CONFERINŢA INTERNAŢIONALĂ DE DIALOG PUBLIC-PRIVAT Rolul vizibilităţii în asigurarea securităţii cibernetice

Atunci când vine vorba de gestionarea incidentelor de securitate cibernetică, cu toţii ştim că în teorie trebuie să ne asigurăm că dispunem de următoarele capabilităţi: prevenţie, detecţie şi răspuns. Din fericire există deja o multitudine de tehnologii, open source, gratuite sau comerciale, care adresează aceste nevoi şi pe care atât utilizatorii casnici, cât şi companiile au început să le folosească.

Cu toate acestea, tot mai multe studii afirmă faptul că, în medie, unei companii îi trebuie zeci de zile să detecteze faptul că sistemul informatic a fost compromis şi, ceea ce este şi mai grav, are nevoie de asemenea de câteva zeci de zile să remedieze problema. Întrebarea evidentă care se pune este: ce anume scăpăm din vedere? Iar în rândurile care urmează regăsiţi o opinie personală ca răspuns la această întrebare.

Una dintre cele mai mari probleme cu care se confruntă companiile la nivel global atunci când vine vorba de asigurarea securităţii cibernetice este insuficienţa personalului specializat în acest domeniu. Însă acesta este doar un argument în plus pentru care avem nevoie de două componente importante care, după părerea mea, sunt neglijate de cele mai multe ori atunci când se creionează strategiile de asigurare a securităţii cibernetice într-o companie: vizibilitatea şi controlul.

Sunt din ce în ce mai multe companii care utilizează peste zece unelte/ tehnologii de securitate de tipurile: antivirus, firewall, IDS/IPS, web application firewall, email gateway, web gateway, web proxy, sanboxing, SIEM etc. Şi cu toate acestea există cazuri în care unele dintre aceste companii au probleme serioase cu detectarea şi remedierea breşelor şi compromiterilor din propriile reţele. De vină pentru acest lucru este lipsa asigurării corespunzătoare a celor două componente vitale, din nou: vizibilitatea şi controlul.

Explicaţia este simplă şi la îndemâna oricui: fiecare tehnologie utilizată are propriile facilităţi de vizibilitate şi control, punând la dispoziţie diferite interfeţe grafice sau de tip consolă de comenzi (CLI), însă este aproape imposibil ca personalul dedicat să urmărească datele furnizate de toate aceste tehnologii în acelaşi timp. Şi chiar dacă ar încerca să facă acest lucru, tot ar întâmpina greutăţi în corelarea informaţiilor puse la dispoziţie de fiecare dintre aceste tehnologii.

Partea frumoasă este că, în teorie, dacă ne asigurăm că avem vizibilitate şi control în infrastructura IT este aproape suficient pentru asigurarea celor trei capabilităţi de care vorbeam la început: prevenţie, detecţie şi răspuns. Pentru a atinge acest obiectiv avem la dispoziţie două mari opţiuni: achiziţia de soluţii de securitate integrate care oferă deja vizibilitate şi facilităţi de control adecvate, sau integrarea mai multor tehnologii de sine stătătoare astfel încât să obţinem aceste facilităţi.

Un exemplu simplu de unealtă care trebuie pusă la dispoziţia responsabililor cu securitatea informatică este o consolă grafică în care aceştia să poată urmări evenimentele importante din infrastructura IT, să poată realiza investigaţii mai amănunţite şi, foarte important, să poată lua măsuri/acţiuni din cadrul aceleiaşi console.

Închei prin a-mi exprima speranţa că rândurile de mai sus vă vor fi utile în viitoarele discuţii cu furnizorii de tehnologie de securitate şi în implementările proiectelor de securizare a infrastructurilor cibernetice.