Arnie Lopez ze spółki McAfee doskonale rozumie ból i wyzwania, jakim muszą stawiać czoła osoby zajmujące się wyszukiwaniem nowych zagrożeń. Na początku swojej kariery Arnie pracował jako specjalista ds. bezpieczeństwa w centrum bezpieczeństwa (SOC), które musiało ruszyć do akcji natychmiast po otrzymaniu przysłowiowego telefonu o północy.
System, którego był wówczas częścią, nie był idealny, przez co zawsze przestępcy wyprzedzali zespół o krok. Obrońcy nie oddali jednak pola, wdrażając szeroki wachlarz technologii bezpieczeństwa w celu zminimalizowania szkód i strat. Firmy przyjęły wówczas reaktywne podejście do zagrożeń, skupiając się na leczeniu objawów, zabawie „w kotka i myszkę” z atakującymi i łataniu pojedynczych luk bezpieczeństwa w miarę ich odkrywania. Dziś jesteśmy jednak świadkami powstania zupełnie nowego krajobrazu cyberbezpieczeństwa i nie ulega żadnej wątpliwości, że musi mu towarzyszyć nowe, proaktywne podejście do wyszukiwania nowych zagrożeń.
Czy jesteśmy celem?
W przeszłości dyrektorzy i kierownicy wyższego szczebla traktowali bezpieczeństwo jako mało znaczącą kwestię. Dziś jesteśmy świadkami olbrzymiej zmiany w tym zakresie. Zarządy w końcu uświadamiają sobie powagę zagrożeń cybernetycznych oraz możliwego wpływu skutecznego ataku na działalność przedsiębiorstw, którymi zarządzają. Rośnie chęć inwestowania w cyberbezpieczeństwo firm, jednak wraz ze wzrostem wydatków rośnie także nacisk na maksymalny zwrot z inwestycji w narzędzia, na które zapotrzebowanie zgłaszają dyrektorzy ds. bezpieczeństwa informacji.
Trudno jednak oczekiwać od nich cierpliwości i spokoju ducha, gdy wiedzą, że strategia cyberbezpieczeństwa przedsiębiorstwa opiera się na oczekiwaniu na to, aż kolejny atak przy pomocy wiadomości e-mail trafi do sieci firmowej, zanim mechanizmy obronne zaczną działać. We współczesnym świecie firmy nie mają już tego luksusu, zwłaszcza gdy wiedzą, że codziennie padają celem wielu przestępców dysponujących coraz bardziej wyrafinowanymi metodami. Taki stan rzeczy przekłada się na działania wszystkich osób zaangażowanych w łańcuch cyberbezpieczeństwa – od dyrektora ds. bezpieczeństwa informacji, aż po analityków najniższego szczebla w zespole centrum bezpieczeństwa.
Osoby zajmujące się wykrywaniem zagrożeń muszą być w stanie zestawiać i analizować otrzymywane z zewnątrz informacje i dane dotyczące zagrożeń oraz umieszczać je w użytecznym kontekście, by ustalić, czy organizacja stanowi cel przestępców. W tym celu potrzebują użytecznych informacji, które pozwolą im podjąć działania wzmacniające bezpieczeństwo organizacji, obejmujące całe spektrum decyzji – od dostosowania zasad w celu lepszego zabezpieczenia urządzeń końcowych lub bramy sieciowej, aż po całkowitą blokadę sieci.
Niestety, tego rodzaju proaktywne podejście pozostaje poza zasięgiem większości przedsiębiorstw działających na rynku. Zaledwie 20% ataków udaje się powstrzymać na czas – głównym powodem tej sytuacji jest fakt, że specjaliści zajmujący się bezpieczeństwem nie dysponują narzędziami, które będą w stanie dostarczyć im w terminowy sposób danych w odpowiednim kontekście, o którym mówi Andy.
Trudno oczekiwać, że zarząd będzie zadowolony z faktu, że podejście do bezpieczeństwa w organizacji można przyrównać do dzwonienia po strażaków, kiedy cały dom stoi w płomieniach. Z tego powodu pojawia się potrzeba proaktywnej analizy otoczenia cybernetycznego przedsiębiorstwa, która pozwala na uzyskanie stosownych informacji z wyprzedzeniem, zamiast po fakcie.
Strategiczne poszukiwanie zagrożeń – nowy trend w świecie bezpieczeństwa
W wyniku obserwowanych zmian specjaliści zajmujący się bezpieczeństwem muszą coraz częściej skupiać się na rozwiązywaniu problemów, zanim spowodują one jakiekolwiek trudności. Co więcej, koszty wycieków danych i ataków nieustannie rosną, a zatem utrzymywanie dotychczasowego podejścia nie wchodzi w grę ze względu na ryzyko, natomiast załatanie luk i naprawa systemów po ataku przestały stanowić zadowalające rozwiązanie problemu. Wiedza na temat tego, kto jest celem ataku oraz których urządzeń końcowych będą dotyczyły problemy, całkowicie zmienia sposób pracy specjalistów do spraw bezpieczeństwa, którzy mogą dzięki temu podjąć proaktywne działania w celu obrony sieci swoich organizacji.
Spółka McAfee oferuje wachlarz rozwiązań przeznaczonych do ochrony urządzeń końcowych oraz chmur przedsiębiorstw, a także do usprawnienia procesu dochodzenia w przypadku wystąpienia ataku, co pozwala specjalistom zajmującym się bezpieczeństwem na przeanalizowanie danych pod kątem wektorów, branż i regionów. Nowoczesne narzędzia pozwalają im także na korelowanie danych dotyczących znanych ataków, branż oraz miejsc ich występowania z informacjami na temat bezpieczeństwa organizacji, uzyskanymi na podstawie danych z telemetrii bezpieczeństwa.
Takie rozwiązanie stanowi nieocenioną pomoc dla osób zajmujących się bezpieczeństwem, które dzięki temu mogą w szybki i łatwy sposób uzyskać informacje dotyczące wielu możliwych zagrożeń bezpieczeństwa. Co więcej, jego wdrożenie eliminuje konieczność ręcznego analizowania danych oraz rozróżniania fałszywych alarmów od prawdziwych ostrzeżeń o tym, że coś jest nie tak. Dzięki temu zamiast marnować cenny czas na pracochłonne zadania, mogą skupić się na wykorzystywaniu swoich umiejętności do zwalczania zagrożeń z zewnątrz.
Praca specjalisty do spraw bezpieczeństwa jest wystarczająco trudna nawet wtedy, gdy dysponuje wszystkimi danymi i informacjami, które pozwalają zrozumieć kontekst sytuacji. Bez nich jest po prostu niemożliwa. Jednak dysponując niedawno zaprezentowanym rozwiązaniem MVISION Insights, pozwalającym na proaktywne wykrywanie zagrożeń, po raz pierwszy w historii przestępcy stracą element zaskoczenia. Stara maksyma „najlepszą obroną jest atak” sprawdza się tu doskonale.
