Čakať na incident sa nevypláca. Pripraviť sa treba už skôr
Strata peňazí, sankcie regulačných orgánov, poškodenie reputácie. Následky kybernetických útokov dokážu otriasť firmou bez ohľadu na jej veľkosť.
Dnešný svet digitálnej transformácie okrem výhod prináša aj omnoho vyššiu hrozbu kybernetických útokov. Podľa niektorých štúdií sa počet obetí ransomvéru medzi rokmi 2022 a 2023 globálne zdvojnásobil. Schopnosť reagovať na takéto incidenty sa preto stáva základným kameňom modernej stratégie kybernetickej bezpečnosti. Ide o koordinované úsilie, ktorého cieľom je minimalizácia škôd, spôsobených útokom, obnovenie prevádzky a zabránenie výskytu podobných prípadov do budúcnosti.Aktívna príprava pomáha
Efektívne riešenie incidentu sa pritom musí začať ešte skôr, ako k nemu dôjde. Základom je aktívna príprava a vypracovanie plánu postupu. V ňom treba načrtnúť úlohy, rozdeliť zodpovednosť a definovať kroky, ktoré by v prípade incidentu mali nasledovať. Samozrejme, plány treba vopred otestovať a zanedbať nemožno ani prípravu personálu.
S odhalením potenciálnych bezpečnostných incidentov potom už pomôžu pokročilé technológie detekcie hrozieb. Systémy, ktoré sa skrývajú napríklad za skratkami IPS (na perimetri siete nepretržite monitoruje prevádzku, pri odhalení škodlivej aktivity sa jej automaticky snaží zabrániť), EDR (nepretržite monitoruje zariadenia koncových používateľov s cieľom zistiť a reagovať na kybernetické hrozby, ako je ransomvér a malvér), či SIEM (správa bezpečnostných informácií a udalostí z rôznych zdrojov, ich korelácia a analýza v reálnom čase), dokážu dostatočne včas upozorniť na možné riziko.
Po identifikácii hrozby nasleduje fáza izolácie. Jej cieľom je zabrániť ďalšiemu šíreniu a odstrániť hlavnú príčinu incidentu. Dosiahnuť to možno napríklad blokovaním škodlivej prevádzky či zakázaním napadnutých používateľských účtov.
Neoddeliteľnou súčasťou „incident response“ sú aj akcie, nasledujúce po odstránení hrozby. Pozornosť treba venovať opätovnému uvedeniu do prevádzky, obnove postihnutých údajov a v neposlednom rade implementácii dodatočných bezpečnostných opatrení. Celá reakcia by mala byť zavŕšená dôkladnou analýzou na získanie ponaučení a identifikovanie oblastí, ktoré treba zlepšiť.
Bez komunikácie to nejde
Jedným z kľúčových momentov každej úspešnej reakcie na incident je komunikácia medzi všetkými zúčastnenými stranami. Plní pritom viacero úloh – upozorní všetky zainteresované strany, pomáha pri efektívnej koordinácii úsilia a má nezastupiteľnú rolu pri riadení reputačných rizík. Zavedenie jasných komunikačných kanálov je preto zásadné.
Súčasťou komunikačného reťazca by mali byť nielen interné tímy, ako sú pracovníci IT bezpečnosti, vedúci pracovníci či zamestnanci, ktorých môže incident ovplyvniť. V závislosti od závažnosti incidentu môže byť potrebné informovať aj externé strany, regulačné orgány či médiá.
Počas samotného kybernetického incidentu musia byť jasne určené úlohy, zodpovednosti a priority. Reakcia na kybernetické incidenty sa do veľkej miery spolieha na včasné a presné zdieľanie poznatkov, ktoré sa týkajú incidentov a taktiky útočníkov. Výmenou informácií s externými odborníkmi môžu organizácie získať cenné informácie o hrozbách a odskúšaných postupoch na minimalizovanie kybernetických rizík.
Veľmi dôležité je zachovanie dôvery medzi zúčastnenými stranami. Transparentná komunikácia pomáha preukázať odhodlanie organizácie riešiť incident, zmierniť jeho dopad a chrániť záujmy dotknutých strán, vrátane zákazníkov a obchodných partnerov.
Pomôže aj umelá inteligencia
Reakcia na kybernetický incident je zložitý proces, ktorý si okrem najnovších znalostí vyžaduje presnú koordináciu a postupy. Nie každá organizácia však má zdroje na to, aby dokázala zareagovať včas a správne. Tu môžu pomôcť služby externých dodávateľov – vedia poskytnúť informácie o hrozbách, analýzu i samotnú reakciu na incidenty.
Pri ich výbere je dôležité dbať na to, aby služba pokryla celé IT prostredie organizácie – on-premise, hybridné, aj multicloudové, aby nezostali slepé miesta. Dnes už možno reakciu zrýchliť aj vďaka využitiu umelej inteligencie. Hlavnou výhodou služby s integrovanou AI je vyhľadávanie hrozieb vo veľkom rozsahu. Potenciálne útoky dokáže odhaliť rýchlejšie a automaticky ich neutralizuje ešte skôr ako spôsobia škody. Tímom kybernetickej bezpečnosti tak poskytne čas na iné aktivity.
Implementácia môže zahŕňať aj takzvaný recovery management, ktorý umožní obnovu kompromitovaných cloudových zdrojov pomocou cloudových zálohovacích služieb alebo dokáže spustiť záložnú inštanciu, ak je primárna v karanténe.
Michal Sekula, konzultant pre kybernetickú bezpečnosť, Eviden Slovensko
Prihláste sa na Jesenná ITAPA 2024