Raport Specjalny. Bezpieczeństwo Banków: Technologia zwodzenia ataków – aktywne wsparcie CISO w walce z cyberprzestępcami

BANK 2019/05

Koncepcja zwodzenia ataków oraz sposób, w jaki można ją wykorzystać do wzmocnienia obrony i identyfikacji wewnętrznych czy zewnętrznych zagrożeń, są stosunkowo nowe. Wskażemy, jak CISO i ich zespoły ds. bezpieczeństwa mogą ją wykorzystać do znacznego zwiększenia zdolności identyfikacji i odpierania potencjalnych napastników.

Nahim Fazal, BAL – Cyber Threat Intelligence CounterCraft
Adam Drewniak – Junior Engineer w Spica Solutions
Daniel Spica – CEO w Spica Solutions

 

Nie chodzi tylko o bezpieczeństwo – obecnie organizacje przekraczają granice zajmowanych dotychczas sektorów i podejmują ambitne programy transformacji cyfrowej. Jej podstawą jest zaufanie konsumentów do organizacji, czego wyrazem jest powierzenie jej swoich danych. Aby to zaufanie zdobyć, firmy wprowadzają sprawdzone regulacje i standardy.

Naruszenie danych (Data Breaches)

Częstotliwość oraz wpływ zdarzeń związanych z naruszaniem danych wartościowych, sensytywnych, stale rośnie. Na liście tych zgłoszonych w 2018 r. znalazło się wiele znanych marek – choćby Verizon, Uber, Deloitte, Equifax czy Dun & Bradstreet. W każdym z tych przypadków cyberprzestępcy poszukiwali, odnajdywali i wyodrębniali informacje o klientach, co miało wpływ na miliony użytkowników końcowych. Działo się tak, bo obecnie stosowane zestawy technologii mające zapobiegać naruszeniom danych nie są wystarczające. Nieustannie zmienia się krajobraz zagrożeń, jego różnorodność, a także ograniczenia budżetowe i zasoby firm. Koszty związane z naruszeniami danych są wręcz oszałamiające. Poza odpowiedzialnością, która wynika z przepisów GDPR/RODO, liczba zagrożeń powinna być dla organizacji wystarczającym powodem do zbadania alternatywnej i bardziej zaawansowanej technologii, pozwalającej zminimalizować ryzyko poniesienia strat finansowych i utraty reputacji, które pojawiają się wraz z wyciekiem danych.

Wyzwania

Pierwszym kluczowym problemem, przed którym stoi CISO jest skuteczna ochrona sieci i zasobów, które już w 2018 r. jawiły się jako złożona mieszanka wielu różnych rozwiązań technologicznych, rozproszonych po całym świecie. Mnogość istniejących narzędzi bezpieczeństwa, które podnoszą alarmy sprawia, że identyfikacja rzeczywistych zagrożeń w postaci APT lub ataków zero-day, staje się niemal niemożliwa. Tego typu wyszukane ataki potrafią po cichu prześliznąć się przez istniejące zabezpieczenia i pozostać niewykryte. Należy również wziąć pod uwagę dodatkowe ryzyko zagrożeń wewnętrznych. Głównym ich źródłem są pracownicy dysponujący szczegółową wiedzą o sieci korporacyjnej i lokalizacji krytycznych danych. Działania tych osób nie uruchomią żadnych przestarzałych narzędzi bezpieczeństwa, ponieważ dla nich będą się one mieściły w zakresie oczekiwanych przez nie zachowań.

Niektóre organizacje wykorzystują informacje wywiadowcze o zagrożeniach (threat intelligence) po to, by uzyskać pełniejszą wiedzę oraz narzędzia pozwalające identyfikować szeroki wachlarz ryzyk. Problemem jest jednak słaba jakość i zbyt ogólny charakter gromadzonych informacji śledczych – taka baza utrudnia podjęcie skutecznych działań. I tu właśnie swoją wartość wykazują rozproszone platformy zwodzenia ataków (deception platforms).

Kluczowymi bolączkami dla CISO są:

  • Niezdolność do wykrycia naruszeń sieci firmowej w odpowiednim czasie.
  • Skuteczne wykrywanie zagrożenia wewnętrznego.
  • Niezdolność do wykrywania zaawansowanych technik ataku, które wykorzystują APT i zero-day.
  • Zbyt wiele fałszywych alarmów związanych z obecną technologią.
  • Wymagania regulacyjne dotyczące skutecznego wykrywania i diagnostyki naruszeń.
  • Ukierunkowane, specyficzne dla organizacji informacje wywiadowcze o zagrożeniach.
  • Wyposażenie zespołu SOC w narzędzia, których potrzebuje, aby być bardziej wydajnym.
  • Przeoczone ostrzeżenia.

Każdy z wymienionych punktów to konkretne koszty, ale także możliwość wycieku danych oraz poniesienia strat liczonych w setkach milionów (w dowolnej walucie). Problemów tych nie można ignorować. Zarządy oraz zespoły kierownicze coraz częściej oczekują od pracowników spójnej strategii, która szczegółowo określi sposoby skutecznego zarządzania ryzykiem, kary regulacyjne i koszty związane z naruszeniami danych.

