Despre
Autor: George Bădița, Fondator și CEO al ixodronAnaliza
81% dintre atacurile cibernetice sunt executate de grupări de criminalitate organizată , grupări care colaborează constant prin partajarea de know-how, de tool-uri malițioase și de informații care facilitează accesul în infrastructura IT a organizațiilor-țintă. Spațiul cibernetic “dark” este imens și abundă de platforme și site-uri unde infractorii cibernetici vând, cumpără și pun la comun resurse pentru executarea atacurilor malware, ransomware etc. Pot menționa că un card de credit furat costă 9$ pe dark web.
Statisticile arată că în anul 2021, pierderile provocate de criminalitatea cibernetică au fost de aproximativ US$ 600 miliarde, iar un atac cibernetic are loc la fiecare 11 secunde .
Pentru a face un mic sumar, până acum am stabilit următoarele: infractorii cibernetici sunt motivați de obținerea profiturilor, dispun de resurse financiare considerabile și cooperează intens – tehnic și informațional – pentru a executa constant campanii de succes.
Care este situația la nivelul companiilor ?
În marea majoritate a cazurilor, mediul de business dispune de resurse financiare și umane limitate, fapt ce duce la o abordare pasivă a securității cibernetice. Bugetul este alocat după ce are loc atacul ransomware. Similar, informațiile despre sistemele informatice, breșele de securitate și atacurile suferite sunt partajate autorităților competente sau firmelor de specialitate doar după producerea atacurilor. Pagubele financiare, de imagine, de reputație au fost produse, iar managementul încearcă să țină în frâu criza.
De asemenea, din cauza unor proceduri și politici de confidențialitate conservatoare și perdante, echipele IT ale diverselor firme nu discută activ și nu fac schimb de informații cu privire la amenințările cibernetice și modul în care anumite atacuri pot fi contracarate. Concluzionând, lupta companiilor se poartă, în general, la nivel individual, lipsa cooperării și fragmentarea resurselor afectând capacitatea de apărare.
Ideea cooperării în domeniul securității cibernetice este vehiculată în mediul IT de câțiva ani, provocarea constând în schimbarea modului în care partajam și consumăm anumite produse și servicii.
Inspirația pentru apărarea cibernetică colectivă în forma ei activă – diferită de simpla partajare a unor date în cadrul unor forumuri / comunități – vine din domeniul intelligence, respectiv cooperarea statelor în combaterea terorismului prin partajarea de informații. Atât timp cât informațiile partajate nu vizează secrete interne sau interese comerciale și politice proprii, ci, din contră, țintesc un adversar global comun, deschiderea pentru schimbul de informații este suficient de reală pentru a avea un impact real.
Astfel, firme specializate încep să pună la dispoziție platforme online prin intermediul cărora sunt partajate instantaneu și anonim informații despre amenințările cibernetice identificate la nivelul organizațiilor. Valoarea adăugată? Alertele sunt generate în timp real și, în mod similar, politicile și măsurile de remediere / contracarare sunt propagate cvasi-instantaneu în sistemele informatice ale companiilor membre.
Cum funcționează mai concret apărarea cibernetică colectivă ?
Să propunem următorul scenariu: avem 2 firme din verticale diferite cu resurse tehnice diferite: o corporație din domeniul financiar-bancar cu sediul în Londra. Compania londoneză are o echipă extinsă și un security operation center/SOC la nivelul căruia sunt monitorizate alertele cibernetice. La nivelul SOC-ului este utilizată o platformă de tip real-time cyberthreat-exchange, și o firmă din industria cimentului din Nigeria. Firma nigeriană dispune de capabilități tehnice și resurse umane mai reduse, însă folosește la rândul ei aceeași soluție de real-time cyberthreat-exchange.
La momentul T0, echipa SOC a companiei din Londra primește o alertă catalogată automat ca având severitate medie și decide să o aprofundeze. În urma analizei, specialiștii determină să sunt victima unui atac cibernetic prin care un grup criminal încearcă să exfiltreze date din sistemele informatice. Alerta este catalogată acum ca amenințare majoră. Nivelul actualizat al alertei și rezultatele analizei sunt partajate tuturor membrilor platformei de real-time cyberthreat-exchange.
La momentul T0 + 3 zile, firma producătoare de ciment primește o alertă similară. Acum se întâmplă automat două aspecte:
– corelarea instantă cu alerta detectată de compania londoneză;
– informarea echipei IT nigeriene privind clasificarea, de către echipa londoneză, a amenințării ca fiind majoră, și input-urile derivate din evaluarea echipei londoneze.
Vice-versa, în cazul în care firma din Nigeria ar identifica o amenințare și ar analiza-o, datele ar fi disponibile pentru toți utilizatorii soluției de apărare cibernetică colectivă.
Timpul mediu pentru identificarea unei breșe de securitate IT este de aproximativ 100 de zile. Dacă într-o platformă care partajează alertele cibernetice s-ar înrola mii sau zeci de mii de firme, acest interval și, implicit, pagubele s-ar reduce considerabil.
Criminalii cibernetici cooperează și dispun de resurse superioare în raport cu mediul de business. De aceea, singura opțiune viabilă pentru companii este apărarea cibernetică colectivă care asigură o protecție sporită, reduce costurile interne și diminuează pierderile în cazul unei breșe IT.
