Οι Οργανισμοί και επιχειρήσεις οφείλουν να βελτιστοποιήσουν το εταιρικό πρόγραμμα διαχείρισης απειλών και τρωτότητας που υιοθετούν, προκειμένου να ενισχυθεί η αποτελεσματικότητα ασφάλειας των πληροφοριών.
Είναι επιτακτική ανάγκη σήμερα οι Οργανισμοί και οι επιχειρήσεις να είναι όσο το δυνατόν καλύτερα προετοιμασμένοι για να αντιμετωπίσουν ένα πλήθος από δικτυακές επιθέσεις, οι οποίες μεταβάλλονται διαρκώς και εξελίσσονται με γοργό ρυθμό. Αν η εγρήγορση των υπευθύνων για την ασφάλεια πληροφοριών σε κάθε Οργανισμό δεν είναι στα επίπεδα που απαιτούν οι τρέχουσες ανάγκες προστασίας, ο κίνδυνος διαρροής κρίσιμων δεδομένων είναι υπαρκτός, θέτοντας σε ιδιαίτερα δυσμενή θέση την ίδια την ύπαρξη του Οργανισμού.
Είθισται για αυτού του είδους τις επιθέσεις να υιοθετούνται προγράμματα διαχείρισης εξωτερικών δικτυακών απειλών, ανίχνευσης και επιδιόρθωσης τρωτών σημείων πρόσβασης στα συστήματα της εταιρείας. Όμως, όπως οι απειλές εξελίσσονται, έτσι και η διαμόρφωση αυτών των προγραμμάτων πρέπει να μεταβάλλεται και η αποτελεσματικότητά τους να τίθεται διαρκώς υπό έλεγχο. Στη συνέχεια ακολουθούν πέντε συμβουλές για τη βελτίωση της απόδοσης αυτών των προγραμμάτων κατά την ένταξή τους στα εταιρικά συστήματα ασφαλείας.
Διαχείριση προειδοποιήσεων
Στα προγράμματα παρακολούθησης της δραστηριότητας του δικτύου που συνδέεται με τα εταιρικά συστήματα, συχνά προκύπτουν σήματα προειδοποιήσεων (Alert) που επισημαίνουν ύποπτες συμπεριφορές στην επικοινωνία. Αυτές οι προειδοποιήσεις παραμένουν ένα ακόμα δεδομένο στα αρχεία καταγραφής των συνδέσεων, αν δεν υπάρχει ειδικευμένο προσωπικό που θα συγκεντρώνει τα αρχεία καταγραφής, θα τα μελετά και θα καθοδηγεί τους τρόπους αντίδρασης απέναντι σε ύποπτα φαινόμενα. Απαιτείται λοιπόν οι Οργανισμοί να αναθέτουν σε ειδικούς την επίβλεψη διαφορετικών τμημάτων στις κονσόλες παρακολούθησης της εταιρείας. Για παράδειγμα, ένας υπεύθυνος λειτουργίας των firewall θα επιβλέπει τις αλλαγές στους κανόνες ανάλογα την κίνηση του δικτύου, αλλά και τις καταγραφές των προειδοποιήσεων την ώρα που ένας ειδικός των εφαρμογών θα αξιολογεί τις προειδοποιήσεις που ανακύπτουν από τα firewall των web application και των σαρωτών των δικτυακών εφαρμογών.
Ολιστική επισκόπηση
Η προσπάθεια αναχαίτισης των εισβολέων θα αποβεί άκαρπη αν οι τρόποι αντιμετώπισης δεν εξελίσσονται με τον ίδιο ρυθμό και την ίδια τεχνολογική προσέγγιση που εξελίσσονται και οι επιθέσεις. Ένας νέος τρόπος επίθεσης μπορεί να χρησιμοποιεί πολλαπλά κανάλια εισβολής ταυτόχρονα, ώστε να μη γίνουν αντιληπτοί οι επιτιθέμενοι από τα συστήματα ασφαλείας των Οργανισμών. Χαρακτηριστικό παράδειγμα πολυκάναλης επίθεσης είναι το SMSish (SMS phish σε έξυπνα τηλέφωνα), με την οποία ο χρήστης καθοδηγείται να επιλέξει ένα σύνδεσμο που τον οδηγεί σε μια ψευδή ιστοσελίδα, η οποία φαίνεται καθόλα νόμιμη. Εκεί μπορεί να καταχωρήσει προσωπικές πληροφορίες ή να επιλέξει υπερσύνδεση που θα μολύνει τη συσκευή του με κακόβουλο λογισμικό. Μόλις τα προσωπικά δεδομένα καταχωρηθούν, οι επιτιθέμενοι προσπαθούν να συνδεθούν στο σύστημα στο οποίο ανήκουν αυτές οι πληροφορίες χρήστη και να εισχωρήσουν βαθύτερα ώστε να αντλήσουν κι άλλες πολύτιμες πληροφορίες.
Οι περισσότερες εταιρείες ήδη παρακολουθούν αδιαλείπτως όλες τις συσκευές που συνδέονται στο εταιρικό δίκτυο – είτε ασύρματα είτε ενσύρματα – όπως είναι οι μόνιμοι σταθμοί εργασίας, τα tablets, οι έξυπνες συσκευές και τα laptops, καθώς και οι δικτυακές εφαρμογές, οι βάσεις δεδομένων και οι servers. Στόχος είναι η ανίχνευση απειλών ή ύποπτης συμπεριφοράς, συλλέγοντας μια λίστα προειδοποιήσεων από όλες αυτές τις συσκευές και συσχετίζοντας τα γεγονότα μεταξύ τους, με τη χρήση κατάλληλων φίλτρων και κανόνων συλλογής, ώστε να αποκαλυφθεί αν τυχόν υπάρχει πολυκάναλη επίθεση.
Περιορισμός των ψευδών προειδοποιήσεων (false positive)
Αν στο πρόγραμμα παρακολούθησης των συμβάντων ασφαλείας προκύπτει μεγάλος αριθμός ειδοποιήσεων και επιβεβαίωσης συμβάντων, τότε αυξάνεται σημαντικά ο όγκος των αρχείων καταγραφής και καθίσταται σχεδόν αδύνατη η επισκόπησή τους και ο εντοπισμός των πραγματικά κακόβουλών ενεργειών. Αν ο διαχειριστής ασφαλείας δεν μπορεί να διακρίνει τις σημαντικές προειδοποιήσεις εν μέσω όλων των σημάτων που καταγράφονται, τότε το πρόγραμμα καθίσταται μη χρήσιμο.
Για να μειωθεί ο αριθμός των προειδοποιήσεων συμβάντων που παράγονται από το πρόγραμμα, ο διαχειριστής πρέπει πρώτα να αναλύσει το είδος αυτών των προειδοποιήσεων που προκύπτουν στην κονσόλα παρακολούθησης και να καθορίσει αν οι κανόνες παραγωγής τους μπορούν να ρυθμιστούν, έτσι ώστε να μειωθεί ο αριθμός τους. Επιπρόσθετα, μπορούν να ενεργοποιηθούν τρόποι φιλτραρίσματος των ειδοποιήσεων και κατηγοριοποίησή τους σε επίπεδα αξιοπιστίας, ώστε οι διαχειριστές να διαπιστώνουν ευκολότερα ποιες εξ αυτών σχετίζονται με πραγματικά συμβάντα επίθεσης.
Ένας τρόπος υποβιβασμού αυτών των επιπέδων, χωρίς να προκαλείται όμως απώλεια πραγματικών προειδοποιήσεων, είναι ο ορισμός επιπέδων κατωφλίου για κάθε εταιρική δραστηριότητα, που μπορεί να προκαλέσει ενεργοποίηση του προγράμματος ασφαλείας. Για παράδειγμα, αν μία εταιρεία επιβάλλει στους υπαλλήλους της την αλλαγή κωδικών πρόσβασης κάθε 90 μέρες, τότε σίγουρα θα διαπιστώσει έντονα φαινόμενα αστοχίας σύνδεσης μετά το πέρας του χρονικού ορίου αλλαγής των κωδικών. Οι εσφαλμένες απόπειρες σύνδεσης μπορούν όμως να σχετίζονται και με άλλους δείκτες κακόβουλης συμπεριφοράς, όπως είναι η προσπάθεια σύνδεσης στον ίδιο λογαριασμό από διαφορετικές IP διευθύνσεις. Πρέπει λοιπόν να υπάρξει φίλτρο που να διαχωρίζει την ομαλή εταιρική συμπεριφορά από την εν δυνάμει επίθεση στο εταιρικό δίκτυο. Παρόλα αυτά πρέπει να σημειωθεί ότι η υπερβολική ρύθμιση αυτών των φίλτρων ή ο ορισμός χαμηλών επιπέδων αξιοπιστίας μπορούν να οδηγήσουν σε κακή λειτουργία του προγράμματος ασφάλειας, γι’ αυτό και οι τιμές προτού οριστούν πρέπει να δοκιμάζονται εκτενώς σε πειραματικό επίπεδο.
Κέντρο Λειτουργιών Ασφάλειας -SOC
Η χρήση κεντροποιημένων προγραμμάτων διαχείρισης των απειλών των Οργανισμών θεωρείται αποτελεσματική, μιας και προσφέρει μια συνολική εικόνα της δραστηριότητας του υπό παρακολούθηση συστήματος. Για να επιτευχθούν υψηλότερα επίπεδα επίβλεψης και αντίδρασης, αυτά τα προγράμματα μπορούν να ενσωματωθούν ή να συνδεθούν στο κέντρο λειτουργιών ασφάλειας (SOC- security operation center) της εταιρείας. Κύριος ρόλος του SOC είναι η παρακολούθηση του συστήματος και η άμεση αντίδραση σε φαινόμενα επιθέσεων, οπότε η ενσωμάτωση των εν λόγω προγραμμάτων θεωρείται σχεδόν αυτονόητη.
