Słabe punkty działów bezpieczeństwa w firmach

Izabela Myszkowska
16 min

Skupianie się wyłącznie na zapobieganiu atakom i pomijanie roli wykrywania, nieodpowiedni dobór narzędzi, brak świadomości zarządów i niedocenianie roli specjalistów ds. zabezpieczeń – to tylko niektóre smutne wnioski płynące z badania przeprowadzonego przez Vectra AI. Lider w dziedzinie cyberbezpieczeństwa zebrał informacje od 200 ekspertów ds. bezpieczeństwa IT pracujących w organizacjach zatrudniających ponad 1000 pracowników, aby dowiedzieć się, w jaki sposób radzą sobie obecnie z dynamicznymi zagrożeniami.

Cyberzabezpieczenia muszą ewoluować

Dotychczasowe, sprawdzone sposoby ochrony przed cyberatakami nie są już skuteczne. Liczba możliwych wektorów ataku z których mogą korzystać cyberprzestępcy wciąż rosnie – od szybkiego rozpowszechnienia się chmury po rosnącą popularność mikrousług, DevOps i interfejsów API – wszystko to sprawiło, że hakerzy są aktywni jak nigdy dotąd.

–  Wraz z ewolucją krajobrazu zagrożeń tradycyjne mechanizmy obronne stają się coraz bardziej nieskuteczne. Organizacje potrzebują nowoczesnych narzędzi, które uwidocznią słabe punkty, aby zapewnić widoczność od chmury do środowiska lokalnego. Potrzebują liderów bezpieczeństwa, którzy potrafią mówić językiem ryzyka biznesowego. Potrzebują zarządów gotowych do wysłuchania argumentów i zrozumienia potrzeb. W końcu, potrzebna jest strategia technologiczna oparta na zrozumieniu, że nie chodzi o to „czy” ale „kiedy” zabezpieczenia zostaną złamanemówi Tim Wade, Dyrektor Techniczny w Vectra AI, Biuro CTO. 

REKLAMA

Aby poradzić sobie z atakującymi trzeba zmienić zasady gry

W obszarze cyberbezpieczeństwa trwa wyścig zbrojeń, który od obu stron wymaga ciągłych innowacji. Rynek cyberprzestępczości, corocznie przynoszący biliony zysków. To atrakcyjne środowisko dla rozwoju i rozpowszechniania nowych TTP. Jak w tej sytuacji branża radzi sobie z wyzwaniem obrony przed tym ciągle poruszającym się celem?

Wiele spośród osób biorących udział w badaniu uważa, że branża wciąż pozostaje w tyle. Dziewięć na dziesięć ankietowanych (89%) słusznie przyznało, że starsze podejścia nie chronią przed współczesnymi zagrożeniami i że należy „zmienić sposób działania, by poradzić sobie z napastnikami”. Potwierdza to fakt, że 69% uważa, że ​​cyberprzestępcy omijają obecne narzędzia, a innowacje w zakresie bezpieczeństwa są wiele lat w tyle za hakerami. Kolejne 72% uważa, że ​​wytyczne, zasady i narzędzia dotyczące bezpieczeństwa nie nadążają za technikami i procedurami atakujących.

W tym kontekście przestaje być zaskakujące, że ponad trzy czwarte (76%) liderów bezpieczeństwa zgłosiło, iż kupili narzędzia, które nie spełniły obietnic. Kluczowe powody takiej oceny to kwestie integracji i brak pełnej widoczności.

Najważniejsze powody, dla których narzędzia bezpieczeństwa nie spełniają swojej roli:

  • Słaba integracja z innymi narzędziami
  • Niewykrywanie nowoczesnych ataków
  • Brak możliwości zapewnienia widoczności/bezpieczeństwa we wszystkich środowiskach (w tym w chmurze, na punktach końcowych, centrach danych i IoT

Pomimo tych wyzwań widoczny jest postęp. Spośród 78% respondentów, którzy doświadczyli zdarzenia wymagającego znaczącej reakcji, nieco ponad połowa (57%) informację o problemie otrzymała poprzez stosowane w firmie narzędzia bezpieczeństwa. To pozytywna zmiana. W 2015 roku badania wykazały, że 70% incydentów naruszenia zostało wykryte przez osoby z zewnątrz. Narzędzia do wykrywania i reagowania obecnie radzą sobie lepiej. Ale prawdą jest również, że to, co zadziałało wczoraj, dzisiaj może już nie zadziałać.

– Krajobraz zagrożeń jest dynamiczny i niestabilny, więc rację mają ci, którzy przyjmują postawę „zakładającą przełamanie ochrony”. Nie ma czegoś takiego jak całkowita odporność na ataki. Jeśli zdeterminowany cyberprzestępca chce dziś dostać się do Twojej sieci, zwykle w końcu mu się to uda. Jest po prostu zbyt wiele wektorów ataku, które może wykorzystać oraz zbyt wiele potencjalnie niezarządzanych i niedostatecznie chronionych zasobów, które mogą stanowić cel. Hakerzy korzystają z postępów jakie dokonały się w zakresie złośliwego oprogramowania, zautomatyzowanych zestawów narzędzi i modeli „as-a-service”, które otworzyły drzwi nawet technicznym nowicjuszom. Dlatego tak ważne jest polowanie na napastników ukrytych w sieci, aby znaleźć tę igłę w stogu sianatłumaczy Tim Wade.

Ponad jedna czwarta (27%) respondentów stwierdziła, że ​​jest przekonana, że ​​ich portfolio narzędzi może wykryć i chronić je przed rodzajami zagrożeń wykorzystywanych w atakach na Kaseya, SolarWinds i JBS. Kolejne 25% stwierdziło, że jest w pełni przekonana, że widzi wszystkie zagrożenia stojące przed ich organizacją.

Skupianie się wyłącznie na zapobieganiu atakom stanowi poważne ryzyko dla organizacji

Ostatnie postępy, jakie hakerzy poczynili w metodach ataków, w dość prosty sposób umożliwiają im ominięcie technologii zapobiegawczych, takich jak uwierzytelnianie wieloskładnikowe. Mimo to tradycyjne myślenie „przede wszystkim zapobiegać” wciąż dominuje. Dwie trzecie (65%) respondentów nadal uważa, że ​​zapobieganie atakom cyberprzestępców jest ważniejsze niż ich wykrywanie — ich zdaniem, jeśli hakerowi uda się uzyskać dostęp do sieci firmowej, oznacza to, że firma jest już na straconej pozycji. W rezultacie 46% potwierdziło, że wydaje więcej na zapobieganie niż na wykrywanie ataków, przy czym tylko jedna piąta (23%) wydaje więcej na wykrywanie, a jedna trzecia (31%) mniej więcej po równo. Oczywiście organizacje nie powinny przestać inwestować w narzędzia takie jak uwierzytelnianie wieloskładnikowe – nadal stanowią one cenny sposób na zmniejszenie płaszczyzny ataku – ale nie można na nich polegać w zakresie ochrony przed współczesnymi zagrożeniami.

– Każdego, kto będzie polegać wyłącznie na działaniach mających na celu zapobieganie atakom, czeka brutalne przebudzenie. W grze wysokiego ryzyka, w której to przestępcy mają więcej kart do rozegrania, wykrywanie i reagowanie stają się coraz lepszą opcją, aby jak najszybciej zminimalizować wpływ jakiegokolwiek naruszenia zabezpieczeńuważa przedstawiciel Vectra AI.

Przekonanie o skuteczności dotychczasowych metod to typowy przykład potencjalnie szkodliwego myślenia. Skuteczna w 100% strategia zapobiegania w dzisiejszym krajobrazie zagrożeń jest prawie niemożliwa. Cyberprzestępcy mają po prostu zbyt wiele sposobów, na uzyskanie dostępu: od wykorzystania luk w zabezpieczeniach po socjotechnikę. Używanie skradzionych lub wyciągniętych „na siłę” danych uwierzytelniających i łatwe metody omijanie MFA oznaczają, że ​​mogą nawet nie uruchomić żadnych alarmów chroniących przed złośliwym oprogramowaniem. Gdy znajdą się w sieci, mogą używać standardowych narzędzi użytkowników i technik, aby pozostać w ukryciu. Jednak większość respondentów rozumie, że profilaktyka nie może być w 100% skuteczna. Ponad dwie trzecie (69%) respondentów uważa, że ​​mogło dojść do naruszenia, a o tym nie wie – 31% z nich uważa, że ​​jest to prawdopodobne. Co więcej, 50% respondentów stwierdziło, że uważa, iż tradycyjne zabezpieczenia prewencyjne stają się przestarzałe, ponieważ hakerzy mają dostęp do zaawansowanych narzędzi i mogą w związku z tym opracowywać sposoby ich obchodzenia. Sugeruje to, że następuje ważna zmiana w sposobie myślenia.

Zarządy firm nie wiedzą, jak skutecznie zwalczać zagrożenia

Nie tylko przestarzałe podejście działów bezpieczeństwa wystawia firmy na potencjalne zagrożenia. Przestarzałe podejście osób zarządzających i kultura korporacyjna również mogą mieć negatywny wpływ. 82% respondentów uważa, że ​​na decyzje dotyczące cyberbezpieczeństwa podejmowane przez ich zarządy mają wpływ istniejące relacje z dostawcami. Ponad połowa (58%) stwierdziła, że ​​uważa, że ​​zarząd jest o dekadę spóźniony, jeśli chodzi o dyskusje na temat bezpieczeństwa.

