Technologie ochrony przed zagrożeniami muszą dojrzeć

Specjaliści do spraw bezpieczeństwa są przytłoczeni rosnącą ilością danych o zagrożeniach. Jak skutecznie gromadzić te informacje, by faktycznie ograniczyć ryzyko wystąpienia incydentu?

Jeszcze dziesięć lat temu analiza zagrożeń była głównie domeną agencji rządowych. Dziś niemal każda organizacja jest bombardowana informacjami o zagrożeniu, które wymagają niezwykle ostrożnej i precyzyjnej analizy w celu wyodrębnienie faktycznie istotnych danych. Ich skuteczne zbieranie i przechowywanie wymaga zmiany w sposobie myślenia i dalszego rozwoju technologii ochrony przed zagrożeniami. Tylko wtedy poziom ryzyka ma szansę rzeczywiście się zmniejszyć.

Zdaniem ekspertów, błędem jest bezrefleksyjne gromadzenie ogromnej ilości danych dla samego faktu ich posiadania. Takie działania mogą bowiem zakłócać funkcjonowanie programów do analizy zagrożeń, ponieważ przesiewanie ogromnych ilości danych w celu wyłonienia rzeczywistych symptomów zagrożenia z szumu informacji jest niezwykle czasochłonne i wiąże się z ogromnymi nakładami pracy. Z tego względu, każda organizacja chcąca mieć w swoich zasobach skuteczne rozwiązania ochrony przed zagrożeniami musi opracować odpowiedni plan działania w oparciu o wewnętrzną ocenę ryzyka.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach

- Programy do analizy zagrożeń nie zawsze uwzględniają wszystkie możliwe dane. Tak naprawdę jest to dość nowe zjawisko, a rozwiązania w tej dziedzinie nieustannie się zmieniają. Dlatego kluczowe jest zrozumienie, że samo ich wdrożenie do produktu nie wystarczy. Analiza zagrożeń ma sens tylko wtedy, gdy skrupulatnie gromadzone są wszelkie możliwe do pozyskania dane, zarówno bieżące, jak i historyczne – wyjaśnia Tomer Schwartz, dyrektor ds. badań na bezpieczeństwem w Adallom Labs.

Pomijanie danych historycznych w analizie zagrożeń można nazwać szkolnym błędem – dane historyczne zawierają w końcu szereg informacji niezbędnych do uzyskania rzetelnego wyniku analizy zagrożeń oraz zapewnienia bezpieczeństwa i ochrony przed licznymi incydentami. Nic dziwnego, że przeprowadzenie ataku nie jest dziś wcale trudne. I nadal nie będzie niczym nadzwyczajnym dopóki firmy nie zaczną wiązać ze sobą nowych i historycznych danych w ramach ściślejszej współpracy.

Równie złym pomysłem, co pomijanie informacji o przeszłych zdarzeniach, jest pompowanie pieniędzy w sam problem bez pozyskania informacji o różnych platformach spełniających potrzeby określonego środowiska.

Problem typu Big Data

Danych o zagrożeniach jest zbyt dużo, by móc w pełni wykorzystać pełen ich potencjał. Umysł ludzki nie jest bowiem w stanie analizować informacji z taką samą prędkością z jaką są one generowane.

- Nieustannie mamy do czynienia z nowymi kanałami rozprzestrzeniania danych o zagrożeniach. W tym kontekście zalew informacji stanowi dla nas jednocześnie szansę i wyzwanie. To klasyczny problem związany ze zjawiskiem Big Data, który wynika z tego, że ludzki umysł po prostu nie jest w stanie przetworzyć informacji w wystarczająco szybkim tempie – wyjaśnia Anne Bonaparte, prezes firmy BrightPoint.

Ogromna ilość danych często uniemożliwia skuteczną analizę zagrożeń. Zgadzają się co do tego najwięksi dostawcy rozwiązań bezpieczeństwa (m.in. ThreatQuotient, TruSTAR, BrightPoint, Webroot, Norse i Adollom).

Analizowanie zagrożeń ma sens wyłącznie wtedy, gdy analitycy mają dostęp do wszelkich możliwych danych – żmudne programy generujące długie raporty na podstawie cząstkowych danych w żaden sposób nie przekładają się na rozwój tej technologii. Skuteczna analiza wymaga bowiem weryfikacji setek milionów danych, z których tylko niewielka część ma znaczenie. To z kolei wymaga ogromnego nakładu pracy i jest niezwykle czasochłonne.

Co więcej, dane często szybko się dezaktualizują. - Każdy, nawet najbardziej szczegółowy raport punktujący absolutnie wszystkie słabe strony i zagrożenia staje się nieaktualny już w momencie jego drukowania – mówi Sam Glines, prezes firmy Norse.

Jego zdaniem, skuteczna analiza zagrożeń musi uwzględniać także ryzyko wewnętrzne – nieuczciwych pracowników oraz nieprawidłowo funkcjonujące maszyny i urządzenia. Przeprowadzenie audytu wewnętrznego jest niezbędne, by firma mogła poznać swoje słabe strony – zarówno te istniejące na zewnątrz, jak i wewnątrz organizacji. Takie podejście jest zgodne z praktycznym założeniem mówiącym, że nie można gwarantować pełnej ochrony, jeżeli nie wiadomo, przed czym w rzeczywistości należy się bronić.

W takiej sytuacji firmy mogą również skorzystać z usług bardziej wyspecjalizowanych dostawców, którzy są w stanie przygotować cenniejsze i bardziej szczegółowe informacje, które pozwolą na ocenę jakości analizy zagrożeń i realizację odpowiednich inwestycji bazujących na rzeczywistych potrzebach klienta.

Dynamika zmian w sektorze cyberbezpieczeństwa, szczególnie w obliczu masowego przechodzenia do chmury i nieustannych zmian infrastrukturalnych, powoduje, że nie wszystkie organizacje są gotowe do pełnego skupienia na ocenie ryzyka. Jak twierdzi Sam Glines, kluczowe znaczenie ma wcześniejsze przeprowadzenie takiej oceny i opracowanie planu działań, co może znacznie przyspieszyć pracę po stronie dostawców rozwiązań bezpieczeństwa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200