Uporaba varnostnih obvescevalnih podatkov za zascito vasega poslovanja
16.2.2022

Varnostni obveščevalni podatki o grožnjah (angl. Threat Intelligence), ki opisujejo lastnosti in namere napadalcev ter njihovih orodij, so ključnega pomena za vse, ki jim je v interesu kibernetska varnost, saj je brez njih nemogoče predvideti potencialne kibernetske grožnje za naša poslovna okolja. S pomočjo obveščevalnih podatkov smo tako korak pred napadalci, saj lahko s podatki predvidimo morebitne napade na našo organizacijo: npr. preko obveščevalnih podatkov pridobimo informacije, da je trenutno vse bolj ogrožen slovenski finančni sektor. Zaradi obveščevalnih podatkov imamo namreč jasen vpogled v proces napada konkretnega zlikovca, saj pridobimo pregled nad specifičnimi koraki, ki jih običajno izvaja tak napadalec. To  nam posledično omogoča razvoj usmerjenih procesov, ki nam pomagajo, da tovrsten napad pravočasno zaznamo in ga v ustreznem času tudi onemogočimo. V primeru odziva na incidente pa lahko te procese spremenimo v tehnike proaktivnega odkrivanja groženj – najprej ugotovimo, v kateri fazi napada smo, nato na podlagi teh pridobljenih informacij uspešno onemogočimo nadaljni razvoj in škodo v okolju.

Predstavljajmo si kibernetsko varnost brez obveščevalnih podatkov o grožnjah. Situacija je primerljiva z igro nogometa,  pri kateri v golu ni vratarja – za zmago moramo zadeti okvir vrat (v IT-okolju prispodoba za razne varnostne rešitve, pri katerih cilj omejimo na okvir nogometnega gola), a je to hkrati tudi edina ovira, ki napadalca loči od zadetka. Če v prispodobo dodamo varnostno operativni center (SOC), je, kot bi v igro dodali vratarja. Drži, da smo sedaj veliko bolj pripravljeni na nasprotnike – zadetek lahko lažje in hitreje preprečimo - a je za uspeh potrebna še temeljita analiza “igre” naših nasprotnikov. Cilj nje je razumeti, kako se napadalec obnaša, s katero “nogo” običajno zaključi strel, v katero smer cilja ipd. - z obveščevalnimi podatki o grožnjah pa pridobimo natanko te informacije.

Ker na NIL-u nudimo storitve zanesljive zaščite poslovnih okolij, v sklopu tega kot storitev ponujamo tudi obveščevalne podatke o grožnjah. Ta je lahko že vključena v sklopu same storitve varnostno-operativnega centra, ali kot samostojna storitev  obveščanja o novih trendih v svetu kibernetskih groženj – tako lokalnih, kakor tudi globalno odmevnih. Storitev nudimo po modelu  Freemium, kjer bo tovrstno obveščanje za naše stranke tudi brezplačno v obsegu splošnih informacij o grožnjah,  za naročnike na storitev pa nudimo hitrejše obveščanje ter dodatne vsebine, kot so seznami protiukrepov, ki jih lahko uporabite v svojem poslovnem sistemu.

Naši viri obveščevalnih podatkov so raznoliki, od javno dostopnih (OSINT) virov pa vse do plačljivih rešitev.  Na njihovi podlagi izvajamo globoko analizo pridobljenih informacij in inženiring podatkov, s čimer pridobimo podatke o pomenljivih vsebinah, ki jim šele takrat lahko rečemo obveščevalni podatki o grožnjah. Ti so lahko aplikativni, situacijski ali taktični. Razlika med njimi je predvsem ciljni uporabnik – za aplikativni nivo je to na primer varnostno operativni center; situacijski in taktični pa sta primerna tudi za širšo publiko.