Wskazuje to na pilną potrzebę informowania zarządów przez zespoły ds. bezpieczeństwa o nowych zagrożeniach, przed którymi stoi organizacja, oraz o najskuteczniejszych strategiach obronnych. To jednak może stanowić wyzwanie. Dwie trzecie (68%) respondentów stwierdziło, że trudno jest przekazać zarządowi znaczenie bezpieczeństwa, ponieważ jej wartość bardzo trudno zmierzyć.

Chociaż z pewnością prawdą jest, że komunikowanie się i mierzenie wartości bezpieczeństwa nie zawsze jest proste, możliwe jest zmierzenie możliwości określonych zabezpieczeń. Aby zrobić to w najbardziej efektywny sposób, liderzy bezpieczeństwa muszą starać się dopasować stosowane metryki do celów biznesowych, obliczonych w odniesieniu do poziomu ryzyka, w sposób który będzie rezonować. W innym przypadku zarząd prawdopodobnie nie uwolni potrzebnych funduszy na nowe technologie.

Pojawiają się jednak sygnały, że dzięki nagłośnieniu tematyki przez media, sytuacja może się zmienić. Około 89% respondentów stwierdziło, że ostatnie głośne cyberataki sprawiły, że zarząd zaczyna zwracać należytą uwagę na cyberbezpieczeństwo. Na szczęście wiedza ekspercka partnerów handlowych okazuje się nieoceniona w przeciwdziałaniu negatywnemu wpływowi dotychczasowych postaw zarządu. Około 86% respondentów jest wdzięcznych za wskazówki tych organizacji, które pomagają im w sortowaniu niezbyt skutecznych produktów i dostawców. Organizacje dystrybucyjne zapewniają klientom nowe możliwości odkrywania różnych rodzajów technologii, wykorzystując swoje relacje biznesowe do organizowania wczesnych demonstracji i prób koncepcyjnych. Ich zespoły to zazwyczaj dobrze wyszkoleni i wysoce zmotywowani eksperci, wnoszący dodatkową wiedzę do wykorzystania w czasie, gdy korporacyjne zespoły ds. cyberbezpieczeństwa zmagają się z problemami bez koniecznych umiejętności.

– Szefowie działów bezpieczeństwa muszą wykorzystać tę okazję do wprowadzenia zmian. Należy edukować liderów biznesowych w zakresie różnorodności rodzajów ryzyka i potencjalnych efektów oraz odnośnie możliwych strategii, które można zastosować w celu złagodzenia wpływu tych zagrożeń. Co najważniejsze, musimy zacząć mówić o ryzyku w języku, który wszyscy będą mogli zrozumieć, czas porzucić specjalistycznie zwrotyzauważa Tim Wade z Vectra AI.

Realia walki z cyberprzestępcami kontra biurokracja

W zależności od rodzaju organizacji, na rolę specjalisty ds. cyberbezpieczeństwa wpływ może mieć złożony zestaw nakładających się przepisów regulacyjnych i legislacyjnych. Unijne ogólne rozporządzenie o ochronie danych (RODO), znacznie podniosło kary za naruszenia danych. Potencjalne sankcje, z którymi muszą liczyć się firmy, które popełnią błąd i ujawnią wrażliwe dane, mogą sięgać astronomicznych wręcz kwot. Dyrektywa UE dotycząca bezpieczeństwa sieci i informacji (NIS), do której obecnie wprowadzane są poprawki, określa nowe minimalne wymagania dla „operatorów usług kluczowych” w różnych sektorach. Do tego dochodzą różne sektorowe wymogi regulacyjne narzucone przez np. Financial Conduct Authority (FCA) i Prudential Regulation Authority (PRA) Banku Anglii. Istnieją również mandaty zgodności międzysektorowej, takie jak PCI Data Security Standard (DSS), dla organizacji przetwarzających dane kart płatniczych i kredytowych. Jednak większość (58%) respondentów stwierdziła, że ​​prawodawcy nie posiadają wystarczających kompetencji do podejmowania decyzji dotyczących kwestii cyberbezpieczeństwa i wezwali do większego wkładu i współpracy z branżą. Kolejne 43% twierdziło, że organy regulacyjne nie wiedzą, jak wygląda codzienność walki na pierwszej linii frontu z cyberprzestępcami, nie mają więc wystarczającej wiedzy, aby tworzyć prawa dla specjalistów ds. cyberbezpieczeństwa.

