Sektorski varnostno-operativni center: steber proaktivne varnosti kritične infrastrukture

Kibernetska varnost kritične infrastrukture je ključna za zagotavljanje razpoložljivosti storitev, varnosti državljanov in stabilnosti gospodarstva. Zaradi naraščajoče kompleksnosti in povezanosti IT- in OT- okolij ter rasti sofisticiranih, vse pogosteje geopolitično motiviranih napadov, zahteva učinkovita obramba integriran, proaktiven pristop 24/7, ki združuje tehnologijo, procese in ljudi.

Sektorski varnostno-operativni center (VOC) deluje kot jedro zaščite kritične infrastrukture. V njem delujejo visoko usposobljeni varnostni analitiki, ki centralno nadzorujejo vse vire tako z informacijske kot operativne tehnološke ravni (IT-OT), upravljajo zaznavanje in odzivanje na incidente ter uva­jajo proaktivne ukrepe za zmanjševanje tve­ganj. VOC omogoča stalno spremljanje, avto­matizacijo odzivov in gradnjo kulture varnosti na vseh organizacijskih ravneh.

Pri svojem delovanju VOC uporablja najsodobnejše tehnologije in orodja

Osnovna tehnologija za delovanje VOC je SIEM (Security Information and Event Management), ki zagotavlja celovit prikaz omrežnega prometa varovanega omrežja. Do­godke pridobiva iz različnih omrežnih naprav, računalnikov ipd., ki jih je mogoče spremljati v realnem času, ter podpira tudi pregledova­nje in analiziranje dogodkov za nazaj. V pove­zavi s sistemom SIEM pogosto posežemo tudi po tehnologiji UBA/UEBA (User and Entity Be­havior Analytics), ob pomoči katere zaznava­mo nenavadno vedenje uporabnikov in enti­tet ter ugotavljamo mogoče zlorabe uporab­niških računov in pravic dostopa.

Velike količine podatkov in hitrost napa­dov narekujejo uporabo strojnega učenja in umetne inteligence za zmanjšanje lažno po­zitivnih/negativnih zaznav, odkrivanje novih vzorcev napadov ter podporo analitikom pri forenzični obravnavi. Avtomatizacija zaznava­nja je osnova za samodejno odzivanje (SOAR – Security Orchestration, Automation and Re­sponse), ki lahko blokira ponavljajoče se na­pade, zagotovi neprekinjeno delovanje, iz­boljša KPI varnosti in standardizira odzivne procedure. To nam omogoča, da prihranimo čas varnostnega osebja za zahtevnejša opra­vila. Med naprednimi rešitvami, ki temeljijo na umetni inteligenci, so za učinkovitost de­lovanja VOC ključni tudi sistemi za razširje­no zaznavo končnih točk in omrežnega pro­meta ter ustrezno odzivanje (EDR/NDR/XDR). V sektorskem VOC posegamo zlasti po siste­mu ADS (Anomaly Detection System). Ta na podlagi modelov strojnega učenja samodej­no zaznava neobičajne vzorce v omrežnem prometu, ki nakazujejo na potencialne kiber­netske napade in jih varnostni analitiki brez digitalne podpore ne bi bili sposobni sami prepoznati.

Izpostaviti velja tudi uporabo sistema vab (honeypot) za dodaten vpogled v vektorje na­padov, situacijsko zavedanje in odkrivanje anomalij kot tudi peskovnike (sandbox) za fo­renzične raziskave. Sistem vab se uporablja za odkrivanje ali preprečevanje nepooblaščenih dostopov. Sistem je nastavljen tako, da simu­lira realne podatke, varnostno pa deluje kot oslabljen oziroma ranljiv sistem. Tako priva­blja potencialne napadalce, zraven pa beleži vse aktivnosti.

Vse bolj nujna postaja preventivna varno­stna analitika. Namesto da zgolj čakamo na napad, se je smiselno nanj vnaprej pripraviti. Z brskanjem po javno dostopnih virih (OSINT), še posebej po temnem spletu (dark web), lah­ko pridobimo podatke, ki napovejo metodo in druge parametre napada. Postopek zbiranja in filtriranja tovrstnih podatkov pa ne morebi­ti učinkovit brez uporabe sofisticiranih orodij.

