Tag: Incidentų valdymas

  • Po kibernetinės atakos lemia minutės: ENISA ekspertas įvardijo tris pirmuosius žingsnius verslui

    Laikais, kai sukčiavimo laiškai ir netikros svetainės vis dažniau kuriamos pasitelkiant DI, o naujos pažeidžiamumo spragos išnaudojamos per valandas ar net minutes, įmonių reakcija į kibernetinį incidentą tampa esminiu išlikimo veiksniu. Europos Sąjungos kibernetinio saugumo agentūros ENISA atstovai pabrėžia, kad pirmosios valandos po įsilaužimo neretai nulemia galutinių nuostolių mastą.

    ENISA kibernetinio saugumo ir operacijų direktorius Hansas de Vriesas akcentuoja, kad kibernetinė ataka šiandien nėra vien IT skyriaus problema. Tai visos organizacijos atsparumo testas, apimantis technologijas, žmones ir procesus, o klaidos pradžioje gali pakenkti ne tik sistemoms, bet ir reputacijai bei klientų pasitikėjimui.

    DI keičia atakų greitį

    Pastaraisiais metais saugumo ekspertai vis dažniau kalba apie trumpėjantį laiką nuo spragos aptikimo iki jos išnaudojimo. DI padeda nusikaltėliams greičiau parengti įtikinamas apgaules, automatizuoti žvalgybą ir pritaikyti atakų scenarijus konkrečioms įmonėms, todėl vėluojanti reakcija tampa brangia klaida.

    Ši situacija didina poreikį iš anksto turėti incidentų valdymo planą, apmokytus atsakingus žmones ir aiškius sprendimų priėmimo kelius. Praktikoje daugelis organizacijų deklaruoja pasirengimą, tačiau realaus įvykio metu paaiškėja, kad trūksta aiškios komunikacijos, atsarginių veikimo scenarijų ir išbandytų procedūrų.

    Trys žingsniai pirmosioms minutėms

    ENISA ekspertas išskiria tris prioritetus, kuriuos įmonei svarbu atlikti vos pastebėjus galimą įsilaužimą ar duomenų nutekėjimą. Tikslas yra sustabdyti žalą, užfiksuoti informaciją tyrimui ir kuo greičiau įjungti pagalbos mechanizmus, kad incidentas neplistų.

    „Greitas pranešimas apie ataką padeda specialistams greičiau spręsti problemą ir užkirsti kelią tolesnei žalai, taip pat leidžia gauti patarimų ir paramą, reikalingą efektyviam atsigavimui“, – sakė Hansas de Vriesas.

    Pirmasis žingsnis yra nedelsiant stabilizuoti situaciją ir rinkti įrodymus: išsaugoti klaidų pranešimus, sistemos įspėjimus, ekrano nuotraukas, užfiksuoti įtartiną veiklą ir neardyti galimų įkalčių. Tai svarbu ir vidiniam tyrimui, ir tuo atveju, jei prireiktų teisėsaugos ar reguliuotojų įsitraukimo.

    Antrasis žingsnis yra kreiptis į kompetentingas institucijas ir naudotis oficialiais pranešimo kanalais. ES šalyse veikia nacionaliniai kibernetinio saugumo centrai ir incidentų registravimo mechanizmai, o didesniais atvejais gali būti reikalingas ir platesnis koordinavimas su sektoriaus ar valstybinėmis struktūromis.

    Trečiasis žingsnis yra greitas ir tikslus informavimas tų, kuriuos incidentas galėjo paveikti. Tai apima darbuotojus, klientus, partnerius ir tiekimo grandinės dalyvius, nes šiuolaikinėse atakose dažnai siekiama plisti per kontaktus, perimtas paskyras ar kompromituotus tiekėjų kanalus.

    Technologijos, žmonės ir procesai

    ENISA pabrėžia, kad kibernetinė sauga nėra vieno įrankio ar vienos platformos klausimas. Net pažangiausios apsaugos priemonės nebus veiksmingos, jei darbuotojai neatpažins apgaulių arba jei organizacijoje nebus aiškių taisyklių, kas ką daro incidento metu.

    „Sistemos ir paslaugos, kuriomis remiamės kasdieniame gyvenime, yra tarpusavyje susietos, todėl sutrikimas vienoje grandinės vietoje gali sukelti domino efektą visoje tiekimo grandinėje“, – sakė Hansas de Vriesas.

