Je načase, aby se kybernetická bezpečnost posunula o řád výš

Během posledních sedmi let se do kybernetické bezpečnosti investovalo přes bilion dolarů. Úspěšnost těchto investic je dost tristní – v 95 procentech byli úspěšní útočníci. I to dokládá, že tradiční nástroje selhávají, protože nedokážou čelit moderním kybernetickým hrozbám. A selhávají u většiny organizací na dvou hlavních frontách: na úrovni lidí a dat.

Pod kybernetickou bezpečností, či spíše hrozbami se asi každému na prvním místě vybaví termíny jako ransomware, škodlivé kódy, před nimiž nás chrání tradiční řešení, jako jsou firewall nebo třeba antiviry. Jenže i v této oblasti dochází k posunu.

„Mění se celé prostředí, na síle získávají pokročilejší metody pomocí analytik a umělé inteligence. Tradiční přístupy nejsou špatné, ale bezpečnost se musí posunout dále,“ říká Vladimír Špička ze společnosti Forcepoint v rozhovoru pro Peak.cz.

Pozor na chování

Podle jeho slov je třeba k bezpečnostním řešením, která lidé v průběhu celé řady desetiletí budovali, přidat další vrstvu, která tam dosud chyběla.

I společnost Forcepoint podle něj dlouho žila v tradičním přístupu ke kybernetické bezpečnosti jakou je například ochrana perimetru a koncových bodů před malware. Postupně ale došla k přesvědčení, že je nutné změnit přístup ke kybernetické bezpečnosti a zaměřit se na ochranu firemních dat a uživatelů, kteří s nimi nakládají.

Společnost zcela změnila svůj základní přístup k ochraně a začala se zaměřovat na chování uživatelů při zacházení s tzv. kritickými informacemi a duševním vlastnictvím napříč celými globálními IT systémy. Jen tak podle Vladimíra Špičky firma dokáže pomáhat ve světě rychlejší digitální transformace jak světa byznysu, tak i státní správy.

Statika versus dynamika

Tradiční bezpečnostní řešení jsou do jisté míry statická, předem nekonfigurovaná, popřípadě dokonfigurovávána za pochodu dle aktuálních ohrožení. Například firma má nastavený firewall s určitými pravidly, že její pracovníci mohou navštěvovat pouze vybrané webové stránky.

V době cloudových aplikací a programů či mobilních aplikací již tento přístup zajištění ochrany dat, založený na strategii ochrany koncového bodu, nestačí. „Na jedné straně něco povolím, na druhé něco zakážu, ale vždy jde o černobílé vnímání světa. Reálný svět takový není, mezi tím je šedá zóna,“ popisuje Špička a doplňuje příklad.

V jisté firmě pracuje člověk, který potřebuje občas nějaká data stáhnout na USB – částečně pracuje z domu, kde vytváří různé reporty. Nestandardní vzorec chování ale bude, když takový člověk najednou začne stahovat daleko více dat, než bylo pro jeho obvyklou „domácí“ činnost obvyklé.

MOHLO BY VÁS ZAJÍMAT:

Jaká používáte hesla? Podle průzkumu Češi kybernetické hrozby spíše podceňují

Kyberútok aneb ochrana osobních údajů je časovaná bomba pro české firmy

Je kauza Huawei prvním sjednocením Západu proti čínské kyberšpionáži?

Může za tím být nevinný důvod, že jede na pracovní výjezd a potřebuje k tomu více informací  než obvykle. Ale také to může znamenat potenciální riziko, že se tento člověk pokouší data odcizit, a tak stojí za to zjistit důvody změn jeho chování. Popřípadě rovnou zahájit obranná opatření, která by úniku dat či informací již rovnou zabránila.

„Celý příklad se ale posune do jiné roviny, když daný pracovník bude ve výpovědní lhůtě. Tradiční statická politika toto nedokáže zohlednit. Buď mu kopírování na USB rovnou zakáže, nebo mu povolení zůstane,“ dodává odborník z Forcepointu.

Adaptivní přístup

Novátorský přístup, ona vyšší úroveň, je primárně zaměřen na analýzu chování uživatele. Díky tomu instituce může daleko lépe rozlišit, co je normální situace a co už je anomálie v chování uživatele. Poté také dokáže v reálném čase na situaci reagovat, může zamezit jednorázovému či dlouhodobému vykrádání dat.

Jde o to, že systém funguje adaptivně, na základě kontextu je schopen upravit bezpečnostní politiky pro jednotlivého uživatele, ne pro celou instituci.

Podle odborníků trvá zhruba měsíc až dva, než se systém naučí, co je z pohledu bezpečnosti běžné chování. Samozřejmě záleží na druhu zkoumané situace a také pravidelnosti chování zkoumaných subjektů. Za tuto dobu ale už dokáže pochopit základy standardního chování i odchylky. Ale samozřejmě tím učení nekončí, to pokračuje neustále.

Hleďme kupředu

Forcepoint není jediný, kdo se snaží adaptivní přístup do kybernetické bezpečnosti zavést. Tento trend například prosazuje globální poradenská společnost Gartner. Od bezpečnostních řešení zaměřených na konkrétní hrozby (známé i neznámé) postupně spějeme k adaptivním řešením.

„Sledujme chování uživatele a pojďme na anomálie reagovat v reálném čase s cílem předejít incidentům. Zjišťování, co se stalo, po události a hledání, kdo za to může, už není relevantní, škoda už nastala,“ tvrdí Špička. Podle něj je ale vhodné se z případné škody poučit, aby bylo možné lépe další hrozbě předejít.

Na druhou stranu tradiční firmy také vylepšují svá řešení, ale podle bezpečnostních odborníků, kteří nedávno vystupovali v Praze na konferenci Security 2019 je třeba rozvíjet i nový, inovátorský přístup.

„Systémy o úroveň výše budou chytřejší a budou schopny třeba identifikovat z těch statisíců hrozeb, kterým čelí třeba banky, identifikovat pět největších a nejnebezpečnějších. Stejně tak zjistí, proč jsou nejnebezpečnější, a dokážou na ně reagovat,“ uzavírá Špička.

Progresivní laboratoř

Forcepoint nedávno spustila jako první na světě speciální výzkumnou divizi X-Labs, která kombinuje obsáhlou bezpečnostní expertizu s behaviorálním vědeckým přístupem.

„Cílem X-Labs je porozumět činnostem digitálních identit a s nimi spojenému kybernetickému chování. A také chápat, jaká je jejich interakce s kritickými a cennými daty a dalším duševním vlastnictvím,“ doplňuje zaměření nové divize Nicolas Fischbach, šéf technologií ve Forcepointu.

VIDEO: Představení X-Labs

Zdroj: YouTube.com

„Behaviorální údaje a souvislosti dosud nebyly součástí bezpečnostních opatření. Díky nám už budou,“ doplňuje.