Na WinDaysima 17, koji se krajem travnja održavaju u Poreču, bit će riječi i o sigurnosti, pa kao najavu tog dijela programa donosimo prikaz organizacije i rada Microsoft Enterprise Cybersecurity Group (ECG).

Današnji moderni svijet suočava se sa rastom broja cyber napadača koji su poduzetnički nastrojeni u iskorištavanju dobivenih informacija, stoga je ključ za dobivanje adekvatnog uvida u načine obrane, zaštite i odgovora na napade razumijevanje ekonomsko – socijalnog modela cyber kriminala i motivacije koja stoji iza njega. Danas si više ne postavljamo pitanje hoće li naši podaci biti napadnuti već kada i od koga. U prosjeku, napadaču trebaju minute da pristupi našim podacima, dok security timovima treba više od 140 dana da ih otkriju – alarmantno, zar ne?

Zaštita podataka dinamičan je problem zbog konstantnih softverskih ažuriranja, prelaska poslovanja u cloud i korisnika koji u mrežu uključuju nove uređaje, dok se izgled i karakter cyber napada mogu promijeniti iz dana u dan. Upravo zbog te dinamike izmjena, napadači i security timovi nalaze se rame uz rame u kontranapadima. Neke prijetnje nije teško identificirati, poput neadekvatno konfigurirana pravila ili neažuriranog softvera. Provjera ovakvih prijetnja čini osnove procesa zaštite, no neke prijetnje je mnogo teže identificirati kao što su unutrašnji napadi ili napadi na infrastrukturu. Poznavanje vlastite okoline čini identificiranje anomalija ili nedostataka znatno lakšim. Ako pomislite da se nešto čini čudnim, to je vrlo često znak da uistinu nešto nije u redu. Čak i u odlično zaštićenoj mreži uvijek su mogući uspješni napadi. Budite što znatiželjniji, jer upravo znatiželja najčešće dovodi do „aha“ efekta i detektiranja anomalija i mogućih slabosti. Osim toga, potrebni su široko znanje i resursi za razumijevanje tehnika i taktika koje koriste današnji napadači, što znači da je pomoć eksperata nužna za uočavanje napada koji se događaju van sustava koji je pod kontrolom poduzeća.

Upravo tu na scenu dolaze tri stupa na kojima počiva Microsoft Enterprise Cybersecurity Group (ECG)zaštiti, identificiraj i odgovori. ECG predstavlja kombinaciju jake zaštite i brzih odgovora povezanih detektiranjem i inteligencijom, omogućujući pri tome dubinsko detektiranje i globalnu inteligenciju poduzećima pomoću Enterprise Threat Detection servisa. ETD kao servis uključuje upozorenja u stvarnom vremenu u slučaju identificiranja prijetnje.

ETD se sastoji od Corporate Error Reportinga (CER) i Cyber Threat Intelligencea (CTI). Corporate Error Reporting počiva na Windows Error Reportingu, sastavnom dijelu Windowsa, koji analizira izvještaje o greškama cijelog sustava kako bi odredio nalazi li se maliciozni kod u sustavu. CER je osnažio izvještaje o greškama s dodatnim mogućnostima, kao što su provjera procesa koji ne generiraju Windows error evente te attack detection fidelity. Kako je ova značajka ugrađena u Windowse, konfiguriranje krajnjih točaka ETD-a se ostvaruje putem konfiguracije policyja. ETD može detektirati anomalije 3 puta brže od bilo kojeg drugog načina detekcije. Druga komponenta ETD-a je Cyber Threat Intelligence koji čini ključni dio Microsoftove zaštite Windows i Azure korisnika te omogućuje otkrivanje i razumijevanje prijetnji koje su tek u nastanku u ekosustavu poduzeća. Uključivši informacije iz svih Microsoftovih antivirusnih proizvoda, CTI je kreirao globalnu bazu podataka koja uključuje URL intelligence iz SmartScreena i Binga, informacije od Microsoftovog Digital Crime Unita, kao što su sinkhole podaci od botnet takedown operacija, te network intelligence iz Microsoft Advanced Persistent Threat.

DCU je nedavno podijelio s javnošću neke od svojih taktika. Sjećate se našeg prvog stupa – zaštiti? Najadekvatnije taktike za područje prvog stupa su više-faktorska autentikacija (MFA) kojom se kontrolira pravo pristupa korisnika, opsežno nadgledanje i kontrola fizičke okoline podataka, klasificiranje podataka, držanje softvera ažurnim te Security Development Lifecycle. Čak 75% napada napravljeno je u aplikativnom sloju (application layeru), čineći ga možda i najranjivijom točkom. Stoga bi trebalo obučavati razvojne inženjere za tehnike izrade sigurnog koda (secure coding) i uključiti u proces razvoja threat modeling, secure code review i security testing.

Microsoft je to ukomponirao u Security Development Lifecycle (SDL) predstavljajući ga kao modernu inženjersku praksu koja se sastoji od 7 faza: treniranje, zahtjevi, dizajn, implementacija, verifikacija, objava i odgovor na prijetnje (response plan). Detaljnije o svakoj fazi možete pronaći na službenoj stranici SDL-a.

Za drugi stup – detektiraj – neke od taktika iz prakse su konstantno nadgledanje fizičke i mrežne okoline kreirajući uzorke ponašanja upotrebe i razumijevanje jedinstvenih prijetnji za servise koje koristimo, korištenje machine learning softverskih alata i tehnika za otkrivanje i označavanje anomalija, napredni analitički alati i procesi koji dalje identificiraju ponašanje koje je označeno kao anomalija, čime osiguravamo pružanje određenog konteksta pronađenoj anomaliji. Na detektiranu anomaliju potrebno je dati odgovarajući odgovor što čini treći stup – odgovori. Dobro definiran, dokumentiran i skalabilan proces odgovaranja na prijetnje s konstantnim poboljšanjem pomaže u ubrzavanju pružanja odgovora i određivanja područja incidenta.

Stoga je potrebno početi primjenjivati Assume breach model koji počiva na načelu da nikad nismo dovoljno sigurni te da provođenjem penetracijskih testiranja trebamo stavljati sebe u ulogu napadača i na vlastiti sustav gledati kroz njihovu perspektivu. Aplikacije, servisi, identiteti i mreža – sve to može biti plodno tlo napada. Zato treba proaktivno testirati sve aspekte sigurnosti kako bi se otkrile nepredviđene ranjivosti. „It is said that if you know your enemies and know yourself, you will not be imperiled in hundred battles“(Sun Tzu) iliti na hrvatskome: „Rečeno je da onaj tko poznaje svoga neprijatelja i poznaje samoga sebe, neće biti ugrožen ni u stotinu bitaka.

Podijeli: