Czy EDR i SOAR są przełomową superbronią… psychologiczną?

Czy EDR i SOAR są przełomową superbronią… psychologiczną?

W walce z cyberprzestępcami nie można pomijać wymiaru odporności i podatności czynnika ludzkiego na atak. Być może to dziś kluczowe kryterium efektywności architektury bezpieczeństwa: przy porównywalnej sile technologii – języczkiem u wagi pozostaje człowiek.

Na ewolucję rozwiązań cyberbezpieczeństwa oraz cyberzagrożeń warto spojrzeć przez pryzmat tego, w jaki sposób w świecie technologii funkcjonują ludzie. Tak zwany czynnik ludzki od zawsze jest wymieniany jako najsłabsze ogniwo w kontekście technologii. Nie inaczej jest w kolejnym, nowym wymiarze, który w XXI w. dominuje już naszą rzeczywistość – cyberprzestrzeni.

Obejrzyj cały webinar na ten temat z dr inż. Mariuszem Stawowskim oraz Tomaszem Wodzińskim:

https://social.trecom-lab.pl/psychologia_cyberbezpieczenstwo

Doskonale przewidywalne ogniwo

Wszędzie gdzie dociera i zdobywa prymat technologia, jej operatorem pozostaje człowiek. Także w cyberprzestrzeni. Człowiek jest nieodzowny do podejmowania decyzji – bo technologia jest zbyt ograniczona aby podejmować wiele decyzji. Człowiek jest też najbardziej nieprzewidywalny i podatny na błąd.

Nieprzewidywalny? Może jednak nie jest to adekwatne określenie, szczególnie dla naukowców – badaczy ludzkiej psychiki, psychologów i  psychiatrów. Katalog skłonności, słabości, mechanizmów, które są ewolucyjnie starsze niż nowe technologie jest rozległy a jego mechanizmy i korelacje stosunkowo dobrze poznane. Naiwność, bezmyślne zaufanie, reakcje na strach, brak świadomości zagrożeń, lekkomyślność, nieostrożność, rutyna, zmęczenie, choroba, stres, lekceważenie, chęć udzielenia pomocy, zazdrość, ciekawość, nienawiść, podglądactwo…

Cały ten repertuar podatności w obszarze cyber zawiera w sobie psychika każdego człowieka. Każdy je lepiej lub gorzej kontroluje, uczy się panować nad popędami i skłonnościami. Cóż, skoro nadal można te słabości łatwo obudzić i wykorzystać w świecie cyfrowym, który dla zwykłych ludzi ale i specjalistów wcale nie jest naturalnym środowiskiem. Mieć świadomość ryzyka a uniknąć go skutecznie w kluczowym momencie – to od zawsze kluczowe wyzwanie.

Wiedzę o mechanizmach psychologicznych „czynnika ludzkiego” i potencjale jego wykorzystania posiedli także cyberprzestępcy. Podręczniki psychologii są dla nich  gotowymi scenariuszami dla kolejnych ataków, narzędzi i technik. Potwierdza to praktyka – dominującym sposobem i scenariuszem włamania jest żerowanie na socjotechnikach. Ich efektywność rośnie oczywiście wraz z „ciśnieniem”. Cyberprzestępcy zwiększają więc presję na użytkownika, analityka bezpieczeństwa, inżyniera czy developera przez wytworzenie natłoku bodźców, sygnałów – szumu informacyjnego. Uruchamia on i wzmacnia szereg zachowań, które sprzyjają błędom. A przez nie ludzie otwierają przestępcom drogę do opanowania elementów informatycznej, cyfrowej struktury firm, instytucji, organizacji.

Obejrzyj cały webinar na ten temat z dr inż. Mariuszem Stawowskim oraz Tomaszem Wodzińskim:

https://social.trecom-lab.pl/psychologia_cyberbezpieczenstwo

Bezpiecznicy – mimowolni niewolnicy prokrastynacji

Szczególnie cennym sprzymierzeńcem cyberprzestępców jest zjawisko prokrastynacji. Dotyka ono zarówno mniej świadomych użytkowników w organizacji jak i tych świadomych najbardziej,  specjalistów z działów bezpieczeństwa. W skrócie polega na odkładaniu na później pracy powtarzalnej, nudnej, trudnej. Każdy jest na to podatny, podpowiada nam to mózg.

