Iz kibernetske obveščevalne sfere praktično vsakodnevno dobivamo opozorila, da so na muhi kibernetskih kriminalnih organizacij tako velika kot majhna podjetja vseh panog ter različne javne ustanove od zdravstva, sociale in izobraževanja do državnih organov in služb.

Že nekaj časa niso tarča samo velike in bogate finančne ustanove ali globalna podjetja. To dokazuje tudi lanskoletno IBM-ovo poročilo o kršitvah varnosti podatkov, ki je razkrilo, da je kar 83 odstotkov organizacij v letu 2022 doživelo več kot eno zlorabo podatkov. Po Gartnerjevi raziskavi kibernetske varnosti v letu 2022 se že 88 odstotkov podjetij zaveda, da so kibernetske grožnje poslovni problem.

Vsi, ki se ukvarjamo s kibernetsko varnostjo, ne razmišljamo več o tem, ali bo prišlo do kibernetskega incidenta, temveč samo čakamo, kdaj se bo to zgodilo. In ne glede na to, kako smo kibernetski varnostniki v resnici zaskrbljeni in poskušamo ozavestiti odločevalce v podjetjih, številne raziskave stanja kibernetske varnosti potrjujejo, da je od dve tretjini do tri četrtine podjetij še vedno nepripravljenih na kibernetski napad.

 

Podjetja, ki še niso izvedla niti varnostnega pregleda niti vdornega preizkusa, in teh je tako rekoč 99 odstotkov, hodijo po samem robu.

 

Tudi zbujeni največkrat spet zaspijo

Sistemski varnostni pregled je prvi korak, ki ga je smiselno storiti v spoznavanju lastnih tveganj kibernetske varnosti. Še boljši vpogled v dejanske vrzeli in kakšno potencialno škodo lahko povzroči kibernetski napad pa organizacija pridobi z vdornim preizkusom.

V Sloveniji je zavedanje o vlaganjih v kibernetsko varnost še vedno razmeroma nizko. Po podatkih DIH je do leta 2022 vavčerje za kibernetsko varnost, ki so bili namenjeni za sistemski varnostni pregled oziroma vdorni preizkus, izkoristilo 450 od dobrih 75.000 aktivnih mikro, majhnih in srednjih podjetij, katerim so bili namenjeni vavčerji. Informacije iz zavarovalnic kažejo, da je zavarovanje kibernetske zaščite, za pridobitev katerega je potreben vsaj osnovni varnostni pregled, doslej sklenilo manj kot odstotek slovenskih podjetij.

Podjetja, ki še niso izvedla niti varnostnega pregleda niti vdornega preizkusa, in teh je tako rekoč 99 odstotkov, hodijo po samem robu. Preverjeno je samo vprašanje časa, kdaj bodo doživela občutno izgubo ali kolaps poslovanja zaradi kibernetskega napada. Velikokrat smo že bili priča, da so direktorji po takšnih napadih razvezali mošnjičke, kupili močnejše sisteme za kibernetsko varnost in naročili preizkuse kibernetske varnosti. Vendar je bila škoda že narejena in če je šlo po sreči, je bila le finančna. Nova zaščita in kakšno dodatno izobraževanje sta izboljšala občutek varnosti, pomirila slabo vest in podjetje je spet stopilo v območje udobja. Na srečo se nekateri vseeno nekaj naučijo in svoje sisteme vsaj enkrat na leto varnostno pregledajo tudi s pomočjo etičnih hekerjev.

 

Enkrat letno je premalo

Podjetja v Sloveniji, ki je del razvitega sveta, po izpostavljenosti kibernetskemu kriminalu ne zaostajajo za podjetji iz ZDA ali Nemčije. Poleg tega se je v letu 2022 število kibernetskih incidentov v Sloveniji povečalo za več kot 30 odstotkov, kar je sicer izjemen porast a povsem primerljiv s svetom. Vedno večja je torej pogostost napadov predvsem z ribarjenjem, ki so vse bolj dovršeni, kakor tudi novih kampanj z izsiljevalskimi virusi. Samo lani je bilo odkritih novih 55 napadov ničelnega dne, ki so izkoriščali ranljivosti v pogosto uporabljenih informacijskih rešitvah in storitvah. Torej, tudi če podjetje enkrat letno izvede vdorni preizkus, je zaradi novih groženj že v naslednjih nekaj dnevih ponovno izpostavljeno tveganjem. Izkazuje se, da je preizkušanje kibernetske varnosti enkrat letno sicer osnovna higiena, še zdaleč pa ne dovolj. Podjetja si pogostejših preizkusov ne morejo privoščiti, po drugi strani pa niti ni dovolj izkušenih etičnih hekerjev, da bi lahko odgovorili na povečano povpraševanje po storitvah vdornih preizkusov.

 

Organizacijam, ki imajo lastne ekipe za kibernetsko varnost, omogočajo neprestano preverjanje kibernetskih varnostnih kontrol za preprečevanje in odkrivanje aktualnih groženj, ne glede na to, ali gre za znane IT-vire znotraj omrežja ali za preizkušanje spletnih poslovnih aplikacij iz medmrežja. 

 

Avtomatizacija vdornega preizkušanja

Še do nedavnega je veljalo, da lahko rešitve za vdorno preizkušanje simulirajo samo omejen obseg napadov, pa še to le na sistemska IT-sredstva znotraj poslovnega računalniškega omrežja. Nove generacije tovrstnih rešitev omogočajo izvajanje simulacij naprednih napadov iz katere koli začetne točke napada.

To pomeni, da lahko avtomatiziramo tako rekoč kakršen koli scenarij zlonamernega kibernetskega napada. Še več, tovrstne scenarije lahko ponavljamo kolikorkrat želimo, pri čemer imamo vsakič na voljo informacije o najnovejših grožnjah – tako rekoč takoj, ko se pojavijo na kibernetski sceni. 

Avtomatizirani vdorni preizkusi resda ne napadajo s ciljem, tako kot to v realnem svetu izvajajo kriminalni hekerji. Vendar pa odkrivajo in pomagajo zapirati varnostne vrzeli, ki jih ti hekerji izkoriščajo. V praksi predstavljajo odlično dopolnilno orodje za etične hekerje ali ponudnike upravljanih storitev kibernetske varnosti, da svojim strankam zagotovijo ažurno kibernetsko zaščito. Po drugi strani pa organizacijam, ki imajo lastne ekipe za kibernetsko varnost, omogočajo neprestano preverjanje kibernetskih varnostnih kontrol za preprečevanje in odkrivanje aktualnih groženj, ne glede na to, ali gre za znane IT-vire znotraj omrežja ali za preizkušanje spletnih poslovnih aplikacij iz medmrežja.

 

Zakaj je pametno uporabiti samodejno vdorno preizkušanje

Vzemimo, da ste vaš sistem kibernetske zaščite s pomočjo vdornega preizkusa dobro pokrpali in nastavili. Vendar se je od takrat pojavila že vrsta novih groženj, verjetno tudi sprememb v informacijskih sistemih, od posodobitev do novih aplikacij.

Rešitve za avtomatizirane vdorne preizkuse lahko vsakodnevno izvajajo preizkuse glede na več tisoč groženj in aktualnih hekerskih kampanj, ki so zajete v zbirki MITRE ATT&CK®. Še več, preizkušajo lahko, kako bi se zlonamerni heker po preboju različnih slojev obrambe premikal po omrežju in do česa vse bi lahko dostopal. Rešitve ponujajo tudi priporočila za nastavitve varnostnih rešitev, da so neprestano usklajene s tveganji in so korak pred kibernetskimi zlikovci.

S sprotnim preverjanjem stanja kibernetske varnosti je mogoče naložbe v kibernetsko zaščito maksimalno izkoristiti. Z odkrivanjem kritičnih vrzeli v zaščiti lahko določate prednostne naložbe v kibernetsko varnost. In kar je najpomembneje, ustrezne rešitve to izvajajo samodejno, lahko tudi večkrat na dan.

Skrajni čas je, da tudi v vaši organizaciji kibernetske varnosti na prepuščate več naključju. Zato pa morate imeti odgovor na vprašanje, ali je vaš sistem kibernetske zaščite res pripravljen na grožnje, ki vam pretijo zdaj.