Elengedhetetlen a megfelelő incidenskezeléshez, hogy a szervezeteknek legyen a biztonsági eseményekre való gyors és hatékony reagálást lehetővé tevő tervük (security incident response plan). Alkalmazásával a lehető leghamarabb elindulhatnak a károkat felmérni hivatott folyamatok és a támadás elhárítása. Közel sem mindegy azonban, hogy ez a "lehető leghamarabb" tulajdonképpen mennyi is a valóságban.

Észlelési idő

Az a tempó, amivel az érintett szervezet észleli és képes megfelelően kezelni a rendszerébe történő behatolást, egyben márkaértéke és ügyfélkapcsolatai szempontjából is kritikusan fontos tényező. Könnyen belátható, hogy az adott vállalattal kapcsolatban álló partnerek és ügyfelek szemében gyorsan romolhat a cég megítélése, amennyiben saját adataik is érintetté válnak. Általában is igaz, hogy egy kiterjedt online támadásnak áldozatul eső szervezet megbízhatósága komoly csorbát szenvedhet, ha nem tudja hatékonyan kezelni az incidenst. A biztonsági inkompetencia hasonlóan gondatlan vagy nem megfelelő hozzáállást feltételez az érintett vállalat egyéb tevékenységei tekintetében is.

Biztonsági incidens bekövetkezése esetén az észlelési idő (MTTD - Mean Time to Detect) fontos mértékegység. Értéke azt mutatja meg, hogy a korábbi időszakkal vagy egy hasonló méretű IT-biztonsági csapat (incident response team) képességével összevetve mennyi ideig tartott az incidens észlelése. Noha a mérési eredmény tág határok között mozoghat, mégis használható betekintést nyújt a behatolásvédelmi befektetések hatékonyságába.

Nagyon leegyszerűsítve az incidensekre reagáló terv két lépésből áll. Az első az elemzés, melynek eredményeként megállapítható a szervezetet ért támadás kiterjedtsége, továbbá az is, hogy mely elemei igényelnek különleges figyelmet. A második lépés a válasz, amely magában foglalja az okok feltárását és a történtek (belső és külső) kommunikációját. Ez utóbbi, vagyis az incidensre adott válasz idejét a Mean Time to Response (MTTR) adja meg.

A SANS 2019-es Incident Response kutatása szerint a szervezetek 53,6 százaléka kevesebb mint 24 óra alatt tudja tartani az MTTD értékét, 28,6 százalékuk esetében azonban 30 napon túlnyúlik ez az érték. Jól mutatja az IBM és a Blumira 2022-ben megjelent kutatása, hogy mekkora szórás lehet ebben az értékben: a Kék Óriás szerint átlagosan 212 napig tartott észrevenni egy online támadást, az elhárításához szükséges idő pedig átlag 75 napot igényelt. Ezzel szemben a Blumira ügyfeleinél ez a két érték 32 percet illetve 6 órát tett ki.

Ha sokáig tart a vizsgálat, az több időt ad a támadóknak az infrastruktúra felmérésére, a hálózat gyenge pontjainak beazonosítására és olyan eljárások alkalmazására, melyek lehetővé teszik a hosszas "benntartózkodást". Utóbbi növeli a hátsó ajtók nyitásának és jelszavak ellopásának kockázatát. Persze minél tovább tart ezeknek a tevékenységeknek a kivitelezése, annál több időre kell álcáznia magát a támadónak, és természetesen folyamatosan nő a lebukás/észlelés, de a sorozattámadások esélye is.

Hogyan csökkentsük a reakcióidőt?

Ahogy már említettük, a válaszidő egyre fontosabbá válik, ahogy az informatikai rendszerek feltörési kísérleteinek és a zsarolóvírusokra alapuló támadások száma folyamatosan emelkedik. Ugyanakkor a VMware felmérése szerint az amerikai szervezetek közel fele nem rendelkezik a kiberfenyegetések megfelelő észlelését és elhárítását lehetővé tevő eszközökkel, szakemberekkel és tapasztalattal.

A fentiek tükrében már nem meglepő, hogy számos szervezet hivatalos, kézzelfogható incidensekre reagáló tervet sem tud felmutatni, és még azok sem tesztelik éves gyakorisággal, melyeknél létezik ilyen. Pedig megfelelő tervezéssel jelentősen csökkenthető a biztonsági incidensekre adott válasz ideje. A bevált gyakorlatok alkalmazása nagy segítséget jelent ebben, amik a támadások sikeres kibontakozásának megakadályozásában is szerepet játszik. Emellett az online fenyegetésekkel foglalkozó, arra reagáló alkalmazottak képzése ugyancsak feltétele a megfelelő incidenskezelésnek.

A vállalatok jelentős része, különösen a kisebb méretű szervezetek nem engedhetik meg maguknak egy több fős, dedikált IT-security csapat alkalmazását. Számukra a feladatok automatizálása talán még inkább létfontosságú, ahogy a rugalmas, online fenyegetéseket idejében észlelni képes környezet kialakítása is.

Az automatizációval és a mesterséges intelligencia e területen való alkalmazásával foglalkozik cikksorozatunk következő része, melyben igyekszünk körbejárni, hogy mit és mit nem lehet önműködővé tenni, mitől válik hatékonnyá egy automatizált IT-security rendszer, és milyen új lehetőségeket nyitnak az olyan, a hétköznapi életet is egyre inkább befolyásoló mesterségesintelligencia-fejlesztések, mint a ChatGPT.
 

Ez a cikk független szerkesztőségi tartalom, mely az Invitech támogatásával készült. Részletek »