Pred 191 dnevi
· Čas branja: 3
· Poslušaj vsebino
Družinsko drevo sodobne kibernetske zaščite
Pred dnevi sem bral članek madridskega observatorija za kibernetsko varnost, ki me je spodbudil k razmišljanju o evoluciji sodobnih kibernetskih varnostnih operacij. Operacije kibernetske varnosti so se v drugem desetletju 21. stoletja hitro razvile in iskreno povedano, glede na hitrost rasti digitalnega trga in enako hitro širitev digitalnih groženj je to bila edina smiselna in pričakovana pot.
Strokovnjaki za kibernetsko varnost smo si že zdavnaj bili enotni, da je v naši branži edina konstanta sprememba. Razvijati smo začeli zaščitne platforme, ki so napredovale od rešitev, ki posnemajo varnostne zaščite v fizičnem svetu, do prilagodljivih in modularnih objektno usmerjenih modelov, ki uporabljajo umetno inteligenco in zmanjšujejo dejavnike odločanja, ki jih ljudje lahko obravnavajo.
SIEM je bil pomemben temeljni kamen sodobnih operacij kibernetske varnosti. Odprl je pot do centraliziranja in racionaliziranja toka incidentov, kar organizacijam omogoča, da vzpostavijo SOC in gradijo poteke dela okoli toka incidentov.
Ker je bila količina dohodnih opozoril skozi čas podvržena vedno hitrejši stopnji rasti, so SOC ekipe imele vedno več dela. Začelo se je pojavljati vedno več »False positive-ov«, ki so povzročili zmedo in povečan obseg dela ter razkrili potrebo po takojšnjih ukrepih odzivanja, kar je pognalo naprej novo razvojno obdobje.
SOAR je bila naslednja generacija, ki je zapolnila vrzel potrebnega usklajevanja med operacijami, do takrat že džungle varnostnih incidentov. SOAR je omogočil, da so se operacije samozavestno odzivale na incidente v času 24/7 in povezale vse toke med obstoječimi informacijskimi sistemi in varnostnimi kontrolami. Potreba po učinkoviti SOAR rešitvi, ki je prilagojena potekom dela in potrebam po učinkovitosti velikih skupin analitikov, ki delajo v izmenah in preverjajo opozorila, triažirajo in sprejemajo odločitve, je bila opredeljena kot nujna.
Pojav avtomatizacije in procesov strojnega učenja je imel podoben učinek na številne branže. V finančnem trgovanju npr. je čas odziva na spremembe nano sekunda. V kibernetskem bojevanju sta se avtomatizacija in strojno učenje izrazila v dirki za zgodnje odkrivanje kibernetskih groženj. Iz očitnih razlogov prej kot veste, da je nekaj narobe, manjša je škoda, in SOC se je zgradil na svoji zmožnosti, da prepozna in odpravi težavo preden je škoda narejena.
V redno spreminjajočem se prizorišču kibernetskih groženj so nekatere platforme postale standardne kot recimo SIEM in kasneje SOAR pa vendar realnost, ki jo doživljamo danes, tako na napadalni kot obrambni strani potrebuje še dodatne sisteme, ki se skrivajo za kratico XDR in delujejo po modelu tržnice, kjer se nahajajo orodja, ki služijo ciljem odkrivanja varnostnih groženj že v najzgodnejši fazi.
Razširjeno odkrivanje in odziv (XDR) je »orodje za odkrivanje varnostnih groženj, ki ima integriran antivirus naslednje generacije (NGAV), varnostno rešitev za zaščito končnih postaj (EDR), analitiko obnašanja uporabnikov (UBA), analitiko stanja omrežja (NTA), nastavljanje pasti napadalcem (Deception) in če tu vključimo avtomatizirane odzive (samodejne preiskave, samodejna sanacija, prilagojeni postopki odprave napak), prestrezanje groženj (Threat Hunting), ter aktivno spremljanje (Alert Monitoring) dobimo zadnjo oz. najnaprednejšo generacijo kibernetske zaščite.
V enem desetletju smo tako že v tretji evolucijski fazi in v naslednjih letih lahko pričakujemo že četrto. Skratka, kot sem že napisal: »Edina konstanta je sprememba«.