VOC naslednje generacije

11. 11. 2024

Krepitev proaktivne kibernetske varnosti s sodelovanjem in izmenjavo informacij o kibernetskih grožnjah

Dr. Andrej Bregar, Alexander Schmelev

Področje kibernetske varnosti postaja vse pomembnejše in zahtevnejše, saj se v zadnjem času soočamo z naprednimi tehnikami napadov in porastom izpostavljenosti, kompleksnosti ter povezljivosti informacijsko-komunikacijskih sistemov, ki so ključ za doseganje vseprisotne digitalizacije. Prav tako ne smemo prezreti posledic kaskadnih učinkov kibernetskih napadov, ki lahko zlasti v okoljih kritične infrastrukture in bistvenih storitev ogrozijo povezane vire različnih deležnikov. To krepi težnje po sodelovanju, ki jih dodatno poudarja dejstvo, da sta za učinkovito upravljanje kibernetskih groženj bistvena dobra obveščenost ter souporaba znanja, postopkov in modelov za zaznavanje napadov in odzivanje nanje. V ospredje tako prihajajo proaktivni pristopi in sodelovalni vidiki kibernetske varnosti. Le-ti vključujejo izmenjavo obveščevalnih informacij za odločanje, standardizacijo in izmenjavo odzivnih procedur, vzpostavitev ekspertnih skupnosti z vpletenostjo varnostnih operativnih centrov in odzivnih ekip na korporativnem ali nacionalnem nivoju, uporabo pretočnih kanalov in platform za upravljanje s kibernetskimi dogodki ter številne druge mehanizme.

Avtomatizacija odzivanja na kibernetske incidente

Učinkovito in hitro odzivanje na incidente je ključnega pomena za kibernetsko varnost, saj omeji vplive kibernetskih incidentov, skrajša čas okrevanja ter zmanjša stroške, potrebne za odpravo posledic in obnovitev normalnega delovanja. Še posebej v okoljih kritične infrastrukture mora upoštevati vidike različnih deležnikov, ki se povezujejo v proizvodnih in dobavnih verigah, slediti nacionalni zakonodaji ter zagotoviti skladnost z direktivo NIS2, ki jo je Evropska unija sprejela kot regulativni okvir za krepitev kibernetske odpornosti evropskega prostora, dvig varnosti dobavnih verig in standardizacijo postopkov poročanja nacionalnim odzivnim centrom v primerih resnejših incidentov.

Za zagotavljanje skladnosti z zakonodajnimi zahtevami je ključno vpeljati standardizirane odzivne procedure (angl. playbooks) in vanje vključiti pravila in mehanizme poročanja, ki sovpadajo s fazami priprave, zaznavanja in analize, zamejitve in odprave napak, okrevanja ter aktivnosti po incidentu. To omogoči, da v korporativnih okoljih in varnostnih operativnih centrih samodejno prožimo in avtomatiziramo odzivne postopke. Sodelovalne aktivnosti, podprte z ustreznimi orodji, omogočijo koordiniran odziv na kibernetske incidente in tako znatno zmanjšajo njihove negativne vplive. Takšen pristop zahteva uporabo formata za opis strojno berljivih, izvedljivih in izmenljivih odzivnih procedur ter oblikovanje večnivojskega procesa, ki omogoči varnostnim analitikom, da uskladijo odzivne procedure na podlagi informacij in zahtev iz različnih korporativnih okolij in virov. Procesno ogrodje zagotovi opisovanje odzivnih procedur na več nivojih abstrakcije, zlasti v grafični modelirni notaciji BPMN (Business Process and Notation) ter v izvedljivi obliki, ki sloni na standardu CACAO Security Playbooks, za katerim stoji organizacija OASIS.

Izmenjava obveščevalnih informacij o kibernetskih grožnjah

Za potrebe koordinacije in dviga informiranosti posegamo po platformah in orodjih, ki podpirajo izmenjavo obveščevalnih informacij (Cyber Threat Intelligence – CTI), ker lahko z njimi osnovne parametre napadov, kot so tipi napadov in IP naslovi napadalcev, ter ostale indikatorje zlorab (Indicators of Compromise – IoC) neposredno delimo s širšo skupnostjo povezanih deležnikov na področju kibernetske varnosti. To omogoči drugim deležnikom takojšnje proaktivno ukrepanje za preprečevanje istih incidentov. Uveljavljeni platformi sta STIX/TAXII in MISP (Malware Information Sharing Platform). Ker omogočata varno izmenjavo informacij o kibernetskih dogodkih in ukrepih, zagotovita potreben nivo zaupanja med deležniki, ki se povezujejo v skupnosti z namenom izmejave obveščevalnih informacij.

