W cyberbezpieczeństwie potrzebne są kompleksowe, całościowe rozwiązania. Chodzi nie tylko o zapewnienie możliwości odpierania poszczególnych ataków lecz przede wszystkim o zapewnienie organizacji stanu stałej, wysokiej odporności na zagrożenia i mechanizmów zapobiegania rozprzestrzenianiu się cyberinfekcji. Skuteczne na tym polu mogą okazać się doświadczenia z zakresu biologii, historii czy epidemiologii. Mówili o tym uczestnicy marcowego spotkania CSO Council. 

W cyberbezpieczeństwie liczy się nie tylko umiejętność wykrywania i zwalczania pojawiających się ataków, zdolność reagowania na incydenty i przywracania funkcjonalności zainfekowanych systemów. Kluczowe znaczenie dla skuteczności działań w zakresie cyberbezpieczeństwa ma zbudowanie odpowiedniej cyberodporności (Cyber Resilience). Podczas marcowego spotkania CSO Council zwracał na to uwagę Francesco Chiarini, Dyrektor ds. Projektów Międzynarodowych w ISSA. 

Jego zdaniem, cyberodporności nie można utożsamiać bezpośrednio z ochroną danych i systemów przed atakami. Chodzi bardziej o budowę odpowiedniej architektury cyberbezpieczeństwa i funkcji pozwalających na ochronę kluczowych zasobów. Ważny jest generalnie odpowiedni stopień dojrzałości organizacji w zakresie cyberbezpieczeństwa. 

Francesco Chiarini, Dyrektor ds. Projektów Międzynarodowych w ISSA

Francesco Chiarini użył porównania do architektury zabezpieczeń stosowanych w dawnych zamkach. Stanowiły one spójną, przemyślaną całość. Z podobnych elementów składa się system cyberzabezpieczeń w organizacji. Zamkowe mury obronne to dzisiejszy firewall, most zwodzony przy bramie to punkt kontroli dostępu, fosa to strefa DMZ (demilitarized zone) itp. Podobne cele i właściwości mają również działania podejmowane w tych miejscach. Zadaniem strażników na wieży było obserwowanie, kto się zbliża do zamku i rozpoznawanie tych, którzy mają prawo wstępu oraz identyfikowanie obcych. Takie same funkcje mają firmowe systemy SOK i SIEM. 

We wdrażaniu skutecznych mechanizmów cyberodporności mogą pomagać liczne, powszechnie dostępne przewodniki i modele (frameworki), takie jak: CMMI, SEI(CMU), CERT RMM, MITRE CREF czy NIST 800-160. Według autorów tej osatniej publikacji, wydanej przez amerykański National Institute of Standard and Technology, system cyberodporności działa podobnie jak układ immunologiczny człowieka, który absorbuje zagrożenia z otoczenia i dostarcza ciału ludzkiemu odpowiednich mechanizmów obronnych celem zachowania zdrowia. Z kolei według definicji Europejskiego Banku Centralnego (ECB), cyber resilience to zdolność do ochrony danych i systemów przed atakami tak dobrze jak i do przywracania działalności biznesowej w przypadku udanego ataku.     

„Wdrożenie systemu cyber resilience nie jest trudne, gdy się korzysta z gotowych wzorów. Każdy może wybrać najbardziej mu odpowiadający model i zaadaptować do swojej działalności” – mówił Francesco Chiarini. Jego zdaniem, ważne jest by pracować w zespołach multidziedzinowych, składających się z przedstawicieli wielu różnych specjalności i obszarów działania. Wtedy łatwiej jest uzyskać szerszy, rozbudowany obraz sytuacji, który pozwoli zobaczyć więcej elementów i powiązań między nimi niż przy podejściu sprofilowanym pod określonym kątem. Szeroki punkt widzenia jest ważny m.in. dlatego, że przy budowie systemu cyberodporności jednym z najważniejszych zadań jest wdrożenie funkcji skutecznego rozpoznawania otoczenia i zapewnienie ochrony dróg podejścia do chronionej organizacji. 

„Problemem jest brak specjalistów od cyber resilience” – zwracał uwagę Francesco Chiarini. Ludzi mających szersze spojrzenie na kwestie cyberbezpieczeństwa potrzeba już teraz i będzie potrzeba coraz więcej, ale na rynku pracy nie ma ich dużo. To może utrudnić wdrażanie skutecznych mechanizmów cyberodporności w firmach. 

We wdrażaniu skutecznych mechanizmów cyberodporności mogą pomagać liczne, powszechnie dostępne przewodniki i modele (frameworki), takie jak: CMMI, SEI(CMU), CERT RMM, MITRE CREF czy NIST.

Od higieny do walki z wrogiem 

Dobra cyberodporność może być szczególnie ważna w przypadku zmasowanych, rozległych ataków, gdy będziemy mieć do czynienia z cyberpandemią. Zdaniem Joanny Dąbrowskiej, Sales Engineer w Trend Micro, jest to bardzo realny scenariusz rozwoju wydarzeń związanych z atakami na systemy informatyczne. To, co na pierwszy rzut oka może wydawać się standardowym, poważnym incydentem, jest w stanie w określonych warunkach doprowadzić do masowego rozprzestrzeniania się cyberzagrożeń na wzór pandemii. Z takimi przypadkami już zresztą mieliśmy do czynienia. Przykładami cyberpandemii mogą być: Eternal Blue czy WannaCry Ransomware. 

Jak zatem walczyć z cyberpandemią? Generalnie, warto pamiętać, by postępować zgodnie z zasadami wypracowanymi i sprawdzonymi w ramach przeciwdziałania pandemii w świecie biologicznym. Są one adekwatne do sytuacji, z jaką mamy do czynienia w cyberbezpieczeństwie i mogą być użyteczne dla ludzi odpowiedzialnych za walkę ze zmasowanymi, rozprzestrzeniającymi się cyberatakami w firmach. Bardziej szczegółowych, usystematyzowanych wskazówek w tym zakresie dostarczają m.in. wytyczne opracowane przez amerykańską Narodową Agencję Bezpieczeństwa (NSA – The National Security Agency).

Joanna Dąbrowska, Sales Engineer w Trend Micro

Najważniejszym zadaniem jest wzmacnianie własnej odporności. Trzeba przede wszystkim dbać o higienę i stosować odpowiednie szczepienia uodparniające. Niezbędne jest także monitorowania „stanu zdrowia”. W odniesieniu do firmowego cyberśrodowiska oznacza to sprawowanie stałego nadzoru nad tym tym co się dzieje we wszystkich systemach informatycznych – począwszy od urządzeń użytkowników końcowych, przez pocztę elektroniczną,  po serwery, sieć i usługi chmurowe. Niezwykle ważna w tym kontekście okazuje się być umiejętność klasyfikowania zdarzeń. Od tego bowiem zależy decyzja o uruchomieniu właściwych procedur obronnych. 

Gdy już zostaniemy zaatakowani niezwykle istotne staje się znalezienie „pacjenta zero”, czyli zidentyfikowanie miejsca i zdarzenia, od którego zaczął się atak. „To daje wyobrażenie o charakterze ataku, jego wadze i znaczeniu dla dalszego przebiegu wydarzeń. Jeżeli mamy świadomość, od kiedy nasz system stał się podatny na zagrożenie, jesteśmy w stanie stosować skuteczniejsze, lepiej dopasowane do sytuacji środki zaradcze” – mówiła Joanna Dąbrowska. 

Dobre poznanie wroga ma kluczowe znaczenie dla podejmowanych w zakresie cyberbezpieczeństwa działań. Im mamy więcej wiedzy na temat konkretnych zagrożeń, tym bardziej możemy być na nie odporni. Jeżeli zdajemy sobie sprawę, jak atakujący działa i co jest celem jego ataków, tym skuteczniejsze możemy przygotować rozwiązania obronne, zastosować właściwą szczepionkę. 

Ważne jest także, by spojrzeć na zagrożenie z szerszej perspektywy, nie tylko przez pryzmat pojedynczego wydarzenia czy incydentu lecz w sposób globalny. Na przykład, nie można ograniczać się tylko do sprawdzenia do kogo trafił zainfekowany plik, lecz trzeba także zbadać czy znajduje się w innych wiadomościach lub skrzynkach pocztowych. Chodzi o to, by mieć jeden duży, ogólny obraz sytuacji. Łatwiej wtedy zobaczyć coś, co na pierwszy rzut oka wydaje się niegroźnym, standardowym wydarzeniem a w gruncie rzeczy niesie z sobą poważne, dalekosiężne w skutkach zagrożenie.

Dobre poznanie wroga ma kluczowe znaczenie dla podejmowanych w zakresie cyberbezpieczeństwa działań. Im mamy więcej wiedzy na temat konkretnych zagrożeń, tym bardziej możemy być na nie odporni.