V preventivno varnostno analitiko šteje tudi iskanje ranljivosti v varovanem sistemu, ki bi jih hekerji lahko uporabili za vdor. Sodob­na orodja poleg iskanja ranljivosti vključuje­jo tudi funkcionalnosti, ki ranljivost odpravijo (korektivni ukrep ali posodobitev) ali informa­cijo o prežeči nevarnosti sporočijo v SIEM.

Kibernetska varnost v korporativnih okoljih zahteva vse bolj proaktiven pristop

Tehnologije za inteligenco kibernetskih groženj (CTI – Cyber Threat Intelligence) lah­ko dvignejo zaznavanje groženj in odzivanje nanje na višjo raven, ki omogoča razumeva­nje širših trendov in motivov napadalcev. In­teligenca kibernetskih groženj zagotovi kon­tekst, na osnovi katerega smo neprenehoma seznanjeni z aktualnimi grožnjami, identite­to in motivi napadalcev, metodami in vektor­ji napadov ter s kazalniki povzročene škode. Te tehnologije zbirajo podatke o grožnjah iz raz­ličnih virov ter omogočajo njihovo obdelavo in izmenjavo. Podprte so z uveljavljenimi stan­dardi, kot sta STIX in TAXII, ki služita za izme­njavo informacij o kibernetskih grožnjah, ter kot je MITRE ATT&CK, ki predstavlja standar­dno zbirko znanja o taktikah in tehnikah na­padalcev.

VOC omogoča stalno spremljanje, avtomatizacijo odzivov in gradnjo kulture varnosti na vseh organizacijskih ravneh.

Eno izmed orodij, ki postaja nepogrešljivo pri operativnem delovanju VOC, je prav goto­vo prosto dostopna platforma MISP (Malware Information Sharing Platform). V osnovi je na­menjena izmenjavi, sodelovanju in deljenju obveščevalnih podatkov o kibernetskih gro­žnjah med organizacijami in skupnostmi. Lah­ko rečemo, da gre za skladišče obveščevalnih podatkov o grožnjah, ki lahko vsebujejo kazal­nike kompromitiranja (Indicators of Compro­mise – IoC), vzorce kode, profile akterjev gro­ženj, ukrepe, rešitve, tudi orodja.

Poleg spremljanja indikatorjev zlorab (In­dicators of Compromise – IoC) je pomemb­no sistematično slediti tudi širšemu, global­nemu dogajanju v kibernetskem svetu. Vdori in kraja podatkov pri zunanjih, pogosto brez­plačnih storitvah ali družbenih medijih so lah­ko začetek kibernetskega incidenta v lastnem okolju. Napadalci aktivno izmenjujejo ukra­dene poverilnice ali jih celo tržijo na sple­tu, nekateri se specializirajo samo za prido­bivanje in preprodajo gesel ter uporabniških imen. S pridobljenimi poverilnicami za eno storitev poskušajo ugotoviti, ali lahko z isti­mi podatki pridobijo dostop še drugje. V tem primeru napadalci izkoriščajo človeške sla­bosti pri upravljanju gesel in večkratno upo­rabo istih poverilnic za različne storitve, tudi za službene namene. Če zasledimo izmenja­vo ali prodajo poverilnic naših uporabnikov na temnem spletu, pridobimo prednost pred napadalci in lahko preprečimo potencialni ki­bernetski incident. Za ta namen obstajajo od­prte, kot je na primer HIBP, in komercialne zbirke podatkov.

Sodelovanje je ključno

Sodelovanje med VOC, CSIRT, dobavitelji in partnerji je ključno za obvladovanje čezmej­nih groženj in zmanjšanje kaskadnih učinkov napadov. Platforme, kot je MISP, in standar­di STIX/TAXII omogočajo hitro izmenjavo IoC, TTP in odzivnih procedur. Direktiva NIS2 zah­teva posamezne odzivne sposobnosti, poro­čanje in mednarodno usklajenost, zato VOC uvajajo standardizirane postopke, poročanje in mehanizme sodelovanja z nacionalnimi od­zivnimi centri.

Zaščita elektroenergetskega sektorja zah­teva integrirani pristop, ki združuje napredne tehnologije, avtomatizacijo, proaktivno obve­ščanje in sodelovanje med deležniki. Sektorski VOC, kot ga vodi Informatika, predstavlja učin­kovito rešitev za zagotavljanje kibernetske od­pornosti kritične infrastrukture, skladno z no­vimi regulativnimi zahtevami in vedno bolj so­fisticiranimi grožnjami.

www.informatika.si