Sigurnosno operativni centar (SOC) detektira sumnjive radnje i događaje u svrhu prepoznavanja incidenata, ali i prijetnji i ranjivosti.
U fizičkom svijetu je zastrašujuće ali ipak jednostavno uočiti provalu u vaš životni prostor. Naiđete na provaljena ulazna vrata ili razbijen prozor, nestale su vam vrijedne stvari, provalnika više nema u blizini i sljedeći logički korak je zvati policiju i prijaviti provalu. Ako imate sreće netko od susjeda je vidio provalnika i moći će pomoći policiji u istrazi.
Provale u kibernetičkom svijetu
U fizičkom svijetu je zastrašujuće ali ipak jednostavno uočiti provalu u vaš životni prostor. Naiđete na provaljena ulazna vrata ili razbijen prozor, nestale su vam vrijedne stvari, provalnika više nema u blizini i sljedeći logički korak je zvati policiju i prijaviti provalu. Ako imate sreće netko od susjeda je vidio provalnika i moći će pomoći policiji u istrazi.
Provale u kibernetičkom svijetu
U cyber svijetu je situacija drugačija. Najčešće nema nikakvih znakova kibernetičke provale, vaši vrijedni podaci nisu nestali nego su kopirani i ne znate kome se obratiti kada postanete svjesni da ste napadnuti.
Postoje napadi poput ransomwarea kod kojih je evidentno da ste napadnuti jer vam podaci postanu nedostupni, ali i brojni drugi kod kojih nema takvih pokazatelja. Provalnik nije uopće bio u vašoj blizini i najvjerojatnije se nalazi tisućama kilometara udaljen od vas. Osim toga, kome se obratiti kada shvatite da ste napadnuti?
Postoje neke naznake koje upućuju na to da se napadač infiltrirao u vaš IT sustav poput usporene mreže, sumnjivih emailova, sumnjivih aktivnosti vezanih uz zaporke i slično.
Međutim uzrok tim problemima ne mora isključivo biti kibernetički napad. Postoje i brojne legitimne aktivnosti koje mogu rezultirati sličnim simptomima. Kako onda možete znati da ste napadnuti?
Kako detektirati kibernetički napad?
Jedini pravi način detekcije kibernetičkih napada je SOC – Sigurnosno operativni centar. Svrha SOC-a je da detektira sumnjive radnje i događaje koje će sigurnosni analitičari dodatno analizirati u kontekstu korisničkog IT okruženja u svrhu prepoznavanja incidenata. I ne samo incidenata nego i prijetnji i ranjivosti.
Razlika između incidenta i ranjivosti je u tome što je incident napad koji je u tijeku a ranjivost je trenutni propust u korisničkoj IT infrastrukturi koji napadač može iskoristiti za upad, ali još nije stvarno iskorišten. Ranjivosti su rezultat krivih ili nepotpunih konfiguracija na IT opremi ili posljedica nedostataka samog softvera i opreme koje koristimo.
Pravodobnost, proaktivnosti i znanje
Najveća vrijednost SOC-a je što pravilnim korištenjem može detektirati napadača dok je u fazi infiltriranja a prije nego izvrši sami napad. Vrijeme od upada u sustav do samog napada mjeri se u mjesecima i u prosjeku je to 6 mjeseci. Kada u toj fazi otkrijemo napadača onda tu prijetnju možemo i ukloniti prije nego napadač ima priliku nanijeti štetu.
Dan prije vojnog napada Rusije na Ukrajinu dogodio se intenzivan i opsežan kibernetički napad na energetski sektor Ukrajine. Međutim, infiltriranje i pripreme za napad su počele mjesecima ranije. U tom periodu napadači vrše izviđanje mete, proučavaju njezine preventivne alate i mehanizme, koriste sigurnosne propuste za upad u sustav, osiguraju si trajni ulaz u sustav korisnika (backdoor), proučavaju IT sustav korisnika i rade razne probne aktivnosti kako bi došli do svih informacija potrebnih za kibernetički napad. Sam napad je finalni korak dugotrajne i pomno osmišljavane akcije.
Taj period od nekoliko mjeseci je potrebno iskoristiti za detektiranje sumnjivih aktivnosti, njihovu analizu i otklanjanje prijetnji za koje se pokaže da jesu stvarne prijetnje. Danas sve tvrtke imaju implementirane barem osnovne preventivne alate za sprječavanje upada u naš sustav, poput vatrozida i antivirusnih rješenja. Međutim, ne postoje preventivni alati koji mogu garantirati da se upad neće dogoditi.
Razlog za to je s jedne strane što napadači kontinuirano razvijaju nove metode napada i u tome im pomažu i novootkrivene ranjivosti na raznim softverima koji su široko rasprostranjeni. S druge strane postavke takvih preventivnih alata se ne implementiraju sa najstrožim postavkama, već na način da ostavljaju korisnicima određenu fleksibilnost. Jer stroge postavke na kibernetičkim alatima rezultiraju otežanim i neprikladnih korištenjem IT sustava i kao takve se vrlo rijetko primjenjuju. Prosječni korisnik nekog IT sustava želi brzo i što lakše obaviti svoj posao.
Ako se zbog strogih sigurnosnih pravila dodaju koraci u proces, ili korisnik mora osjetnu duže čekati da se neki proces završi, vrlo brzo se s pravom počinju žaliti. Potrebno je naći balans između sigurnosnih mjera i postavki, te praktičnosti korištenja.
Detekcija kibernetičke prijetnje – dimenzije uspješne obrane
Da bi detekcija kibernetičkih prijetnji bila uspješna potreban je višedimenzionalni pristup. Prvo se radi sakupljanje i analiza zapisa (logova) sa svih IT sustava i preventivnih alata. Takvih zapisa obično ima na tisuće u sekundi, zato je nužno da inicijalna analiza bude automatizirana.
Nakon toga je potrebno da analitičari provjere rezultate automatske analiza uzimajući u obzir kontekst korisničkog IT okruženja te ukloni lažne alarme.
Druga dimenzija je analiza mrežnog prometa iz koje se detektiraju sumnjivi događaji i uspoređuju sa uobičajenim ponašanjem i na taj način detektiraju sumnjive radnje. Treća stvar su testiranja ranjivosti i penetracijska testiranja koja će nam pokazati što sve napadači mogu iskoristiti za napada u naš sustav. Današnja napredna SOC rješenja rade korelaciju rezultata tog višedimenzionalnog pristupa i tako omogućuju kvalitetan uvid što se stvarno dešava i što trebamo poduzeti da bi se prijetnje otklonile.
Koristeći ovaj pristup tvrtke kontinuirano rade na smanjenju rizika od uspješnih napada, svjesne da taj rizik nikad neće biti sveden na nulu.
* Sadržaj omogućio Verso Altima
