Raport Vectra AI obnaża słabe punkty działów bezpieczeństwa w firmach. Czas zmienić zasady gry

Skupianie się wyłącznie na zapobieganiu atakom i pomijanie roli wykrywania, nieodpowiedni dobór narzędzi, brak świadomości zarządów i niedocenianie roli specjalistów ds. zabezpieczeń – to tylko niektóre smutne wnioski płynące z badania przeprowadzonego przez Vectra AI. Lider w dziedzinie cyberbezpieczeństwa zebrał informacje od 200 ekspertów ds. bezpieczeństwa IT pracujących w organizacjach zatrudniających ponad 1000 pracowników, aby dowiedzieć się, w jaki sposób radzą sobie obecnie z dynamicznymi zagrożeniami.

Cyberzabezpieczenia muszą ewoluować

Dotychczasowe, sprawdzone sposoby ochrony przed cyberatakami nie są już skuteczne. Liczba możliwych wektorów ataku z których mogą korzystać cyberprzestępcy wciąż rosnie – od szybkiego rozpowszechnienia się chmury po rosnącą popularność mikrousług, DevOps i interfejsów API – wszystko to sprawiło, że hakerzy są aktywni jak nigdy dotąd.

Na początku tego roku, prawie dwie trzecie średnich i dużych firm z Wielkiej Brytanii przyznało, że doświadczyło naruszeń w ciągu ostatnich 12 miesięcy. Jest to o tyle istotne, że takie naruszenia mogą wyrządzić znaczne szkody. Mogą zakłócać normalną działalność, niszczyć łańcuchy dostaw, obniżać zaufanie klientów i narażać firmy na urzędowe kary finansowe. Koszty cyberataków stały się bardzo wysokie: pojedynczy incydent, to według szacunków średnio 4,2 mln dolarów strat! Ataki ransomware, które polegają na kradzieży danych i groźbach długotrwałej przerwy w działaniu, mogą kosztować wielokrotnie więcej. Niektóre firmy odnotowały straty rzędu dziesiątek milionów dolarów. Nic dziwnego, że cyberbezpieczeństwo jest obecnie kwestią poruszaną na poziomie zarządu.

–  Wraz z ewolucją krajobrazu zagrożeń tradycyjne mechanizmy obronne stają się coraz bardziej nieskuteczne. Organizacje potrzebują nowoczesnych narzędzi, które uwidocznią słabe punkty, aby zapewnić widoczność od chmury do środowiska lokalnego. Potrzebują liderów bezpieczeństwa, którzy potrafią mówić językiem ryzyka biznesowego. Potrzebują zarządów gotowych do wysłuchania argumentów i zrozumienia potrzeb. W końcu, potrzebna jest strategia technologiczna oparta na zrozumieniu, że nie chodzi o to „czy” ale „kiedy” zabezpieczenia zostaną złamane – mówi Tim Wade, Dyrektor Techniczny w Vectra AI, Biuro CTO.

Aby poradzić sobie z atakującymi trzeba zmienić zasady gry

W obszarze cyberbezpieczeństwa trwa wyścig zbrojeń, który od obu stron wymaga ciągłych innowacji. Rynek cyberprzestępczości, corocznie przynoszący biliony zysków. To atrakcyjne środowisko dla rozwoju i rozpowszechniania nowych TTP. Jak w tej sytuacji branża radzi sobie z wyzwaniem obrony przed tym ciągle poruszającym się celem?

Wiele spośród osób biorących udział w badaniu uważa, że branża wciąż pozostaje w tyle. Dziewięć na dziesięć ankietowanych (89%) słusznie przyznało, że starsze podejścia nie chronią przed współczesnymi zagrożeniami i że należy „zmienić sposób działania, by poradzić sobie z napastnikami”. Potwierdza to fakt, że 69% uważa, że ​​cyberprzestępcy omijają obecne narzędzia, a innowacje w zakresie bezpieczeństwa są wiele lat w tyle za hakerami. Kolejne 72% uważa, że ​​wytyczne, zasady i narzędzia dotyczące bezpieczeństwa nie nadążają za technikami i procedurami atakujących.