Sodelovanje z uporabo platforme MISP

MISP (Malware Information Sharing Platform) je odprtokodna platforma za izmenjavo tehničnih in netehničnih informacij o zlonamerni programski opremi, kibernetskih napadih, incidentih in grožnjah ter drugih splošnih obveščevalnih informacij. Podatki so predstavljeni v standardizirani in strukturirani obliki, tako da je poleg osnovnih varnostnih podatkov, kot so indikatorji zlorab in varnostni dogodki, možno shranjevati in deliti tudi kompleksnejše strukture, kakršne so odzivne procedure. Na ta način se lahko varnostne ekipe poenotijo glede obravnave varnostnih informacij, s čimer postanejo zmožne hitrejše razpoznave in premostitve varnostnih groženj. Sprotna izmenjava aktualnih podatkov o varnostnih dogodkih lahko pomaga organizacijam pri učinkovitejšem preprečevanju kibernetskih napadov. Pogoj je, da se organizacije, sektorski VOC-i in nacionalni odzivni centri povezujejo v skupnosti, tako da omogočijo pretok informacij med njihovimi lastnimi strežniki za platformo MISP.

Implementacija izmenjave obveščevalnih informacij s platformo MISP v praksi

Pridobivanje CTI podatkov in indikatorjev zlorab je šele prvi korak. Naslednji korak je aktivna raba teh podatkov za prepoznavanje in omejitev varnostnih groženj. Ker so podatki na platformi MISP prisotni v standardizirani in strukturirani obliki, jih lahko s pomočjo API (Application Programming Interface) izvozimo in uporabimo v drugih orodjih za kibernetsko varnost, kot so požarne pregrade ali sistemi SIEM. Pri tem se lahko osredotočimo na podatke, ki nas najbolj zanimajo – to so lahko IP naslovi, domene, hashi datotek ali podatki, ki jih deli specifičen partner. Cilj je, da avtomatiziramo vse procese, ki se dogajajo od objave indikatorjev zlorab vse do ukrepanja na požarni pregradi. Primer bi bila blokada prometa iz specifičnih IP naslovov, ali opozarjanje analitika v VOC, ki bo naprej raziskoval dogajanje.

Kako lahko pomaga VOC Informatika?

Implementacija mehanizmov sodelovanja na področju kibernetske varnosti prinaša številne prednosti in priložnosti. S standardizacijo in izmenjavo odzivnih procedur ter mehanizmi za deljenje obveščevalnih informacij o kibernetskih grožnjah se vključujemo v nacionalne in mednarodne skupnosti, izboljšamo reaktivno odzivanje na kibernetske napade in proaktivno preprečevanje le-teh, podpremo odločanje na strateškem in taktičnem nivoju ter dvignemo splošno odpornost IT in OT infrastrukture. Tehnike in tehnologije za podporo sodelovanju in izmenjavi informacij lahko integriramo z drugimi temeljnimi tehnologijami za kibernetsko varnost, kot so požarne pregrade ali sistemi SIEM in SOAR, prav tako pa tudi z javnimi bazami in repozitoriji za izmenjavo informacij o ranljivostih in tehnikah napadov, kot so NVD (National Vulnerability Database), MITRE ATT&CK, CAPEC idr. S tem še dodatno dvignemo nivo odpornosti.

VOC Informatika razvija, vpeljuje, izvaja in uporablja številne sodobne, napredne in proaktivne tehnike ter procese odzivanja na kibernetske grožnje in napade za obsežne IT in OT sisteme, zlasti v domeni eneregetike, pa tudi širše. Najem storitev VOC je zato prav gotovo prava odločitev in koristna dolgoročna investicija.

Članek je bil objavljen v reviji Monitor PRO, oktobra 2024