Cílem řízení kybernetických hrozeb je včasná reakce na situaci v kyberprostoru a to na základě jejího soustavného vyhodnocování. V rámci řízení kybernetických hrozeb se zajímáme o to, jak se mění krajina hrozeb v čase, tedy které hrozby jsou aktuální, na koho cílí, kdo za nimi stojí a jaký mají tyto hrozby potenciál způsobit škodu.

Článek převzat s laskavým dovolením CyberAndSmart

https://www.cleverandsmart.cz/cyber-threat-management/

V rámci řízení kybernetických hrozeb se zajímáme o to, jak se mění krajina hrozeb v čase, tedy které hrozby jsou aktuální, na koho cílí, kdo za nimi stojí a jaký mají tyto hrozby potenciál způsobit škodu.

Zde je třeba si uvědomit, že hrozba může využívat nespočet zranitelností, včetně těch, které jsou označovány jako zranitelnosti nultého dne, a před kterými není obrany, resp. není k dispozici příslušný patch nebo workaround.

Porozumění tomu, jak se mění krajina hrozeb, nám umožňuje včas přijmout vhodná bezpečnostní opatření organizační a technické povahy. Tato opatření by nás pak měla ochránit v okamžiku, kdy dojde k materializaci hrozby, tedy k samotnému kybernetickému útoku.

Řízení hrozeb pak nabývá ještě více na významu spolu s řízením technických zranitelnostíkdy díky znalosti situace v kyberprostoru můžeme lépe prioritizovat jednotlivé zranitelnosti a rozhodnout tak o tom, které by měly být jako první odstraněny.

Problém je, že byť jsou probíhající kybernetické útoky zpravidla detekovány přímo samotnou organizací, na kterou je veden útok anebo třetí stranou, která provozuje nějaké bezpečností řešení, tak informace o těchto útocích nejsou, byť by to bylo pro bezpečnostní komunitu přínosné, z celkem pochopitelných důvodů zveřejňovány.

O proběhnuvších kybernetických útocích se zpravidla dozvídáme až se značným zpožděním z mainstreamových médií anebo z nejrůznějších bezpečnostních reportů firem zabývajících se informační bezpečností, které v nich shrnují, k čemu v kyberprostoru za určité období došlo.

O většině kybernetických útoků se však nedozvídáme včas anebo dokonce vůbec, což vede k tomu, že o situaci v kyberprostoru máme jen mlhavou představu a nic nenasvědčuje tomu, že by se na tom mělo v brzké době něco změnit.

Ze strany oběti zde existuje jistá obava, že i pouhé zveřejnění informace o tom, že se její organizace stala cílem kybernetického útoku, by ji mohlo poškodit dokonce mnohem více, než útok samotný, což ale nemusí být tak docela pravda, jak píši zde.

A nic na tom nemění ani ta skutečnost, že z pohledu hodnocení skutečné úrovně bezpečnosti v organizaci se v současné době jako mnohem důležitější jeví to, jak rychle dokáže organizace na kybernetický útok reagovat a vzpamatovat se z něj, nikoliv zda na ni byl nějaký útok vůbec veden.

Co do sledování vývoje situace v kyberprostoru jsme zcela odkázání na bezpečnostní reporty nejrůznějších firem, které tyto reporty zveřejňují spíše za účelem zvýšení prodeje svých bezpečnostních řešení a služeb než poskytnutí skutečného obrázku o situaci v kyberprostoru, který je tak značně deformován.

Určitým řešením pak může být využití služby Cyber Threat Intelligence, zkr. CTI a zpřístupnění indikátorů kompromitace, Indicators of Comprise, zkr. IoC, ovšem ani ta nemusí být zárukou, že probíhající útok bude včas detekován.