W tym kontekście przestaje być zaskakujące, że ponad trzy czwarte (76%) liderów bezpieczeństwa zgłosiło, iż kupili narzędzia, które nie spełniły obietnic. Kluczowe powody takiej oceny to kwestie integracji i brak pełnej widoczności.

Najważniejsze powody, dla których narzędzia bezpieczeństwa nie spełniają swojej roli:

 

Pomimo tych wyzwań widoczny jest postęp. Spośród 78% respondentów, którzy doświadczyli zdarzenia wymagającego znaczącej reakcji, nieco ponad połowa (57%) informację o problemie otrzymała poprzez stosowane w firmie narzędzia bezpieczeństwa. To pozytywna zmiana. W 2015 roku badania wykazały, że 70% incydentów naruszenia zostało wykryte przez osoby z zewnątrz. Narzędzia do wykrywania i reagowania obecnie radzą sobie lepiej. Ale prawdą jest również, że to, co zadziałało wczoraj, dzisiaj może już nie zadziałać.

– Krajobraz zagrożeń jest dynamiczny i niestabilny, więc rację mają ci, którzy przyjmują postawę „zakładającą przełamanie ochrony”. Nie ma czegoś takiego jak całkowita odporność na ataki. Jeśli zdeterminowany cyberprzestępca chce dziś dostać się do Twojej sieci, zwykle w końcu mu się to uda. Jest po prostu zbyt wiele wektorów ataku, które może wykorzystać oraz zbyt wiele potencjalnie niezarządzanych i niedostatecznie chronionych zasobów, które mogą stanowić cel. Hakerzy korzystają z postępów jakie dokonały się w zakresie złośliwego oprogramowania, zautomatyzowanych zestawów narzędzi i modeli „as-a-service”, które otworzyły drzwi nawet technicznym nowicjuszom. Dlatego tak ważne jest polowanie na napastników ukrytych w sieci, aby znaleźć tę igłę w stogu siana – tłumaczy Tim Wade.

Ponad jedna czwarta (27%) respondentów stwierdziła, że ​​jest przekonana, że ​​ich portfolio narzędzi może wykryć i chronić je przed rodzajami zagrożeń wykorzystywanych w atakach na Kaseya, SolarWinds i JBS. Kolejne 25% stwierdziło, że jest w pełni przekonana, że widzi wszystkie zagrożenia stojące przed ich organizacją.

Skupianie się wyłącznie na zapobieganiu atakom stanowi poważne ryzyko dla organizacji

Ostatnie postępy, jakie hakerzy poczynili w metodach ataków, w dość prosty sposób umożliwiają im ominięcie technologii zapobiegawczych, takich jak uwierzytelnianie wieloskładnikowe. Mimo to tradycyjne myślenie „przede wszystkim zapobiegać” wciąż dominuje. Dwie trzecie (65%) respondentów nadal uważa, że ​​zapobieganie atakom cyberprzestępców jest ważniejsze niż ich wykrywanie — ich zdaniem, jeśli hakerowi uda się uzyskać dostęp do sieci firmowej, oznacza to, że firma jest już na straconej pozycji. W rezultacie 46% potwierdziło, że wydaje więcej na zapobieganie niż na wykrywanie ataków, przy czym tylko jedna piąta (23%) wydaje więcej na wykrywanie, a jedna trzecia (31%) mniej więcej po równo. Oczywiście organizacje nie powinny przestać inwestować w narzędzia takie jak uwierzytelnianie wieloskładnikowe – nadal stanowią one cenny sposób na zmniejszenie płaszczyzny ataku – ale nie można na nich polegać w zakresie ochrony przed współczesnymi zagrożeniami.

– Każdego, kto będzie polegać wyłącznie na działaniach mających na celu zapobieganie atakom, czeka brutalne przebudzenie. Chociaż organizacje z pewnością powinny starać się jak najbardziej utrudnić życie napastnikowi, zapobieganie nie powinno odbywać się kosztem wykrycia. Czas, motywacja i zasoby są zwykle po stronie napastnika, a wystarczy mu jeden łut szczęścia, aby odnieść sukces. Ale jeśli cyberprzestępca z powodzeniem uzyska dostęp do urządzenia lub sieci firmowej, wciąż istnieje kilka etapów w łańcuchu zabezpieczeń, które musi pokonać zanim dotrze do celu. Szybka reakcja może skutecznie zneutralizować zagrożenie, zanim możliwe będzie wyrządzenie szkody. W grze wysokiego ryzyka, w której to przestępcy mają więcej kart do rozegrania, wykrywanie i reagowanie stają się coraz lepszą opcją, aby jak najszybciej zminimalizować wpływ jakiegokolwiek naruszenia zabezpieczeń – uważa przedstawiciel Vectra AI.

Przekonanie o skuteczności dotychczasowych metod to typowy przykład potencjalnie szkodliwego myślenia. Skuteczna w 100% strategia zapobiegania w dzisiejszym krajobrazie zagrożeń jest prawie niemożliwa. Cyberprzestępcy mają po prostu zbyt wiele sposobów, na uzyskanie dostępu: od wykorzystania luk w zabezpieczeniach po socjotechnikę. Używanie skradzionych lub wyciągniętych „na siłę” danych uwierzytelniających i łatwe metody omijanie MFA oznaczają, że ​​mogą nawet nie uruchomić żadnych alarmów chroniących przed złośliwym oprogramowaniem. Gdy znajdą się w sieci, mogą używać standardowych narzędzi użytkowników i technik, aby pozostać w ukryciu. Jednak większość respondentów rozumie, że profilaktyka nie może być w 100% skuteczna. Ponad dwie trzecie (69%) respondentów uważa, że ​​mogło dojść do naruszenia, a o tym nie wie – 31% z nich uważa, że ​​jest to prawdopodobne. Co więcej, 50% respondentów stwierdziło, że uważa, iż tradycyjne zabezpieczenia prewencyjne stają się przestarzałe, ponieważ hakerzy mają dostęp do zaawansowanych narzędzi i mogą w związku z tym opracowywać sposoby ich obchodzenia. Sugeruje to, że następuje ważna zmiana w sposobie myślenia.

Zarządy firm nie wiedzą, jak skutecznie zwalczać zagrożenia 

Nie tylko przestarzałe podejście działów bezpieczeństwa wystawia firmy na potencjalne zagrożenia. Przestarzałe podejście osób zarządzających i kultura korporacyjna również mogą mieć negatywny wpływ. 82% respondentów uważa, że ​​na decyzje dotyczące cyberbezpieczeństwa podejmowane przez ich zarządy mają wpływ istniejące relacje z dostawcami. Ponad połowa (58%) stwierdziła, że ​​uważa, że ​​zarząd jest o dekadę spóźniony, jeśli chodzi o dyskusje na temat bezpieczeństwa.

Wskazuje to na pilną potrzebę informowania zarządów przez zespoły ds. bezpieczeństwa o nowych zagrożeniach, przed którymi stoi organizacja, oraz o najskuteczniejszych strategiach obronnych. To jednak może stanowić wyzwanie. Dwie trzecie (68%) respondentów stwierdziło, że trudno jest przekazać zarządowi znaczenie bezpieczeństwa, ponieważ jej wartość bardzo trudno zmierzyć.

