google plus
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
VeeamON Forum
 
Tematické seriály

Dotace na vývoj ICT

Vývoj nových ICT řešení a ICT nástrojů je v dnešní době zásadní, ale finančně velice náročný proces.

1. až 2. díl >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

1. až 6. díl >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

1. až 6. díl >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

1. až 13. díl >>

 

Podnikové portály

Portály patří k oblíbeným technologiím, na kterých staví společnosti svá řešení. Ta jsou vstupní branou...

1. až 5. díl >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

IT security , IT Security

Cyber Threat Intelligence



EYZ hlediska kybernetické bezpečnosti není v současné době možné zabránit veškerým útokům či narušením – dnešní útočníci disponují značnými prostředky a při dosahování svého cíle postupují důsledně a promyšleně. Využívají přitom nejen bezpečnostních slabin na straně samotných uživatelů (sociální inženýrství), ale také zranitelností v uplatňovaných procesech a technologiích. Pro společnosti je tedy klíčové, aby se cíleně věnovaly aktivní ochraně před kybernetickými incidenty, mít detailní informace a znalosti o kybernetických rizicích by mělo být základní snahou. Připravenost a situační povědomí jsou klíčové ve snaze útočníky odradit a co nejvíce zkomplikovat jejich snažení. Toho lze docílit prostřednictvím Cyber Threat Intelligence – CTI, což lze chápat jako způsob, jak získávat, zpracovávat, interpretovat a aplikovat specifické informace o kybernetických hrozbách.


Množství informací v digitální podobě a celosvětově sdílené objemy dat, na nichž organizace stále vyšší měrou závisejí, mají za následek, že se organizace staly snadnějším cílem mnoha rozdílných forem útoků; každodenní firemní operace, data i duševní vlastnictví jsou tak vážně ohroženy. Kromě toho, že kybernetický útok v korporátním prostředí ohrožuje značku a pověst společnosti, může zároveň vést ke ztrátě konkurenčních výhod, k nesouladu s regulačními požadavky a v konečném důsledku způsobit rozsáhlé finanční škody.

Důležitá je schopnost rychlé reakce

Ze zkušenosti je možno říci, že společnosti, které se staly oběťmi kybernetického bezpečnostního incidentu, disponovaly vždy bezpečnostní infrastrukturou na úrovni sítě a koncových bodů v podobě firewallů, základních systémů pro detekci neoprávněného průniku do sítě a softwarové ochrany proti škodlivému kódu. Jedním z hlavních důvodů vzniku incidentů tedy nebyla absence základních prvků ochrany, ale hlavně způsob zpracování výstupů a schopnost následné reakce. Společnostem stále ještě v mnoha případech chybí dostatečně výkonné prostředí, které by sjednocovalo výstupy analýzy jednotlivých bezpečnostních prvků a které by vytvářelo pochopitelný výstup, který zajistí rychlou reakci.

Pro správné předvídání a následné vyhodnocení analyzovaných incidentů je potřebné mít CTI, které lze získávat od kolegů ale i konkurentů, oficiálních zdrojů společností zabývajících se výzkumem bezpečnostních zranitelností a škodlivého kódu (např. antivirové společnosti), z placených nebo open-source zdrojů, od nezávislých CSIRT/CERT týmů na národní úrovni ale třeba i z jiné země a v neposlední řadě taktéž z vlastní zkušenosti.

Nástroje pro potlačování bezpečnostních hrozeb (CTI)

Zajišťování kybernetické bezpečnosti představuje komplexní proces, který umožňuje získat cenné poznatky na základě analýzy kontextových a situačních rizik. Lze jej přitom přizpůsobit specifickým potřebám dané organizace, odvětví i trhu. Příslušné nástroje mohou zásadním způsobem ovlivnit, do jaké míry je společnost schopna bezpečnostní incidenty předvídat a na skutečné průniky rychle, rozhodně a účinně reagovat.

Není pochyb o tom, že problematika detekce, identifikace a predikce kybernetických hrozeb je aktuálně žhavým tématem.

