Samo lani je bilo odkritih novih 55 napadov ničelnega dne, ki so izkoriščali ranljivosti v pogosto uporabljenih informacijskih rešitvah in storitvah. Torej, tudi če podjetje enkrat na leto izvede vdorni preizkus, je zaradi novih groženj že v naslednjih nekaj dnevih znova izpostavljeno tveganjem. Izkazuje se, da je preizkušanje kibernetske varnosti enkrat letno sicer osnovna higiena, še zdaleč pa ne dovolj. Podjetja si pogostejših preizkusov ne morejo privoščiti, po drugi strani pa niti ni dovolj izkušenih etičnih hekerjev, da bi lahko odgovorili na povečano povpraševanje po storitvah vdornih preizkusov.
Avtomatizacija vdornega preizkušanja
Še pred nedavnim je veljalo, da lahko rešitve za vdorno preizkušanje simulirajo samo omejen obseg napadov, pa še to le na sistemska IT-sredstva znotraj poslovnega računalniškega omrežja. Nove generacije tovrstnih rešitev omogočajo izvajanje simulacij naprednih napadov iz katerekoli začetne točke napada.
To pomeni, da lahko avtomatiziramo tako rekoč kakršenkoli scenarij zlonamernega kibernetskega napada. Še več, tovrstne scenarije lahko ponavljamo kolikokrat želimo, pri čemer imamo vsakič na voljo informacije o najnovejših grožnjah – tako rekoč takoj, ko se pojavijo na kibernetski sceni.
Avtomatizirani vdorni preizkusi resda ne napadajo s ciljem, tako kot to v realnem svetu delajo kriminalni hekerji. Vendar pa odkrivajo in pomagajo zapirati varnostne vrzeli, ki jih izkoriščajo zlonamerni hekerji. V praksi pomenijo odlično dopolnilno orodje za etične hekerje ali ponudnike upravljanih storitev kibernetske varnosti, da svojim strankam zagotovijo ažurno kibernetsko zaščito. Po drugi strani pa organizacijam, ki imajo svoje ekipe za kibernetsko varnost, omogočajo neprestano preverjanje kibernetskih varnostnih kontrol za preprečevanje in odkrivanje aktualnih groženj, ne glede na to, ali gre za znane IT-vire znotraj omrežja ali za preizkušanje spletnih poslovnih aplikacij iz medmrežja.
Zakaj je pametno uporabiti samodejno vdorno preizkušanje
Vzemimo, da ste svoj sistem kibernetske zaščite s pomočjo vdornega preizkusa dobro pokrpali in nastavili. Vendar se je od takrat pojavila že vrsta novih groženj, verjetno tudi sprememb v informacijskih sistemih, od posodobitev do novih aplikacij.
Rešitve za avtomatizirane vdorne preizkuse lahko vsakodnevno izvajajo preizkuse glede na več tisoč groženj in aktualnih hekerskih kampanj, ki so zajete v zbirki MITRE ATT&CK. Še več, preizkušajo lahko, kako bi se zlonamerni heker po preboju različnih slojev obrambe premikal po omrežju in do česa vse bi lahko dostopal. Rešitve ponujajo tudi priporočila za nastavitve varnostnih rešitev, da so ves čas usklajene s tveganji in so korak pred kibernetskimi zlikovci.
S sprotnim preverjanjem stanja kibernetske varnosti je mogoče naložbe v kibernetsko zaščito maksimalno izkoristiti. Z odkrivanjem kritičnih vrzeli v zaščiti lahko določate prednostne naložbe v kibernetsko varnost. In kar je najpomembneje, ustrezne rešitve to izvajajo samodejno, lahko tudi večkrat na dan. Skrajni čas je, da tudi v vaši organizaciji kibernetske varnosti ne prepuščate več naključju.