Inteligentne narzędzie zwiększające świadomość w celu lepszego zarządzania bezpieczeństwem w cyberprzestrzeni
Brak siły roboczej w połączeniu z przytłaczającą liczbą coraz bardziej wyrafinowanych ataków sprawiają, że zapewnienie cyberochrony jest niezwykle trudne. Zespołom reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT) trudno być na bieżąco. „Potrzebują sposobów na odróżnienie ostrzeżeń krytycznych, które stanowią największe zagrożenie dla działalności ich firm od szumów – ostrzeżeń o niskim priorytecie", mówi Brian Lee, koordynator projektu PROTECTIVE finansowanego ze środków UE. „Muszą również lepiej zrozumieć zachowanie atakującego oraz chcieć przejść z obecnego reaktywnego podejścia do bezpieczeństwa cybernetycznego na bardziej proaktywne”. Lee dodaje, że „od zespołów CSIRT coraz częściej wymaga się holistycznego podejścia do nabywania i przetwarzania informacji o zagrożeniach potrzebnych do rozwinięcia proaktywnej zdolności wykrywania”. Przyjęcie proaktywnej postawy zwiększa kompetencje zespołu CSIRT w zakresie wykrywania złośliwych działań w danej dziedzinie przed wystąpieniem szkody.
Zwiększanie świadomości o zagrożeniach w zespołach CSIRT
Zespół projektu PROTECTIVE opracował kompleksowe rozwiązanie mające na celu podniesienie świadomości organizacji w zakresie cyberprzestrzeni (CSA), poprzez wzmocnienie korelacji między alarmami bezpieczeństwa i ustalaniem priorytetów, powiązanie istotności/krytyczności aktywów organizacji z jej działalnością/misją oraz stworzenie społeczności, która będzie dzielić się informacjami o TI. „Te trzy elementy są ściśle powiązane ze sobą i mają istotny wpływ na budowę zintegrowanej platformy CSA, która początkowo została opracowana na potrzeby zespołów CSIRT w społeczności krajowych dostawców usług internetowych w zakresie badań i sieci edukacyjnych, a później dla MŚP”, wyjaśnia Lee. Celem stworzenia CSA, partnerzy projektu opracowali system typu open-source do reagowania sytuacyjnego w zakresie bezpieczeństwa. Ma on zastosowanie do każdego typu przedsiębiorstwa lub sektora i daje zespołom CSIRT możliwość przechwytywania, łączenia, analizy i wizualizacji alarmów bezpieczeństwa w czasie rzeczywistym. Wyposażony jest w połączone interfejsy oprogramowania do wielu typów urządzeń, takich jak honeypoty, zapory ogniowe, systemy detekcji włamań i złącza niestandardowe. Każdy inny typ urządzenia lub czujnika można dodać w prosty sposób.
Lepsze monitorowanie bezpieczeństwa i zwiększone współdzielenie TI
PROTECTIVE pozwala również zespołom CSIRT na przechwytywanie i modelowanie zasobów komputerowych pod ich nadzorem. Organizacja może zidentyfikować swoje kluczowe cele biznesowe i zdefiniować relacje pomiędzy nimi, a także ocenić swoje istotne informacje i zasoby informatyczne, korzystając z podsystemów świadomości kontekstowej. W ten sposób rozwiązanie przypisuje priorytet każdemu elementowi zasobów. Informacja ta jest połączona z oceną poziomów podatności różnych zasobów w czasie zbliżonym do rzeczywistego. Te dwie cechy pomagają w uszeregowaniu krytycznych alarmów na podstawie potencjalnych szkód, jakie atak może wyrządzić zagrożonym zasobom i samej organizacji. Krytyczne powiadomienia, skierowane do ważnych odbiorców, będą miały wyższy priorytet niż inne powiadomienia. PROTECTIVE zwiększa zasięg ostrzegania poprzez dzielenie się w czasie rzeczywistym użytecznymi powiadomieniami dotyczącymi bezpieczeństwa cybernetycznego TI z zespołami CSIRT w różnych organizacjach. Dzięki temu zespoły CSIRT mają dostęp do szerszej wiedzy na temat działalności cybernetycznej, która wykracza poza ich własną organizację. To z kolei pomoże zespołom CSIRT w aktywnym wykrywaniu i zapobieganiu trwającym działaniom w zakresie cyberprzestępczości. „Dzięki potężnej platformie open-source PROTECTIVE, zespoły CSIRT i organizacje są lepiej przygotowane na napływające ataki, do walki ze złośliwym oprogramowaniem i radzenia sobie z innymi kwestiami związanymi z bezpieczeństwem, a także do kierowania rozwojem procedur prewencyjnych i naprawczych”, podsumowuje Lee.
Słowa kluczowe
PROTECTIVE, zespoły CSIRT, zasoby, powiadomienia bezpieczeństwa, bezpieczeństwo cybernetyczne, alarmy krytyczne, cyberatak, wywiad w sprawie zagrożeń, świadomość sytuacyjna w cyberprzestrzeni
