Comping cyber security framework kroz pet koraka pomaže klijentima navigirati kompleksan svijet kibernetičke sigurnosti
Svjedočimo svakodnevnim prijavama kibernetičkih napada koji uz ekonomske gubitke donose i velike reputacijske štete za kompanije. Često uzrok tih napada leži u pasivnom pristupu sigurnosnim pitanjima i ideji ‘to se meni ne može dogoditi‘. Ipak, recentna događanja pokazuju da to nije točno.
Kako na proaktivan način pristupiti kibernetičkoj sigurnosti objasnili su nam stručnjaci za sigurnost iz Compinga: Mario Dujmović, Luka Volarić i Dominik Hellenbart te Direktor Sektora za tehnološka rješenja Nedeljko Matejak. Ispričali su kako za klijente implementiraju Comping Cyber Security Framework, zašto sve počinje procjenom trenutnog stanja te kako edukacija zaposlenika u današnjem svijetu postaje ključ obrane.
Zbog sve češćih kibernetičkih napada u Hrvatskoj, tema sigurnosti u fokusu je javnosti. Smatrate li da su kompanije sada svjesnije rizika od kibernetičkih napada?
Nedeljko: Kompanije su danas sigurno svjesnije rizika od kibernetičkih napada nego što su bile prije nekoliko godina. Dijelom je to zbog sve češćih kibernetičkih napada, a dijelom zbog nadolazeće zakonske regulative u sklopu NIS2 direktive. Ipak, još uvijek svijest nije na potrebnom nivou imajući na umu ozbiljnost tih napada. Recentni događaji svakako su „upalili alarm“ kod nekih kompanija i razvija se svijest za ozbiljnim iskorakom u zaštiti od kibernetičkih napada.
Međutim, postoji situacije da kada se dogodi kibernetički napad i tvrtke pretrpe određene štete (prije svega reputacijske, i ekonomske) i dalje ne planiraju poduzimati potrebne mjere kako bi se osigurali u budućnosti. Pritom se vode mišlju da ih neće ponovno napasti u tako kratkom periodu, no to ne mora biti istina.
Zbog tih opasnih pretpostavki, moramo raditi na podizanju svijesti i pravovremenom informiranju o ugrozama koje postoje, jer napadači uvijek traže nove načine da zaobiđu aktualne sigurnosne mjere.
Primjećujete li ipak neke pomake prema većem naglasku na sigurnosti?
Nedeljko: Pomaci postoje i pozitivni su, hvatamo korak za trendovima kako u tehnologijama tako i u pristupu. Tehnologija sama po sebi ne garantira uspješnost obrane, bitan je cjelokupan pristup, odnosno, koncept koji treba slijedno implementirati, nešto što smo nazvali Comping Cyber Security Framework.
U godinama pred nama očekujemo veliki iskorak među hrvatskim kompanijama jer prijetnje su svakodnevne, incidenti su svakodnevni, metode su sve sofisticiranije i jednostavno nema prostora biti pasivan i čekati da se situacija dogodi. Rizik je postao prevelik i preskup.
Spomenuli ste Comping Cyber Security Framework kao pristup koji koristite kod klijenata. Kako je zamišljen?
Nedeljko: Comping Cyber Security Framework metoda obuhvaća 5 ključnih područja koja se trebaju slijediti kako bi tvrtke imale visok nivo sigurnosti te kako bi bile spremne adekvatno reagirati u slučaja sigurnosnog incidenta. Ta područja, koja označavaju proaktivan pristup sigurnosti su: procjena trenutnog sigurnosnog stanja, red u okruženju, implementacija sigurnosnih rješenja, edukacija zaposlenika i plan odgovora na incidente.
Možete li pojasniti zašto baš obuhvaća navedena područja? Postoje li neke brže metode koje mogu polučiti slične rezultate?
Nedeljko: Ad Hoc i parcijalne metode samo su ‘‘vatrogasne mjere‘‘ koje odgađaju (ako i to) rizik koji je neminovan. Ključno je da se kvalitetno procijeni trenutno sigurnosno stanje, detektiraju slabe točke i definiraju akcijski planovi za njihovo otklanjanje. Slijedi uvođenje reda kroz implementaciju adekvatnih sigurnosnih principa koji ne zahtijevaju nužno kupovinu određenih rješenja, već se na postojećoj okolini primjenjuju najbolje prakse.
Kad se uspostavi red te dobije jasan uvid u stanje, slijedi implementacija rješenja koji limitiraju mogućnosti i obeshrabruju napadača s jedne strane, a kompanijama s druge strane daju potpuni uvid i kontrolu nad aktualnim prijetnjama. Globalna kontrola i distribucija ključnih informacija o novim ugrozama je krucijalna u sustavu detekcije i odlučivanja koje će se mjere i kada poduzimati.
Budući da većina napada dolazi kroz periferiju bitna je komponenta edukacije i informiranja zaposlenika kako bi detektirali prijetnje, prijavili ih zaduženim sigurnosnim timovima, pravilno reagirali na njih i time spriječili ozbiljne štete koje mogu nastati.
Da ne bi bilo zabune, ne postoje neprobojni sustavi, stoga je bitan framework kojeg treba slijediti, pogotovo ako se sigurnosni incident dogodi, u bilo kojem obliku. U tom planu je definirano kako se ponašati, koje korake poduzimati, koji su ljudi uključeni za rješavanje incidenta i na koji način. Ponajviše, kako se vratiti u puni opseg poslovanja, s minimalizacijom reputacijskog rizika i štete koja je nastala zbog nedostupnosti poslovnih resursa.
Prvi korak u uspješnoj implementaciji rješenja kibernetičke sigurnosti je procjena trenutnog sigurnosnog stanja. Što obuhvaća procjena? Koji se problemi mogu time detektirati?
Mario: Ovaj prvi korak je od iznimnog značaja, a vrlo često zna biti zanemaren, ne provodi se na redovnoj bazi ili se u potpunosti ignorira.
Možemo to sagledati na primjeru iz prakse - na tržištu postoji iznimno širok raspon rješenja i usluga vezanih direktno ili indirektno uz kibernetičku sigurnost. Velika ponuda često dovodi kompanije u iskušenje da kupnjom jednog (po načelu što skuplje to bolje) ili više dostupnih rješenja odnosno usluga, načelno zadovolje zahtjeve nekog standarda, zakonske regulative ili poslovne potrebe s aspekta sigurnosti. Takav se pristup u najvećem broju slučajeva ispostavi kao višestruko nepovoljni za kompaniju jer često kupljeno rješenje na kraju ne adresira ključne sigurnosne izazove kompanije.
Kako bi se izbjegao prethodni primjer, procjena stanja kreće od analize same infrastrukture, odnosno, servisa koju ta infrastruktura pruža. To prvenstveno obuhvaća konfiguracijski aspekt implementacije pojedinog servisa te u kojoj mjeri postoje odstupanja od najboljih praksi i preporuka proizvođača.
Sve navedeno je uvod u širu analizu koja dalje može obuhvatiti sigurnosne politike (pisane ili nepisane), tehničke sigurnosne mjere te alate i rješenja koja su eventualno već implementirana unutar kompanije. Revidiraju se i evaluiraju procedure i procesi backupa, planovi oporavka, načini upravljanja rizicima i incidentima, educiranje zaposlenika (ako postoji) te metode nadzora i procesi poboljšanja sigurnosnih praksi.
Koji su benefiti proaktivnog pristupa procjeni sigurnosti?
Mario: Redovita proaktivna analiza sigurnosnog stanja kompanije pruža onaj ključan benefit – donošenje kvalitetnijih odluka s aspekta sigurnosti. Kada svoje odluke temeljite na konkretnim podacima onda je moguća pravovremena korekcija plana, prioriteta te strategije razvoja kibernetičke sigurnosti kompanije. To rezultira time da kompanija direktno utječe na stabilnost i dostupnost svojih usluga, očuvanje integriteta i reputacije u poslovanju.
U digitalnom okruženju sigurnosti okoline postaje nužnost. Koji su ključni faktori za postavljanje zdravih temelja?
Mario: Postoje različiti standardi kojima se nastoji definirati i uspostaviti metodologija te ključni faktori na koje bi se trebalo fokusirati. Vrlo često takav pristup obeshrabri kompaniju jer potencijalno nemaju adekvatno educirane ljude ili tih ljudi ima premalo da bi se s tim kvalitetno uhvatili u koštac. Ovdje pomaže princip sagledavanja problematike sigurnosti digitalnog okruženja s veće distance. Tada možemo razlučiti tri ključna faktora unutar svakog okruženja - infrastruktura, identiteti te podaci.
Kada smo na taj način definirali fokus, ono što je potrebno poduzeti je prepoznati prijetnje i rizike, redovno implementirati poboljšanja uz reviziju rezultata tih aktivnosti te nastojati uskladiti sigurnosne inicijative s direktivama ili standardima – ta tri koraka vrijede za svaki od prethodno spomenutih ključnih faktora.
Kada time identificirate kritična područja, što preporučate klijentima potom?
Mario: Nakon što smo utvrdili ključna područja zaštite i potencijalne prijetnje, sljedeća preporuka je fokusiranje na aktivnosti i sigurnosne inicijative koje će imati pozitivan utjecaj na kontinuitet poslovanja poput postojećih direktiva i standarda ili platformi za planiranje budućih aktivnosti i dugoročne sigurnosne strategije.
Povećanjem razine sigurnosti cjelokupnog okruženja, imamo na raspolaganju dodatne mehanizme i sigurnosne okvire kojima možemo proširiti sigurnosne inicijative koje će na odgovarajući način pratiti sigurnosnu zrelost kompanije s ciljem kvalitetne i pravovremene implementacije.
Što su najčešća rješenja koja implementirate i koji se problemi njima otklanjaju? Mogu li se ti izazovi spriječiti pravovremenom implementacijom sigurnosnih rješenja?
Luka: Nakon što se izvrši temeljita procjena trenutnog stanja, jasno se uočavaju rizici i prijetnje u različitim aspektima kibernetičke sigurnosti koje je potrebno adresirati. Dok se određeni rizici mogu smanjiti ili eliminirati optimizacijom postojećih konfiguracija te uvođenjem novih politika i procedura, za druge prijetnje je nužno implementirati specifična sigurnosna rješenja kako bi se smanjila izloženost riziku.
Ova rješenja obuhvaćaju širok spektar aktivnosti, uključujući zaštitu i nadzor krajnjih točaka (EDR, XDR), upravljanje i pohranu dnevničkih zapisa (SIEM), filtriranje, nadzor i inspekciju mrežnog prometa (FW, WAF, NDR), zaštitu i upravljanje identitetima i pristupom (PAM, MFA), zaštitu e-mail komunikacije, kao i implementaciju dediciranih uređaja za izradu sigurnosnih kopija.
Implementacijom tih rješenja moguće je spriječiti određene izazove jer omogućuju kontinuirano praćenje, otkrivanje i odgovaranje na prijetnje, osiguravajući tako kontinuitet poslovanja čak i u slučaju nepredviđenih katastrofa.
Iz vašeg iskustva, s kojim se izazovima susrećete prilikom implementacije?
Luka: Prilikom implementacije ovih rješenja, često se susrećemo s izazovima kao što su "legacy" sustavi koji ne podržavaju moderne sigurnosne tehnologije, a istovremeno su kritični za poslovanje i duboko integrirani s drugim poslovnim sustavima. Često se suočavamo i s otporom prema modernizaciji zbog razmišljanja poput "moji podaci nisu vrijedni" ili "neće baš mene napasti" zbog kojeg se ulaganje u sigurnost percipira kao nepotreban trošak – sve dok se ne dogodi ozbiljan sigurnosni incident. Otpor prema cloud rješenjima je također prisutan, jer korisnici često vjeruju da je oprema koja se nalazi "kod njih" sigurnija od cloud rješenja, iako ta ista oprema nerijetko ostaje neažurirana, pretvarajući se tako u potencijalnu točku napada.
Ovi izazovi mogu se prevladati pravovremenom edukacijom o važnosti kontinuiranog unaprjeđenja sigurnosnih mjera, investiranju u sigurnost te aktualnim prijetnjama i rizicima, kao i načinima na koje se te prijetnje mogu učinkovito spriječiti.
Gdje implementirati tehnologiju kibernetičke prijevare i koje su prednosti takve strategije kibernetičke obrane?
Dominik: Implementacija tehnologije kibernetičke obmane zahtijeva pažljivo planiranje i usklađivanje s cjelokupnom strategijom kibernetičke sigurnosti tvrtke ili organizacija. Sama implementacija može se sažeti odnosno definirati u 4 ključne točke: definiranje jasnih ciljeva, detaljno mapiranje okruženja, dizajn obmanjujućih elemenata te inteligentna implementacija.
Prednosti strategije kibernetičke obrane možemo najslikovitije predočiti kroz citat ‘Upoznaj neprijatelja da bi ga pobijedio’ iz ‘Umijeća ratovanja’ Sun Tzua koji ima značajnu primjenu i u kontekstu kibernetičke obrane. Ovaj princip naglašava važnost razumijevanja karakteristika i namjera napadača kako bi se uspješno prepoznale i neutralizirale kibernetičke prijetnje. Kroz analizu napadačkih metoda, identifikaciju ranjivosti sustava i implementaciju sustava kibernetičke obmane poput mamaca (decoys) korisnici mogu bolje pripremiti obrambene strategije i povećati svoju otpornost na napade. Stvaranje dubokog uvida u prijetnje omogućuje bržu reakciju i efikasnije upravljanje sigurnosnim rizicima, čime se minimizira potencijalna šteta i održava integritet mrežnih sustava i kritične infrastrukture.
Što je vCISO i koja je njegova uloga?
Luka: U svjetlu nedostatka iskusnih CISO-a, organizacijama se nudi rješenje "virtualnog CISO-a", koji pruža organizacijama pristup visoko kvalificiranim stručnjacima za kibernetičku sigurnost. Oni djelujući kao virtualni CISO-i, mogu pružati svoje usluge privremeno ili kontinuirano. Na taj način, organizacije mogu iskoristiti stručnost iskusnih profesionalaca bez potrebe za stalnim zapošljavanjem kadra.
VCISO kontinuirano procjenjuje kibernetičku sigurnost organizacije, identificira poziciju, razinu rizika i nedostatke u usklađenosti, te izrađuje detaljan plan za sanaciju tih nedostataka, upravljajući njegovim provođenjem i optimizacijom.
Koliko često bi se trebale provoditi edukacije? Zašto tim intenzitetom?
Luka: Kada govorimo o edukaciji zaposlenika u domeni kibernetičke sigurnosti, prikladnije je koristiti termin trening jer je riječ o kontinuiranom procesu koji zahtijeva stalno vježbanje i prilagodbu kako bi se organizacija mogla učinkovito obraniti od najnovijih prijetnji. Treninzi, edukacije i testiranje zaposlenika trebaju se provoditi s različitim intenzitetom, ovisno o vrsti treninga i ciljanoj skupini, kako bi se pravovremeno identificirale prijetnje i rizici koji zahtijevaju pažnju.
Na primjer, trening o korištenju resursa kompanije na siguran način može se održavati jednom godišnje, dok bi trening oporavka od katastrofe trebao biti organiziran svakih šest mjeseci. S druge strane, trening za IT administratore koji uključuje tehničke aspekte sigurnosti i trening zaposlenika na prepoznavanje i obranu od phishing e-mailova trebali bi se održavati češće (kvartalno/mjesečno).
Redovitim treninzima smanjuje se vrijeme reakcije u kriznim situacijama, što je ključno za minimiziranje štete u slučaju sigurnosnog incidenta. Važno je i pratiti promjene u zakonodavstvu i politikama te uvesti dodatne trening sesije prilikom uvođenja novih tehnologija ili usklađivanja s regulativama ili zakonima.
Iz vašeg iskustva, koje su najučinkovitije edukacije kako bi svi zaposlenici kompanije bili upoznati s potencijalnim sigurnosnim prijetnjama?
Luka: Treninzi trebaju biti interaktivni, relevantni i prilagođeni ciljanoj publici. Neke od najučinkovitijih metoda uključuju interaktivne online treninge, simulacije phising napada te radionice i praktične vježbe. Preporučamo i mikroedukacije te korištenje elementa igre edukaciji poput natjecanja kako bi se povećao angažman zaposlenika.
Koje su ključne smjernice za upravljanje incidentima u kibernetičkoj sigurnosti? Na što treba biti fokus?
Nedeljko: Važno je pripremiti dokument s planom odgovora na incidente koji mora pokrivati ključna područja. Prvenstveno je potrebno napraviti pripremu i planiranje u kojem kompanije trebaju razviti procese identifikacije i upravljanja ranjivostima, kao i planove kontinuiteta poslovanja, kako bi se osigurala otpornost poslovanja tijekom incidenata.
Potom je važan sam odgovor na incidente, odnosno kako se ponašati kada se incident dogodi. To podrazumijeva brzu identifikaciju te izolaciju pogođenih sustava kako bi se spriječila daljnja šteta. Nakon toga obavezna je obavještavanje i uključivanje relevantnih unutarnjih i vanjskih dionika kroz efikasnu komunikaciju i koordinaciju. Slijedi provođenje aktivnosti od strane definiranih incident timova kako bi se zaustavio i iskorijenio napad što je moguće prije.
Iduće područje je analiza incidenta koji je ključ za razumijevanje što se dogodilo, zašto se dogodilo i kako se može spriječiti ponavljanje. To podrazumijeva identifikaciju slijeda događaja, utvrđivanje ranjivosti i prijetnji te određivanje uzroka incidenta.
Potom se planira oporavak od incidenta u kojem je važno osigurati da su sustavi vraćeni u normalno stanje rada te da su ranjivosti uklonjene kako bi se spriječili slični budući incidenti. Tu je ključno provoditi mjere osiguranja integriteta sigurnosnih kopija te drugih resursa potrebnih za obnovu i povratak pune funkcionalnosti ključnih servisa.
I na kraju, ne manje važno, primijeniti naučeno i cijeli plan kontinuirano poboljšavati, redovito ažurirati svoje planove i procese sukladno novim prijetnjama.