Úvahy o bezpečnostní architektuře pro kybernetickou odolnost - prevence hrozeb



V jednom ze svých dřívějších blogů v tomto roce jsem porovnával pojmy kybernetická bezpečnost a kybernetická odolnost a tvrdil jsem, že hlavní rozdíl mezi nimi je v perspektivě. Kybernetická bezpečnost se soustředí na myšlenku, že útokům lze (a mělo by se jim předcházet), zatímco kybernetická odolnost uznává, že některé útoky proběhnou a že se organizace musí připravit na rychlé a účinné řešení jejich následků.


Mnoho příkladů z posledních let ukazuje, že 100 % stále sofistikovanějších útoků nelze odvrátit. Tato skutečnost způsobila, že se v našem odvětví klade velký důraz na nástroje detekce a reakce na úkor pokročilých možností prevence. Měli bychom se však prevence vzdát tak rychle? Rozhodně ne.


Abychom se ujistili, že jsme všichni na jedné lodi, prevence označuje širokou škálu přístupů, technologií a nástrojů, jejichž hlavním cílem je a) omezit možnosti, které má útočník, a b) odhalit škodlivé akce dříve, než způsobí organizaci škody. Několik příkladů vrstev prevence: firewally, šifrování souborů/disků, správa záplat, antimalware, ochrana proti zneužití nebo sandboxing. Tyto technologie mohou být implementovány na různých úrovních infrastruktury. Na úrovni sítě jsou nejznámějšími nástroji prevence firewally nové generace a systémy prevence narušení (IPS). Na úrovni koncových bodů jsou nejznámější AV nové generace nebo platformy ochrany koncových bodů (EPP).


V tomto blogu se budu zabývat klíčovou úlohou prvků prevence pro účinnost i efektivitu v rámci celkové bezpečnostní architektury. Nechci snižovat hodnotu ostatních bezpečnostních funkcí, jako jsou nástroje a procesy reakce na incidenty, ale chci zdůraznit, že prevence je klíčovým pilířem kybernetické odolnosti a neměla by být přehlížena, i když předpokládáme "ne jestli, ale kdy budete prolomeni".



Účinnost


Efektivita je sice důležitá, ale nejdůležitější je účinnost jakéhokoli bezpečnostního řešení. Dávno pryč jsou doby, kdy se řešení založená na prevenci spoléhala při odhalování hrozeb pouze na signatury známých útoků, což je metoda, která je činí zranitelnými vůči neznámým útokům nebo hrozbám zero-day. Dnešní Prevence využívá rozsáhlou sadu pokročilých technologií vysoce účinných při odhalování celé škály kybernetických hrozeb včetně dosud nevídaných útoků. Některé z těchto technologií jsou společné s D&R, přičemž klíčovým rozdílem mezi oběma kategoriemi je práh spolehlivosti detekce. Při řešení nejednoznačných situací vypočítávají bezpečnostní řešení skóre "chování", které představuje důvěryhodnost detekce. Pokud je úroveň důvěryhodnosti detekce pod předem definovanou prahovou hodnotou, podezřelé akce budou vyžadovat prošetření analytikem, ale pokud je důvěryhodnost nad prahovou hodnotou, řešení si je dostatečně jisté, že daná aktivita je škodlivá, a může být automaticky zablokována.


Automatizovaný charakter prevence je důležitý nejen pro zvýšení efektivity, ale také pro účinnost celé bezpečnostní architektury. Existují třídy útoků, u nichž je pro omezení dopadu rozhodující okamžitá reakce. Nejlepším příkladem je ransomware. Při řešení útoku ransomwaru skutečně záleží na vteřinách. Málo platné je upozornění na probíhající útok ransomwaru, pokud trvá mnoho minut, hodin nebo dokonce dnů, než někdo hrozbu prošetří. Riziko způsobení velkých škod je v takových případech značné. Naopak vrstvy prevence odhalí a zareagují v řádu sekund nebo méně, čímž minimalizují dopady rychle se vyvíjejícího útoku.


Vzhledem k výše uvedeným argumentům by mělo být zřejmé, že přesnost a účinnost vrstev Prevence má velký význam jak pro účinnost, tak pro efektivitu celé bezpečnostní architektury. Během klíčové přednášky na konferenci RSA 2021 se k významu Prevence vyjádřila Anne Neubergerová, zástupkyně asistenta prezidenta Spojených států a zástupkyně poradce pro národní bezpečnost v oblasti kybernetiky a nových technologií: "I když musíme uznat, že k narušení bezpečnosti dojde, a připravit se na ně, nemůžeme prostě dopustit, aby se čekání na další narušení stalo statusem quo, v němž fungujeme."


Je těžké (nebo spíše nemožné) vybudovat bezpečnostní architekturu, která zvyšuje odolnost organizace, bez silné prevence. To se odráží i v klíčových oborových standardech, jako je rámec kybernetické bezpečnosti NIST, kde D&R předchází fáze Identifikace rizik a Ochrana. Vylučuje Prevence potřebu stejně silné Detekce a reakce? Zřejmě ne! D&R, ať už spravovaná interně, nebo jako služba poskytovatele řízené detekce a reakce, je klíčová pro boj se sofistikovanými protivníky, které automatický systém nedokáže účinně blokovat. V příštím blogu se budu zabývat některými klíčovými úvahami o úloze detekce a reakce pro zvýšení kybernetické odolnosti.