Rád bych se s vámi podíval na několik základních otázek, které vrtají hlavou manažerům nejedné společnosti, se kterými jsem měl možnost v posledních letech hovořit. Podívejme se na téma kybernetická bezpečnost trošku jiného úhlu pohledu.
Z pohledu člověka, který má chránit organizaci před kybernetickými hrozbami a zajistit, aby IT služby byly provozovány v co nejzdravějším stavu. Setkávám se s tím, že mnoho manažerů frustruje situace, kdy musí na každou situaci volat dodavatele služby nebo technologie a čekat, než dodavatel na danou odpověď odpoví a zda vůbec.
Zkušenosti manažera kybernetické bezpečnosti
Sám tyto situace občas zažívám a z pohledu manažera kybernetické bezpečnosti společnosti KPCS CZ mohu říct, že pocit, kdy neznám odpověď, je velice znepokojivý a čekání neskutečně dlouhé. O to spíš, pokud je na mě kladen tlak ze strany zákazníků, top managementu a uživatelů, kteří nemohou dělat svou práci. Mám také určité povinnosti týkající se legislativy, která je následně požadována po našich zákaznících.
Proto se dnes podívám na téma kybernetické bezpečnosti jednak z pohledu této své role, jednak z pohledu analytika využívajícího službu ATOM ONE ke zjišťování stavu odolnosti organizace zvládat kybernetické hrozby. Podobné otázky, které si kladu a řeším, má bezpochyby mnoho z vás.
Na úvod bych rád zmínil velmi zajímavé vyjádření k problematice kybernetické bezpečnosti, které uvedla slovy svého ředitele Karla Řehky, organizace NUKIB ve zprávě o stavu kybernetické bezpečnosti v roce 2019. „S rostoucí mírou digitalizace naší společnosti se stále větší část našich životů odehrává na internetu. Narušování bezpečnosti kyberprostoru České republiky má dopad na životy nás všech. Riziko úspěšných kybernetických útoků bude v budoucnu nadále stoupat a je velmi pravděpodobné, že se s nimi každý z nás někdy setká. To se týká běžných občanů i správců či provozovatelů informačních a komunikačních systémů důležitých pro klíčové funkce státu a chod naší společnosti.“ Já to vnímám tak, že musíme být připraveni a musíme se snažit být rychlejší nežli útočníci, kteří se nás snaží oklamat anebo zneužít naše chyby, naše procesy, naše postupy, či naše systémy.
Nejčastější otázky, které si pokládají lidé odpovědní za kybernetickou bezpečnost
Pojďme si tedy nyní položit několik otázek, které vnímám jako stěžejní pro každou společnost, která má stejné nebo podobné obavy jako já a která nebere kybernetickou bezpečnost na lehkou váhu.
- Jaké v dnešní době vnímáte, i s ohledem na aktuální dění v České republice, hrozby v oblasti informačních technologií, pokud tedy pomineme fakt, že nejslabším článkem je, a bude vždy, člověk?
Pokud se budeme zabývat otázkou hrozeb, pak bychom měli vždy posuzovat společnost jako celek a určit v jakých vertikálách se společnost pohybuje. Tím totiž dokážeme snáze identifikovat potencionální slabá místa. Dnes (myšleno v roce 2020) jsme mohli vidět řadu útoků, které nebyly vedeny jen proti zaměstnancům, ale docházelo k řadě útoků na systémy, které zůstaly otevřeny do internetu, byly zastaralé a neměly instalované bezpečnostní záplaty. Tedy za hrozbu lze považovat to, že IT nestíhá běžné činnosti, existuje nedostatek specialistů a hodně věcí se dnes provádí pod tlakem okolností. Tím do systému zůstávají otevřené dveře, které jsou často útočníky zneužívány. Druhou věcí je jistě fakt, že společnosti si nepřipouštějí možný kybernetický útok, nebo žijí v domnění, že jejich systémy jsou dostatečně chráněny pomocí ochran na perimetru nebo za pomoci nastavených výchozích ochran v cloudu. Nicméně v případě útoku, (jak neúspěšného, tak úspěšného) dochází ke zjištění, že někde nebyla zapnuta nějaká funkcionalita systému, a tím přišla společnost o cenné informace, které by mohla využívat k vyšetřování, případně by mohla rychleji zjistit, že k útoku dochází.
- Často se mluví o správě logů a preventivních opatření. Proč toto není správně nastaveno ve společnostech, když daný požadavek na aktivní a správně nastavený log managementu vychází z normy IEC/ISO 27001 a je také reflektován také v „Zákoně o kybernetické bezpečnosti“? Vnímáte jej také jako velmi zásadní a proč?
Log Management je velice rozsáhlá oblast a každý, včetně mě, se ptá, co by měl logovat, na jakých systémech a zda dokáže pak logy zpracovat, pokud jich bude mnoho? Téměř každý „specialista“ na bezpečnost říká, že je potřeba sbírat vše. Sbírat informace, které by se nám mohly hodit, protože jen na základě nich dokážeme vyšetřovat bezpečnostní události. Situace je ve společnostech často postavena přesně tak, že se sbírají sta miliony událostí ze systému, ale operátory, či analytiky zajímá pouze malá část logů, odhaduji tak 5-10 %. Často jsou však sbírány informace, které jsou naprosto irelevantní, a tedy jejich použití je nemožné.
Dále dochází k tomu, že na spoustu toho zapomeneme, anebo prostě není dostatek „Událostí za sekundu“ (EPS), na kterých je mnohdy postaven licenční model daného log managementového nástroje. Proč to není správně nastaveno, je tedy otázkou toho, zda daný správce, poradce, konzultant nebo dodavatel ví, co by se mělo sbírat, a zná danou technologii do takového detailu, aby mohl říct, co je správné a co ne, co bude budit „signal noise“ a co je důležité pro vyšetřování.
Dalším a opět častým nešvarem je pochopení IEC/ISO 27001 nebo ZokB, kdy společnost potřebuje udělat primárně „čárku“ v seznamu zavedených opatření, a tedy papírově snížit míru rizika. Toto jsem viděl opravdu hodně krát.
Poslední, co bych zmínil je skutečnost, že se mnohdy využívají systémy třetích stran a v zásadě je jedno, z jakého důvodu, a k systémům, které by byly integrální součástí, se přistupuje jen málokdy. Nicméně chápu, že se firmy nechtějí vázat na jediného dodavatele, a tak vytvářet „vendor lock“. Jenže využití technologie výrobce, jehož systémy v našem prostředí dominují, přináší obrovské výhody a možnosti nativního propojení a sestavení do jednotného ekosystému. My v KPCS CZ provozujeme převážně systémy v cloudovém prostředí Microsoft Azure, a to jak Azure samotný, tak i Microsoft365, proto mi dává velký smysl využití ATOM ONE, který je schopen do sebe pojmout jak data z cloudového prostředí, tak i z lokálních systémů.
Jestli je log management důležitý? Rozhodně ano, a vnímal bych ho jako důležitý, kdybych byl v pozici IT správce a vnímám ho jako klíčový, z pozice manažera kybernetické bezpečnosti. Jako důležitý ho vnímám nejen proto, abych si mohl udělat čárku v seznamu implementovaných opatření, ale zejména proto, že je pro mě klíčovým nástrojem dohledu nad bezpečností celé společnosti.
- Nebojíte se umístění logů v cloudovém prostředí? Považujete jejich uložení a zpracování za hrozbu, nebo spíše vnímáte výhody takového zpracování?
Pokud se na věc podívám pragmaticky, tak musím říct, že logy v cloudu jsou tak jako tak a proč bych tedy nevyužil možnost jejich centrálního uložení v cloudu. Rozhodně mi takové místo dává smysl, protože je pro mě přístupné odkudkoliv, což je zejména v dnešní době klíčové. Další výhodu vidím v tom, že si mohu snadno oddělit oprávnění přístupu a nebojím se napadení ransomware, pokud se tedy bavíme o lozích, jinak se ransomware bojím stejně, jako kdokoliv jiný. Když se tedy podívám na to, že logy budu mít stejně v cloudu a chci provozovat jen jeden jediný a centrální systém, tak mi dává velký smysl přesunout i to, co mám lokálně, myslím tím lokální log management, do cloudu. Důvod k centralizaci je snadný. Tím důvodem je fakt, že na logy musím hledět jako na kontext, a tedy mi je celkem k ničemu, pokud budu provozovat jeden systém pro logy z počítačů, jeden systém pro logy z lokálních serverů a další systém pro cloud jako celek. Co bych mohl vnímat jako problémové, je nutnost internetového připojení, ale v dnešní době, kdy všichni pracujeme vzdáleně, se kritičnosti systémů posunuly z původně často nejkritičtějšího systému „e-mailu“ právě k internetovému připojení a k místu, odkud do cloudu přistupuji já a naši uživatelé.
- Jaké myslíte, že mají společnosti v ČR možnosti identifikovat útočníka v případě, že dojde k narušení, a oni mají logy k dispozici?
Pravděpodobnost identifikace útočníka ve formě detekce je mnohem vyšší, pokud existují správná korelační pravidla. To nejzásadnější je však centralizace a vědět, co chci sbírat a jak to korelovat, což je jeden z důvodů, proč využívám ATOM ONE, který mi v této oblasti dosti pomáhá. Dalším zásadním důvodem, proč ATOM ONE používám, je prevence. Pokud mi sám systém ráno u kávy, řekne, že se mi zhoršil stav systémů, zdraví systémů anebo došlo k detekování podezřelé aktivity, které bych měl věnovat pozornost, tak jsem naprosto spokojený, protože mohu eskalovat do IT oddělení, aby problém řešili, odstranili, nebo jakkoliv jinak vyřešili. Co beru také jako velice důležité je fakt, že i manažer kybernetické bezpečnosti musí reportovat top managementu společnosti a musí poskytovat informace a statistiky o tom, co se v prostředí děje a jak je prostředí bezpečné. Osobně jsem stavěl mnoho různých reportů, ale dokud jsem managementu neprezentoval připravené reporty z ATOM ONE, tak jsem byl neustále dotazován s požadavky, na které jsem jen horko těžko hledal správné, případně uhýbavé odpovědi.
- Oblast IT bezpečnosti se váže i k operativním aktivitám (správa serverů, aktualizace atd..). Myslíte, že by měl být pohled jednotný a lidé z bezpečnosti by měli mít možnost vidět i operativní informace (zejména například při DDoS nebo DoS útoku nebo nějakém útoku hrubou silou)?
Zde si mnoho společností myslí, že tato oblast nespadá do kompetencí bezpečnosti, ale opak je pravdou. Operativní aktivity jsou často jediným indikátorem, který nám řekne, že se něco na systémech děje. Oni i autonomní systémy pracují s nějakými otisky chování útočníka, který, když vyjde mimo cestu běžného útoku, tak musí být chytán, jelikož jeho aktivita například nevybudila detekční systémy. Pokud se tedy dokážu dívat na aktivity, jejich objem, počty selhaných volání v systému, zatížení systému nebo například padající služby, tak dokážu identifikovat i potencionálního útočníka. Signály a připravená korelační pravidla mi pomáhají zase s tím, že mám jistotu detekce známého chování, známého pohybu útočníka a vím, že se ladění detekce již nemusím plně věnovat a po čase jen vždy „opráším“, co je již nastaveno. Zajímavé může být zejména to, pokud si dokážu útoky simulovat, a tak odhalit to chování, které je pro korelační pravidlo tak důležité. Z pohledu ATOM ONE mám přehledy o detekcích, které sám systém provádí, takže se nemusím moc zabývat tím, že budu psát pravidla na věci, kde jsou již pravidla napsána. Tedy jednotnost přístupu k informacím mi dává nepřeberné množství možností, jak se na data dívat. To však není ta cesta, kterou bych se chtěl vydat při reportování top managementu, a proto jsem krátce proškolil náš top management, aby se mohl na stavy dívat přímo v ATOM ONE. Díky tomu jsem totiž ušetřil čas svůj a čas našeho top managementu, který nyní zná odpovědi týkající se stavu bezpečnosti. Co považuji za opravdu pozitivní, je to, že si top management celý systém chválí, a já na základě logů vidím, že jej pravidelně využívá.
Má to všechno řešení? Ano, má
Odpovědí na položené otázky může být ATOM ONE, který v sobě skrývá mnoho možností, které mě samotnému přináší jasné informace o stavu služeb, které v rámci KPCS CZ, s.r.o. provozujeme. Díky využívání služby ATOM ONE, kterou může nasadit každý, získám přehled a o problému vím dříve, než mi ho někdo oznámí. Tím se ve světle okolností dostávám do mnohem lepšího postavení jak vůči útočníkům, tak vůči interním zaměstnancům a top managementu. Důvod je zřejmý: kdo ví, tak ten řídí. Kdo neví, tak si pouze myslí, že řídí. Chcete vědět, jak to dělám? Chcete zjistit, jak mi ATOM ONE pomáhá i třeba v nelehkých situacích dnešní doby, kdy jsme všichni situováni na home office? Pak není nic jednoduššího než sledovat náš blog, nebo se připojit na některý z webinářů, kde vám na položené otázky odpovíme.
Přečtěte si i další články na téma kyberbezpečnosti:
- Nová služba ATOM ONE jako prevence proti útokům hackerů
- ATOM ONE služba zajišťující prevenci před kybernetickými útoky
Navštivte naše webové stránky ATOM ONE: https://www.atomone.net/cs