Aplikativni nivo je namenjen uporabi za tehnično-operativne namene  v varnostno-operativnih centrih (ali drugih ekspertnih področjih kibernetske varnosti), kjer ustvarjamo ustrezna zaznavna pravila na varnostnih orodjih, s čimer so  le-ta pripravljena na potencialno grožnjo, ali pa seveda s pomočjo proaktivnega odkrivanja groženj zaznajo to grožnjo že v okolju. Pri aplikativnih obveščevalnih podatkih je značilno, da jih analitik podrobno analizra in uspe izklesati podrobnosti, kot so na primer indikatorji o ogroženosti (angl. Indicators of Compromise – IOC), ki so direktno uporabni na sistemih zaznave.

Situacijski nivo je namenjen predvsem za ozaveščanje o kibernetskih grožnjah in ni pričakovati, da bo operativno osebje lahko s pridobljenimi podatki zares ukrepalo. Je dober vpogled v svet kibernetskih groženj in nekakšna vstopna točka za vse organizacije v ta svet – da začutijo relevantnost in pomen takih virov, torej kaj jim predstavlja grožnjo.

Taktični nivo se nahaja nekje vmes med aplikativnim in situacijskim. V primeru naročnine na naše storitve obveščevalnih podatkov o grožnjah organizacija pridobi tudi informacije o ustreznih ukrepih za pomenljivo globalno grožnjo. Morda ta organizacija nima lastnega varnostno operativnega centra, tako da zares ne more aplikativno uporabiti te vsebine (v smislu implementacije zaznave napadov), vendar pa jo lahko uporabi v taktičnem smislu, torej da ustrezno posodobi določeno programsko opremo, sisteme, prilagodi strojno opremo, arhitekturo omrežja, izobrazi uporabnike, itd. V tem primeru jim namreč posredujemo tudi nasvete, kako ukrepati ob morebitni ogroženosti.

Potrebno je vedeti, da se nobena organizacija ne more zanašati izključno na ponudnike surovih virov informacij o grožnjah, saj bodo takšne informacije v surovi obliki zelo splošne in težko aplikativne na konkretno geografsko področje ali poslovno vertikalo, v kateri se dotična organizacija nahaja. Še več, ti viri so lahko zavajujoči ravno zaradi njihove splošnosti in neprilagojenosti organizaciji, ki jih želi taktično izrabiti. Prav tako je treba vedeti, da surov vir kot tak v praksi pravzaprav ni neposredno uporaben. Nujno se je zavedati, da sta obvezna tako analiza teh virov kot tudi ustrezna predelava in krojenje podatkov. Le tako dobimo kakovostne obveščevalne podatke o grožnjah, kar zahteva visoko strokovno znanje in predvsem terja časovni davek.

Na tovrstno storitev se lahko prijavi pravzaprav katerakoli NIL-ova stranka, kateri je v interesu biti ozaveščen o trenutnih kibernetskih grožnjah. V praksi se velikokrat izkaže, da večina organizacij (lokalno) ni dovolj ozaveščenih o trenutnem stanju v kibernetski varnosti. Posledica tega je, da so, kadar jih doleti napad, popolnoma nepripravljeni in šele v paničnem odzivu na krizno situacijo začenjajo odkrivati svet kibernetskih groženj, ki je pravzaprav zmeraj obstajal. A takrat je tudi velikokrat prepozno in NIL-ovi eksperti za odziv na incidente se takrat borijo, da bi rešili in obvarovali čim več podatkov organizacije.

Za vse, ki bi se kibernetske varnosti radi lotili proaktivno, brez čakanja na prvi velik incident, in bi radi kompleksne procese varovanja predali zunanjim strokovnjakom, se NIL-ov varnostno operativni center (SOC) pri svojih operacijah zanaša na obveščevalne podatke o grožnjah, saj le tako lahko ponudimo kvalitetno storitev ter  s pomočjo obveščevalnih podatkov razvijamo pomenljive in usmerjene zaščitne procese  za naše stranke.

Avtor: David Kasabji, analitik varnostno-obveščevalnih podatkov (o kibernetskih grožnjah), skupina Conscia

Avtor: David Kasabji