Rolul vizibilităţii în asigurarea securităţii cibernetice

Rolul vizibilităţii în asigurarea securităţii cibernetice

325

Atunci când vine vorba de gestionarea incidentelor de securitate cibernetică, cu toții știm că în teorie trebuie să ne asigurăm că dispunem de următoarele capabilități: prevenție, detecție și răspuns. Din fericire există deja o multitudine de tehnologii, open source, gratuite sau comerciale, care adresează aceste nevoi și pe care atât utilizatorii casnici cât și companiile au început să le folosească.

Cu toate acestea, tot mai multe studii afirmă faptul că, în medie, unei companii îi trebuie zeci de zile să detecteze faptul că sistemul informatic a fost compromis și, ceea ce este și mai grav, are nevoie de asemenea de câteva zeci de zile să remedieze problema. Întrebarea evidentă care se pune este: ce anume scăpăm din vedere? Iar în rândurile care urmează regăsiţi o opinie personală ca răspuns la această întrebare.

autor:
Cătălin Pătraşcu

Una dintre cele mai mari probleme cu care se confruntă companiile la nivel global atunci când vine vorba de asigurarea securităţii cibernetice este insuficienţa personalului specializat în acest domeniu. Însă acesta este doar un argument în plus pentru care avem nevoie de două componente importante care, după părerea mea, sunt neglijate de cele mai multe ori atunci când se creionează strategiile de asigurare a securităţii cibernetice într-o companie: vizibilitatea și controlul.
Sunt din ce în ce mai multe companii care utilizează peste zece unelte/ tehnologii de securitate de tipurile: antivirus, firewall, IDS/IPS, web application firewall, email gateway, web gateway, web proxy, sanboxing, SIEM etc. Și cu toate acestea există cazuri în care unele dintre aceste companii au probleme serioase cu detectarea și remedierea breșelor și compromiterilor din propriile reţele. De vină pentru acest lucru este lipsa asigurării corespunzătoare a celor două componente vitale, din nou: vizibilitatea și controlul.
Explicaţia este simplă și la îndemâna oricui: fiecare tehnologie utilizată are propriile facilităţi de vizibilitate și control, punând la dispoziţie diferite interfeţe grafice sau de tip consolă de comenzi (CLI), însă este aproape imposibil ca personalul dedicat să urmărească datele furnizate de toate aceste tehnologii în același timp. Și chiar dacă ar încerca să facă acest lucru, tot ar întâmpina greutăţi în corelarea informaţiilor puse la dispoziţie de fiecare dintre aceste tehnologii.
Partea frumoasă este că, în teorie, dacă ne asigurăm că avem vizibilitate și control în infrastructura IT este aproape suficient pentru asigurarea celor trei capabilităţi de care vorbeam la început: prevenţie, detecţie și răspuns. Pentru a atinge acest obiectiv avem la dispoziţie două mari opţiuni: achiziţia de soluţii de securitate integrate care oferă deja vizibilitate și facilităţi de control adecvate, sau integrarea mai multor tehnologii de sine stătătoare astfel încât să obţinem aceste facilităţi.
Un exemplu simplu de unealtă care trebuie pusă la dispoziţia responsabililor cu securitatea informatică este o consolă grafică în care aceștia să poată urmări evenimentele importante din infrastructura IT, să poată realiza investigaţii mai amănunţite și, foarte important, să poată lua măsuri/acţiuni din cadrul aceleiași console.
Închei prin a-mi exprima speranţa că rândurile de mai sus vă vor fi utile în viitoarele discuţii cu furnizorii de tehnologie de securitate și în implementările proiectelor de securizare a infrastructurilor cibernetice.

Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.