Kas 14 sekundžių visame pasaulyje nuo kibernetinės atakos nukenčia bent viena įmonė, tačiau kelias iki organizacijos „nulaužimo“ dažnai trunka ne vieną parą. IBM duomenimis, bendrovės duomenų vagystę aptinka vidutiniškai tik po 277 dienų, kai nusikaltėlių pėdsakai būna jau seniai ataušę, o pasisavinta informacija – sėkmingai naudojama blogais tikslais. Deja, dėl įvairių objektyvių priežasčių verslai „kibernetinę ligą“ išduodančių ženklų nepastebi laiku, prarasdami bet kokią galimybę sausi išlipti iš balos.
Asociatvi nuotr.
„Šiandien didžiausia kibernetinio saugumo spraga pamažu tampa ne technologijos, o žmogiškųjų išteklių trūkumas. Įmonės gana noriai diegia antivirusines programas ir ugniasienes, bet elementariai neturi „akių“, kurios galėtų prižiūrėti, kas darosi jų tinkle, bei laiku paspausti „raudoną mygtuką“. Laimė, šios problemos nebūtina spręsti steigiant etatus ar atsakomybėmis apkraunant esamus darbuotojus – visą saugumo centrą su specialistais šiomis dienomis galima tiesiog „išsinuomoti“ už fiksuotą mėnesinį mokestį“, – teigia Aurimas Žlibinas, „Telia“ Verslo klientų padalinio vadovas.
Grėsmių pobūdis keičiasi
Pasak A. Žlibino, kibernetinės atakų kryptys nuolat kinta, bet kelių pastarųjų metų tendencijos rodo, kad jos vis dažniau nukreipiamos ne tiesiogiai į sistemas, o į įmonės darbuotojus. Išnaudojant socialinės inžinerijos elementus, nusikaltėliai siekia, jog jiems reikalinga informacija būtų pateikta tarsi ant lėkštutės, o dar geriau – kad neteisėti veiksmai būtų atlikti nieko neįtariančio žmogaus rankomis.
Saugumo programinės įrangos kūrėjų „Symantec“ skaičiavimu, apie pusė elektroninių laiškų pastarosiomis dienomis yra tikrų tikriausias šlamštas arba apgavystės. Kaip bebūtų gaila, statistika rodo, kad maždaug trečdalis įmonės kolektyvo anksčiau ar vėliau „pasimaus“ ant šio kabliuko, programišiams suteikdami savo slaptažodžius arba įmonės kompiuterį apkrėsdami kenkėjiška programine įranga.
„Kai sukčiai apsimeta vadovu, buhalteriu ar kitu kolega, automatiniai saugumo įrankiai dažnai nebūna pajėgūs užkirsti kelio aukos veiksmams, kurie atrodo teisėti, bet iš tiesų kelia grėsmę. Pavojaus aptikimas tampa dar sudėtingesnis, jei nusikaltėliams pavyksta perimti vieno iš kolegų elektroninį paštą arba su grėsme susiduriama iš vidaus – kai užvaldyti arba perimti jautrią informaciją bando pats piktų kėslų turintis darbuotojas. Tokiais atvejais vienintelė gynyba tampa stebėjimas ir greita reakcija į bet kokią įtartiną veiklą“, – dėsto „Telia“ verslo klientų padalinio vadovas.
Stebėti įprastai nėra kam
Kad ir koks naudingas būtų proaktyvus rizikų vertinimas, verslai įprastai neturi, kam šią užduotį deleguoti. Didelių įmonių IT skyriai dažnai visą dėmesį būna sutelkę į sistemų tobulinimą bei atnaujinimą, todėl operacijų stebėjimas iš kibernetinio saugumo pusės neretai tampa antraeiliu dalyku. Mažesnėse bendrovėse ši problema dar opesnė – IT darbuotojų įprastai būna būti vos keli, o jaunuose versluose jų gali apskritai nebūti, nes visos IT paslaugos perkamos iš išorės.
Net jeigu kompanija turi pakankamai šią užduotį galinčių vykdyti specialistų, nuolatinis grėsmių stebėjimas ir incidentų valdymas realybėje neretai tampa sunkiai įgyvendinamu uždaviniu dėl kompetencijų stokos. IT sistemų administratoriai ir programinės įrangos kūrėjai ne visada gali būti įgudę naudoti žurnalinių įrašų analizei pasitelkiamus įrankius, jais pastebėti ankstyvuosius atakos ženklus bei laiku imtis veiksmų.
Savotišku išsigelbėjimu tokioje situacijoje verslams tampa galimybė kibernetinio saugumo stebėjimą įsigyti kaip paslaugą. Vienas tokių yra „Telia“ Saugumo operacijų centro (SOC) sprendimas, kuris grėsmių monitoringui reikalingus įrankius ir ekspertų komandos darbą leidžia įsigyti už fiksuotą mėnesinį mokestį. Tokią paslaugą neseniai įsigijo Lietuvos strateginės reikšmės įmonė „KN Energies“.
„KN Energies“ nuolat skaitmenizuoja verslo procesus, tobulina esamas ir diegia naujas IT sistemas. Būdami strateginės reikšmės įmone Lietuvai, susiduriame su didesniu kibernetinių nusikaltėlių dėmesiu, todėl veiklos ir sistemų tobulinimo procese negalime leisti jokių kompromisų dėl kibernetinio saugumo. SOC paslauga yra nepamainoma užtikrinant optimalų ir nepertraukiamą kibernetinės saugos stebėjimą bei reagavimą, o taip pat džiaugiamės galėdami pasitelkti IT saugumo profesionalų patirtį sprendžiant nestandartines su kibernetine sauga susijusias situacijas“, - sako Rasius Šakaitis, AB „KN Energies“ informacinės saugos vadovas.
Nuo stebėjimo iki reagavimo
SOC naudoja pažangias priemones, tokias kaip XDR (Extended Detection and Response) ir SIEM (Security Information and Event Management), kad užtikrintų išsamų kibernetinių grėsmių aptikimą ir valdymą. XDR integruoja duomenis iš įvairių šaltinių – tinklų, serverių, darbo vietų, debesų platformų ir el. pašto sistemų. SIEM, savo ruožtu, kaupia žurnalinius įrašus ir įvykių duomenis, analizuodama juos ir leisdama pastebėti net smulkiausius vartotojo elgesio nukrypimus nuo įprastų veiksmų, kurie gali rodyti potencialią grėsmę. Kartu šie įrankiai suteikia visapusišką apsaugą nuo elementarių darbuotojų klaidų ir sudėtingesnių socialinės inžinerijos atakų.
„Kibernetiniai išpuoliai yra lyg žaizdos – laiku sutvarsčius galima išvengti rimtos infekcijos. Todėl SOC paslauga apima ne tik stebėjimą. Aptikusi incidentą, SOC stengiasi jį sulaikyti, izoliuodama paveiktus išteklius, vykdydama skubų pažeidžiamumų pataisymą ir jungdamasi tiesiogiai prie kliento sistemų, jeigu jai suteikiamos tokios teisės. Papildomai užsisakius pažeidžiamumų valdymo funkciją, SOC taip pat įvertina organizacijos sistemų silpnąsias vietas bei padeda IT komandoms pritaikyti pataisas ir atnaujinimus, taip dar labiau sumažinant potencialų atakų mastą“, – aiškina „Telia“ Verslo padalinio vadovas.
Kad reagavimo į incidentus terminai būtų aiškiai nustatyti ir užtikrinami, svarbų vaidmenį vaidina SOC įsigijimo metu pasirašomos Paslaugų lygio sutartys (SLA). „Telia“ specialistai XDR ar SIEM sistemos įspėjimus stebi kiaurą parą visus metus ir, priklausomai nuo pasirinkto SLA lygio, į kibernetinį išpuolį gali sureaguoti per kelias valandas ar net mažiau. Visos šios intervencijos atspindi mėnesinėse ataskaitose apie saugos įvykius bei kartą per ketvirtį SOC organizuojamuose susitikimuose su klientu, siekiant aptarti saugumo būklę ir galimus jos patobulinimus.