Chociaż z pewnością prawdą jest, że komunikowanie się i mierzenie wartości bezpieczeństwa nie zawsze jest proste, możliwe jest zmierzenie możliwości określonych zabezpieczeń. Aby zrobić to w najbardziej efektywny sposób, liderzy bezpieczeństwa muszą starać się dopasować stosowane metryki do celów biznesowych, obliczonych w odniesieniu do poziomu ryzyka, w sposób który będzie rezonować. W innym przypadku zarząd prawdopodobnie nie uwolni potrzebnych funduszy na nowe technologie.

Pojawiają się jednak sygnały, że dzięki nagłośnieniu tematyki przez media, sytuacja może się zmienić. Około 89% respondentów stwierdziło, że ostatnie głośne cyberataki sprawiły, że zarząd zaczyna zwracać należytą uwagę na cyberbezpieczeństwo. Na szczęście wiedza ekspercka partnerów handlowych okazuje się nieoceniona w przeciwdziałaniu negatywnemu wpływowi dotychczasowych postaw zarządu. Około 86% respondentów jest wdzięcznych za wskazówki tych organizacji, które pomagają im w sortowaniu niezbyt skutecznych produktów i dostawców. Organizacje dystrybucyjne zapewniają klientom nowe możliwości odkrywania różnych rodzajów technologii, wykorzystując swoje relacje biznesowe do organizowania wczesnych demonstracji i prób koncepcyjnych. Ich zespoły to zazwyczaj dobrze wyszkoleni i wysoce zmotywowani eksperci, wnoszący dodatkową wiedzę do wykorzystania w czasie, gdy korporacyjne zespoły ds. cyberbezpieczeństwa zmagają się z problemami bez koniecznych umiejętności.

– Szefowie działów bezpieczeństwa muszą wykorzystać tę okazję do wprowadzenia zmian. Należy edukować liderów biznesowych w zakresie różnorodności rodzajów ryzyka i potencjalnych efektów oraz odnośnie możliwych strategii, które można zastosować w celu złagodzenia wpływu tych zagrożeń. Co najważniejsze, musimy zacząć mówić o ryzyku w języku, który wszyscy będą mogli zrozumieć, czas porzucić specjalistycznie zwroty – zauważa Tim Wade z Vectra AI.

 

Realia walki z cyberprzestępcami kontra biurokracja

W zależności od rodzaju organizacji, na rolę specjalisty ds. cyberbezpieczeństwa wpływ może mieć złożony zestaw nakładających się przepisów regulacyjnych i legislacyjnych. Unijne ogólne rozporządzenie o ochronie danych (RODO), znacznie podniosło kary za naruszenia danych. Potencjalne sankcje, z którymi muszą liczyć się firmy, które popełnią błąd i ujawnią wrażliwe dane, mogą sięgać astronomicznych wręcz kwot. Dyrektywa UE dotycząca bezpieczeństwa sieci i informacji (NIS), do której obecnie wprowadzane są poprawki, określa nowe minimalne wymagania dla „operatorów usług kluczowych” w różnych sektorach. Do tego dochodzą różne sektorowe wymogi regulacyjne narzucone przez np. Financial Conduct Authority (FCA) i Prudential Regulation Authority (PRA) Banku Anglii. Istnieją również mandaty zgodności międzysektorowej, takie jak PCI Data Security Standard (DSS), dla organizacji przetwarzających dane kart płatniczych i kredytowych. Jednak większość (58%) respondentów stwierdziła, że ​​prawodawcy nie posiadają wystarczających kompetencji do podejmowania decyzji dotyczących kwestii cyberbezpieczeństwa i wezwali do większego wkładu i współpracy z branżą. Kolejne 43% twierdziło, że organy regulacyjne nie wiedzą, jak wygląda codzienność walki na pierwszej linii frontu z cyberprzestępcami, nie mają więc wystarczającej wiedzy, aby tworzyć prawa dla specjalistów ds. cyberbezpieczeństwa.

