A kibertámadások mennyisége világszerte egyre nő, a kiberbiztonsági szakemberek száma viszont nem tart lépést a fenyegetések súlyosbodásával. Mi a teendő ilyenkor? A NetIQ szakértői úgy hiszik a leggyorsabb megoldás, ha gépi analitikával pótolják a hiányzó emberi erőforrást.
Egy idén készült elemzés szerint nemzetközi szinten a vállalatok kétharmadánál hiányzik az optimális kiberbiztonsági szakértelem. Az ISACA jóslatai szerint 2019-re nagyjából kétmillióval kevesebb szakember lesz ezen a területen, mint amennyi szükség volna. Ennek hatására megugrott az IT-biztonsági kurzusok kínálata, egyelőre azonban olybá tűnik, hogy a támadások száma még mindig gyorsabban emelkedik, mint ahogyan a szervezetek védekezési képessége növekszik.
A szakértői közösségekben nyilvánvaló, hogy keresik a megoldást az egyensúly javítására, illetve az utánpótlás bővítésére. Bizonyos kezdeményezések a nők szerepét kívánják emelni a területen, hiszen egy 2017-es jelentés szerint a kiberbiztonsági szakmában csupán 11 százalék a nők aránya, ráadásul ez a szám 2013 óta nem mutat változást. Ennek a célkitűzésnek a része többek között, hogy a jövő évtől az amerikai cserkészlányok különféle kiberbiztonsági tesztek és feladatok abszolválásáért is szerezhetnek új jelvényeket.
Szakértelem és körültekintés
Hosszú távon mindenképpen sokat jelent majd az új szakértők kinevelése és bevonása, rövidtávon azonban az is hatalmas előnyökkel jár, ha a vállalatok a biztonsági analitikát terjesztik ki a kétes tevékenységek felismeréséhez. Az ilyen típusú elemzési módszereket már évtizedek óta használják a pénzügyi iparágban a csalások leleplezésére, a kiberbiztonságban azonban csak az elmúlt években kezdték el alkalmazni.
A biztonsági analitikának két fő komponense van. A felhasználói viselkedés elemzése (User Behavior Analytics – UBA) során azokat a gyanús folyamatokat keresik, amelyek a rosszindulatú felhasználókra, illetve a feltört fiókokkal visszaélő internetes bűnözőkre utalnak. A hálózati analitika (Network Analytics) segítségével pedig a káros szoftverekkel „megbetegített” hosztokat próbálják felkutatni.
Ezek a biztonsági elemzések kiválóak arra, hogy a „front line” elemzők számára előnyösen hasznosítható és értelmezhető adatokat hívjanak létre belőlük. Ha az erőforrások hiánya okozza a gondot, a technológiát kell arra utasítani, hogy biztosítsa a szakembereknek mindazt, ami a támadók feltartóztatásához szükséges.
Árulkodó jelek és nyomok álcázása
A biztonsági analitika elképesztően sok esetben megfelelő kiindulópontokat adhat az elemzők számára, és a felderítési folyamatok során kiiktathat számos, találgatáson alapuló munkát. A naplóadatok például majd az összes esetben tartalmazzák a „mit” és „hol” kérdésekre fellelhető válaszokat, a „ki” azonban kevésszer mutatkozik meg a felderítések folyamán. Egy malware fertőzésnél viszont kardinális fontosságú, hogy ismerjük, mely felhasználó(k) van(nak) kitéve veszélynek.
Az analitika segítségével sokkal egyszerűbben és hamarabb megtalálhatók az adott eseményért releváns, pontosan beazonosítható felhasználók. Ha kiegészítik a biztonsági események adatait a felhasználók és rendszergazdák egyedi személyazonossági ismérveivel, az sokkal részletesebb betekintést kínál abba, melyik felhasználó hol és mikor férkőzött hozzá az információkhoz.
Az analitika más módon is csökkentheti az elemzőkre tornyosuló munkamennyiséget, így például a potenciális kontextus biztosításával. Ha a fenyegetésekre vonatkozó információkat egyesítik egy adott biztonsági esemény adataival, és ezeket testre szabottan vizualizálják is, az gyorsabb áttekintést szavatol, továbbá olyan kapcsolatokra is rávilágíthat, amelyek elsőre nem tűnnek evidensnek. Mindez pedig felpörgeti a válaszlépéseket egy támadás során.