Proaktivno obveščanje o kibernetskih grožnjah (Cyber Threat Intelligence) | Dalibor Vukovič, Telekom Slovenije d.d.
Obveščanje o kibernetskih grožnjah (Cyber Threat Intelligence) je ena najpomembnejših dejavnosti napredne kibernetske zaščite in nam omogoča izvajanje proaktivnih dejanj, ki lahko preprečijo ali vsaj drastično ublažijo kibernetske napade.
Če se postavimo v vlogo podjetja, ki potrebuje celovito varnostno rešitev, s katero želi dvigniti raven kibernetske varnosti in na enem mestu obvladovati vse ravni varnosti (računalnikov, strežnikov in omrežja), bi morala popolna rešitev zagotavljati hitro in natančno odkrivanje ter hkrati tudi odpravljanje tveganj.
Razvoj rešitve, ki na enem mestu zagotavlja celotno zaščito, je velik izziv, saj tisti, ki se ukvarjamo z informacijsko varnostjo, zelo dobro vemo, da kljub pestri izbiri produktov kombinacija različnih varnostnih rešitev ne zagotavlja vedno povezanih rešitev. V kombinaciji reaktivnih varnostnih sistemov (FW, AV, NGAV, EDR, XDR, SIEM, SOAR itd …) je kakovost odkrivanja in prepoznavanja še nepoznanih groženj nezanesljiva, zato napredni ponudniki varnostnih rešitev uporabljamo pristop proaktivne kibernetske varnosti.
Osnovna razlika med proaktivno in reaktivno kibernetsko varnostjo je v tem, da proaktivni pristop vključuje preventivno prepoznavanje varnostnih pomanjkljivosti, še preden se te javno pojavijo. Po drugi strani pa reaktivni pristop vključuje odzivanje na incidente, kot so vdori in kršitve podatkov, ko so ti že aktivni.
Obveščanje o kibernetskih grožnjah (Cyber Threat Intelligence − CTI) je ena izmed najpomembnejših dejavnosti napredne kibernetske zaščite in nam omogoča izvajanje proaktivnih dejanj, ki lahko preprečijo ali vsaj drastično ublažijo kibernetske napade.
Zlonamerne kibernetske grožnje v veliki večini ne izvirajo iz našega ekosistema − nastanejo kjerkoli na planetu in so šele naknadno usmerjene v našo organizacijo. Torej: prej ko dobimo zanesljivo informacijo, bolje se bomo odzvali na grožnjo.
Orodja CTI temeljijo na analitiki, ki presega lokalno infrastrukturo, in so osredotočena na celoten svetovni prostor. Na ta način ekipe v storitveno-operativnem centru in obveščevalni analitiki pravočasno dobimo ciljno usmerjene podatke o grožnjah.
S pomočjo sodobnega CTI-orodja lahko pridobimo podatke iz različnih virov svetovnega spleta, tudi globokega spleta (deep web) in temnega spleta (dark web). Gre za orodje, ki podatke pridobiva z namenskih forumov, zaprtih hekerskih skupin in družbenih omrežij. Na ta način odkrivamo zlonamerne dejavnosti v najzgodnejših fazah, ekipa CTI-analitikov pa preverja iskano ontologijo v večjem številu svetovnih jezikov. Strokovnjaki dogodke kibernetskega kriminala, haktivizma in kibernetskega terorizma spremljajo 24/7, analitiki pa morajo poskrbeti za to, da pravočasno ustvarijo celovite informacije o grožnjah in jih pravočasno posredujejo potencialnim žrtvam.
Z uporabo CTI pravočasno prejmemo informacijo, da je nekdo zlorabil naše uporabniško ime in geslo in ga prodaja na temnem spletu. Prav tako lahko dobimo informacijo o zlorabi bančnih kartic in podobno. Prej ko takšno informacijo prejmemo, bolje je, saj lahko še pred kompromitacijo spremenimo uporabniško ime ter prekličemo geslo ali kartico.
Če povzamem: pomen CTI je v viru informacij, ki nam pomagajo omejiti napad, še preden pride v naš ekosistem. Na ta način se občutno zmanjšajo stroški, ki bi jih lahko povzročil uspešno izveden kibernetski napad.
Ime in priimek: Dalibor Vukovič, dalibor.vukovic@telekom.si
Naziv: produktni vodja, specialist za kibernetsko varnost
Podjetje: Telekom Slovenije, d.d.
Dalibor Vukovič, produktni vodja pri Telekomu Slovenije, je specialist za kibernetsko varnost z več mednarodno priznanimi certifikati. Ima več kot 20 let delovnih izkušenj v IKT-sektorju. Ukvarja se z razvojem in implementacijo novih varnostnih produktov tako v zasebnem kot tudi v javnem sektorju, vključujoč največje delovne organizacije, kritično infrastrukturo in državne institucije. Je avtor več člankov in prispevkov na strokovnih konferencah in predavatelj s področja kibernetske varnosti. Raziskovalno se ukvarja z OSINT-metodologijo in napovedjo kibernetskih napadov.