Organizacije, ki vlagajo v kibernetsko varnost se soočajo s paradoksom, da imajo na voljo vse več varnostnih podatkov, ki dušujo njihove ekipe hkrati pa jim primanjkuje konteksta, ki je potreben za učinkovito odločanje in določanje prioritet, kaj dejansko predstavlja realno tveganje. Preobremenjenost z opozorili je zato velikokrat vzrok za opuščanje varnostnih kotrol ali za izpuščanje informacij, ki imajo za sabo resnične grožnje. Organoizacije v EU so podvržene še zakonodajnim zahtevam, kot so NIS 2, DORA in CRA, ki od njih ne zahtevajo le uvajanja in izboljševanja varnostnih kontrol, temveč tudi dokazovanje njihove učinkovitosti. V okviru obvladovanja tveganj informacijske in kibernetske varnosti morajo znati odgovoriti na ključna vprašanja, kateri napadi so zanje najbolj verjetni, kje so najbolj ranljive in kako hitro zaznajo ter zaustavijo napad.
Tradicionalni pristopi k varnosti na ta vprašanja pogosto ne dajejo zadovoljivih odgovorov. Preveč so osredotočeni bodisi na zunanje grožnje brez povezave z lastnim okoljem bodisi na notranje tehnične podatke brez razumevanja širšega konteksta. Prav tu vstopata dva komplementarna pristopa in sicer obveščanje o grožnjah (CTI - Cyber Threat Intelligence) ter zunanje obveščanje (ETI - External Threat Intelligence).
CTI in ETI imata različna namena, vendar skupen cilj
Organizacije, ki želijo izboljšati stanje kibernetske varnosti uvajajo tako CTI kot tudi ETI, tako da varnostno držo organizacije okrepijo z dveh zornih kotov.
CTI se osredotoča na zunanje okolje. Gre za zbiranje in analizo informacij o napadalcih, njihovih taktikah, tehnikah in postopkih ter napadalnih kampanjah in infrastrukturi. Organizacijam pomaga razumeti, kdo jih lahko napade, kako napadi potekajo in zakaj do njih prihaja. V praksi to pomeni, da organizacije s pomočjo CTI izboljšujejo zaznavanje napadov v svojih varnostnih sistemih, obogatijo varnostne dogodke z dodatnim kontekstom in pripravljajo realistične scenarije za testiranje odpornosti. Poleg tega CTI podpira tudi strateško odločanje, saj vodstvu omogoča boljše razumevanje trendov, kot so na primer porast izsiljevalskih napadov v regiji.
Na drugi strani se ETI osredotoča na dejansko izpostavljenost, pri čemer izhaja iz notranjega okolja organizacije. Namesto vprašanja, kaj se dogaja v svetu groženj, odgovarja na vprašanje, kako ranljiva oziroma izpostavljena je organizacija glede na te zunanje grožnje. Povezuje podatke o ranljivostih, konfiguracijah, dostopih in izpostavljenih sredstvih ter jih postavlja v kontekst realnega tveganja. V praksi organizacije ETI uporabljajo za določanje prioritet pri odpravljanju ranljivosti, prepoznavanje kritičnih sistemov, ki so izpostavljeni internetu, ter zmanjševanje napadalne površine. Tak pristop omogoča bolj ciljno usmerjeno upravljanje tveganj in podpira sodobne koncepte, kot je neprekinjeno upravljanje izpostavljenosti grožnjam.
Če CTI pojasnjuje, kaj se dogaja v širšem okolju groženj, ETI natančno pokaže, kaj od tega je relevantno za konkretno organizacijo.
Sinergija CTI in ETI
Največjo vrednost organizacije dosežejo, ko CTI in ETI uporabljajo skupaj. Posamezno vsak pristop rešuje le del problema, skupaj pa omogočata celovit pogled na tveganja in bistveno bolj učinkovito odločanje.
Če organizacija uporablja zgolj CTI, lahko sicer dobro razume aktualne grožnje, vendar pogosto ne ve, ali je nanje dejansko izpostavljena. To lahko vodi v prekomerno porabo virov ali napačno določanje prioritet. Po drugi strani ETI brez CTI sicer omogoča vpogled v notranje slabosti, vendar ne daje odgovora na vprašanje, katere od teh slabosti so trenutno zanimive za napadalce. Ko se oba pristopa združita, nastane močna operativna sinergija. CTI identificira aktivne grožnje, na primer kampanjo, ki izkorišča določeno ranljivost, ETI pa preveri, ali je organizacija na to ranljivost dejansko izpostavljena. Na tej osnovi lahko varnostna ekipa takoj sprejme konkretne in prioritetne ukrepe.
Recimo, ko CTI zazna, da napadalci aktivno izkoriščajo novo ranljivost v rešitvah VPN, ETI pokaže, ali ima organizacija tak sistem izpostavljen na internetu in ali je ustrezno posodobljen. Namesto splošnega opozorila o tveganju organizacija dobi navodilo za konkreten ukrep, ki ima takojšen vpliv na zmanjšanje tveganja.
Takšna povezava med zunanjimi grožnjami in notranjo izpostavljenostjo omogoča prehod iz okolja, kjer je veliko informacij, vendar malo konkretnih ukrepov, v pristop, ki temelji na dejanskem tveganju in merljivih rezultatih. V praksi to pomeni pomemben premik od vprašanja, kaj vse bi lahko šlo narobe, k vprašanju, kaj je najbolj verjetno, da bo šlo narobe, in kako smo na to pripravljeni.
