Nazaj na:
Največja grožnja je tisto, česar ne vidimo
Digitalna napadalna površina organizacij se širi iz dneva v dan. Podatki so v oblaku, infrastruktura razpršena, uporabniki delajo od kjerkoli, dobaviteljske verige pa povezujejo podjetja v neločljivo celoto. Kibernetska varnost zato ni več le zaščita omrežja, temveč upravljanje izpostavljenosti, ki se neprestano spreminja. O tem, kako to vidljivost ohraniti in zakaj je varnost danes predvsem poslovna funkcija, smo se pogovarjali z Urošem Strnišnikom, vodjo SOC & skladnosti v skupini ACTUAL I.T.
Napadalna površina organizacij raste hitreje od njihove sposobnosti nadzora. Kako jo opredeljujete in merite v praksi? Napadalno površino moramo razumeti kot vse tisto, kar je izpostavljeno navzven. Vse, kar je povezano v digitalni svet in bi lahko nekdo izkoristil za vdor. To niso samo strežniki in spletne aplikacije, ampak tudi uporabniški računi, oblačne storitve, partnerji in celo delovni procesi. Največji izziv danes ni v tem, da teh stvari ne bi znali zaščititi, ampak da pogosto sploh ne poznamo vseh. V praksi zato najprej poskrbimo za popolno vidljivost. Mi moramo vedeti kaj vse je dejansko “tam zunaj”. Šele nato lahko govorimo o nadzoru in zmanjševanju tveganj. Tu ne gre za enkratno akcijo ampak za stalni proces, saj se digitalna površina podjetja spreminja vsak dan – z novimi aplikacijami, uporabniki in storitvami.
Najpogosteje so spregledani ravno deli okolja, ki niso več uradno v uporabi, a so še vedno aktivni v ozadju. Katera območja napadalne površine podjetja se po vaših izkušnjah najpogosteje zanemarijo in zakaj? Najpogosteje so spregledani deli okolja, ki jih nihče več “uradno” ne uporablja, a še vedno delujejo v ozadju. Govorim o starih sistemih, pozabljene aplikacijah ali testnih okoljih. To so taki tihi kotički IT-ja, kjer se pogosto skriva največ tveganj. Veliko vrzeli nastaja tudi pri API-jih, ki povezujejo aplikacije med seboj. Ker jih je težko slediti in pogosto nimajo jasnega lastnika, hitro postanejo neviden, a zelo privlačen cilj za napadalce. Podobno velja za shadow IT, kjer zaposleni po lastni presoji uporabljajo različna orodja ali oblačne storitve, s čimer nehote povečajo digitalno izpostavljenost podjetja. Vedno večjo težavo pa predstavlja dobaviteljska veriga. Podjetja danes niso več izolirani sistemi, ampak so povezana z množico zunanjih partnerjev, ponudnikov storitev in podizvajalcev. Napadalci to dobro izkoriščajo in napadejo tam, kjer je varnostna kontrola najšibkejša – pri partnerju, ki ima dostop do naših sistemov. Zato je zaupanje v dobavitelje treba dopolniti z rednim preverjanjem in jasnimi varnostnimi zahtevami.
Vidljivost mora biti stalna in celovita, sicer o varnosti ne moremo govoriti. Katere pristope in orodja priporočate za učinkovito in neprekinjeno vidljivost v razpršenih IT in OT okoljih? Zelo pomembno je, da podjetje najprej dobro pozna samo sebe. Da pozna vse svoje sisteme, aplikacije, naprave in uporabnike. Brez tega ne moremo govoriti o varnosti. Zato je prvi korak vzpostavitev popolne vidljivosti, ki mora biti stalna, ne le občasna. V IT okolju pri tem pomagajo orodja za neprekinjeno spremljanje sredstev in ranljivosti, medtem ko je v OT okolju pristop bolj nežen – tam uporabljamo pasivne metode, ki ne posegajo v delovanje industrijskih sistemov. Pomembno je, da se vsi podatki zbirajo na enem mestu, kjer jih lahko varnostna ekipa analizira in razume v kontekstu celotnega okolja. To je edini način, da lahko organizacija hitro zazna spremembe, poveže dogodke med seboj in se pravočasno odzove.
Multi-cloud, edge in IoT so odprli vrata fleksibilnosti, hkrati pa tudi bistveno večji kompleksnosti. Kako ta premik vpliva na varnostno arhitekturo in širino napadalnih vektorjev? Premik v multi-cloud in edge okolja je podjetjem prinesel veliko fleksibilnosti, hkrati pa tudi precej večjo kompleksnost. Podatki in aplikacije so danes razpršeni med več ponudnikov in lokacij, kar pomeni, da klasični model varovanja “enega omrežja” preprosto ne deluje več. Vsako okolje ima svoje varnostne mehanizme, zato je izziv predvsem v tem, kako vse skupaj povezati v enoten, pregleden sistem. Na primer, tudi IoT-naprave so dodale nov sloj tveganj, saj pogosto nimajo osnovnih varnostnih zaščit in se hitro znajdejo v vlogi šibkega člena. Zato se moramo držati načela ničelnega zaupanja (zero trust), kar pomeni, da nikomur in ničemur ne zaupamo samodejno, temveč preverjamo vsako povezavo, dostop in prenos podatkov. Le tako lahko v razpršenih okoljih ohranimo nadzor in zmanjšamo možnosti za zlorabo.
