61 % vodij kibernetske varnosti je v zadnjem letu doživelo varnostni incident zaradi napačno nastavljenih ali neučinkovitih varnostnih kontrol. In to kljub dejstvu, da imajo v povprečju nameščenih 43 različnih varnostnih orodij.
To nas pripelje do pomembne ugotovitve: težava ni v količini naložb v varnost, temveč v tem, kako so ta orodja dejansko nastavljena in upravljana. Mnoge organizacije šele zdaj začenjajo razumeti, da sama prisotnost varnostnih orodij še ne pomeni, da so ta orodja tudi pravilno konfigurirana za obrambo pred realnimi grožnjami.
Najnovejše Gartnerjevo poročilo z naslovom »Zmanjšajte izpostavljenost grožnjam z optimizacijo varnostnih kontrol« opozarja na to neskladje med namenom in dejanskimi rezultati. Sporoča preprosto resnico: brez stalnega preverjanja in prilagajanja orodja ne nudijo resnične varnosti – le občutek varnosti.
Mit o pokritosti z orodji
Dolgo časa je veljalo, da več kot imaš orodij, bolj varen si. Statistika pa kaže drugače. Gartnerjevo poročilo izpostavlja napačno konfiguracijo tehničnih kontrol kot enega glavnih razlogov, zakaj so napadi še vedno uspešni.
Večina organizacij ima dolg seznam požarnih zidov, orodij za nadzor končnih točk, sistemov za upravljanje identitet, SIEM rešitev … a napadi se še vedno dogajajo. Zakaj? Ker so ta orodja pogosto slabo povezana med seboj, napačno nastavljena ali pa sploh ne ustrezajo konkretnim poslovnim tveganjem.
Primer: Leta 2024 je v zavarovalnici Blue Shield of California zaradi napačne nastavitve spletne strani prišlo do uhajanja osebnih podatkov 4,7 milijona članov preko oglasov na Googlu. To je dokaz, da lahko tudi najbolj osnovna orodja, če niso pravilno nastavljena, povzročijo resne posledice.
Zmanjšanje razkoraka med prisotnostjo orodij in njihovo učinkovitostjo terja temeljito spremembo razmišljanja – in še bolj spremembo delovanja.
Kako preiti na razmišljanje o učinkovitosti kontrol?
Prehod na resnično varnost ni stvar ene tehnične izboljšave. Zahteva spremembo v razmišljanju, vsakodnevnih navadah in sodelovanju znotraj ekipe.
Uspeh je odvisen od povezovanja varnostnih strokovnjakov, IT oddelkov, lastnikov sredstev in poslovnega vodstva. Še posebej lastniki sredstev (npr. vodje sistemov) imajo ključno vlogo, saj poznajo, kje so shranjeni občutljivi podatki in kateri procesi ne smejo odpovedati.
To pa pomeni tudi spremembo pristopa k izobraževanju ekip: varnostni strokovnjaki morajo razumeti poslovne cilje, ki jih ščitijo, in realne grožnje, s katerimi se podjetje sooča.
Ni pa dovolj samo boljše sodelovanje. Podjetja potrebujejo tudi boljše načine merjenja dejanske učinkovitosti svojih kontrol. Tu nastopijo meritve, usmerjene v rezultate (ODMs) in dogovori o ravneh zaščite (PLAs). ODMs pokažejo, kako hitro odpravimo napake in kako dobro zaznavamo prave grožnje. PLAs pa postavijo pričakovanja, kako naj varnostni ukrepi delujejo v praksi.
Rezultat? Varnost, ki temelji na dokazu, ne na upanju.
Optimizacija ni enkratno dejanje – je vsakodnevna praksa
Prvo pravilo: meriti je treba. A drugo pravilo je še pomembnejše – učinkovitost moraš tudi ohranjati.
Varnostna orodja niso nekaj, kar nastaviš in pozabiš. Grožnje se razvijajo, podjetja se spreminjajo. Kot pravi Gartner: »Optimalna nastavitev varnostnih kontrol je premikajoča se tarča, ne pa nekaj, kar nastaviš na privzeto vrednost.«
Tisti, ki konfiguracijo obravnavajo kot projekt, opravljen enkrat letno, že zaostajajo. Grožnje se spreminjajo tedensko. Tudi zato mora biti optimizacija del vsakdana. To pomeni postavljanje ključnih vprašanj:
- Ali še vedno ščitimo tisto, kar je najbolj pomembno?
- Ali so naši varnostni filtri prilagojeni grožnjam, ki jih imamo danes?
- Ali nadomestni ukrepi še zapirajo prava tveganja?
Ohranjanje varnosti ni le posodabljanje programov. Je tudi razumevanje tveganj, prilagajanje procesov in uporaba realnih podatkov o grožnjah. Varnost ni »kljukica«. Je nekaj, kar stalno razvijaš, testiraš in izboljšuješ.
Kaj se mora spremeniti?
Če želimo, da varnostne kontrole dejansko delujejo, morajo postati del načrtovanja, delovanja in vzdrževanja sistemov. Ne ločen oddelek.
Gartner opozarja: »Nobena varnostna ekipa ni učinkovita v izolaciji.« Po mnenju mnogih varnostnih strokovnjakov in podjetij kot je XM Cyber to pomeni, da je varnost ekipni šport. Treba je povezati strokovnjake za varnost, IT, lastnike sistemov in poslovne vodje. Le tako razumemo, kaj orodje počne, kaj varuje in kje so resnična tveganja.
Ko varnostne kontrole vključimo v širši program neprekinjenega upravljanja izpostavljenosti (Continuous Exposure Management), lahko izboljšave postanejo sistematične. Namesto gasilske reakcije po vdoru lahko podjetje proaktivno zaznava ranljivosti in meri resnično zmanjšanje tveganja.
Ključna misel
Imeti orodja še ne pomeni imeti varnosti. Ključno je razumeti, ali ta orodja delujejo proti grožnjam, ki so za vas najbolj pomembne.
Prehod od prisotnosti orodij k njihovi dejanski učinkovitosti ni le tehnična naloga – zahteva spremembo kulture, procesa in ciljev.
Gartner jasno sporoča: statične obrambe ne dohajajo dinamičnih groženj. Uspešna bodo tista podjetja, ki varnost obravnavajo kot živ sistem – stalen, merljiv, prilagodljiv.
V kibernetski varnosti pomeni »biti na mestu« že »zaostajati«. Prihodnost pripada tistim, ki varnost živijo – vsak dan.
*Zgornji članek je povzetek strokovno pripravljenega članka s strani Dale Fairbrotherja, ki je vodja produktnega marketinga pri podjetju XM Cyber.