Siła integracji, czyli jak dbać o cyberbezpieczeństwo firmy

Przeczytaj także: Firmy nie dbają o urządzenia mobilne

Cybeprzestępcy nie próżnują. W II kwartale tego roku Centrum McAfee Labs odnotowywało przeciętnie pięć nowych cyberzagrożeń na sekundę. Wiele działań cyberprzestępczego półświatka wymierzonych jest w przedsiębiorstwa i instytucje. Tymczasem liczba gromadzonych przez nie danych jest tak duża, że w skuteczny sposób potrafi uniemożliwić wykrycie niebezpieczeństwa i natychmiastową reakcję. Co więcej, gromadzenie i przechowywanie danych nie należy do najtańszych, z tego też względu firmy często rezygnują z tych, które mogłyby okazać się kluczowe dla wygrania batalii z cyberprzestępcami. To wszystko sprawia, że średni czas reakcji na zagrożenia ciągle daleki jest od ideału.

Co składa się na czas reakcji na incydent bezpieczeństwa?

• Czas na identyfikację, czyli czas potrzebny na wykrycie podejrzanego zdarzenia oraz nadanie odpowiedniego priorytetu tym, które wymagają dalszego badania
• Czas na dochodzenie, czyli czas potrzebny na sprawdzenie, czy doszło do incydentu (infekcja złośliwym oprogramowaniem, dostęp do roota lub administratora itp.), oraz określenie zasięgu problemu (liczba zainfekowanych systemów, liczba użytkowników itp.)
• Czas do zamknięcia, czyli czas potrzebny na powstrzymanie incydentu i zapobieżenie dalszemu rozprzestrzenianiu się go, zazwyczaj obejmujący blokowanie adresów IP, adresów URL, domen czy plików

Zadaniem centrów i działów ds. cyberbezpieczeństwa jest skrócenie tego czasu do minimum. Jest to możliwe dzięki odpowiedniemu połączeniu zasobów ludzkich, procesów i technologii.

Architektura bezpieczeństwa na miarę XXI wieku

Samo zarządzanie logami i korelacja zdarzeń nie wystarczają już dziś do tego, by ochronić się przed atakami cyberprzestępców. Ważną rolę w walce z hakerami odgrywać muszą także takie technologie jak sztuczna inteligencja, uczenie maszynowe i sieci neuronowe. Wszystko po to, aby szybko i w czasie rzeczywistym przetwarzać i analizować dane dotyczące bezpieczeństwa.

W architekturze bezpieczeństwa, polecanej dziś przez największych, czyli SOAPA (Security Operations and Analytics Platform Architecture) dominuje funkcjonalność podobna do SIEM, która często agreguje dane analityczne we wspólnym repozytorium. Jest jednak tylko jednym z narzędzi bezpieczeństwa w całej strukturze. Obok SIEM znajdują się w niej też rozwiązania do zabezpieczania urządzeń końcowych, platformy reagowania na incydenty, analityka bezpieczeństwa sieci, algorytmy uczenia maszynowego, skanery podatności, sandboxy itd.

Opierając się na dostępnych architekturach referencyjnych, McAfee zaproponował własny model operacji bezpieczeństwa, który – zastosowany w firmie – skróci czas reakcji na cyberataki. Eksperci McAfee wyjaśniali podczas konferencji SECURE 2018, na czym polega jego działanie.

- McAfee proponuje model składający się z jednej strony z rozwiązań własnych firmy, ale też z rozwiązań firm partnerskich oraz – co chyba najistotniejsze – z dowolnych technologii dostępnych na rynku. Zdajemy sobie sprawę z tego, że firmy niekoniecznie chcą korzystać z gotowych integracji, często chcą stworzyć własne. To dlatego kilka lat temu udostępniliśmy szynę Data Exchange Layer (OpenDXL). Pozwala ona na połączenie ze sobą, czyli skomunikowanie dowolnych rozwiązań, niezależnie od producenta. Dzięki niej poszczególne narzędzia mogą wymieniać się między sobą danymi, co jest niezbędne w procesie walki z cyberzagrożeniami – tłumaczy Arkadiusz Krawczyk, Country Manager w McAfee Poland.

Siła integracji i wymiany informacji o zagrożeniach

Dobrze przygotowana infrastruktura bezpieczeństwa pozwala zrealizować 3 najważniejsze cele:

• Zbierać, agregować i weryfikować dane z wielu źródeł
• Udoskonalać i przyspieszać proces wykrywania zagrożeń
• Automatycznie poprawiać ochronę urządzeń końcowych i sieci

Architektura Intelligent Security Operations proponowana przez McAfee automatyzuje wiele kluczowych zadań związanych z cyberbezpieczeństwem i tym samym przyspiesza czas realizacji tych celów. W jaki sposób? Przede wszystkim łączy ze sobą wszystkie aktywne wewnątrz firmowej sieci systemy bezpieczeństwa, centralne bazy danych IOC (takie jak MISP, czyli Malware Information Sharing Platform) oraz narzędzia do orkiestracji. Dzięki temu poszczególne elementy odpowiedzialne za walkę z zagrożeniami przestają działać w oderwaniu od innych. Zamiast tego w czasie rzeczywistym wymieniają się informacjami, ucząc się i reagując automatycznie na pojawiające się niebezpieczeństwa.

- Ekosystem bezpieczeństwa, który stworzyliśmy w McAfee, polega na ciągłym przepływie danych, informacji, analiz pomiędzy wszystkimi narzędziami połączonymi szyną OpenDXL. Podejrzane pliki znalezione w sieci wewnętrznej wysyłane są do centralnego repozytorium danych, sprawdzane i – jeśli zachodzi taka potrzeba – blokowane. I odwrotnie. Każda informacja o nowym zagrożeniu, która zostaje zapisana w MISP, przesyłana jest do systemów bezpieczeństwa firmy z informacją o tym, aby sprawdziły, czy mają lub miały już do czynienia z tego typu plikiem, oraz z instrukcją, co zrobić, gdy takie zagrożenie się pojawi. Dzięki narzędziom do orkiestracji wszystkie te kroki wykonywane są automatycznie, bez ingerencji człowieka. System sam się uczy i jest bardzo uniwersalny – wyjaśnia Arkadiusz Krawczyk.

Co istotne – rozwiązanie to jest dostępne dla wszystkich i nie wymaga dodatkowych nakładów finansowych. OpenDXL łączy ze sobą te systemy, które już funkcjonują w firmie czy instytucji. Sprawia, że cała infrastruktura zaczyna nadążać za nowymi zagrożeniami.

Skomunikowanie wszystkich systemów bezpieczeństwa i połączenie ich z centralną bazą informacji o zagrożeniach oraz narzędziami do orkiestracji pozwala zautomatyzować proces reakcji na incydent w 95%, a czas tego procesu skraca nawet do 6 minut.

- Jeśli chcemy wyprzedzić cyberprzestępców w walce o bezpieczeństwo naszych danych, musimy coraz sprawniej i bardziej automatycznie zarządzać całą infrastrukturą w firmach. Tym bardziej że zmagamy się z brakiem odpowiednio wykwalifikowanych ludzi. Widząc taką potrzebę, McAfee proponuje coraz więcej rozwiązań, dzięki którym reakcja na zagrożenia jest łatwiejsza i szybsza. Temu służy między innymi MVISION, czyli nowy pakiet rozwiązań dla biznesu, który wprowadziliśmy w tym roku – dodaje Arkadiusz Krawczyk.