Może to sugerować, że pracownicy odpowiedzialni za cyberochronę uważają, że osoby odpowiedzialne za tworzenie i egzekwowanie przepisów regulacyjnych i legislacyjnych są zbyt oderwane od codziennych doświadczeń profesjonalistów z branży. Jest to problem w wielu sektorach, ale szczególnie w cyberbezpieczeństwie, gdzie innowacje technologiczne po stronie atakującego i obrońcy postępują tak szybko, że regulujące je zasady mogą szybko stać się nieaktualne, jeżeli nie będą dobrze przygotowane.

Nawet jeśli wytyczne są opracowywane przez ekspertów ds. bezpieczeństwa, takich jak ci pracujący w National Cyber ​​Security Center (NCSC) GCHQ, nie zawsze chwalone są przez profesjonalistów z branży. Tylko 56% respondentów stwierdziło, że przeczytało przewodnik NCSC przedstawiający 10 kroków do cyberbezpieczeństwa dla średnich i dużych firm, a tylko jedna trzecia (34%) stwierdziła, że ​​dostarczył on im niezbędnej wiedzy i wskazówek. Ponad połowa (51%) stwierdziła, że ​​musi być on rozwinięty o bardziej konkretne informacje.

Zdaniem eksperta Vectra AI, należy wrócić do podstaw i zrozumieć, jakie dane i zasoby posiada firma oraz kto ma do nich dostęp, i dopiero na podstawie tej wiedzy zastosowanie odpowiednich narzędzi kontroli. Skuteczne przepisy, prawa i normy powinny kodyfikować to zdroworozsądkowe podejście i jasno informować o wymogach na każdym poziomie i etapie pracy. Ważne jest, aby pamiętać, że dają one tylko podstawę, nie stanowią całości wymagań. Podmioty zajmujące atakami wprowadzają innowacje szybciej niż większość organów regulacyjnych lub ustawodawców jest w stanie wydawać nowe przepisy, więc strategia bezpieczeństwa powinna aktualizowana w tym samym tempie.

Główne wnioski:

  • Czas zmienić zasady gry, aby poradzić sobie z atakami. Branża bezpieczeństwa nie nadąża za taktykami, technikami i procedurami cyberprzestępczymi (TTP), przez co ochrona przed współczesnymi zagrożeniami jest trudniejsza niż kiedykolwiek
  • Dotychczasowe przestarzałe podejście „najpierw zapobiegać” naraża organizacje na ryzyko. Przestarzałe narzędzia i sposób myślenia stanowią przeszkodę w nowym krajobrazie zagrożeń. Wiele firm nadal jednak nadmiernie inwestuje w strategie zapobiegania atakom, które są skazane na porażkę, dodatkowo zawodzą „po cichu” jeszcze bardziej narażając firmę na ataki
  • Liderzy ds. bezpieczeństwa muszą edukować zarząd jak działać skutecznie. Zarządy firm zaczynają dostrzegać jakie ryzyko stwarzają cyberataki, ale nie są ekspertami. Liderzy ds. bezpieczeństwa muszą znaleźć bardziej efektywne sposoby komunikowania ryzyka i edukowania, jak najlepiej je łagodzić
  • Osoby odpowiedzialne za regulacje potrzebują lepszego zrozumienia walki odbywającej się na pierwszej linii. Większe zaangażowanie i doświadczenie ekspertów mogą pomóc w zwiększeniu skuteczności regulacji, ale ostatecznie zrozumienie sposobu myślenia hakera oraz nastawienie na szybkie wykrywanie i reagowanie dają największą szansę powodzenia
  • Osoby odpowiedzialne za regulacje potrzebują lepszego zrozumienia walki odbywającej się na pierwszej linii. Większe zaangażowanie i doświadczenie ekspertów mogą pomóc w zwiększeniu skuteczności regulacji, ale ostatecznie zrozumienie sposobu myślenia hakera oraz nastawienie na szybkie wykrywanie i reagowanie dają największą szansę powodzenia

Najważniejsze statystyki:

  • 89% badanych uważa, że ​​tradycyjne podejścia nie chronią przed współczesnymi zagrożeniami i że konieczna jest zmiana sposobu działania, by móc radzić sobie z napastnikami
  • 76% decydentów w zakresie bezpieczeństwa kupiło narzędzia, które nie spełniły ich oczekiwań – wskazują na ich słabą integrację, niewykrywanie nowoczesnych ataków oraz brak widoczności zagrożeń
  • 69% uważa, że ​​mogło dojść do naruszenia bezpieczeństwa, których nie są świadomi — jedna trzecia (31%) uważa, że ​​taki scenariusz jest „prawdopodobny”
  • 90% respondentów twierdzi, że niedawne głośne ataki spowodowały, że zarząd zaczął zwracać należytą uwagę na cyberbezpieczeństwo
  • 82% twierdzi, że na decyzje zarządu dotyczące bezpieczeństwa wpływ mają relacje z obecnymi dostawcami przestarzałych zabezpieczeń IT