Identiteta je danes najpomembnejša točka nadzora. Kako lahko celovito upravljanje identitet in privilegijev zmanjša dejansko izpostavljenost podjetja? Danes meje omrežja praktično ni več – zaposleni dostopajo do podatkov od kjerkoli, prek različnih naprav in oblačnih storitev. V takem okolju je identiteta postala glavni varnostni element. Če nekdo prevzame račun uporabnika, ima pogosto na široko odprta vrata do podatkov podjetja. Zato je celovito upravljanje identitet in privilegijev izredno pomembno, saj le tako v vsakem trenutku vemo, kdo ima dostop do česa in zakaj. To vključuje preverjanje pristnosti z več faktorji, redne revizije dostopov ter načelo najmanjših privilegijev, kjer ima vsak uporabnik samo toliko pravic, kot jih res potrebuje za svoje delo.
Zero Trust danes ni več koncept rezerviran za največje. Kako realistična je njegova uvedba v srednje velikih podjetjih in kateri koraki prinašajo največje organizacijske izzive? Zero Trust je povsem dosegljiv tudi za srednje velika podjetja, če se ga lotijo postopno. Največji izziv ni tehnologija, ampak sprememba miselnosti – od zaupanja do preverjanja. Začeti je treba pri upravljanju identitet in dostopov, nato pa pristop postopno razširjati na celotno okolje.
Kakšen pomen ima po vašem mnenju prehod k neprekinjenemu upravljanju napadalne površine, podprtemu z avtomatizacijo, CTI in napovedno analitiko? To je naraven in predvsem potreben premik. Penetracijski testi so še vedno pomembni, vendar pokažejo le trenutno sliko, torej stanje na določen dan. V resnici se okolje spreminja vsak trenutek saj se sistemi posodabljajo, storitve dodajajo, uporabniki prihajajo in odhajajo. Zato danes govorimo o stalnem upravljanju napadalne površine, kjer avtomatizacija, obveščevalni viri (CTI) in analitika omogočajo sprotno zaznavanje sprememb in groženj. Tak pristop organizacijam omogoča, da tveganja ne le prepoznajo, ampak jih tudi aktivno zmanjšujejo – še preden pride do incidenta.
Na katere metrike se velja osredotočiti, da organizacija resnično razume, ali postaja bolj odporna in ne zgolj skladna? Najbolj zgovorni so kazalniki, ki merijo učinkovitost odziva, ne le količine aktivnosti. To so predvsem čas zaznave (MTTD), čas odziva (MTTR) in delež incidentov, ki jih uspemo obvladati avtomatizirano. Pomembno je tudi spremljati, kako se skozi čas zmanjšuje število kritičnih ranljivosti. Administrativna skladnost je nujna, a ne pomeni varnosti. Prave izboljšave vidimo takrat, ko se podjetje zna hitreje in pametneje odzvati – ne le izpolnjevati obrazcev.
Modeli SOC-a se razvijajo v smeri upravljanih ali hibridnih pristopov. V katerih primerih je za podjetje smiselnejši interni SOC in kaj je ključno za učinkovito integracijo procesov, ljudi in tehnologije? Interni SOC ima smisel, kadar podjetje potrebuje visoko stopnjo nadzora in ima dovolj kadrovskih ter finančnih zmožnosti, da ga vzdržuje 24/7. Večina organizacij pa se danes odloča za upravljane ali hibridne modele, kjer zunanja ekipa dopolnjuje interno znanje in skrbi za stalno pokritost. Zelo pomembno pri tem je sodelovanje – jasna delitev odgovornosti, izmenjava podatkov in usklajeni postopki odziva. Šele ko procesi, ljudje in tehnologija delujejo kot enoten sistem, SOC resnično prinaša vrednost, ne glede na to, ali je interni ali upravljan.
Na kakšen način morajo varnostne operacije prilagoditi svoj pristop širjenju digitalne površine, da zagotovijo pravočasen in kontekstualiziran odziv? Varnostne operacije se morajo premakniti od zgolj zbiranja podatkov k razumevanju konteksta. Sam alarm danes ne pove veliko – pomembno je vedeti, kaj pomeni v širši sliki in kakšen vpliv ima na poslovanje. Tu pomembno vlogo prevzema umetna inteligenca, ki pomaga prepoznati vzorce v ogromni količini podatkov in izpostavi tiste dogodke, ki resnično zahtevajo pozornost analitika. S tem varnostne ekipe prihranijo čas in se lahko osredotočijo na tisto, kar je zares pomembno. V praksi se tako povezujejo SIEM, SOAR, CTI in AI sistemi, ki omogočajo avtomatizirano korelacijo dogodkov in hiter, kontekstualiziran odziv glede na stopnjo tveganja. A kljub naprednim orodjem ostaja ključen človeški dejavnik. Govorim o analitiku, ki zna tehnične signale prevesti v poslovni pomen in se odločiti, kdaj ter kako ukrepati.