V daném oboru působí množství zavedených a úspěšných firem, jež za různou cenu nabízejí informační zdroje, analýzy a kontext týkající se bezpečnostních rizik. Některé z nich implementují své produkty do komplexních technických řešení, mimo jiné ve formě reakce na výskyt incidentu; jiné se orientují na správu prostředí pro sdílení informací nebo relevantní informační kanály. Existují rovněž nezávislé či uživateli vytvářené zdroje, k nimž mají organizace přístup, jejich obsah nicméně může anebo nemusí být ověřován a nelze na něj tudíž plně spoléhat. Vedle toho je dostupná celá řada informačních zdrojů, které sbírají hlášení o škodlivých doménách, IP adresách, výskytu škodlivého kódu, aktivitách tzv. botnetů nebo-li sítí počítačů infikovaných speciálním softwarem za účelem zneužití k nelegálním aktivitám a registrují seznamy blokovaných entit.

Velmi zajímavou skupinou služeb tak mohou být tzv. Threat Intelligence Platforms, poskytované největšími globálními hráči na poli informační bezpečnosti. Uživatelé bezpečnostních produktů těchto společností mají automaticky možnost nejen čerpat informace o hrozbách od rozsáhlých bezpečnostně-výzkumných interních týmů, ale také mohou přistoupit ke speciální bezpečnostně orientované kolaborační platformě. Skrze ni jsou sdílena data o reputaci vybraných služeb v rámci sítě Internet a je sledována historie změny rolí jednotlivých hostů, které se například v průběhu delšího časového okna měnily z nositele škodlivého kódu v systém hostující síťové scannery nebo v součást některé sítě typu botnet.

Přístup poskytovatelů těchto služeb se liší. Poskytovatelé, kteří mají zkušenosti s kybernetickou špionáží, mohou disponovat kvalitnějšími údaji o perzistentních hrozbách, zatímco firmy věnující se oblasti sociálních médií mají obvykle lepší přehled o činnosti hacktivistických skupin.

Kritickým předpokladem pro schopnost čelit běžným, ale i velmi komplexním kybernetickým hrozbám není tedy pouze nasazení výkonných technických prostředků, ale i potřebná CTI - Cyber Threat Intelligence.

Jelikož se časem stále více ztrácí přesnost a výstupy analýzy jsou méně a méně důvěryhodné, nelze efektivně čelit kybernetickým rizikům bez kontinuální správy a rozvoje technických prostředků, ale i bez pravidelného sledování trendů.

Přidaná hodnota služeb CTI

Má-li být systém odhalování a vyhodnocování kybernetických hrozeb opravdu efektivní, musí cílit na priority organizace a snižovat její rizikový profil tím, že přispěje k zvýšení bezpečnosti provozu a rozhodovacích procesů. Implementovaná bezpečnostní řešení by měla splňovat následující kritéria:

  • aktuálnost – zachycení incidentu, který právě probíhá nebo se patrně stane;
  • přesnost – schopnost shromáždit fakta týkající se dotyčné události;
  • využitelnost – hmatatelný přínos a možnost správy celého systému z pohledu organizace;
  • relevantnost – vysoká výpovědní hodnota získaného obsahu.

Nástroje CTI nedokáží předvídat budoucnost a nejsou ani všelékem iniciativ zaměřených na počítačovou bezpečnost; využívají historii incidentů, s jejíž pomocí označí pravděpodobné cíle možných útoků. Bezpečnostní specialisté pracují s pravděpodobností. Tím, že analyzují dění v reálném světě a vyhodnocují relevantní hrozby, přispívají k posilování ochranného štítu organizace před kybernetickými útoky.

Petr Plecháček, Petr Fojtů, Dušan Mondek zleva:
Petr Plecháček,
Petr Fojtů,
Dušan Mondek

Autoři článku působí v oddělení IT poradenství společnosti EY v ČR.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Zinkovna a lakovna AZOS CZ si vybrala ERP systém VISION32

VisionSpolečnost AZOS CZ s.r.o. chystá implementaci nového informačního systému. S Vision32 se firmě propojí agendy výroby, obchodu, CRM, ekonomiky a personalistiky. Systém bude také komunikovat se stávajícími docházkovými terminály.