Индустрията за киберсигурност постоянно повтаря, че се нуждаем от нови инструменти, за да направим организациите си сигурни. BYOD? Нуждаете се от управление на мобилни устройства (MDM) и откриване и реагиране на крайни точки (EDR). Облак? Нуждаете се от мениджъри на конфигурацията на облака, инструменти за хибридно наблюдение и специализирани точкови решения за управление и сканиране на изложени на риск тайни, да не говорим за много повече разпределени защитни стени за уеб приложения. Kubernetes? Нуждаете се от нов набор от инструменти, които да отразяват по-стари инструменти, като линтери, динамично тестване на сигурността на приложенията (DAST), статично тестване на сигурността на приложенията (SAST), скенери и др. Сега има изкуствен интелект (ИИ) – и главните отговорници по информационната сигурност (CISO) и екипите по киберсигурност се нуждаят от инструменти като сканиращи слоеве за кодиране, задвижвани от ИИ, за да се справят с това нововъзникващо пространство. Накратко, инструментите управляват.
Въпреки постоянното натрупване на нови инструменти за решаване на нови проблеми, най-честата основна причина за сериозни инциденти в областта на киберсигурността остават неуспешните процеси. Според проучването „Състояние на управлението на сигурността 2023“ на Gutsy, което събра отговори от повече от 50 главни директори по информационна сигурност на предприятия през август 2023 г., 33% от всички инциденти със сигурността се дължат на грешки в процесите. Общият брой може да е много по-висок, като се има предвид сложността и многоетапните вериги от събития на много инциденти. Ясен знак, че инструментите не решават проблемите ни с киберсигурността, е лошата операционализация на инструментите за сигурност: 55% от всички инструменти за сигурност не са въведени в експлоатация или не се управляват активно. Простото добавяне на инструменти не е решение.
От постмортален анализ на сигурността до непрекъснато проучване на процесите
За да отстраните неуспехите в процесите, трябва да се справите с факторите, които са в основата на проблемите. Единственият начин да идентифицирате точно тези фактори е да наблюдавате, записвате и документирате неуспешните процеси, довели до проблемите. Досега това означаваше най-вече преглеждане на дневници и провеждане на анализи след инциденти. Но разглеждането само на провалените процеси е като търсенето на престъпление под уличната лампа – то пренебрегва всички други потенциални провали на процесите, които все още не са се случили.
Необходим е нов подход, който може да бъде по-лесно мащабиран, за да записва и картографира безброй взаимодействия и процеси непрекъснато и в мащаба на предприятието. Навлезте в процеса на извличане на информация за киберсигурността. Процесният добив на информация съществува в редица индустрии от повече от десетилетие. От системите за управление на ресурсите на предприятието (ERP) до автоматизацията на роботизираните процеси (RPA), където картографирането на процеса е първият етап от внедряването, улавянето на взаимодействията на хората с технологиите, докато те изпълняват своите задачи, е позната стратегия.
Този подход обаче не е прилаган към киберсигурността по няколко причини. Първо, анализирането и каталогизирането на процесите е досадна работа, която много екипи по киберсигурност и ИТ предпочитат да оставят на одиторите. Да се иска от екипите по киберсигурност, ИТ или мрежови технологии да добавят това към и без това голямото си натоварване, свързано с наблюдението и защитата на инфраструктурата и софтуера, е неустойчиво.
Второ, макар че екипите по киберсигурност и одиторите отдавна разчитат на данни, събрани от агенти, тези данни до голяма степен са свързани със събития и промени в инструментите за сигурност, а не с процеси. Това превръща традиционния анализ на процесите в ръчна задача, изградена старателно чрез интервюта, четене на вериги от имейли и пресяване на логове. Данните, генерирани от различни инструменти и системи, невинаги са чисти или лесни за нормализиране, което прави анализа на процесите по-сложен, времеемък и скъп.
Защо все повече CISO възприемат Process Mining
Няколко промени принуждават компаниите да преразгледат непрекъснатото, автоматизирано извличане на информация от процесите за работните процеси в областта на киберсигурността и управлението на технологиите. От техническа гледна точка леките, облачни технологии и инфраструктура, съчетани с по-усъвършенствани начини за нормализиране на потоците от данни, направиха изграждането на ефективни продукти за процесен майнинг по-малко ресурсоемко и скъпо. В същото време нарастващото признание, че инструментите не са решение, накара много CISO да наблегнат на човешкия фактор, а не на точковите решения за най-новите заплахи за сигурността.
Забележително е, че топ 10 на OWASP остава до голяма степен статичен през последното десетилетие, дори когато инцидентите и общите уязвимости и експозиции (Common Vulnerabilities and Exposures – CVE) достигат рекордни нива за всяка от последните пет години. Опитните нападатели рециклират и прекомпилират едни и същи пакети за атаки, знаейки, че това, което е работило в миналото, вероятно ще работи и в бъдеще. Това ясно показва, че инструментите не правят компаниите по-сигурни. Трябва да се направи нещо друго.
Друг фактор е нарастващият недостиг на специалисти по киберсигурност, който създава възможности за навлизане на по-млади работници в тази област. За да бъдат успешни, тези по-малко опитни хора се нуждаят от повече образование и подкрепа, включително системи, които да им помогнат да се учат в реално време, и предпазни огради, които да ги предпазят от допускане на катастрофални грешки.
И накрая, въздействието на атаките, които се възползват от грешки в процесите, се е влошило значително. Компанията за казина MGM и компанията за почистващи продукти Clorox наскоро съобщиха, че събитията, свързани с рансъмуер, ще се отразят съществено на приходите им. В случая на MGM щетите са над 100 млн. долара.
Дори и най-съобразителните компании са склонни към публични и силно смущаващи провали в процесите. Неотдавнашното компрометиране на системите за поддръжка на Okta от заплахи, използващи тактики на социално инженерство, е класически пример за провал на процеса. Той доведе до болезнени блогове от видни клиенти като Cloudflare и 1Password и широко негативно медийно отразяване в техния постоянен архив.
Фокусирайте се върху подпомагането на хората, а не върху новите видове заплахи
Най-добрият начин за поправяне на неуспешни процеси не е като се даде на човешките оператори още един инструмент. По-скоро им дайте процес и рамка, начин на мислене за тяхната работа (или конкретни части от нея), който е повторяем и логичен. Технологичните екипи се нуждаят от видимост на процесите, които се опитват да следват, включително всички вариации, които им пречат да получат желаните резултати. Те се нуждаят от систематичен, мащабируем и по заявка начин за получаване на видимост. Това, което не се измерва, няма значение, включително и в процесите.
Обичаме инструментите си, но за да намалим наистина риска и броя на успешните атаки, трябва да започнем да разглеждаме провалите в сигурността като проблем на процеса, а не на технологията. Това е дълбока промяна, която изисква различен поглед върху сигурността, но е необходима, за да се справим с първопричината за повечето проблеми с киберсигурността. Инструментите могат да се чувстват добре и да проверяват последния квадрант на анализаторите. Но проучването на процеса, обучението на операторите и наблюдението за аномалии в процеса е истинското решение.