V kolikšni meri je v podjetjih že uveljavljeno razumevanje, da kibernetska varnost neposredno podpira poslovne cilje in presega okvire klasičnega IT-ja? Varnost se počasi, a vztrajno premika iz tehničnega v poslovni kontekst. Številna podjetja danes že razumejo, da gre pri varnosti predvsem za upravljanje tveganj in zaupanja, ne le za požarne zidove in posodobitve sistemov. Kljub temu je v mnogih okoljih še vedno prisotno razmišljanje, da je varnost nekaj, kar “ureja IT”. Ključna sprememba nastopi, ko vodstva spoznajo, da varnost neposredno vpliva na poslovno stabilnost, ugled in konkurenčnost podjetja. Takrat postane varnost del strateškega odločanja – in ne več samo strošek, ampak naložba v zanesljivo prihodnost.
Kateri pristopi vodstvom omogočajo, da digitalno širitev podjetja usklajujejo z učinkovitim nadzorom izpostavljenosti ter tveganj v dobavni verigi? Digitalizacija prinaša hitrost in učinkovitost, a hkrati odpira nova vrata za napadalce. Ključ je v tem, da varnost ne zavira inovacij, temveč jih spremlja od začetka – po načelu »secure by design«. Uprave morajo razumeti, da vsak nov projekt, sistem ali partner vstopa v digitalni ekosistem podjetja in s tem vpliva na njegovo izpostavljenost. Zato mora biti varnost del vsakega strateškega pogovora, ne naknaden popravek. Tu moram ponovno izpostaviti vlogo dobaviteljske verige. Zaupanje v partnerje mora spremljati tudi preverjanje njihovih varnostnih praks. V sodobnem poslovnem okolju je namreč veriga močna le toliko, kot njen najšibkejši člen.
Poslovna stabilnost in ugled sta danes neposredno vezana na varnost. Kako ekonomsko utemeljiti investicije v varnost skozi prizmo upravljanja poslovnega tveganja? Na varnost ne smemo gledati kot na strošek, temveč kot na naložbo v zanesljivo poslovanje. Varnostni incident danes ne pomeni več samo tehnične težave. Lahko ustavi proizvodnjo, prekine dobavne verige ali trajno načne ugled podjetja. Ko varnost postavimo v kontekst poslovnih tveganj, postane hitro jasno, da so preventivni ukrepi cenejši od posledic napada. Vlaganje v varnost je pravzaprav vlaganje v odpornost in kontinuiteto poslovanja, kar je dolgoročno ena najbolj racionalnih odločitev, ki jih lahko podjetje sprejme.
Digitalna napadalna površina se bo z nadaljnjo digitalizacijo še širila. Kateri tehnološki in taktični pristopi bodo najpomembnejši za njeno učinkovito obvladovanje ter zmanjševanje tveganj, povezanih z izpostavljenostjo? Da, digitalna površina se bo širila, to je neizogibno. Pomembno bo predvsem, da podjetja razumejo, kaj je izpostavljeno in zakaj, ter da se znajo na spremembe odzivati sproti. Na tehnološki ravni bo vedno več poudarka na umetni inteligenci, avtomatizaciji in boljšem povezovanju varnostnih rešitev, ki skupaj omogočajo hitrejše odkrivanje ranljivosti in primeren odziv na dogodke. Na taktični ravni pa bo uspeh odvisen od sodelovanja med ljudmi in procesi. Tu mislim na sodelovanje varnostnih ekip, IT-oddelkov, vodstva in zunanjih partnerjev. Tehnologija sama po sebi še ne zagotavlja varnosti. Tisto, kar res šteje, je usklajeno in premišljeno delovanje vseh, ki skrbijo za varno poslovanje
Intervju je izšel v reviji Korporativna varnost: https://www.ics-institut.si/assets/uploads/revija/39-%C5%A1tevilka/39_stevilka_revije_Korporativna_varnost.pdf
NAZAJ NA: Actual I.T. Novice | Unistar novice | Astec novice | Itelis novice
Največja grožnja je tisto, česar ne vidimo
Digitalna napadalna površina organizacij se širi iz dneva v dan. Podatki so v oblaku, infrastruktura razpršena, uporabniki delajo od kjerkoli, dobaviteljske verige pa povezujejo podjetja v neločljivo celoto. Kibernetska varnost zato ni več le zaščita omrežja, temveč upravljanje izpostavljenosti, ki se neprestano spreminja. O tem, kako to vidljivost ohraniti in zakaj je varnost danes predvsem poslovna funkcija, smo se pogovarjali z Urošem Strnišnikom, vodjo SOC & skladnosti v skupini ACTUAL I.T.
Napadalna površina organizacij raste hitreje od njihove sposobnosti nadzora. Kako jo opredeljujete in merite v praksi? Napadalno površino moramo razumeti kot vse tisto, kar je izpostavljeno navzven. Vse, kar je povezano v digitalni svet in bi lahko nekdo izkoristil za vdor. To niso samo strežniki in spletne aplikacije, ampak tudi uporabniški računi, oblačne storitve, partnerji in celo delovni procesi. Največji izziv danes ni v tem, da teh stvari ne bi znali zaščititi, ampak da pogosto sploh ne poznamo vseh. V praksi zato najprej poskrbimo za popolno vidljivost. Mi moramo vedeti kaj vse je dejansko “tam zunaj”. Šele nato lahko govorimo o nadzoru in zmanjševanju tveganj. Tu ne gre za enkratno akcijo ampak za stalni proces, saj se digitalna površina podjetja spreminja vsak dan – z novimi aplikacijami, uporabniki in storitvami.
Najpogosteje so spregledani ravno deli okolja, ki niso več uradno v uporabi, a so še vedno aktivni v ozadju. Katera območja napadalne površine podjetja se po vaših izkušnjah najpogosteje zanemarijo in zakaj? Najpogosteje so spregledani deli okolja, ki jih nihče več “uradno” ne uporablja, a še vedno delujejo v ozadju. Govorim o starih sistemih, pozabljene aplikacijah ali testnih okoljih. To so taki tihi kotički IT-ja, kjer se pogosto skriva največ tveganj. Veliko vrzeli nastaja tudi pri API-jih, ki povezujejo aplikacije med seboj. Ker jih je težko slediti in pogosto nimajo jasnega lastnika, hitro postanejo neviden, a zelo privlačen cilj za napadalce. Podobno velja za shadow IT, kjer zaposleni po lastni presoji uporabljajo različna orodja ali oblačne storitve, s čimer nehote povečajo digitalno izpostavljenost podjetja. Vedno večjo težavo pa predstavlja dobaviteljska veriga. Podjetja danes niso več izolirani sistemi, ampak so povezana z množico zunanjih partnerjev, ponudnikov storitev in podizvajalcev. Napadalci to dobro izkoriščajo in napadejo tam, kjer je varnostna kontrola najšibkejša – pri partnerju, ki ima dostop do naših sistemov. Zato je zaupanje v dobavitelje treba dopolniti z rednim preverjanjem in jasnimi varnostnimi zahtevami.
Vidljivost mora biti stalna in celovita, sicer o varnosti ne moremo govoriti. Katere pristope in orodja priporočate za učinkovito in neprekinjeno vidljivost v razpršenih IT in OT okoljih? Zelo pomembno je, da podjetje najprej dobro pozna samo sebe. Da pozna vse svoje sisteme, aplikacije, naprave in uporabnike. Brez tega ne moremo govoriti o varnosti. Zato je prvi korak vzpostavitev popolne vidljivosti, ki mora biti stalna, ne le občasna. V IT okolju pri tem pomagajo orodja za neprekinjeno spremljanje sredstev in ranljivosti, medtem ko je v OT okolju pristop bolj nežen – tam uporabljamo pasivne metode, ki ne posegajo v delovanje industrijskih sistemov. Pomembno je, da se vsi podatki zbirajo na enem mestu, kjer jih lahko varnostna ekipa analizira in razume v kontekstu celotnega okolja. To je edini način, da lahko organizacija hitro zazna spremembe, poveže dogodke med seboj in se pravočasno odzove.
Multi-cloud, edge in IoT so odprli vrata fleksibilnosti, hkrati pa tudi bistveno večji kompleksnosti. Kako ta premik vpliva na varnostno arhitekturo in širino napadalnih vektorjev? Premik v multi-cloud in edge okolja je podjetjem prinesel veliko fleksibilnosti, hkrati pa tudi precej večjo kompleksnost. Podatki in aplikacije so danes razpršeni med več ponudnikov in lokacij, kar pomeni, da klasični model varovanja “enega omrežja” preprosto ne deluje več. Vsako okolje ima svoje varnostne mehanizme, zato je izziv predvsem v tem, kako vse skupaj povezati v enoten, pregleden sistem. Na primer, tudi IoT-naprave so dodale nov sloj tveganj, saj pogosto nimajo osnovnih varnostnih zaščit in se hitro znajdejo v vlogi šibkega člena. Zato se moramo držati načela ničelnega zaupanja (zero trust), kar pomeni, da nikomur in ničemur ne zaupamo samodejno, temveč preverjamo vsako povezavo, dostop in prenos podatkov. Le tako lahko v razpršenih okoljih ohranimo nadzor in zmanjšamo možnosti za zlorabo.
Identiteta je danes najpomembnejša točka nadzora. Kako lahko celovito upravljanje identitet in privilegijev zmanjša dejansko izpostavljenost podjetja? Danes meje omrežja praktično ni več – zaposleni dostopajo do podatkov od kjerkoli, prek različnih naprav in oblačnih storitev. V takem okolju je identiteta postala glavni varnostni element. Če nekdo prevzame račun uporabnika, ima pogosto na široko odprta vrata do podatkov podjetja. Zato je celovito upravljanje identitet in privilegijev izredno pomembno, saj le tako v vsakem trenutku vemo, kdo ima dostop do česa in zakaj. To vključuje preverjanje pristnosti z več faktorji, redne revizije dostopov ter načelo najmanjših privilegijev, kjer ima vsak uporabnik samo toliko pravic, kot jih res potrebuje za svoje delo.
Zero Trust danes ni več koncept rezerviran za največje. Kako realistična je njegova uvedba v srednje velikih podjetjih in kateri koraki prinašajo največje organizacijske izzive? Zero Trust je povsem dosegljiv tudi za srednje velika podjetja, če se ga lotijo postopno. Največji izziv ni tehnologija, ampak sprememba miselnosti – od zaupanja do preverjanja. Začeti je treba pri upravljanju identitet in dostopov, nato pa pristop postopno razširjati na celotno okolje.