Technologia zwodzenia ataków (Deception Technology)

Technologie zwodzenia nie są jednakowe. Istnieje wiele różnych podejść do identyfikacji źródeł i sprawców zagrożenia, skuteczne ich zwodzenie zapobiega wyciekom danych – a to dzięki przeniesieniu ich aktywności ze środowiska produkcyjnego do platform zwodzących. Szefowie działów bezpieczeństwa, zastanawiający się nad wyborem takiej technologii, powinni zwrócić uwagę na część, jeśli nie wszystkie, z poniżej wymienionych cech (jest to raczej punkt wyjścia, a nie wyczerpująca lista).

Zarządzanie zdarzeniami i alarmowanie (Event Management & Alerting)

Platforma zwodzenia ataków nie powinna produkować fałszywych alarmów – zero false positives; alarmowanie o zdarzeniach powinno być zwięzłe, przejrzyste i wyposażone w różnorodne funkcje. Dzięki temu można będzie uzyskać szczegółowe informacje o przyczynach alarmu, zyska się także możliwość śledzenia źródła alarmu przez wszystkie wdrożone komponenty środowiska zwodzenia ataków. Rozpoznane wektory ataków są szczególnie użyteczne dla analityków SOC, ponieważ pomagają zaadresować problem niepodniesionych alarmów i ilości wygenerowanych fałszywych alarmów.

► Zautomatyzowane odpowiedzi zaawansowanej obrony (Automated Complex Defense Responses)

Aby skutecznie odciążyć zespół SOC, technologia zwodzenia ataków powinna zawierać zautomatyzowaną funkcjonalność, która umożliwi manipulowanie środowiskiem deception stosownie do działań atakującego. Te ukierunkowane mechanizmy sztucznej inteligencji informują procesy reagowania na incydenty, na poziomie szczegółowości zapewniającym oszczędność czasu, pieniędzy i zasobów. W konsekwencji, zespół SOC zostaje wzmocniony i może działać efektywniej oraz zyskuje więcej czasu, dzięki czemu może skupić się na rzeczywistych zagrożeniach, jakimi mogą być ataki na obszerną sieć i zasoby firmy.

► Kompleksowość środowiska deception

Aby identyfikacja zagrożeń atakujących zasoby i sieć oraz utrzymanie ich aktywności w środowiskach zwodzących (deception environments) były efektywne, platformy zwodzące muszą zapewniać dostarczanie szerokiego spektrum różnorodnych hostów (komponentów) zwodzących. Wyjściowym minimum powinny być w pełni funkcjonalne systemy operacyjne Windows i Linux. Jako dodatek należy brać pod uwagę i wykorzystywać jako zasoby zwodzenia routery, access pointy WiFi, a nawet urządzenia mobilne. Pamiętajmy, że im bardziej rozbudowane i skomplikowane środowisko zwodzenia, tym skuteczniej będzie można zidentyfikować i wykorzenić nie tylko zagrożenia zewnętrzne, ale i wewnętrzne czyhające w sieci. Jednak nie można na tym poprzestać. Jednym z kluczowych punktów, o których wspomnieliśmy wcześniej, był brak informacji wywiadowczej specyficznej dla klienta. Trzeba wiedzieć, kto atakuje, jak to robi i jakich danych szuka – jeśli rzeczywiście to jest celem agresorów. Oznacza to, że każda technologia zwodzenia powinna być w stanie uruchomić zewnętrzną kampanię mającą na celu zbieranie szczegółowych informacji o tym, co rzeczywiście interesuje podmioty atakujące organizację. Nie można stworzyć spójnej strategii bezpieczeństwa, jeśli nie zada się podstawowych pytań – takich jak: czy jestem atakowany przez przestępców o niskich umiejętnościach, którzy bazują na automatyce i narzędziach osób trzecich, czy może jestem atakowany przez APT-y za pomocą specjalistycznych narzędzi i spreparowanego złośliwego oprogramowania.

Wnioski

Platforma deception znacznie zmniejsza prawdopodobieństwo wycieku danych z organizacji – i to niezależnie od źródła. Zapewnia także świadomą analitykę danych, która pozwala na dokładne określenie i zakwalifikowanie ekspozycji na ryzyko ze strony podmiotów zagrażających bezpieczeństwu, dostarcza również szczegółowych informacji o tym, jaki zakres ataku oraz narzędzia mogą być wykorzystane przeciwko atakowanej instytucji. Te zestawy danych będą nie tylko informować, na czym należy skupić swoje ograniczone zasoby bezpieczeństwa, umożliwią także zademonstrowanie zarządowi, jak skutecznie zarządzać ryzykiem cybernetycznym oraz jakie działania podjąć, aby poprawić bezpieczeństwo organizacji.

Wszystkie wspomniane zalety i funkcjonalności zawiera platforma Cyber Deception CounterCraft, której dystrybutorem jest firma Spica Solutions. Rozwiązanie to wpisuje się w realizowaną przez Spica Solutions strategię dostarczania i promowania rozwiązań przełomowych, pozwalających na szybkie i skuteczne rozwiązywanie złożonych problemów cyfrowej ekonomii.

Zainteresowanych informacjami o Cyber Deception Platform CounterCraft zachęcamy do bezpośredniego kontaktu – sales@spicasolutions.pl.

 

Udostępnij artykuł: