Платформени решения за киберзащита

В настоящата статия сме разгледали предизвикателствата, пред които са изправени ВиК дружествата в контекста на нарастващите киберзаплахи. Тъй като тези организации обработват големи обеми лични данни и предоставят критични обществени услуги, те се превръщат в мишена за киберпрестъпниците. Разгледали сме и различни съвременни технологии за киберзащита, които са предназначени да засичат, анализират и реагират на киберзаплахи по различни начини. Внедряването на тези технологии е от ключово значение за защитата на критичната инфраструктура и осигуряването на надеждна услуга за гражданите.

Текст: списание Инфрабилд

В дигиталните системи на ВиК дружествата, където информационни и оперативни технологии все повече се преплитат, днес е нужна безупречна защита от кибератаки. Тези организации разполагат с много лични данни поради големия си брой клиенти, а в същото време отговарят за социално значима услуга, от която гражданите и бизнесите са зависими. Редом с енергийните дружества, преработвателите и дистрибуторите на горива и държавната администрация, ВиК организациите са сред най-привлекателните мишени за кибернападателите.

Една успешена кибератака може да доведе до сериозни последствия — от прекъсване на водоснабдяването до изтичане на чувствителна информация и финансова загуба. За да се защитят, тези организации внедряват съвременни платформени решения за киберзащита, които предлагат проактивни мерки за откриване и предотвратяване на заплахите. Настоящата статия разглежда основните предизвикателства и технологичните решения, които играят ключова роля за сигурността на ВиК инфраструктурата.

Новата, по-висока летва с МИС-2

От октомври 2024г. влизат в сила новите изисквания на европейската Директива за мрежова и информационна сигурност, известна като NIS-2 или МИС-2. Нейните критерии обхващат всички организации, които поддържат и управляват големи инфраструктури, особено такива, които са критични за обществото – включително ВиК. Директивата определя водния сектор като основен в своята класификация на субектите.

Въвеждането на политики за анализ на риска и сигурност на информационната система е една от стъпките, които са задължителни. Трябва да бъде предвиден план за обработка и докладване на инциденти, свързани със сигурността. Задължително е наличието на ясни и отработени планове за действие по време на кибератака и след нея, гарантиращи непрекъсваемост на услугата.

Директивата задължава операторите на инфраструктури да наложат изисквания за сигурност и на своите партньори – доставчици, подизпълнители и др. Специално внимание следва да бъде посветено на осведомеността и грамотността на служителите. Необходимо е провеждането на периодични обучения по киберзащита и безопасно поведение при работа с ИТ системите и основни практики за киберхигиена. Така е, защото пробив в ИТ инфраструктурата може да се получи както при злонамерени действия, така и от неумишлени стъпки от страна на служители или изпълнители с достъп до критичните системи.

Много внимание, според директивата, се отделя на докладването в случай на инцидент. Засегнатата организация разполага с 24 часа за първото докладване, считано от момента, в който за пръв път се е разбрало за пробива. Дружеството следва да подаде известие до националното звено за реагиране при инциденти с информационната сигурност. Това позволява организацията да потърси помощ - насоки или оперативни съвети относно прилагането на възможни мерки за смекчаване на последиците. Следва второ докладване, което трябва да се подаде в рамките на 72 часа от узнаването за инцидента. Накрая се подава окончателен доклад не по-късно от един месец след случая.

Заимствайки модела на санкции от GDPR, новата директива предвижда големи глоби в случай на пробив. Те могат да бъдат 7млн. евро или 1,4% от цялостния годишен приход, наред с отстраняване на ръководството на организацията.

Съвременни платформени решения за киберзащита

За борба с модерните заплахи са разработени различни инструменти и решения, включително EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), SIEM (Security Information and Event Management), MDR (Managed Detection and Response) и SOAR (Security orchestration, automation and response). Всеки от тези инструменти има уникален набор от възможности и е предназначен да адресира различни аспекти на киберсигурността.

Откриване на заплахи при крайните устройства и реагиране

EDR е инструмент, който открива заплахи у крайните устройства – компютри, лаптопи, сървъри. EDR (съкращение от Endpoint Detection and Response) работи върху крайните устройства подобно на DVR, като записва всичко случващо се. За разлика от остарелите антивирусни програми, EDR следи не за късове зловреден код, а за подозрително поведение у машините. Когато „види“ съмнителни събития, известява отговорниците по сигурността и им предлага действия, които да предприемат. Инструментът може да осигури и автоматична реакция, например изолиране на машината.

Организациите, които използват EDR, имат цялостна видимост на всичко, което се случва в техните устройства и което може да има отношение към сигурността. Регистрира мрежови връзки, стартирания на процеси, зареждане на драйвери, промени в регистъра, достъп до диск, достъп до памет и промени в регистъра. В резултат на променящия се характер на кибератаките и нарастващата им сложност EDR придобива все по-голямо значение.

Разширено откриване и реагиране

XDR е следващо поколение EDR, усъвършенствано. Има за цел да идентифицира, разследва и реагира на заплахи, които произхождат от различни източници – не само крайните устройства, но и мрежовите компоненти, електронната поща, облачните услуги. XDR (съкр. от Extended Detection and Response) събира данни от всички технологии и системи, интегрирайки информацията, за да подобри видимостта над всичко случващо се в инфраструктурата и да намали времето, необходимо за откриване на атака и реагирането към нея.

XDR е по-нова концепция за киберсигурност, разработена, за да помогне на ИТ специалистите да преодоляват потока от „аларми“ за сигурност и да откриват по-бързо реалните заплахи.
Създавайки цялостна, холистична картина на ИТ средата и възможните заплахи, XDR опростява разучаването на подозрителни ситуации се счита за критична техника за осигуряване на адекватно реагиране срещу заплахи.

Система за сигурност и управление на събития 

SIEM е инструмент, който помага на предприятията да идентифицират, оценяват и реагират на заплахи за сигурността, преди да се стигне до смущения на оперативните дейности. SIEM (съкр. от Security information and event management) има за цел да повиши видимостта над ИТ средата, позволявайки на екипите да реагират на събития и инциденти по-ефективно и по-бързо. SIEM платформите известяват отделите по ИТ сигурност за подозрителни събития, но не включват автоматизирани мерки за реагиране.

По-скоро SIEM събира, обобщава, анализира и съхранява големи количества данни за регистрирани събития. Обхватът им позволява използване на данните за целите на одити по сигурността и регулаторното съответствие. Една скромна SIEM система обичайно генерира около 1500 събития в секунда от до 300 различни източника. Тъй като осигурява централизиран поглед, това регистриране е полезно необходимо на организацията за наблюдение над системите. SIEM може да се използва и за разследване на киберинциденти и последващия анализ.

Управляема услуга за откриване на заплахи и реагиране 

MDR е външна, „изнесена“ услуга за киберсигурност, която обикновено се предлага от доставчик на управлявани услуги за сигурност. MDR (съкр. от Managed Detection and Response) обикновено се състои от комбинация от технологии, процеси и висококвалифицирани специалисти-анализатори, които се грижат за мониторинг, откриване и реагиране на киберзаплахи. MDR има за задача да осигурява непрекъсната защита, откриване и реагиране на заплахи за киберсигурността за организации, които предпочитат да „изнесат“ част от грижата за кибербезопасността си към външни, висококвалифицирани екипи, работещи посредством най-новите технологии.

Подходящо е за случаи, когато: 1. организацията няма собствен екип по информационната сигурност или има, но е малък и претоварен; 2. има собствен екип по информационна сигурност, но има нужда да го разтовари от част от грижата по защитата; 3. има нужда от денонощен мониторинг и 24/7 готовност за реагиране при инциденти, но няма ресурси за наемане на допълнителен персонал. MDR включва мониторинг и анализи, както и елемент за реагиране при заплаха. Въпреки че софтуерът е важен тук, ключът към успешната MDR услуга е наличието на висококвалифицирани анализатори в екипа на специализирания доставчик.

Оркестрация, автоматизация и реакция на сигурността

SOAR е решение, което допълва и разширява SIEM платформите. SOAR (съкр. от Security Orchestration, Automation and Response) има за цел да обогати данните за събития, да опрости идентифицирането на критични инциденти и да автоматизира действията за реагиране на конкретни събития.

Целта е заплахите да стигат до вниманието на отдела по сигурност само тогава, когато е необходима човешка намеса. SOAR придоби популярност в индустрията за киберсигурност, защото предоставя централизирана платформа за управление на инциденти, намалявайки необходимостта от ръчни процедури и различни технологии.

Какви са основните различия между всички тези решения? 

XDR обикновено се разглежда като „следващо поколение EDR“. EDR се фокусира предимно върху крайните устройства. Следователно недостатъкът му е, че пропуска какво се случва в останалите части от ИТ инфраструктурата. Организациите, които търсят по-цялостен поглед върху атакуемата си повърхност, трябва да инвестират в допълнителни технологии и инструменти, увеличавайки разходите.

XDR, от друга страна, разширява възможностите на EDR отвъд крайните точки и добавя допълнителни видове телеметрия – включително е-поща, мрежи, облачни услуги, управление на идентификацията. XDR също така добавя възможност за разследване на атаките, докато EDR предоставя ограничен изглед само на действията, предприети върху крайните точки.

SIEM платформите първоначално са проектирани за отчетност и за одити за регулаторно съответствие. Затова основната им функция е да събират всякаква регистрационна информация. По-късно SIEM са еволюирали в инструменти за анализ на сигурността и откриване на заплахи. Богатият регистър, който поддържат, позволява да се използват за разследване на заплахи.

Основните предизвикателства пред SIEM инструментите са, че макар да действат като централно хранилище за регистрационни данни, те генерират огромен брой предупреждения – непосилно много за проследяване от екипите по сигурността. Специалистите по ИТ защитата имат нужда да филтрират и приоритизират предупрежденията всред канонадата от аларми. Освен това SIEM не предоставят контекстуална информация, която да помага на екипите при справянето с тези сигнали.

XDR, от друга страна, прави точно това. XDR предоставят анализи и правят изводи, с което помагат за разпознаване на заплахи. Консолидирайки данните, този род системи предоставят и контекст на цялата атака - и автоматизиран анализ. SOAR, подобно на SIEM, събира информация за сигурността от множество области. SOAR обаче се фокусира върху автоматизираните действия на база събраната информация.

Тоест, SIEM решенията са добър помощник за откриването на кибератаки, но изискват ръчна намеса от екипите по сигурността, докато SOAR може да работи много по-независимо, изисквайки малко човешка намеса. XDR отива по-далеч, като интегрира набор от инструменти за разследване, поведенчески анализи и автоматизирано отстраняване. Неговият фокус е върху усъвършенствано откриване на заплахи и прилагане на сценарии за реагиране, специфични за конкретната организация.

Ролята на изкуствения интелект и машинното обучение в киберзащитата

С развитието на платформените решения за киберзащита все по-важна роля играят изкуственият интелект (AI) и машинното обучение (ML). Тези технологии променят начина, по който организациите засичат и реагират на заплахи, позволявайки много по-бързо и точно идентифициране на подозрителни дейности.

AI базираните системи могат да анализират огромни обеми данни в реално време и да идентифицират аномалии, които биха могли да останат незабелязани от традиционните решения. Машинното обучение, от своя страна, прави възможно адаптивното подобряване на сигурността чрез непрекъснато „обучение“ на системите, базирано на нови типове атаки и поведения.

Например, AI може да анализира мрежовия трафик и да открива необичайни модели на комуникация, които биха могли да са знак за ранни етапи на кибератака. В същото време ML алгоритмите помагат да се предвидят бъдещи заплахи въз основа на вече събрани данни. Това не само намалява времето за реакция, но и значително ограничава възможността за човешки грешки в процеса на управление на инциденти.

Прилагането на AI в киберзащитата не се ограничава само до откриване на заплахи. Технологията може да бъде използвана за автоматично генериране на препоръки за реакция, предсказване на уязвимости и оптимизиране на ресурсите за сигурност. В комбинация със SOAR решения, AI дава възможност за почти изцяло автоматизирано управление на сигурността, което е от ключово значение за ВиК дружествата, които разполагат с ограничени ИТ ресурси, но са изправени пред значителни рискове.