Množství informací v digitální podobě a celosvětově sdílené objemy dat, na nichž organizace stále vyšší měrou závisejí, mají za následek, že se organizace staly snadnějším cílem mnoha rozdílných forem útoků; každodenní firemní operace, data i duševní vlastnictví jsou tak vážně ohroženy. Kromě toho, že kybernetický útok v korporátním prostředí ohrožuje značku a pověst společnosti, může zároveň vést ke ztrátě konkurenčních výhod, k nesouladu s regulačními požadavky a v konečném důsledku způsobit rozsáhlé finanční škody.

Důležitá je schopnost rychlé reakce

Ze zkušenosti je možno říci, že společnosti, které se staly oběťmi kybernetického bezpečnostního incidentu, disponovaly vždy bezpečnostní infrastrukturou na úrovni sítě a koncových bodů v podobě firewallů, základních systémů pro detekci neoprávněného průniku do sítě a softwarové ochrany proti škodlivému kódu. Jedním z hlavních důvodů vzniku incidentů tedy nebyla absence základních prvků ochrany, ale hlavně způsob zpracování výstupů a schopnost následné reakce. Společnostem stále ještě v mnoha případech chybí dostatečně výkonné prostředí, které by sjednocovalo výstupy analýzy jednotlivých bezpečnostních prvků a které by vytvářelo pochopitelný výstup, který zajistí rychlou reakci.

Pro správné předvídání a následné vyhodnocení analyzovaných incidentů je potřebné mít CTI, které lze získávat od kolegů ale i konkurentů, oficiálních zdrojů společností zabývajících se výzkumem bezpečnostních zranitelností a škodlivého kódu (např. antivirové společnosti), z placených nebo open-source zdrojů, od nezávislých CSIRT/CERT týmů na národní úrovni ale třeba i z jiné země a v neposlední řadě taktéž z vlastní zkušenosti.

Nástroje pro potlačování bezpečnostních hrozeb (CTI)

Zajišťování kybernetické bezpečnosti představuje komplexní proces, který umožňuje získat cenné poznatky na základě analýzy kontextových a situačních rizik. Lze jej přitom přizpůsobit specifickým potřebám dané organizace, odvětví i trhu. Příslušné nástroje mohou zásadním způsobem ovlivnit, do jaké míry je společnost schopna bezpečnostní incidenty předvídat a na skutečné průniky rychle, rozhodně a účinně reagovat.

Není pochyb o tom, že problematika detekce, identifikace a predikce kybernetických hrozeb je aktuálně žhavým tématem.

V daném oboru působí množství zavedených a úspěšných firem, jež za různou cenu nabízejí informační zdroje, analýzy a kontext týkající se bezpečnostních rizik. Některé z nich implementují své produkty do komplexních technických řešení, mimo jiné ve formě reakce na výskyt incidentu; jiné se orientují na správu prostředí pro sdílení informací nebo relevantní informační kanály. Existují rovněž nezávislé či uživateli vytvářené zdroje, k nimž mají organizace přístup, jejich obsah nicméně může anebo nemusí být ověřován a nelze na něj tudíž plně spoléhat. Vedle toho je dostupná celá řada informačních zdrojů, které sbírají hlášení o škodlivých doménách, IP adresách, výskytu škodlivého kódu, aktivitách tzv. botnetů nebo-li sítí počítačů infikovaných speciálním softwarem za účelem zneužití k nelegálním aktivitám a registrují seznamy blokovaných entit.

Velmi zajímavou skupinou služeb tak mohou být tzv. Threat Intelligence Platforms, poskytované největšími globálními hráči na poli informační bezpečnosti. Uživatelé bezpečnostních produktů těchto společností mají automaticky možnost nejen čerpat informace o hrozbách od rozsáhlých bezpečnostně-výzkumných interních týmů, ale také mohou přistoupit ke speciální bezpečnostně orientované kolaborační platformě. Skrze ni jsou sdílena data o reputaci vybraných služeb v rámci sítě Internet a je sledována historie změny rolí jednotlivých hostů, které se například v průběhu delšího časového okna měnily z nositele škodlivého kódu v systém hostující síťové scannery nebo v součást některé sítě typu botnet.

Přístup poskytovatelů těchto služeb se liší. Poskytovatelé, kteří mají zkušenosti s kybernetickou špionáží, mohou disponovat kvalitnějšími údaji o perzistentních hrozbách, zatímco firmy věnující se oblasti sociálních médií mají obvykle lepší přehled o činnosti hacktivistických skupin.

Kritickým předpokladem pro schopnost čelit běžným, ale i velmi komplexním kybernetickým hrozbám není tedy pouze nasazení výkonných technických prostředků, ale i potřebná CTI - Cyber Threat Intelligence.

Jelikož se časem stále více ztrácí přesnost a výstupy analýzy jsou méně a méně důvěryhodné, nelze efektivně čelit kybernetickým rizikům bez kontinuální správy a rozvoje technických prostředků, ale i bez pravidelného sledování trendů.

Přidaná hodnota služeb CTI

Má-li být systém odhalování a vyhodnocování kybernetických hrozeb opravdu efektivní, musí cílit na priority organizace a snižovat její rizikový profil tím, že přispěje k zvýšení bezpečnosti provozu a rozhodovacích procesů. Implementovaná bezpečnostní řešení by měla splňovat následující kritéria:

• aktuálnost – zachycení incidentu, který právě probíhá nebo se patrně stane;
• přesnost – schopnost shromáždit fakta týkající se dotyčné události;
• využitelnost – hmatatelný přínos a možnost správy celého systému z pohledu organizace;
• relevantnost – vysoká výpovědní hodnota získaného obsahu.

Nástroje CTI nedokáží předvídat budoucnost a nejsou ani všelékem iniciativ zaměřených na počítačovou bezpečnost; využívají historii incidentů, s jejíž pomocí označí pravděpodobné cíle možných útoků. Bezpečnostní specialisté pracují s pravděpodobností. Tím, že analyzují dění v reálném světě a vyhodnocují relevantní hrozby, přispívají k posilování ochranného štítu organizace před kybernetickými útoky.

zleva: Petr Plecháček, Petr Fojtů, Dušan Mondek Autoři článku působí v oddělení IT poradenství společnosti EY v ČR.