Vizualizace informací k lepšímu pochopení kybernetických hrozeb

V dnešním příspěvku bych se rád věnoval vizualizaci dat v rámci naší služby ATOM ONE. Data, informace a bezpečnost jsou trendem moderní doby a s příchodem digitalizace je nutné řešit data flow zejména s ohledem na bezpečnost. Z tohoto důvodu, je dle mého názoru, nutné řešit datové pohyby a hledání anomálií v datových přenosech. Obecně se této oblasti říká vizualizace informací nebo také získání visibility prostředí. Díky vizualizaci informací je možné, zejména v oblasti bezpečnosti, identifikovat snáze potencionálního útočníka, protože při novém typu útoku (novém nebo upraveném TTP) nedodržuje systematické, až syntetické, postupy, a tedy jeho odhalení jinými systémy může být vcelku obtížné.

Člověk dokáže lépe interpretovat informace, které vidí, než které jen čte řádcích, či tabulkách. Na to jsme se právě zaměřili při vývoji naší služby ATOM ONE. Cílem pro nás bylo interpretovat naše zkušenosti a znalosti informačních technologií do vizuální podoby informace, kterou vám dnes představím.

To nejzásadnější je zjednodušit miliony informací, které do prostředí přitékají, obecně tedy do jakéhokoliv log managementu nebo SIEMu. Informace musí být řádně strukturovány a zacíleny na konkrétního konzumenta informace. Pro management bude nutné informace interpretovat velice jednoduše, protože management nemá čas a leckdy ani zkušenosti, které by mohl do jakékoliv analýzy investovat. Proto vznikl v ATOM ONE centrální dashboard, který velice jednoduše poskytne informace o tom, jak si prostředí stojí, kde mohou čekat slabá a potencionálně zranitelná místa.

Při stavbě jsme se soustředili na 4 základní oblasti, které jsou pro každého manažera důležité, pokud má mít přehled nad stavem svěřeného prostředí. Těmi oblastmi jsou Dostupnost, Kapacita, Provoz a Bezpečnost. Aby bylo snazší pochopit, jak si prostředí stojí, tak každý z nálezů má svou závažnost, a tedy i hodnotu, kterou reprezentuje jednotné číslo. Tak jsme schopni snadno určit, zda jsme na tom špatně, či dobře. Aby bylo možné sledovat i práci týmů interně, tak by se měla organizace soustavně zlepšovat. Proto zobrazujeme i trend v přehledové části vývoje skóre organizace.

Někteří manažeři se do manažerských pozic posunuli právě z provozu a mají tedy i zájem získat detailnější informace o stavu prostředí. I zde totiž panuje zprvu určitá nedůvěra v jedno číslo (score organizace) v nějakém produktu, a tak si rádi přehodnotí, co jsou opravdu závažné problémy, kterým by se organizace měla věnovat. Toto často promítají do svých krátkodobých, střednědobých a dlouhodobých cílů v oblasti bezpečnosti. Právě proto report obsahuje i detailní informace o nálezech a zaměřuje se na seskupení problémů. Díky tomu může konzument snáze dosáhnout lepší obranyschopnosti, protože dokáže vyřešit jeden problém, který byl nalezen napříč celou organizací.

Správci informačních technologií však potřebují konzumovat informace ve větším detailu, aby dokázali problém vyřešit rychle, efektivně a správně, a proto často používají námi připravené Dashboardy a vizualizace pro operační týmy. Pro operační tým je dostupný dashboard, který nám dá kompletní přehled o stavu prostředí a o problémových systémech.

Můžeme si zobrazit informace o datovém toku, tedy informace o tom, kolik naše kontrolovaná zařízení odesílají dat, kolik konzumují prostředků a jaký je celkový síťový přenos do naší služby.

Tímto však výčet vizualizací nekončí. Centrem všeho dění se stává pracovní prostor, ve kterém si může správce zobrazit vše rychle a přehledně. Na jednom místě tak najdeme informace o sítích, doménách, databázích nebo operačních systémech, či máme možnost zobrazit vnitřní spojení na síťové vrstvě, kdy jsou k transakcím namapovány i procesy operačního systému Windows nebo Linux, které jsou ve službě sledovány.

Důležité je, že poskytované informace jsou hned na první pohled srozumitelné, protože jsou obohaceny o ikony, které dají velmi rychle vědět, zda jde o závažný problém nebo jen informativní zprávu.

Většina těchto vizualizací je však přesouvána do více komplexních a lépe filtrovaných vizualizací ve formě tzv. Workbooků. Jedná se o ucelené reporty, které zobrazí stav kontrolované oblasti v mnohem širším měřítku. Zohlední kontext nejen dané služby, ale i služeb k ní navázaných, jako třeba v níže uvedeném případě, kde je prováděno sledování webových aplikací z vnějšího prostředí. Velmi pozitivní je pro mě možnost snadného filtrování v obsahu reportu. Pokud vidím “něco”, co se mi v prostředí nezdá, mohu si snadno vybrat položku a celý report nebo jeho část se mi upraví a zacílí jen na daný objekt.

Pokud se následně chceme ponořit do detailní analytiky a lovení případného narušitele, pak máme možnost přejít k detailním informacím v rámci přehledů. Vždy, když je to důležité, jsou všechny vizualizace do těchto zobrazení směrovány. My můžeme analyzovat trendy a dívat se na anomálie v chování systémů.

Prostředí ATOM ONE a Azure dává správcům a bezpečnostním analytikům velmi silný a otevřený nástroj, kterým lze, za poměrně malý čas učení, získat mnoho informací a ucelený přehled o prostředí. Díky ATOM ONE se můžeme podívat na stav v prostředí v konkrétním čase, a to bez omezení množství datové základy a s daty pracovat analytickým způsobem tak, abychom dokázali předpovědět chování systémů a služeb, za které jsme odpovědni a které provozujeme.

• Přečtěte si další články o ATOM ONE