Eksternalizirani CSOC najučinkovitija je obrana

Koliko je nužno u poslovanju imati sveobuhvatan okvir za kibernetičku sigurnost postaje svakodnevno sve očitije. Napadi postaju sve češći i sofisticiraniji, slaže se Dragan Bednarčuk, arhitekt rješenja za kibernetičku sigurnost u KING ICT -u, a posljedice mogu uključivati gubitak podataka, narušenu reputaciju i prekid poslovanja. Smatra da je potreban okvir koji obuhvaća prevenciju i reakciju: prevencija smanjuje rizik, a brza reakcija smanjuje štetu. Važna je također prema Bednarčuku usklađenost s regulativama, pri čemu tehnički okvir uključuje stalno praćenje, testiranje otpornosti i automatizirani odgovor na incidente. Kombinacija naprednih alata, istaknuo je, standardiziranih procedura i integriranih sigurnosnih sustava osigurava otpornost na sve veći spektar prijetnji.

Koja su onda rješenja najbolja obrana od kibernetičkih prijetnji?

– Svakako bih izdvojio uslugu koja objedinjuje različita rješenja i tehnologije – ​Cyber Security Operations Center (CSOC) kao mjesto na kojem se integriraju ključne funkcije nadzora, otkrivanja i odgovora na sigurnosne incidente. CSOC radi neprekidno, 24 sata na dan, sedam dana u tjednu. Što znači da organizacija u svakom trenutku ima 'oči i uši' koje prate njezino digitalno okružje i spremna je reagirati čim se pojavi sumnjiva aktivnost. Upravo takvu uslugu u KING ICT-u nudimo eksternaliziranim CSOC-om. Tvrtke tako ne moraju same ulagati golema sredstva u izgradnju svoje sigurnosne infrastrukture i zapošljavati velik broj stručnjaka. Umjesto toga, naši korisnici dobivaju pristup cijelom timu iskusnih eksperata koji se koriste najnaprednijim alatima i provjerenim procedurama. To uključuje SIEM (Security Information and Event Management – upravljanje sigurnosnim informacijama i događajima) sustave za korelaciju događaja, sustave za otkrivanje anomalija i zlonamjernih aktivnosti u mreži i na krajnjim točkama, kao i automatizirane alate za brzi odgovor na incidente. Naš CSOC je fleksibilan i prilagodljiv potrebama svake organizacije, bez obzira na veličinu ili industriju. Malima donosi nedostižnu razinu zaštite, velikima skalabilnost i dodatnu ekspertizu. U vremenu brzih i sofisticiranih prijetnji, eksternalizirani CSOC najučinkovitija je obrana.

Koja tehnologija danas najviše unapređuje rad CSOC-a?

– Ključnu ulogu ima Cyber Threat Intelligence (CTI), koji pokazuje tko napada, kojim se metodama koristi i s kojim ciljem, omogućujući sigurnosnim timovima djelovanje i prije nego napad počne. Primjerice, CTI sustav koji prati prodajne kanale na dark webu može otkriti ponudu ukradenih kreditnih kartica. Čim se identificira aktivna kartica, CSOC obavještava banku ili tim za sprječavanje prijevara i kartica se blokira sprječavajući daljnju zloporabu. Dodatno, CTI obuhvaća otkrivanje 'iscurenih' korisničkih računa i kompromitiranih baza podataka te generiranje aktivnih obavijesti i prilagodljivih pravila koji javljaju kad se pojavi nešto što cilja vašu organizaciju, partnere ili industriju. Stalno praćenje izvora koji otkrivaju ranjivosti dodatno jača obrambeni mehanizam. Na taj se način ogromne količine podataka pretvaraju u konkretne informacije koje ubrzavaju i unapređuju donošenje odluka. Kada se CTI integrira u CSOC, prijetnje se otkrivaju i blokiraju, ali i razumiju u širem kontekstu, što povećava ukupnu učinkovitost obrane.

Kako otkrivate ranjivosti?

– Osim klasičnog skeniranja ranjivosti, primjenjujemo i Attack Surface Management (ASM), koji kontinuirano mapira i nadzire cijeli napadni prostor: servise, domene, aplikacije i API-je (Application Programming Interface – ​aplikacijsko programsko sučelje). Za razliku od povremenih testova, ASM radi stalno, u realnom vremenu, brzo otkrivajući slabosti. Prepoznaje i shadow IT (nepoznate resurse izvan kontrole informacijsko-tehnološkog odjela), koji često služi upravo kao ulaz napadačima. ASM prikazuje probleme prema imovini i riziku, dodjeljuje kvantitativne ocjene i pomaže timovima da prioritetno rješavaju kritične ranjivosti. Tako organizacije dobivaju potpunu vidljivost i mogućnost aktivnog zatvaranja rupa prije negoli se dogodi zloupotreba.

Zašto je presudno djelovati prije nego se dogodi napad?

– Prevencija je uvijek učinkovitija i jeftinija od sanacije. Kada se incident dogodi, već je kasno, podaci su kompromitirani, sustavi zaustavljeni, a reputacija ozbiljno narušena. Proaktivno djelovanje znači stalno praćenje prijetnji, otkrivanje ranjivosti i njihovo zatvaranje na vrijeme, kao i edukacija zaposlenika. Napadači tako imaju manje šanse iznenaditi obranu, samim time i manje prostora za uspjeh. Danas odgovornost nije samo tehničko nego i poslovno pitanje. Zato je potrebno razvijati procese, alate i kompetencije koji osiguravaju neprekidnu otpornost sustava i spremnost na svaki scenarij napada.

Zašto su ipak najvažniji ljudi?

– Tehnologija je važna, ali ljudi čine razliku. Oni su ti koji donose odluke, prepoznaju obrasce koje strojevi ne vide i grade kulturu sigurnosti u organizacijama. Najbolji alati vrijede samo ako se njima koriste educirani i odgovorni stručnjaci. Naše iskustvo to potvrđuje: upravo ljudi su omogućili realizaciju naših najvećih projekata, uključujući najveći međunarodni projekt u kibernetičkoj sigurnosti za NATO i to isporuku te primjenu naprednog SIEM rješenja i IT infrastrukture. NATO nam je zatim povjerio novi ugovor za implementaciju i konfiguraciju sigurnosnih rješenja za cijeli NATO Enterprise. Povjerenje su nam dali i lokalni korisnici, od kritične državne infrastrukture i javnih institucija do privatnih kompanija u najzahtjevnijim sektorima. Sve to pokazuje da je ključ uspjeha, uz tehnologiju, u ljudstvu i njihovom znanju.

Ali ipak, u čemu najviše griješe zaposlenici kada je riječ o kibernetičkoj sigurnosti?

– Česta je zabluda da se napadi događaju nekome drugome, pa se zanemaruju osnovne mjere poput ažuriranja, snažnih zaporki, MFA-a i opreza pri otvaranju poruka. Još veća pogreška je vjerovati da tehnologija sama rješava probleme, a ljudska nepažnja ostaje najveća prijetnja. Sigurnost je stoga osobna odgovornost svakog zaposlenika, a ne samo IT odjela.

Što je cilj vaših konferencija 'Cyber Talks'?

– ​KING ICT-jev 'Cyber Talks' je mjesto koje okuplja korisnike, partnere i vendore kako bismo razgovarali o sigurnosnim izazovima, dijelili iskustva i učili jedni od drugih. Naglasak je na otvorenoj razmjeni znanja, upoznavanju globalnih trendova i otkrivanju praktičnih načina kako se obraniti od prijetnji koje svakodnevno rastu. Jednako važan dio konferencije je i povezivanje jer vjerujemo da se prava partnerstva grade kroz povjerenje i osjećaj pripadnosti. Posebno smo ponosni što je 'Cyber Talks' održan već treći put zaredom jer već prerasta u tradiciju i postao je događaj koji iz godine u godinu postaje sve jača i povezanija zajednica stručnjaka, partnera i korisnika.

Što nas čeka u idućih nekoliko godina na polju kibernetičke sigurnosti?

– Svake godine napadi postaju opasniji, sofisticiraniji i kreativniji pa se opravdano pitamo što nas čeka dalje. Jedno je sigurno, sigurnost će biti svake godine naprednija nego prethodne. Umjetna inteligencija i strojno učenje već pomažu u otkrivanju sumnjivih aktivnosti i bržem odgovoru na incidente, ali ljudski faktor ostaje ključan: stručnjaci donose odluke, tumače podatke i osmišljavaju obranu. Budući da se poslovno i privatno isprepliću na istim uređajima, mrežama i aplikacijama, površina napada neprestano raste, a potpuno siguran sustav ne postoji. Zato je ključno da, uza stručne timove i moderne tehnologije, gradimo čvrstu i izdržljivu obranu, a napadačima što više otežamo posao. 

Sadržaj nastao u suradnji s kompanijom KING ICT