Čo nás môžu filmy Avengers naučiť o kybernetickej bezpečnosti

Marvel nás baví posledných 20 rokov. Videli sme bohov, supervojakov, kúzelníkov a iných ožiarených hrdinov, ktorí bojovali proti zloduchom v galaktickom meradle. Večný boj dobra so zlom. Trochu ako v kybernetickej bezpečnosti, tovaroví chlapi bojujú proti kyberzločincom.

Ak sa rozhodneme ísť s touto zábavnou analógiou, je niečo užitočné, čo sa môžeme z týchto filmov naučiť?

Svetoví zloduchovia vždy prichádzajú s armádou

Keď sledujeme rôzne filmy o Avengeroch, prvé, čo si uvedomíme, je, že veľkí zloduchovia nikdy nebojujú sami. Spomeňte si na Ultrona a jeho armádu robotov, Thanosa alebo Lokiho s Chitauri. Všetci prichádzajú s veľkými, generickými klonovými zástupnými armádami, s ktorými musia hrdinovia bojovať, kým sa dostanú k poslednému bossovi.

Rovnakým spôsobom vážne kybernetické útoky plánujú a vykonávajú organizované a štruktúrované skupiny kyberzločincov, ako sú skupiny APT, ktoré majú niekedy stovky členov. V reálnych scenároch útoky pochádzajú z IP (jednej alebo viacerých), ktoré boli ukradnuté, hacknuté alebo kúpené zločincami. IP sú ich anonymná proxy armáda a ak sa chcete dostať k útočníkom, musíte najprv spáliť armádu IP.

Ako to teda urobiť? Môžete s nimi bojovať sami a s najväčšou pravdepodobnosťou zlyháte, alebo sa môžete spojiť s inými superhrdinami, ako to robia Avengers, a možno budete mať šancu zabojovať. Kľúčovým slovom je tu vytváranie tímov a využitie spolupráce alebo davovej inteligencie.

Konkrétnejšie to znamená napríklad zdieľanie informácií o útokoch. Väčšina útokov zanecháva stopy v rôznych systémoch, protokoloch služieb alebo aplikácií, ktoré môžu poskytnúť informácie o útočníkových IP adresách a typoch útokov. Zdieľanie týchto adries s inými používateľmi môže preventívne pomôcť pri náprave, ak sa tieto adresy IP zobrazia v protokoloch iných ľudí.

Predstavte si toto: Ultronove prisluhovače IP útočia na váš server. Váš IDS zistí ich aktivitu vo vašich protokoloch a ak máte efektívny IPS, môžete týmto IP adresám zablokovať ďalšie škody. Ale čo keby ste zdieľali tie Ultron IP so svojím susedom? Alebo všetci ostatní ľudia na Zemi? Čo tak, že všetci ľudia na Zemi budú preventívne blokovať tieto IP adresy? Ultronova armáda už nemôže ublížiť. Všetko, čo teraz môže urobiť, je zastaviť dobývanie Zeme (alebo postaviť novú armádu). Ale v každom prípade ste vyhrali. To všetko je kvôli sile davu.

Iron Man neporazil Thanosa sám

Poďme sa bližšie pozrieť na súpisku tímu Avenger. Všetci poznáte ich mená a príslušné právomoci. Zamysleli ste sa však nad tým, nakoľko sa dopĺňajú? Hulk je tank, Thor ťažký útočník. Cap je stratég a v prípade potreby môže spôsobiť zranenie zblízka. Iron Man je expert na útoky na diaľku. Hawkeye je nikdy nezvestný ostreľovač. A vdova dokonalá špiónka. Všetky prinášajú na stôl rôzne zručnosti a schopnosti, vďaka čomu je tím taký efektívny (a cool).

Ale späť ku kybernetickej bezpečnosti. Existuje mnoho nástrojov, ktoré môžu pomôcť predchádzať útokom. Niektorí môžu byť efektívni v špecifických situáciách, ale neexistuje jeden kruh, ktorý by im všetkým vládol (oops, zlý vesmír 😉). Riešenie EDR môže chrániť vaše koncové body, ale nebude užitočné na boj proti DDoS. Nástroj SIEM vám pomôže centralizovať spravodajstvo, ale nepomôže aktívne čeliť škodlivej činnosti. IDS zistí funky veci prebiehajúce v protokoloch, ale nebude na ne reagovať.

Takže ako Avengers potrebujete tím riešení, ktoré spolu dobre hrajú a pokrývajú čo najviac scenárov. Najprv musíte zistiť a konať. Vyberte si IDS a IPS. Skombinujte ho s CTI a získajte údaje tretích strán na obohatenie databázy hrozieb. Pridajte nejaké zručnosti v oblasti kybernetickej bezpečnosti, aby ste fungovali efektívne. Získate najefektívnejšiu kombináciu na boj proti hrozbám.

Je ľahké dať sa do pohybu? No určite si to vyžaduje prácu. Prepojenie týchto nástrojov a zabezpečenie efektívneho toku údajov medzi všetkými týmito komponentmi môže byť náročné, ale v konečnom dôsledku najvýnosnejšie.

Od Avengers až po skutočných hrdinov

Davová inteligencia a integrované riešenie. Toto bola myšlienka za vytvorením CrowdSec.

Kybernetická bezpečnosť je asymetrická hra, v ktorej majú útočníci vždy iniciatívu, čo sťažuje vyriešenie problému pre väčšinu spoločností a ľudí. Môžete hodiť peniaze alebo technológiu na problém, ale nič nezaručí jeho účinnosť.

CrowdSec navrhuje niečo nové, niečo, čo v takomto rozsahu ešte nebolo vyskúšané. Kolaboratívne IPS a IDS, ktoré využíva davovú inteligenciu na blokovanie útokov. Spolupráca medzi používateľmi na vytvorení reputačnej a spravovanej IP databázy, aby sa zabezpečilo, že používatelia budú chránení v reálnom čase proti Ultronom a Thanosom tohto sveta. V zásade povedané, používatelia prispievajú signálmi – aktivita IP označená ako podozrivá: môže to byť čokoľvek, od hrubej sily až po plnenie kreditných kariet alebo skalpovanie prostredníctvom DDoS – a pravidelne dostávajú aktualizovaný zoznam blokovaných IP adries, ktoré majú byť „zastrelené“, ak zobrazujú sa v denníkoch. Myslite, Waze kybernetickej bezpečnosti.

Útočníci sa skrývajú za IP. Ak ako komunita dokážeme spáliť tieto IP adresy, útočníkom nezostane žiadna munícia a ustúpia.

Ak sa chcete pripojiť ku komunite CrowdSec, pozrite si oficiálnu webovú stránku. Oh, a je to zadarmo a s otvoreným zdrojom!