Kakšen pomen ima po vašem mnenju prehod k neprekinjenemu upravljanju napadalne površine, podprtemu z avtomatizacijo, CTI in napovedno analitiko? To je naraven in predvsem potreben premik. Penetracijski testi so še vedno pomembni, vendar pokažejo le trenutno sliko, torej stanje na določen dan. V resnici se okolje spreminja vsak trenutek saj se sistemi posodabljajo, storitve dodajajo, uporabniki prihajajo in odhajajo. Zato danes govorimo o stalnem upravljanju napadalne površine, kjer avtomatizacija, obveščevalni viri (CTI) in analitika omogočajo sprotno zaznavanje sprememb in groženj. Tak pristop organizacijam omogoča, da tveganja ne le prepoznajo, ampak jih tudi aktivno zmanjšujejo – še preden pride do incidenta.
Na katere metrike se velja osredotočiti, da organizacija resnično razume, ali postaja bolj odporna in ne zgolj skladna? Najbolj zgovorni so kazalniki, ki merijo učinkovitost odziva, ne le količine aktivnosti. To so predvsem čas zaznave (MTTD), čas odziva (MTTR) in delež incidentov, ki jih uspemo obvladati avtomatizirano. Pomembno je tudi spremljati, kako se skozi čas zmanjšuje število kritičnih ranljivosti. Administrativna skladnost je nujna, a ne pomeni varnosti. Prave izboljšave vidimo takrat, ko se podjetje zna hitreje in pametneje odzvati – ne le izpolnjevati obrazcev.
Modeli SOC-a se razvijajo v smeri upravljanih ali hibridnih pristopov. V katerih primerih je za podjetje smiselnejši interni SOC in kaj je ključno za učinkovito integracijo procesov, ljudi in tehnologije? Interni SOC ima smisel, kadar podjetje potrebuje visoko stopnjo nadzora in ima dovolj kadrovskih ter finančnih zmožnosti, da ga vzdržuje 24/7. Večina organizacij pa se danes odloča za upravljane ali hibridne modele, kjer zunanja ekipa dopolnjuje interno znanje in skrbi za stalno pokritost. Zelo pomembno pri tem je sodelovanje – jasna delitev odgovornosti, izmenjava podatkov in usklajeni postopki odziva. Šele ko procesi, ljudje in tehnologija delujejo kot enoten sistem, SOC resnično prinaša vrednost, ne glede na to, ali je interni ali upravljan.
Na kakšen način morajo varnostne operacije prilagoditi svoj pristop širjenju digitalne površine, da zagotovijo pravočasen in kontekstualiziran odziv? Varnostne operacije se morajo premakniti od zgolj zbiranja podatkov k razumevanju konteksta. Sam alarm danes ne pove veliko – pomembno je vedeti, kaj pomeni v širši sliki in kakšen vpliv ima na poslovanje. Tu pomembno vlogo prevzema umetna inteligenca, ki pomaga prepoznati vzorce v ogromni količini podatkov in izpostavi tiste dogodke, ki resnično zahtevajo pozornost analitika. S tem varnostne ekipe prihranijo čas in se lahko osredotočijo na tisto, kar je zares pomembno. V praksi se tako povezujejo SIEM, SOAR, CTI in AI sistemi, ki omogočajo avtomatizirano korelacijo dogodkov in hiter, kontekstualiziran odziv glede na stopnjo tveganja. A kljub naprednim orodjem ostaja ključen človeški dejavnik. Govorim o analitiku, ki zna tehnične signale prevesti v poslovni pomen in se odločiti, kdaj ter kako ukrepati.
V kolikšni meri je v podjetjih že uveljavljeno razumevanje, da kibernetska varnost neposredno podpira poslovne cilje in presega okvire klasičnega IT-ja? Varnost se počasi, a vztrajno premika iz tehničnega v poslovni kontekst. Številna podjetja danes že razumejo, da gre pri varnosti predvsem za upravljanje tveganj in zaupanja, ne le za požarne zidove in posodobitve sistemov. Kljub temu je v mnogih okoljih še vedno prisotno razmišljanje, da je varnost nekaj, kar “ureja IT”. Ključna sprememba nastopi, ko vodstva spoznajo, da varnost neposredno vpliva na poslovno stabilnost, ugled in konkurenčnost podjetja. Takrat postane varnost del strateškega odločanja – in ne več samo strošek, ampak naložba v zanesljivo prihodnost.
Kateri pristopi vodstvom omogočajo, da digitalno širitev podjetja usklajujejo z učinkovitim nadzorom izpostavljenosti ter tveganj v dobavni verigi? Digitalizacija prinaša hitrost in učinkovitost, a hkrati odpira nova vrata za napadalce. Ključ je v tem, da varnost ne zavira inovacij, temveč jih spremlja od začetka – po načelu »secure by design«. Uprave morajo razumeti, da vsak nov projekt, sistem ali partner vstopa v digitalni ekosistem podjetja in s tem vpliva na njegovo izpostavljenost. Zato mora biti varnost del vsakega strateškega pogovora, ne naknaden popravek. Tu moram ponovno izpostaviti vlogo dobaviteljske verige. Zaupanje v partnerje mora spremljati tudi preverjanje njihovih varnostnih praks. V sodobnem poslovnem okolju je namreč veriga močna le toliko, kot njen najšibkejši člen.
Poslovna stabilnost in ugled sta danes neposredno vezana na varnost. Kako ekonomsko utemeljiti investicije v varnost skozi prizmo upravljanja poslovnega tveganja? Na varnost ne smemo gledati kot na strošek, temveč kot na naložbo v zanesljivo poslovanje. Varnostni incident danes ne pomeni več samo tehnične težave. Lahko ustavi proizvodnjo, prekine dobavne verige ali trajno načne ugled podjetja. Ko varnost postavimo v kontekst poslovnih tveganj, postane hitro jasno, da so preventivni ukrepi cenejši od posledic napada. Vlaganje v varnost je pravzaprav vlaganje v odpornost in kontinuiteto poslovanja, kar je dolgoročno ena najbolj racionalnih odločitev, ki jih lahko podjetje sprejme.
Digitalna napadalna površina se bo z nadaljnjo digitalizacijo še širila. Kateri tehnološki in taktični pristopi bodo najpomembnejši za njeno učinkovito obvladovanje ter zmanjševanje tveganj, povezanih z izpostavljenostjo? Da, digitalna površina se bo širila, to je neizogibno. Pomembno bo predvsem, da podjetja razumejo, kaj je izpostavljeno in zakaj, ter da se znajo na spremembe odzivati sproti. Na tehnološki ravni bo vedno več poudarka na umetni inteligenci, avtomatizaciji in boljšem povezovanju varnostnih rešitev, ki skupaj omogočajo hitrejše odkrivanje ranljivosti in primeren odziv na dogodke. Na taktični ravni pa bo uspeh odvisen od sodelovanja med ljudmi in procesi. Tu mislim na sodelovanje varnostnih ekip, IT-oddelkov, vodstva in zunanjih partnerjev. Tehnologija sama po sebi še ne zagotavlja varnosti. Tisto, kar res šteje, je usklajeno in premišljeno delovanje vseh, ki skrbijo za varno poslovanje
Intervju je izšel v reviji Korporativna varnost: https://www.ics-institut.si/assets/uploads/revija/39-%C5%A1tevilka/39_stevilka_revije_Korporativna_varnost.pdf
Največja grožnja je tisto, česar ne vidimo
Digitalna napadalna površina organizacij se širi iz dneva v dan. Podatki so v oblaku, infrastruktura razpršena, uporabniki delajo od kjerkoli, dobaviteljske verige pa povezujejo podjetja v neločljivo celoto. Kibernetska varnost zato ni več le zaščita omrežja, temveč upravljanje izpostavljenosti, ki se neprestano spreminja. O tem, kako to vidljivost ohraniti in zakaj je varnost danes predvsem poslovna funkcija, smo se pogovarjali z Urošem Strnišnikom, vodjo SOC & skladnosti v skupini ACTUAL I.T.
Napadalna površina organizacij raste hitreje od njihove sposobnosti nadzora. Kako jo opredeljujete in merite v praksi? Napadalno površino moramo razumeti kot vse tisto, kar je izpostavljeno navzven. Vse, kar je povezano v digitalni svet in bi lahko nekdo izkoristil za vdor. To niso samo strežniki in spletne aplikacije, ampak tudi uporabniški računi, oblačne storitve, partnerji in celo delovni procesi. Največji izziv danes ni v tem, da teh stvari ne bi znali zaščititi, ampak da pogosto sploh ne poznamo vseh. V praksi zato najprej poskrbimo za popolno vidljivost. Mi moramo vedeti kaj vse je dejansko “tam zunaj”. Šele nato lahko govorimo o nadzoru in zmanjševanju tveganj. Tu ne gre za enkratno akcijo ampak za stalni proces, saj se digitalna površina podjetja spreminja vsak dan – z novimi aplikacijami, uporabniki in storitvami.
Najpogosteje so spregledani ravno deli okolja, ki niso več uradno v uporabi, a so še vedno aktivni v ozadju. Katera območja napadalne površine podjetja se po vaših izkušnjah najpogosteje zanemarijo in zakaj? Najpogosteje so spregledani deli okolja, ki jih nihče več “uradno” ne uporablja, a še vedno delujejo v ozadju. Govorim o starih sistemih, pozabljene aplikacijah ali testnih okoljih. To so taki tihi kotički IT-ja, kjer se pogosto skriva največ tveganj. Veliko vrzeli nastaja tudi pri API-jih, ki povezujejo aplikacije med seboj. Ker jih je težko slediti in pogosto nimajo jasnega lastnika, hitro postanejo neviden, a zelo privlačen cilj za napadalce. Podobno velja za shadow IT, kjer zaposleni po lastni presoji uporabljajo različna orodja ali oblačne storitve, s čimer nehote povečajo digitalno izpostavljenost podjetja. Vedno večjo težavo pa predstavlja dobaviteljska veriga. Podjetja danes niso več izolirani sistemi, ampak so povezana z množico zunanjih partnerjev, ponudnikov storitev in podizvajalcev. Napadalci to dobro izkoriščajo in napadejo tam, kjer je varnostna kontrola najšibkejša – pri partnerju, ki ima dostop do naših sistemov. Zato je zaupanje v dobavitelje treba dopolniti z rednim preverjanjem in jasnimi varnostnimi zahtevami.