    Dėl to vis daugiau dėmesio skiriama nuolatiniams mokymams, pratyboms ir pareigybių aiškumui, kad incidento metu sprendimai būtų priimami greitai. ENISA taip pat yra parengusi Europos kibernetinio saugumo gebėjimų sistemą, kuri padeda įmonėms apibrėžti roles ir kompetencijas bei planuoti, kokių specialistų reikia realiam atsparumui užtikrinti.

    Artėjant griežtesniems reikalavimams daliai sektorių, įmonėms aktualu ne tik investuoti į technologijas, bet ir reguliariai testuoti veiklos tęstinumo planus, atnaujinti incidentų valdymo procedūras ir įvertinti tiekėjų rizikas. Kuo aiškesnis pasirengimas, tuo didesnė tikimybė, kad kibernetinė ataka netaps verslo sustojimu.

  • „Palo Alto Networks“ įspėja: DI valdomos kibernetinės atakos netrukus taps nauja norma

    „Palo Alto Networks“ įspėja: DI valdomos kibernetinės atakos netrukus taps nauja norma

    „Palo Alto Networks“ technologijų vadovas Lee Klarich perspėja, kad organizacijos turi tik 3–5 mėnesių langą sustiprinti gynybą, kol DI valdomi pažeidžiamumų išnaudojimai taps kasdienybe. Jo teigimu, puolėjai vis aktyviau pasitelkia pažangius modelius, kurie spartina silpnų vietų paiešką ir atakų automatizavimą.

    Pasak eksperto, didžiausia rizika slypi tame, kad DI gali padėti greičiau atrasti ir pritaikyti iki tol nežinomas programinės įrangos spragas. Tai didina tikimybę, kad atakos bus masiškesnės, tikslesnės ir pigiau vykdomos, o incidentų skaičius bei žala verslui augs.

    Lenktynės su pažeidžiamumų banga

    Ši tendencija ypač aktuali išpirkos reikalaujančių programų ekosistemai, kuri pastaraisiais metais profesionalizavosi ir veikia kaip paslauga. DI įrankiai gali palengvinti tiek pradinį taikinio žvalgybos etapą, tiek socialinę inžineriją, tiek ir techninį įsilaužimą, kai bandoma išnaudoti klaidas sistemose.

    Lee Klarich teigia, kad rinkai būtina greitesnė, visos industrijos masto inovacija, orientuota į naujų atakos metodų aptikimą. Kaip vieną krypčių jis išskiria vadinamąjį virtualų lopymą, kai pažeidžiamumai neutralizuojami apsaugos sluoksnyje dar iki oficialaus gamintojo pataisymo.

    Signalai iš „Google“ ir kitų rinkos žaidėjų

    Pastaruoju metu apie DI panaudojimą kibernetinėse operacijose vis dažniau kalba ir didžiosios technologijų bendrovės. „Google“ yra pranešusi sustabdžiusi bandymą pasitelkti DI masinio išnaudojimo kampanijai, tačiau kartu pažymi, kad nusikaltėliai jau dabar naudoja viešai prieinamus įrankius realioms atakoms.

    Tuo pat metu kibernetinio saugumo bendruomenėje daugėja iniciatyvų, kai pažangūs modeliai testuojami kontroliuojamomis sąlygomis, o prieiga ribojama patikimoms komandoms, siekiant laiku aptikti spragas ir sumažinti piktnaudžiavimo riziką. „Palo Alto Networks“ taip pat žada artimiausiu metu pristatyti pirmuosius papildomus pajėgumus, skirtus atremti naujos kartos atakoms.

    Ką tai reiškia įmonėms ir žmonėms

    Praktiškai tai reiškia, kad organizacijoms svarbu mažinti laiką nuo pažeidžiamumo aptikimo iki jo suvaldymo, griežtinti prieigų kontrolę ir atnaujinti incidentų valdymo planus. DI spartinamos atakos ypač pavojingos ten, kur skaitmeninės paslaugos priklauso nuo daugybės tiekėjų, integracijų ir nuotolinės prieigos.

    Ekspertai pabrėžia, kad vien technologinių priemonių nepakanka: darbuotojų mokymai, griežtesnės autentifikavimo taisyklės ir atsarginių kopijų disciplina išlieka kertiniai dalykai. Kuo labiau automatizuojasi puolimas, tuo labiau turi automatizuotis ir gynyba.

    „Dabar matome tik 3–5 mėnesių langą, per kurį organizacijos gali aplenkti priešininką, kol DI valdomi išnaudojimai taps nauja norma“, – sakė Lee Klarich.