Może to sugerować, że pracownicy odpowiedzialni za cyberochronę uważają, że osoby odpowiedzialne za tworzenie i egzekwowanie przepisów regulacyjnych i legislacyjnych są zbyt oderwane od codziennych doświadczeń profesjonalistów z branży. Jest to problem w wielu sektorach, ale szczególnie w cyberbezpieczeństwie, gdzie innowacje technologiczne po stronie atakującego i obrońcy postępują tak szybko, że regulujące je zasady mogą szybko stać się nieaktualne, jeżeli nie będą dobrze przygotowane.

Nawet jeśli wytyczne są opracowywane przez ekspertów ds. bezpieczeństwa, takich jak ci pracujący w National Cyber ​​Security Center (NCSC) GCHQ, nie zawsze chwalone są przez profesjonalistów z branży. Tylko 56% respondentów stwierdziło, że przeczytało przewodnik NCSC przedstawiający 10 kroków do cyberbezpieczeństwa dla średnich i dużych firm, a tylko jedna trzecia (34%) stwierdziła, że ​​dostarczył on im niezbędnej wiedzy i wskazówek. Ponad połowa (51%) stwierdziła, że ​​musi być on rozwinięty o bardziej konkretne informacje.

Zdaniem eksperta Vectra AI, należy wrócić do podstaw i zrozumieć, jakie dane i zasoby posiada firma oraz kto ma do nich dostęp, i dopiero na podstawie tej wiedzy zastosowanie odpowiednich narzędzi kontroli. Skuteczne przepisy, prawa i normy powinny kodyfikować to zdroworozsądkowe podejście i jasno informować o wymogach na każdym poziomie i etapie pracy. Ważne jest, aby pamiętać, że dają one tylko podstawę, nie stanowią całości wymagań. Podmioty zajmujące atakami wprowadzają innowacje szybciej niż większość organów regulacyjnych lub ustawodawców jest w stanie wydawać nowe przepisy, więc strategia bezpieczeństwa powinna aktualizowana w tym samym tempie.

Podsumowanie raportu

Starsze metody zabezpieczeń ukierunkowane na prewencję dają atakującym przewagę w przypadku złożonych, nowoczesnych zagrożeń. Nie ma idealnej metody gwarantującej bezpieczeństwo – każde zabezpieczenie może zostać złamane. Atakujący mają dostęp do nowoczesnych narzędzi. Mogą przeprowadzać testy i sprawdzać, jakie działanie okaże się skuteczne. W końcu odniosą sukces. Branża powinna skupić się na budowaniu programów opartych na odporności. Odporność na ataki musi opierać się na właściwej postawie – zawsze zakładajmy, że w naszej firmie dojdzie do naruszenia zabezpieczeń.

Nie można już dłużej polegać na starszych narzędziach profilaktycznych, regulacjach rządowych i przestarzałych wymagań od zarządu. Akceptując tę ​​ewolucję strategii, CISO (Chief Information Security Officers) mogą stworzyć odpowiednie warunki do skutecznego zarządzania ryzykiem cybernetycznym. Zrozumienie, że zagrożenia mogą wymknąć się spod kontroli, to nie to samo, co przyznanie się do porażki — wręcz przeciwnie. Nowe podejście powinno polegać na podjęciu wszelkich możliwych działań, aby powstrzymać hakerów przed wniknięciem do organizacji, ale również na zaopatrzeniu się w narzędzia do wykrywania podejrzanych zachowań, na wypadek, gdyby udało im przebić się do sieci firmy. Robiąc to skutecznie, organizacje mogą wykrywać i ograniczać incydenty, zanim te będą miały szansę przekształcić się w coś poważniejszego. Wszystko da się opanować, dopóki atakujący nie osiągnie swojego celu. Ale osoby reagujące na incydenty nie mogą pracować w próżni. Potrzebują odpowiednich narzędzi, aby zmaksymalizować produktywność analizy i pomóc dostrzec tę „igłę w stogu innych igieł”.

Główne wnioski:

Najważniejsze statystyki: