Sophos. Αν οι εταιρείες ασφαλείας μοιράζονταν το «threat intelligence» θα είχαν το πλεονέκτημα
Η κυβερνοασφάλεια είναι μια εξαιρετικά ανταγωνιστική βιομηχανία. Αυτό που καθιστά τον τομέα της κυβερνοασφάλειας μοναδικό στον χώρο της πληροφορικής είναι ότι οι εταιρείες που δραστηριοποιούνται στον συγκεκριμένο κλάδο δεν έχουν να αντιμετωπίσουν μόνο τον ανταγωνισμό από τις άλλες εταιρείες και προμηθευτές, αλλά έχουν να αντιμετωπίσουν και ανθρώπινους αντιπάλους, τους φορείς απειλών, και οι τελευταίοι είναι ο πραγματικός ανταγωνισμός.
Παρόλα αυτά, την ώρα που τα προϊόντα και οι υπηρεσίες, όπως της Sophos για παράδειγμα, ανταγωνίζονται στην αγορά τα προϊόντα άλλων προμηθευτών, αυτό δεν πρέπει να πραγματοποιείται σε βάρος της ικανότητας της να προστατεύει τους πελάτες της.
Πρόσφατα, η Sophos εξέδωσε μια υπενθύμιση που ενθαρρύνει τη βιομηχανία της κυβερνοασφάλειας να ανταγωνίζεται πρωτίστως στον τεχνολογικό τομέα, και όχι σε αυτό που ονομάζουμε «threat intelligence» (με απλά λόγια, η συλλογή, οι συσχετισμοί και η ανάλυση εσωτερικών όσο και εξωτερικών πληροφοριών για την αντιμετώπιση απειλών, κενών ασφαλείας κ.ά.).
Όπως λέει ο Chief Technology Officer της Sophos, Joe Levy, «αν οι εταιρείες από τη βιομηχανία της κυβερνοασφάλειας καταφέρουν να ευθυγραμμιστούν για να διαμοιράζονται γρήγορα πληροφορίες – ιδανικά σε πραγματικό χρόνο – τότε οι επιχειρήσεις, οι κυβερνήσεις και οι άνθρωποι θα είναι σε θέση να αμυνθούν ενάντια σε απειλές με πιο αποτελεσματικό και αποδοτικό τρόπο. Κάτι τέτοιο θα μπορούσε να αλλάξει την οικονομία της άμυνας στον κυβερνοχώρο, δίνοντας σε εκείνους που αμύνονται το πλεονέκτημα έναντι των επιτιθέμενων».
«Τα τελευταία πέντε χρόνια» συνεχίζει ο Joe Levy «η Sophos έχει σημειώσει σημαντική πρόοδο στη βελτίωση των προϊόντων της τόσο από άποψη χρηστικότητας όσο και από άποψη “προγνωστικής ικανότητας”, δύο διαστάσεις της τεχνολογίας που οφείλουν να ανταγωνίζονται οι προμηθευτές μεταξύ τους». Πιο συγκεκριμένα, η Sophos τελευταία έχει παραδώσει:
- Μια σχεδιαστική προσέγγιση «API-first» σε όλα τα προϊόντα που λειτουργούν με το Sophos Central για την διευκόλυνση της αυτοματοποίησης και της ενσωμάτωσης τους με άλλα εργαλεία και πλατφόρμες που χρησιμοποιούν οι πελάτες και οι συνεργάτες της στις επιχειρήσεις τους.
- Ροές εργασίας για την λειτουργία της ασφάλειας εντός των προϊόντων της που είναι εμπνευσμένες σε μεγάλο βαθμό από την ομάδα Managed Threat Response (MTR) της Sophos και οι οποίες, ως εκ τούτου, αρέσουν ιδιαίτερα στους επαγγελματίες
- Τη διαδεδομένη χρήση, σε όλο το προϊοντικό χαρτοφυλάκιο της, των υψηλής ποιότητας μοντέλων μηχανικής εκμάθησης (ML) που δημιουργήθηκαν από κοινού από τις ομάδες Sophos AI και SophosLabs για να βοηθήσουν στη βελτίωση της αποτελεσματικότητας ανίχνευσης και για να βοηθήσουν τους φορείς ασφαλείας να εστιάσουν την προσοχή τους.
Η «προγνωστική ικανότητα» και η ευχρηστία είναι δύο μόνο σημαντικοί τομείς της τεχνολογίας, όπου ο ανταγωνισμός μεταξύ των προμηθευτών θα συμβάλει στο να ανέβει ο πήχης για όλη τη βιομηχανία, καθώς υπάρχουν, όπως είναι φυσικό και άλλοι τομείς. «Αν οι διάφορες εταιρείες και προμηθευτές του κλάδου ανταγωνίζονταν σε τεχνολογικά καινοτομικές βελτιώσεις σαν τις παραπάνω και μοιράζονταν τις πληροφορίες απειλών (threat intelligence)» λέει ο Joe Levy «συλλογικά θα μπορούσαμε με πολλούς τρόπους να δυσκολέψουμε τους αντιπάλους μας (τους φορείς απειλών, όπως π.χ. τους χάκερ) να επιτύχουν τους στόχους τους». Αν μοιραστούμε τη γνώση και τις πληροφορίες μας, όλοι μας θα μπορούσαμε να εφαρμόσουμε την κατάλληλη άμυνα για να προστατέψουμε τους πελάτες μας από τις επαναλαμβανόμενες ή/ και παρόμοιες επιθέσεις, πράγμα που σημαίνει ότι οι επιτιθέμενοι δεν θα μπορούσαν να τις χρησιμοποιούν ξανά και ξανά – καθώς θα αναγκάζονταν να αλλάξουν υποδομές ή τακτικές, κάτι ιδιαίτερα δαπανηρό για αυτούς (ένα τρόπος αποτροπής είναι και το κόστος).
«Σε μια πρόσφατη ομιλία μου, στο “TIPS track at Virus Bulletin 2020” της Cyber Threat Alliance» λέει ο Joe Levy, «πρότεινα ορισμένους τρόπους με τους οποίους μπορούμε να παρακινήσουμε τις επιχειρήσεις, τις κυβερνήσεις και τους προμηθευτές λύσεων ασφάλειας να ξεπεράσουν τα εμπόδια που τους χωρίζουν και να ξεκινήσουν να διαμοιράζονται πληροφορίες για τις απειλές στον κυβερνοχώρο. Η βιομηχανία έχει βελτιωθεί, αλλά υπάρχουν εμπόδια που πρέπει να ξεπεραστούν. Ένα από αυτά τα εμπόδια είναι η ιδιωτικότητα, ένα πολύ πραγματικό ζήτημα που λειτουργεί σαν τροχοπέδη για πολλούς εδώ και δεκαετίες. Είναι καιρός να σταματήσουμε να είμαστε εσωστρεφείς και να αρχίσουμε να εξετάζουμε τις εξελίξεις στις τεχνολογίες προστασίας της ιδιωτικής ζωής που μπορούν να εξαλείψουν τις ανησυχίες μας και να μας βοηθήσουν να προχωρήσουμε. Αυτός είναι ένας σημαντικός τομέας έρευνας για εμάς καθώς συνεχίζουμε να αναζητούμε νέους τρόπους για να καταστήσουμε τη λειτουργία τέτοιων, κακόβουλων επιχειρήσεων περισσότερο δαπανηρή και δύσκολη για τους επιτιθέμενους, ξεπερνώντας τα εμπόδια που υπάρχουν στη βιομηχανία της κυβερνοασφάλειας όσον αφορά των διαμοιρασμό πληροφοριών».
«Όσο πιο κοντά βρίσκεται η βιομηχανία ασφάλειας στο να ξεκινήσει να διαμοιράζεται και να καθιστά επιχειρησιακό, σε πραγματικό χρόνο, το threat intelligence, τόσο πιο πιθανό θα είναι να προκαλέσουμε ουσιαστική ζημία στους αντιπάλους μας» είπε μεταξύ άλλων ο Joe Levy, Chief Technology Officer της Sophos στην ομιλία του.
«Παραπάνω» συνεχίζει ο Joe Levy, αναφέρθηκα στην προγνωστική ικανότητα ως ένα πρωταρχικό παράδειγμα μιας τεχνολογίας στην οποία οι προμηθευτές θα έπρεπε να ανταγωνίζονται. Μία από τις βασικές μεθόδους βελτίωσης της προγνωστικότητας προέρχεται από την εξαντλητική κατανόηση του τοπίου των απειλών, και αυτό είναι συχνά συνάρτηση της πρόσβασης σε δεδομένα, είτε πρόκειται για δείγματα κακόβουλου λογισμικού, για εκστρατείες ηλεκτρονικού ψαρέματος, για χαρακτηριστικά ransomware, συμπεριφορές επιτιθέμενων ή εργαλεία επίθεσης».
Η Sophos έχει πολύ μεγάλη επιφάνεια, επομένως υπάρχει άφθονη πρόσβαση σε τέτοια δεδομένα. Μάλιστα, οι SophosLabs και Sophos AI έχουν τεράστια processing pipelines για να κατανοήσουν όλα τα δεδομένα που εμφανίζονται σε καθημερινή βάση και η υπηρεσία MTR της Sophos συχνά προσφέρει μία πρώιμη ματιά σε νέες απειλές καθώς βρίσκονται στα αρχικά (ακόμη και στα αναπτυξιακά) στάδια τους.
Δεν έχουν όλοι οι προμηθευτές ασφάλειας τόσο ομοιόμορφη και ισορροπημένη πρόσβαση σε τέτοια δεδομένα, ακόμη και αν έχουν πρόσβαση σε κάποιες γνωστές στη βιομηχανία, πηγές πληροφοριών, όπως το VirusTotal. Και επειδή οι άλλοι προμηθευτές λύσεων ασφαλείας ή οι ανεξάρτητοι ερευνητές δεν έχουν πρόσβαση σε τέτοια δεδομένα, καθώς υπάρχουν σημαντικά εμπόδια (όπως στον διαμοιρασμό πληροφοριών) είναι αδύνατον να δημιουργήσουν τεχνολογικές καινοτομίες όπως είναι τα υψηλής ποιότητας προγνωστικά μοντέλα μηχανικής εκμάθησης (ML).
«Ως ένα μέτρο για να ξεπεράσουμε τα εμπόδια» γράφει ο Joe Levy «είμαι ενθουσιασμένος που ανακοινώνω μια κοινή προσπάθεια μεταξύ των SophosAI και ReversingLabs, που ονομάζεται SOREL-20M, για την παροχή του πρώτου συνόλου ερευνητικών δεδομένων για κακόβουλα προγράμματα με μοναδικό στόχο την επίτευξη βελτιώσεων στην ασφάλεια σε ολόκληρη τη βιομηχανία».
Ορισμένοι αναγνώστες μπορεί να αναρωτηθούν για ποιο λόγο μία εταιρεία ασφαλείας «απελευθερώνει» ένα κακόβουλο λογισμικό. Να είστε βέβαιοι ότι όλα τα δείγματα αφοπλίστηκαν για να αποφευχθεί η τυχαία εκτέλεση τους και ότι οι επιτιθέμενοι θα προτιμούσαν να ασχοληθούν με λιγότερο δαπανηρές λύσεις, από ότι είναι ο οπλισμός των συγκεκριμένων στοιχείων. Σε γενικές γραμμές, είναι σημαντικό για όσους αμύνονται να έχουν πρόσβαση σε τέτοιους τύπους επιθετικών εργαλείων, είτε με τη μορφή δειγμάτων κακόβουλου λογισμικού, είτε με τη μορφή των εργαλείων που μπορούν να χρησιμοποιήσουν οι εισβολείς για να προχωρήσουν σε επιθέσεις. Μπορείτε να διαβάσετε περισσότερα σχετικά με αυτήν την κοινή επιχείρηση και τα οφέλη που θα αποφέρει, στην ειδική σελίδα SophosAI που δημιουργήθηκε για να χρησιμεύσει, εν μέρει, ως πλατφόρμα για τέτοιου τύπου εγχειρήματα διαμοιρασμού δεδομένων όπως το SOREL-20M.
«Αυτή είναι μόνο η αρχή» λέει ο Joe Levy, «καθώς σχεδιάζονται περισσότερες πρωτοβουλίες και ανακοινώσεις σχετικά με τον διαμοιρασμό του threat intelligence και την ανταλλαγή εργαλείων, καθώς και για την εξελισσόμενη φιλοσοφία που βρίσκονται πίσω από τις συγκεκριμένες προσπάθειες, για να μεταμορφωθούμε σε μία βιομηχανία διαφάνειας και ειλικρίνειας για να οπλίσουμε καλύτερα όσους υπερασπίζονται τις επιχειρήσεις τους και για να οδηγήσουμε τη βιομηχανία προς τα εμπρός. Μείνετε συντονισμένοι.
Πηγή: Sophos