Prokrastynacja w cybersec to na przykład odkładanie na później analizy alarmów generowanych przez zabezpieczenia, często aż do ujawnienia się skutków incydentu. Za pierwszym, dziesiątym, dwudziestym razem to zadanie może być atrakcyjne. Trzeba wiele rzeczy zrobić, sprawdzić, dokonać analizy adresów, z którymi się łączono, sprawdzić czy funkcja skrótu nie jest gdzieś zarejestrowana, itd., itp.  Ale jeśli takich alarmów do sprawdzenia jest dziennie generowanych 100-200, to zalew zadań do przetworzenia przez SOC czy CSIRT jest zbyt poważny. To może prowadzić  do odkładania analizy alarmów, skąd już prosta droga do naruszeń bezpieczeństwa. Reagujemy dopiero, kiedy dochodzi do ujawnienia skutków: kiedy pojawia się podejrzenie wycieków danych osobowych albo po prostu wyświetli się komunikat o zaszyfrowaniu danych i wezwaniu do okupu.  Tymczasem  nawet w przypadku ransomware szybsza i wcześniejsza reakcja na pierwsze symptomy może mu zapobiec. Atak ransomware następuje zwykle dopiero kilka tygodni po zainstalowaniu kodu, gdy cyberprzestępcy wybiorą najlepsze cele w środowisku ofiary, rozpoznają właściwe dane, których kradzież pozwoli im na uzyskanie okupu. To dość czasu aby przeinstalować system albo usunąć złośliwy kod.

Niechęć do nudnych czynności wyraża się często w stosunku do utrzymania aktualnej dokumentacji IT. Lekceważenie i pomijanie tego obowiązku jest nagminne. Jeśli zatem nie ma  systemu, który automatycznie zapisuje dokumentację sieci i zabezpieczeń, to najczęściej zaproszeni na analizy powłamaniowej eksperci nie otrzymają dokumentacji, bo jej nie wykonano.

Kolejny problem będący pokłosiem prokrastynacji to izolowanie się bezpieczeństwa IT od kontekstu biznesowego. Tymczasem jeśli firma podlega przepisom ustawy o KSC czy po prostu uwzględnia RODO, to osoba zarządzająca podatnościami, incydentami nie może powiedzieć, że kontekst biznesowy jej nie interesuje. Jeśli jest 100 incydentów jednego dnia, to w myśl przepisów KSC i RODO firmowe bezpieczeństwo ma obowiązek zająć się tymi, które mogą spowodować największe straty. Jak bez znajomości kontekstu biznesowego właściwie szacować te priorytety?

W sukurs przychodzą narzędzia. Z tej perspektywy wyróżniamy  szczególnie  dwie technologie niwelujące podatności i słabości czynnika ludzkiego. Endpoint Detection and Response (EDR) – dlatego, że jest blisko użytkownika, kontroluje go i przerywa jego niebezpieczne akcje a o pułapkach i błędach informuje inne narzędzia i systemy globalnie zarządzające bezpieczeństwem organizacji. Security Orchestration Automation and Response (SOAR) – dlatego, że automatyzuje przepływ informacji, klasyfikuje ją w kontekście zadań i działań bezpieczeństwa jako całości – zdejmuje więc ogrom pracy, która  nuży a przez to sprzyja prokrastrynacji.

Obejrzyj cały webinar na ten temat z dr inż. Mariuszem Stawowskim oraz Tomaszem Wodzińskim:

https://social.trecom-lab.pl/psychologia_cyberbezpieczenstwo

Prawdziwy, dobry EDR nie ma złudzeń

W jaki zatem sposób EDR  może praktycznie pomóc w ograniczeniu słabości czynnika ludzkiego w systemie bezpieczeństwa? Częściową odpowiedź przynosi już sama definicja – bo czym tak naprawdę jest prawdziwy EDR? To ważne zastrzeżenie – poniżej omawiamy prawdziwy EDR, a nie przystosowane rozwiązania, które pod swoisty hype marketingowy próbują włączyć niektórzy dostawcy.

EDR – prawdziwy – wychodzi zatem z założenia, że odpowiednio przygotowany malware dostanie się do każdego systemu. To słuszne założenie: profesjonaliści są po prostu do tego zdolni. Podobny kod potrafią zresztą w warunkach laboratoryjnych wytwarzać także firmy zajmujące się cyberbezpieczeństwem, aby  testować odporność różnych narzędzi i rozwiązań bezpieczeństwa, w szczególności antywirusowych. Ten kod, możemy przetworzyć i udoskonalić tak, że stanie się dla antywirusów niewykrywalny. A przecież dla nas to nie malware jest  core businessem…

Ponadto trzeba przyjąć za pewnik, że zawsze zdarza się pacjent zero. Nasza firma może być wśród pierwszych zaatakowanych celów,  wtedy ryzyko nie wykrycia debiutującego malware jest bardzo prawdopodobne.

Wówczas dopiero poprzez analizę behawioralną, wykorzystującą machine learning do obserwacji zmian w zachowaniu narzędzi, aplikacji, procesów, dowiemy się o rozwijającym się ataku.

Nie jest sztuką napisać malware, który nie będzie wykryty. Sztuką jest szybko wykryć kiedy zacznie działać, wykonywać różne nietypowe działania, ściągać i przesyłać pliki, skanować sieć, przenosić się, itd. Nawet jeśli jesteśmy pacjentem zero, to dobry, prawdziwy EDR na podstawie tych symptomów powinien szybko wykryć włamanie.

Dobry EDR patrzy zatem na wszystkie możliwe wektory ataku – pocztę elektroniczną, web, sieć, komunikację SMB/NetBIOS, porty USB. Bez funkcji monitorowania tych kierunków ataku EDR jest ślepy. EDR musi także tworzyć aktualną inwentaryzację wszystkich aplikacji, w jakiej są wersji, czy nie zawierają luk. Powinien też sygnalizować „brak aktualizacji” i wynikające z tego zagrożenia. Rodzi to zresztą pytanie: czemu dobry EDR nie miałby zastąpić osobnego patch management? ale to inna kwestia.

Po zidentyfikowaniu malware, EDR może okazać swoją drugą supermoc. Dobre rozwiązanie EDR powinno usunąć wszelkie ślady i pozostałości malware – wpisy do rejestrów, procesy, do których się „wstrzyknął”… Aby tak zdecydowanie sobie poczynać, EDR musi być oczywiście wyposażony w możliwość tworzenia kopii zapasowych i przywracania wersji systemu sprzed ataku.

Ta funkcja EDR stanowi tzw. „ostatnią deskę ratunku”  na ransomware.  Prawdziwy EDR zarządza  back-up i potrafi wykonać roll-back. Postępuje w myśl swego pierwszego przykazania: nie ma gwarancji na to, aby stworzony przez zmotywowanych cyberprzestępców malware nie przedostał się na komputery pracowników.. Skądinąd wiadomo, że pierwsza wersja ransomware’a potrafi skutecznie omijać zabezpieczenia  i zawsze trzeba być gotowym do wykonywania back-up’u i roll-back’u…

W następnej kolejności EDR wykona działanie, które uchroni nas przed powrotem ransomware’a, który może zachować sobie „furtki” do powrotu. Threat hunting i live forensics to kolejne elementy prawdziwego EDR. Oczywiście na rynku znajdują się oferty takiej usługi po incydencie. W praktyce i wulgaryzując może te zabiegi na potrzeby krótkiego tekstu powiem, że usługodawcy owi uruchamiają narzędzie Sysmon na wszystkich komputerach i po miesiącu stwierdzają, które zostały także zainfekowane. Czytelnikom tego tekstu powinno już kiełkować ponownie pytanie „po co?”, skoro jest EDR, który na bieżąco monitoruje i bada ślady naruszenia bezpieczeństwa, jakie pozostawił malware. Z konsoli prawdziwego EDR można wykonać threat hunting i właściwie bez większego wysiłku sprawdzić, czy inne komputery przy ataku nie zostały zainfekowane a następnie wykonać ich czyszczenie.

Takim prawdziwym EDR jest SentinelOne, rozwiązanie, które od podstaw zostało zaprojektowane jako EDR. Firma Clico posiada na przykład jego instalację w swoim honey pot, do którego przesyłają wszystkie podejrzane kody i błyskawicznie rozpoznają malware i pozostawiane przez niego ślady. Sentinel One klasyfikuje, jaka technika według framework’u MITRE została zastosowana, definiuje więc wskaźnik incydentu. I od razu oferuje możliwość reakcji – kwarantannę, automatycznie usuwa wszystko co zmienił malware – pliki, klucze rejestru; przywraca pliki z Windows VSS Snapshots, , wykonuje mapę działania procesów połączeń i działań kodu (investigate/threat hunting)…

Gdyby odnieść to do strategii cyberbezpieczeństwa, to realizowana przez SentinelOne wpisuje się  wprost we framework NIST: identyfikacja – ochrona systemu, rozpoznanie, które zabezpieczenia zostały przełamane, respond i recover, czyli przywrócenia do stanu sprzed ataku. Piszę o tym, ponieważ jest ona zarazem tożsama ze strategią wymaganą regulacjami KSC i RODO. Wypełnia je właśnie SentinelOne, nowoczesny EDR.

Gdyby zaś odnieść to wprost do słabości psychologicznych czynnika ludzkiego – to EDR jest niczym warstwa pozwalająca naprawiać niewymuszone błędy wynikające z ograniczeń i słabości, które pozwoliły przedostać się malware’owi do firmy. Wypełnia zadanie kontrwywiadowcze, identyfikując wroga, który już wniknął; niweluje też czynnik prokrastynacji, bowiem skraca znakomicie czas uzyskania szybkiej interpretacji, opartej na wielu źródłach, tego co się wydarzyło i jaki miało wpływ.

Obejrzyj cały webinar na ten temat z dr inż. Mariuszem Stawowskim oraz Tomaszem Wodzińskim:

https://social.trecom-lab.pl/psychologia_cyberbezpieczenstwo

SOAR musi interpretować rzeczywisty kontekst

Informacja, którą zbiera i wykorzystuje EDR jest cenna w wielu dodatkowych obszarach. Wspominaliśmy już patch management czy threat hunting. Kto jeszcze nasłuchuje EDR? Z pewnością najpilniej rozwiązanie SOAR, którego zadaniem jest zarządzać w sposób zautomatyzowany i komplementarny bezpieczeństwem jako całością.

Przykładem takiego kompletnego, integrującego rozwiązania jest SecureVisio polskiej firmy eSecure. To rozwiązanie na tyle udane i skuteczne, że może stanowić kanoniczny model SOAR. Czy z perspektywy psychologicznej SOAR daje wsparcie organizacji? Zdecydowanie – automatyzacja w oparciu o obiektywne reguły służy uniknięciu nużącej i spychanej chętnie na plan dalszy pracy.

Z punktu widzenia operatora, SOAR oznacza zautomatyzowanie całego procesu zarządzania incydentami. Nowe zdarzenie zostaje zarejestrowane z nadanym priorytetem i podlega triażowi: w oparciu o analizę szerszego kontekstu i dodatkowych informacji może być uznane za incydent. Taki proces zajmuje SecureVisio 10-15 sekund, podczas gdy ręczne zebranie przez dział bezpieczeństwa informacji z różnych źródeł i wykrycie powiązań, o ile by się powiodło, musiałoby zająć w dużej organizacji około tygodnia.

Incydent jest następnie analizowany pod kątem możliwości naruszenia bezpieczeństwa, zakresu skutków incydentu i jego klasyfikacji. W tym czasie prowadzona jest już komunikacja z właścicielem procesu biznesowego, którego dotykają skutki incydentu.

Reakcja następuje w oparciu o zebraną wiedzą, w tym na temat skutków naruszenia bezpieczeństwa. SecureVisio udostępnia scenariusz działań, stosownie do klasyfikacji incydentu i naruszenia, np. „złośliwy kod”, „fraud” czy „zbieranie informacji”. Wybrany scenariusz uruchamia odpowiednie, gotowe narzędzia. 

Wyróżnikiem SecureVisio jest obiektywna priorytetyzacja biznesowa incydentów i szacowanie ryzyka. W odróżnieniu od np. „klasycznych” rozwiązań SIEM, priorytet nie jest arbitralnym wskazaniem, tylko wynika z podejścia typu Business Impact Analysis. Dodatkowa różnica zaś tkwi w tym, że ów BIA uzyskuje się nie w wyniku półrocznej pracy analityków, tylko na bieżąco, automatycznie, w oparciu o działające rozwiązanie.