Vidljivost mora biti stalna in celovita, sicer o varnosti ne moremo govoriti. Katere pristope in orodja priporočate za učinkovito in neprekinjeno vidljivost v razpršenih IT in OT okoljih? Zelo pomembno je, da podjetje najprej dobro pozna samo sebe. Da pozna vse svoje sisteme, aplikacije, naprave in uporabnike. Brez tega ne moremo govoriti o varnosti. Zato je prvi korak vzpostavitev popolne vidljivosti, ki mora biti stalna, ne le občasna. V IT okolju pri tem pomagajo orodja za neprekinjeno spremljanje sredstev in ranljivosti, medtem ko je v OT okolju pristop bolj nežen – tam uporabljamo pasivne metode, ki ne posegajo v delovanje industrijskih sistemov. Pomembno je, da se vsi podatki zbirajo na enem mestu, kjer jih lahko varnostna ekipa analizira in razume v kontekstu celotnega okolja. To je edini način, da lahko organizacija hitro zazna spremembe, poveže dogodke med seboj in se pravočasno odzove.
Multi-cloud, edge in IoT so odprli vrata fleksibilnosti, hkrati pa tudi bistveno večji kompleksnosti. Kako ta premik vpliva na varnostno arhitekturo in širino napadalnih vektorjev? Premik v multi-cloud in edge okolja je podjetjem prinesel veliko fleksibilnosti, hkrati pa tudi precej večjo kompleksnost. Podatki in aplikacije so danes razpršeni med več ponudnikov in lokacij, kar pomeni, da klasični model varovanja “enega omrežja” preprosto ne deluje več. Vsako okolje ima svoje varnostne mehanizme, zato je izziv predvsem v tem, kako vse skupaj povezati v enoten, pregleden sistem. Na primer, tudi IoT-naprave so dodale nov sloj tveganj, saj pogosto nimajo osnovnih varnostnih zaščit in se hitro znajdejo v vlogi šibkega člena. Zato se moramo držati načela ničelnega zaupanja (zero trust), kar pomeni, da nikomur in ničemur ne zaupamo samodejno, temveč preverjamo vsako povezavo, dostop in prenos podatkov. Le tako lahko v razpršenih okoljih ohranimo nadzor in zmanjšamo možnosti za zlorabo.
Identiteta je danes najpomembnejša točka nadzora. Kako lahko celovito upravljanje identitet in privilegijev zmanjša dejansko izpostavljenost podjetja? Danes meje omrežja praktično ni več – zaposleni dostopajo do podatkov od kjerkoli, prek različnih naprav in oblačnih storitev. V takem okolju je identiteta postala glavni varnostni element. Če nekdo prevzame račun uporabnika, ima pogosto na široko odprta vrata do podatkov podjetja. Zato je celovito upravljanje identitet in privilegijev izredno pomembno, saj le tako v vsakem trenutku vemo, kdo ima dostop do česa in zakaj. To vključuje preverjanje pristnosti z več faktorji, redne revizije dostopov ter načelo najmanjših privilegijev, kjer ima vsak uporabnik samo toliko pravic, kot jih res potrebuje za svoje delo.
Zero Trust danes ni več koncept rezerviran za največje. Kako realistična je njegova uvedba v srednje velikih podjetjih in kateri koraki prinašajo največje organizacijske izzive? Zero Trust je povsem dosegljiv tudi za srednje velika podjetja, če se ga lotijo postopno. Največji izziv ni tehnologija, ampak sprememba miselnosti – od zaupanja do preverjanja. Začeti je treba pri upravljanju identitet in dostopov, nato pa pristop postopno razširjati na celotno okolje.
Kakšen pomen ima po vašem mnenju prehod k neprekinjenemu upravljanju napadalne površine, podprtemu z avtomatizacijo, CTI in napovedno analitiko? To je naraven in predvsem potreben premik. Penetracijski testi so še vedno pomembni, vendar pokažejo le trenutno sliko, torej stanje na določen dan. V resnici se okolje spreminja vsak trenutek saj se sistemi posodabljajo, storitve dodajajo, uporabniki prihajajo in odhajajo. Zato danes govorimo o stalnem upravljanju napadalne površine, kjer avtomatizacija, obveščevalni viri (CTI) in analitika omogočajo sprotno zaznavanje sprememb in groženj. Tak pristop organizacijam omogoča, da tveganja ne le prepoznajo, ampak jih tudi aktivno zmanjšujejo – še preden pride do incidenta.
Na katere metrike se velja osredotočiti, da organizacija resnično razume, ali postaja bolj odporna in ne zgolj skladna? Najbolj zgovorni so kazalniki, ki merijo učinkovitost odziva, ne le količine aktivnosti. To so predvsem čas zaznave (MTTD), čas odziva (MTTR) in delež incidentov, ki jih uspemo obvladati avtomatizirano. Pomembno je tudi spremljati, kako se skozi čas zmanjšuje število kritičnih ranljivosti. Administrativna skladnost je nujna, a ne pomeni varnosti. Prave izboljšave vidimo takrat, ko se podjetje zna hitreje in pametneje odzvati – ne le izpolnjevati obrazcev.
Modeli SOC-a se razvijajo v smeri upravljanih ali hibridnih pristopov. V katerih primerih je za podjetje smiselnejši interni SOC in kaj je ključno za učinkovito integracijo procesov, ljudi in tehnologije? Interni SOC ima smisel, kadar podjetje potrebuje visoko stopnjo nadzora in ima dovolj kadrovskih ter finančnih zmožnosti, da ga vzdržuje 24/7. Večina organizacij pa se danes odloča za upravljane ali hibridne modele, kjer zunanja ekipa dopolnjuje interno znanje in skrbi za stalno pokritost. Zelo pomembno pri tem je sodelovanje – jasna delitev odgovornosti, izmenjava podatkov in usklajeni postopki odziva. Šele ko procesi, ljudje in tehnologija delujejo kot enoten sistem, SOC resnično prinaša vrednost, ne glede na to, ali je interni ali upravljan.
