Najčešći cyber security alarmi u 2023. i važnost kontinuiranog nadzora

Najčešći cyber security alarmi u 2023. i važnost kontinuiranog nadzora

Razumijevanje poslovnog okruženja, identificiranje potencijalnih rizika i brza reakcija na svaki sigurnosni događaj ključne su u postavljanju obrambene strategije. Tijekom 2023. godine provodili smo proaktivne i reaktivne mjere putem svojih usluga Sigurnosno-operativni centar (SOC) i Early Alerting (Sustav ranih upozorenja).

Ljudska uloga kroz operacije Threat Hunting, vođene stručnim znanjem i kreativnošću, pokazala se apsolutno nezamjenjiva u otkrivanju naprednih prijetnji kod korisnika koje tradicionalni sustavi zaštite nisu uspjeli registrirati.

TOP 10 najčešće obrađenih cyber security alarma u 2023.

U okviru Sigurnosno-operativnog centra (SOC), posvećeni smo praćenju i analizi kibernetičkih prijetnji kako bismo osigurali najvišu razinu sigurnosti za naše korisnike. U provedenim operacijama, usredotočili smo se na praćenje sigurnosnih alarma sukladno MITRE ATT&CK taktikama koje nam omogućavaju identifikaciju najčešćih prijetnji i sigurnosnih događaja.

Slika 1. TOP 10 najčešće obrađenih alarma prema MITRE Att&ck taktikama u 2023. godini [Izvor: Diverto SOC]

Osim što je općenito primjetno povećanje broja prijetnji, ovaj prirodni rast rezultat je sustavnog proširenja kapaciteta našeg SOC-a, posebice u broju SOC korisnika, količini novih uređaja i podržanih tehnologija koje aktivno pratimo, te unaprjeđenju sigurnosnih operacija u sklopu pružanja usluge Sigurnosno-operativnog centra.

Trend TOP 5 najčešće obrađenih alarma

Slika 2. TOP 5 najčešće obrađenih alarma prema MITRE Att&ck taktikama u 2023. , 2022. i 2021. godini [Izvor: Diverto SOC]

Temelj za preventivno djelovanje organizacija u suočavanju s izazovima sve sofisticiranijih kibernetičkih prijetnji je pravovremeno reagiranje na identificirane prijetnje i ranjivosti. Uz široki spektar različitih servisa koje korisnici upotrebljavaju, praćenje i upravljanje ranjivostima postalo je sve zahtjevnije.

Korisnici se svake godine suočavaju s izazovom u pravovremenom reagiranju, upravljanju prijetnjama i ranjivostima. Ova kompleksnost dovodi do povećanog rizika od iskorištavanja ranjivosti, s potencijalno ozbiljnim posljedicama po sigurnost informacija i integritet sustava.

Pravovremena instalacija sigurnosne zakrpe

U protekloj godini, Divertovi korisnici su postigli značajan napredak u upravljanju i zaštiti informacijske imovine te su u sklopu usluge Sustava ranog upozorenja primali sigurnosne obavijesti o prijetnjama i ranjivostima u svom sustavu. Rješenje za 93% objavljenih ranjivosti tijekom 2023. godine bilo je u vidu pravovremene instalacije sigurnosne zakrpe.

Slika 3. Ukupan broj sigurnosnih obavijesti, grupirane prema „Statusu rješenja” [Izvor: Diverto]

Imperativ i glavna preporuka i dalje je jačanje sigurnosti vanjskih pristupnih točaka kako bismo smanjili mogućnost iskorištavanja ranjivosti sustava i osigurali integritet podataka.

Sigurnosne obavijesti s najznačajnijim utjecajem

Slika 4. Ukupan broj sigurnosnih obavijesti, grupirane prema „Utjecaju” [Izvor: Diverto]

Kao najznačajnije ključne sigurnosne obavijesti unutar našeg SOC-a tijekom prošle godine, izdvojili bismo:

• „Onemogućavanje usluge – DoS“,
• „Zaobilaženje sigurnosnih mjera“,
• „Izlaganje osjetljivih informacija“ i
• „Pristup sustavu“,

uzimajući u obzir da predstavljaju značajan izazov za sigurnost sustava te čine 77% svih identificiranih ranjivosti tijekom 2023. godine.

Kompletan godišnji izvještaj s brojnim zanimljivim podacima i uvidima, slobodno preuzmite klikom na poveznicu: “Stanje informacijske i kibernetičke sigurnosti u 2023.”

Preporuke za jačanje obrambene strategije sustava

Preporučujemo redovitu identifikaciju i ažuriranje potpunog popisa informacijske imovine. To uključuje sve sustave, mrežne uređaje, podatkovne baze te ostale sigurnosne tehnologije i komponente koje čine vašu infrastrukturu. Precizna definicija informacijske imovine ključna je za pravilno usmjeravanje sigurnosnih napora.

Naglašavamo važnost pravovremenog ažuriranja sustava putem instalacije sigurnosnih zakrpi. Aktivno praćenje dostupnih zakrpi i njihova brza implementacija smanjuju rizik od iskorištavanja poznatih ranjivosti.

Također, preporučujemo usmjeravanje resursa i procesa prema pravovremenoj analizi sigurnosnih događaja, čime se omogućava brzo otkrivanje neuobičajenih aktivnosti. Upotreba alata za analizu datotečnih zapisa i implementacija sustava ranog upozorenja pridonose povećanju sposobnosti organizacije za prepoznavanje i reagiranje na potencijalne prijetnje.

Identificirane ranjivosti trebaju biti ključna točka za daljnje jačanje obrambenih mehanizama. Preporučuje se usmjeriti na implementaciju dodatnih sigurnosnih kontrola, provođenje dodatnih testiranja sigurnosti i educiranje osoblja o novim prijetnjama i ranjivostima.

„Suočeni s izazovima sve složenijih kibernetičkih prijetnji, neprestano ažuriranje strategija obrambene perspektive, uz posebni naglasak na ključnu ulogu SOC-a, osigurava efikasan odgovor na dinamiku kibernetičkog okruženja. Kroz jačanje sigurnosnih kapaciteta i proaktivno praćenje novih prijetnji, postavljamo temelje stabilnosti i pouzdanosti informacijskih resursa organizacije.”

DAVOR SLAVICA

voditelj obrambenog tima

A što kažu zakon i regulative?

NIS2, odnosno Zakon o kibernetičkoj sigurnosti (ZKS) i DORA obveznicima propisuju obvezu uspostave mjera upravljanja kibernetičkim sigurnosnim rizicima koji između ostalih moraju uključivati:

• postupanje s incidentima, uključujući njihovo praćenje, evidentiranje i prijavljivanje te
• redovito ažuriranje popisa imovine

Sigurnosni operativni centar ima ključnu ulogu u procesu upravljanja incidentima. SOC osigurava kontinuirano praćenje aktivnosti na mrežnim i informacijskim sustavima IT i OT mreže te pravovremenu detekciju potencijalnih sigurnosnih incidenata. Unutar SOC-a se prikupljaju sigurnosni događaji i evidentiraju prema definiranoj klasifikaciji.

Također, i unutar ZKS-a i DORA-e je prepoznato koliko je precizna definicija informacijske imovine važna za pravilno usmjeravanje sigurnosnih napora. Uz ažurni popis imovine informacijske i IKT imovine te Early Alerting uslugu možete pravovremeno prepoznati i reagirati na identificirane ranjivosti.