Για να ενσωματωθούν οι πληροφορίες του προγράμματος διαχείρισης των απειλών στο SOC, ουσιαστικά πρέπει να απομονωθούν οι προειδοποιήσεις και να αποσταλούν στο SIEM (Security Information and Event Management Security) ή σε οποιοδήποτε σύστημα χρησιμοποιείται για τη συγκέντρωση των αρχείων καταγραφής συμβάντων. Ακολούθως, στο SIEM πρέπει να δημιουργηθούν κανόνες με τους οποίους θα αναλύονται τα αρχεία καταγραφής και θα παράγονται έγκυροι συναγερμοί δραστηριότητας απειλών, ώστε να υπάρξει περαιτέρω διερεύνηση ή άμεση αντίδραση. Για να λειτουργήσει αποτελεσματικά ο ανωτέρω σχεδιασμός, πρέπει να διασφαλιστεί ότι οι διαχειριστές του SOC έχουν αδειοδότηση πρόσβασης σε όλες τις λειτουργίες που απαιτούνται για την αντιμετώπιση των επικίνδυνων καταστάσεων και επίσης γνωρίζουν τον τρόπο κλιμάκωσης της αντίδρασης, τα πρωτόκολλα επικοινωνίας και τους εγκεκριμένους τρόπους αντίδρασης.
Αξιολόγηση ενεργειών
Κατά την τέλεση ενεργειών για την αντιμετώπιση μιας επίθεσης και λόγω της υψηλής εγρήγορσης που απαιτούν, το προσωπικό ασφαλείας εύκολα μπορεί να παραλείψει τις διαδικασίες επικύρωσης του αποτελέσματος και αποκατάστασης των προβλημάτων. Ακόμα και σε διαδικασίες ρουτίνας όπως είναι η διαχείριση και η απαλοιφή των τρωτών σημείων, πολλές εταιρείες αποτυγχάνουν να ολοκληρώσουν τον κύκλο της αποκατάστασης με επικύρωση των αποτελεσμάτων. Αδυνατούν δηλαδή να απαντήσουν αξιόπιστα, αν οι αδυναμίες εξαλείφθηκαν επιτυχώς. Κι αυτό, γιατί χωρίς εκτενείς δοκιμές μετά τις λειτουργίες αποκατάστασης, κανείς δεν μπορεί να γνωρίζει ότι το αποτέλεσμα επετεύχθη κατά το επιθυμητό.
Η ολοκλήρωση του κύκλου διαχείρισης των απειλών επέρχεται με την επικύρωση των αποτελεσμάτων. Αυτό περιλαμβάνει την εκ νέου σάρωση του συστήματος – ώστε να επικυρωθεί ότι εξαλείφθηκαν τα εντοπισμένα τρωτά σημεία – και την τέλεση δοκιμών σε επίπεδο εφαρμογών και δικτύου, ώστε να επιβεβαιωθεί ότι δεν υφίσταται πλέον κίνδυνος.
Συμπερασματικά
Συνοψίζοντας, το τοπίο των σύγχρονων απειλών που διαμορφώνεται είναι πολύπλοκο, με επιθέσεις από πολλαπλά κανάλια και πηγές. Για να αντιμετωπίσουν οι εταιρείες επιτυχώς αυτές τις επιθέσεις, οφείλουν να διοχετεύσουν τη δραστηριότητα γύρω από τα δεδομένα τους στο SIEM ή σε άλλες κονσόλες διαχείρισης ασφάλειας. Επιπρόσθετα, οφείλουν να διαθέτουν εξειδικευμένο προσωπικό, το οποίο θα επιβλέπει τις προειδοποιήσεις που παράγονται από το πρόγραμμα διαχείρισης ασφάλειας, θα κατανοεί ολοένα και βαθύτερα τις καταστάσεις που είναι επιβλαβείς και έτσι θα βελτιώσει το χρόνο αντίδρασης απέναντι σε κακόβουλες ενέργειες. Όλα αυτά πρέπει να συνοδεύονται από εργασίες βελτίωσης της εταιρικής θωράκισης και επικύρωσης ότι αυτές οι εργασίες είναι αποτελεσματικές και παράγουν τα επιθυμητά αποτελέσματα. Η αντιμετώπιση όλου του εύρους των απειλών είναι πρακτικώς αδύνατη, όμως οι εταιρείες με την καθημερινή βελτίωση των προγραμμάτων κεντρικής διαχείρισης της ασφάλειας μπορούν να αποφύγουν καταστροφικά συμβάντα.
Της Παναγιώτας Τσώνη