Na kakšen način morajo varnostne operacije prilagoditi svoj pristop širjenju digitalne površine, da zagotovijo pravočasen in kontekstualiziran odziv? Varnostne operacije se morajo premakniti od zgolj zbiranja podatkov k razumevanju konteksta. Sam alarm danes ne pove veliko – pomembno je vedeti, kaj pomeni v širši sliki in kakšen vpliv ima na poslovanje. Tu pomembno vlogo prevzema umetna inteligenca, ki pomaga prepoznati vzorce v ogromni količini podatkov in izpostavi tiste dogodke, ki resnično zahtevajo pozornost analitika. S tem varnostne ekipe prihranijo čas in se lahko osredotočijo na tisto, kar je zares pomembno. V praksi se tako povezujejo SIEM, SOAR, CTI in AI sistemi, ki omogočajo avtomatizirano korelacijo dogodkov in hiter, kontekstualiziran odziv glede na stopnjo tveganja. A kljub naprednim orodjem ostaja ključen človeški dejavnik. Govorim o analitiku, ki zna tehnične signale prevesti v poslovni pomen in se odločiti, kdaj ter kako ukrepati.
V kolikšni meri je v podjetjih že uveljavljeno razumevanje, da kibernetska varnost neposredno podpira poslovne cilje in presega okvire klasičnega IT-ja? Varnost se počasi, a vztrajno premika iz tehničnega v poslovni kontekst. Številna podjetja danes že razumejo, da gre pri varnosti predvsem za upravljanje tveganj in zaupanja, ne le za požarne zidove in posodobitve sistemov. Kljub temu je v mnogih okoljih še vedno prisotno razmišljanje, da je varnost nekaj, kar “ureja IT”. Ključna sprememba nastopi, ko vodstva spoznajo, da varnost neposredno vpliva na poslovno stabilnost, ugled in konkurenčnost podjetja. Takrat postane varnost del strateškega odločanja – in ne več samo strošek, ampak naložba v zanesljivo prihodnost.
Kateri pristopi vodstvom omogočajo, da digitalno širitev podjetja usklajujejo z učinkovitim nadzorom izpostavljenosti ter tveganj v dobavni verigi? Digitalizacija prinaša hitrost in učinkovitost, a hkrati odpira nova vrata za napadalce. Ključ je v tem, da varnost ne zavira inovacij, temveč jih spremlja od začetka – po načelu »secure by design«. Uprave morajo razumeti, da vsak nov projekt, sistem ali partner vstopa v digitalni ekosistem podjetja in s tem vpliva na njegovo izpostavljenost. Zato mora biti varnost del vsakega strateškega pogovora, ne naknaden popravek. Tu moram ponovno izpostaviti vlogo dobaviteljske verige. Zaupanje v partnerje mora spremljati tudi preverjanje njihovih varnostnih praks. V sodobnem poslovnem okolju je namreč veriga močna le toliko, kot njen najšibkejši člen.
Poslovna stabilnost in ugled sta danes neposredno vezana na varnost. Kako ekonomsko utemeljiti investicije v varnost skozi prizmo upravljanja poslovnega tveganja? Na varnost ne smemo gledati kot na strošek, temveč kot na naložbo v zanesljivo poslovanje. Varnostni incident danes ne pomeni več samo tehnične težave. Lahko ustavi proizvodnjo, prekine dobavne verige ali trajno načne ugled podjetja. Ko varnost postavimo v kontekst poslovnih tveganj, postane hitro jasno, da so preventivni ukrepi cenejši od posledic napada. Vlaganje v varnost je pravzaprav vlaganje v odpornost in kontinuiteto poslovanja, kar je dolgoročno ena najbolj racionalnih odločitev, ki jih lahko podjetje sprejme.
Digitalna napadalna površina se bo z nadaljnjo digitalizacijo še širila. Kateri tehnološki in taktični pristopi bodo najpomembnejši za njeno učinkovito obvladovanje ter zmanjševanje tveganj, povezanih z izpostavljenostjo? Da, digitalna površina se bo širila, to je neizogibno. Pomembno bo predvsem, da podjetja razumejo, kaj je izpostavljeno in zakaj, ter da se znajo na spremembe odzivati sproti. Na tehnološki ravni bo vedno več poudarka na umetni inteligenci, avtomatizaciji in boljšem povezovanju varnostnih rešitev, ki skupaj omogočajo hitrejše odkrivanje ranljivosti in primeren odziv na dogodke. Na taktični ravni pa bo uspeh odvisen od sodelovanja med ljudmi in procesi. Tu mislim na sodelovanje varnostnih ekip, IT-oddelkov, vodstva in zunanjih partnerjev. Tehnologija sama po sebi še ne zagotavlja varnosti. Tisto, kar res šteje, je usklajeno in premišljeno delovanje vseh, ki skrbijo za varno poslovanje
Intervju je izšel v reviji Korporativna varnost: https://www.ics-institut.si/assets/uploads/revija/39-%C5%A1tevilka/39_stevilka_revije_Korporativna_varnost.pdf