SOAR SecureVisio buduje logiczną architekturę bezpieczeństwa, strefy i obszary na podstawie logów firewalli. Obiektywnie odtworzona logiczna  architektura jest następnie definiowana i opisywana pod kątem rozmieszczenia danych osobowych, finansowych, itd.

Celem takiego podejścia jest oczywiście zarządzanie bezpieczeństwem w kontekście biznesowym. Stanowi ono bowiem wymóg i założenie nowoczesnego cyberbezpieczeństwa, co znajduje  odzwierciedlenie w kolejnych aktach, regulacjach i standardach. Zarządzanie incydentami i podatnościami nie może się dokonywać w oderwaniu od procesów biznesowych, których  dotyczą, w oderwaniu od oceny wpływu na biznes. Nie można powiedzieć: biznes mnie nie interesuje.

Ta cecha SecureVisio pozwala w pełni zrozumieć  zdarzenia bezpieczeństwa. Uwzględnienie kontekstu pozwala interpretować, co się naprawdę dzieje, kiedy pojawiają się incydenty i nietypowe zachowanie.

SecureVisio korzystając np. z technologii UEBA identyfikuje nietypowe zachowania procesów, aplikacji, urządzeń. Wspomniana wcześniejsza klasyfikacja i zmapowanie pozwalają wówczas operatorom zorientować się, co jest właściwym celem zidentyfikowanego ataku i szybko zareagować, np. nie dopuszczając do przejęcia bazy danych kontrahentów. 

SOAR automatycznie dostarcza też tym samym dokumentację niezbędną w dopełnieniu reguł i regulacji nowoczesnego cyberbezpieczeństwa.  Pozwala spełnić wymogi RODO w zakresie metodyki i dokumentacji szacowania ryzyka zgodnie z ISO 27005, które rekomenduje ENISA, oraz zdolności szybkiego przekazywania informacji na potrzeby organów nadzorczych operatorów usług kluczowych w myśl ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Na przykładzie SecureVisio sformułować zatem można program dla każdego rozwiązania SOAR, które powinno umożliwiać i zapewniać:

–  tworzenie rzeczywistej mapy logicznej powiązań procesów i systemów;

– opis jej przez pryzmat charakteru danych, procesów biznesowych i priorytetów opartych na obiektywnych szacunkach ryzyka,

– klarowną komunikację kwestii bezpieczeństwa, także z właścicielem procesu;

– a w efekcie zarządzanie incydentami i podatnościami w skali całej organizacji z poziomu jednego panelu sterowania integrującego bez ograniczeń niezbędne źródła informacji.

Zarządzanie incydentami musi określić, jakiego systemu dotyczy incydent, jakich procesów biznesowych, czy zawierają one dane wrażliwe, czy (jakie) posiadają luki bezpieczeństwa, czy korespondują z tym jakieś inne incydenty bezpieczeństwa, mogące w sumie składać się w szerzej zakrojony atak albo dawać przesłanki prawdziwych intencji atakujących. Szacujemy wówczas rzeczywiste ryzyko i odgadujemy rzeczywiste intencje cyberprzestępców. 

Na koniec, powróćmy do kwestii integracji i współpracy obydwu technologii. EDR jest jednym ze źródeł, które integruje SecureVisio. Pewne obszary obu technologii są wspólne, podobne. Czy EDR uzupełnia się z SOAR, czy może dubluje? Na przykładzie EDR firmy SentinelOne oraz systemu SOAR firmy eSecure widać, że oba rozwiązania się wspierają i wzmacniają.

W swoich założeniach też uwzględniają dwa wyjściowe, immanentne w dobie cyfrowej założenia odnośnie bezpieczeństwa: o nieuchronności penetracji środowisk przez malware i cyberprzestępców oraz nieuchronności ludzkiej słabości – podatności. Oba założenia muszą być wkalkulowane i celem EDR oraz SOAR jest zniwelowanie ich negatywnego wpływu na bezpieczeństwo cyberprzestrzeni, w której funkcjonuje firma.

Obejrzyj cały webinar na ten temat z dr inż. Mariuszem Stawowskim oraz Tomaszem Wodzińskim:

https://social.trecom-lab.pl/psychologia_cyberbezpieczenstwo