Магда Жиану - Channel Business Manager, Palo Alto Networks

Според проучване на Cybercrime Magazine през 2021 г. на всеки 11 секунди нова компания ще става жертва на рансъмуер. На какво се дължи ръстът на тези атаки?
Сега съществува благоприятна среда за развитие на подобни атаки. Големи масиви от данни се произвеждат всяка секунда от организации и хора. Иронично, данните все още са най-слабо защитената стойност.
С нуждата за работа от разстояние поради COVID-19 виждаме слаб контрол на дистрибутираните домашни ИТ и крайни точки, както и разширяване на повърхността за атака.

Наблюдаваме и т.нар. демократизация на киберпрестъпленията. Не е нужно атакуващите да имат специфични умения да пишат код. Те използват сравнително лесни за прилагане техники по социално инженерство.
Възходът на криптовалутите за разлика от класическите системи за превод на пари, които са проследими и силно регулирани, предлага на киберпрестъпниците нужната анонимност, като по този начин подсилва рансъмуер атаките.

Обичайно компаниите отговарят на киберзаплахите чрез техните центрове за управление на сигурността (SOC).Разкажете ни повече за това какво правят.
SOC идентифицират, разследват и отстраняват заплахи. Екипите по анализ на сигурността трябва да идентифицират потенциални злонамерени сигнали, да разследват причината за инцидентите и да определят потенциалното им влияние. Те трябва и да спират атаки, ако сигналите се окажат положителни, както и постоянно да подобряват операциите спрямо променящите се заплахи. Екипите от SOC основно носят отговорност за текущите операционни компоненти на информационната сигурност и са по-малко фокусирани върху разработване на стратегия за сигурност. Тяхната работа е наситена, често повтаряща се, изморителна и понякога изостава спрямо променящата се среда.

Тъй като атаките стават все по-усъвършенствани и чести, могат ли SOC да отговорят на зададеното темпо? Ако отговорът е, че не могат, то къде са техните пропуски?
Нужен е нов начин на мислене. Поради паралелно идващите сигнали за рискове в сигурността е много трудно да се отговори ефективно на критични инциденти. В SOC липсват хора и скалируеми процеси, които могат да се справят с огромния обем от сигнали. Според нашите проучвания средните до големи предприятия използват между 30 и 40 различни решения за сигурност. Това принуждава анализаторите да губят време, за да идентифицират фалшиви резултати и да изпълняват повтарящите се задачи през целия жизнен цикъл на инцидентите. Сблъсквайки се с нарастващ недостиг на умения, лидерите в сферата на сигурността се нуждаят от повече време за вземане на важните решения, вместо да взимат реактивни частични отговори. Трябва да започнат да отговарят цялостно на всеки инцидент, който идва в техните SOC.

Разкажете ни повече за оркестрация, автоматизация и отговор на средствата за защита (SOAR) и как може да помогне в запълването на пропуските в сигурността?
Нужни са нови подход и философия при работата на SOC. Функцията трябва да се преосмисли като бизнес фактор вместо просто като звено, отговарящо на сигнали. Операциите трябва да се опростят, да се намали броят на инструментите, да се автоматизират повтарящи се задачи, да се използва ML за подобряване на ефикасността. А и да се въведат последователни политики за сигурност в различните мрежи, облачни услуги и крайни точки и да се отговаря бързо на заплахи. Много SOC отдели започват да използват SOAR платформи, за да управляват сигналите от всички източници, да стандартизират процесите и да автоматизират отговорите. Въпреки това все още има големи пропуски при управлението на информацията за заплахите. Екипите по сигурността все още разчитат на платформите за споделяне на информация за заплахите (Threat Intel Platform - TIP), що се отнася до външните заплахи. Тези платформи не успяват да отговорят на очакванията, тъй като екипите срещат трудности с автоматизираните действия спрямо значими индикатори в несвързани помежду си източници на информация за заплахи. Според анализаторите в сферата това е проблем. TIP платформите добавят сложност чрез обобщаване на информационните източници без реалните контекст или автоматизация, нужни за бързи действия.

Има ли решение на този проблем?
Отговорът е разширена SOAR платформа. В Palo Alto Networks въведохме иновативната платформа Cortex XSOAR с вграденoуправление на информацията за киберзаплахи (Threat Intel Management). Като част от разширяемата платформа Cortex XSOAR Threat Intel Management задава нов подход чрез обединяване на обобщена информация за заплахите, оценка и споделяне с автоматизация, базирана на предварително определени процеси и стандарти. Това позволява да се отговори по най-правилния начин на най-приоритетните заплахи. Сега анализаторите по сигурността могат да елиминират задачите, изпълнявани от отделни хора, чрез автоматизирани процеси, с които да се обобщават, анализират, дедупликират и управляват милиони ежедневни индикатори от множество източници. Ще могат също и да откриват критични заплахи чрез наслояване на информацията за заплахи от трети страни с вътрешни случаи, за да се приоритизират сигналите и да се взимат информирани решения. Така ще се обогатят ресурсите за откриване, наблюдаване или отговор с контекст, изведен от подбрана информация за заплахите, и ще се предприемат автоматизирани действия за незабавното им премахване. Cortex XSOAR променя представите за SOAR, извеждайки операциите за сигурност на следващото ниво. Налична на българския пазар чрез партньора ни "CLICO България"

Каква е вашата прогноза за 2021 г. в контекста на заплахите и тенденциите в сферата на киберсигурността?
Трудно е да се каже какво ще ни донесе 2021 г. Преди година COVID-19 не беше фактор. Поуката от тази криза е, че бизнесът трябва да е подготвен за резки промени, като въведе лесни за употреба и реконфигурация решения, изчистени архитектури и по-автоматизирани процеси. Коронавирусът ще е тук и през следващата година, а с него и новите предизвикателства. Защитата на отдалечените екипи ще продължи да е основен приоритет. XDR технологиите ще бъдат все повече във фокуса на компаниите. Мерките за сигурност в облака (за CSPM и достъп) ще се увеличат, тъй като се очаква да расте и употребата на IaaS, PaaS и SaaS. Недостигът на обучени кадри, постоянна нужда знанията им да бъдат надграждани и оценявани ще бъдат критично важни и трябва да са сред приоритетите в следващите години. Въвеждането на автоматизирани процеси и употребата на IT и ML също ще расте. IoT ще трябва да бъде една от основните грижи през 2021 г. Главните типове атаки ще са измами, свързани с фишинг, рансъмуъер и DDoS, както и атаки на уеб приложенията. Ще продължаваме да наблюдаваме техния ръст. Трябва да бъдем подготвени, тъй като всички тези предизвикателства могат да бъдат решени. Действайте тактически, когато планирате. Пазете се