Jak řešit problém nedostatku personálu a chybějících dovedností v ochraně dat

Přestože nalezení a udržení vyškolených odborníků na kybernetickou bezpečnost bude pravděpodobně i v nadcházejících letech problémem, existuje řada klíčových opatření, která mohou organizace začít přijímat již dnes. Ty výrazně pomohou zmírnit problémy vyplývající z nedostatku kvalifikovaného personálu a pomohou organizacím zlepšit způsob ochrany webových aplikací.

Firmy mají v současné době napjaté rozpočty a častokrát si ani neuvědomují rizika nedostatečného zabezpečení. To jsou faktory, které se promítají v nízké úrovni zabezpečení aplikací.

Řada firem to řeší nákupem produktů z oblasti ochrany dat od různých výrobců a vytvořením jakéhosi vnitřního bezpečnostního plánu. Toto řešení je nákladné a zároveň však vyšší bezpečnost negarantuje. S nakoupenými produkty totiž pak zachází stávající zaměstnanci firmy, kteří nejsou kvalifikovaní.

Problém nedostatku zaměstnanců v oblasti kybernetické bezpečnosti se celosvětově prohlubuje. Podle studie (ISC2) 2022 Cybersecurity Workforce Study v roce 2022 chybělo na pracovním trhu celosvětově 3,4 milionů odborníků na kybernetickou bezpečnost. Je to o 26,2 % více než v roce 2021. To znamená, že je po těchto odbornících stále větší poptávka a tím, že nejsou k mání, se snižuje schopnost organizací vypořádat se s kybernetickými bezpečnostními incidenty.

Podle zprávy se 70 % organizací domnívá, že nemají dostatek personálu pro kybernetickou bezpečnost pro to, aby byly efektivní. Navíc více než polovina zaměstnanců v organizacích postrádajících odborníky na oblast kyberbezpečnosti hodnotila riziko kybernetického útoku – např. v důsledku nedostatku pracovní síly — jako „střední“ až „extrémní“. U organizací s „výrazným“ nedostatkem expertů hodnotilo 20 % zaměstnanců riziko kybernetického útoku v jejich organizaci jako „extrémní“.

Podíváme-li se na důvody nedostatku pracovníků v oblasti kybernetické bezpečnosti, hlavními příčinami byla neschopnost najít kvalifikované odborníky (43 % organizací), fluktuace zaměstnanců (33 %), neschopnost nabídnout konkurenceschopné mzdy (31 %) a nízký rozpočet na program kybernetické bezpečnosti (28 %).

Tato zjištění vedou ke znepokojivému závěru, že organizace nemohou najít odborníky na kyberbezpečnost a ty, které najdou, si nemohou udržet.

Tváří v tvář těmto faktům musí organizace upravit svůj přístup a přijmout nová opatření, která nejsou tak silně závislá na interních zaměstnancích, aby udrželi svá citlivá data v bezpečí.

Sféra ochrany webových aplikací je oblastí, kde je nedostatek pracovníků, kteří se vyznají v oblasti kybernetické bezpečnosti, zvláště markantní.

Jak se webové aplikace stávají jádrem podnikových funkcí, ochrana aplikací hraje stále důležitější roli v otázce dostupnosti zákaznických dat, která jsou jejich prostřednictvím zpracovávána.

Rostoucí důležitost má i komplexní důkladná ochrana aplikací s unikátní sadou nástrojů a mechanismů pro zmírnění útoků. V důsledku toho se stává specializovanou disciplínou v rámci kybernetické bezpečnosti, odlišnou od jiných odvětví.

Tyto trendy vedou k tomu, že úspěšné programy zabezpečení webových aplikací vyžadují nejen specializované nástroje k ochraně proti všem typům útoků, ale také erudované jedince, kteří se specializují na zabezpečení aplikací a znají způsob, jak je ochránit před možnými útoky.

Níže uvádíme některé z hlavních důvodů, proč je nyní ochrana webových aplikací specializovanou disciplínou v rámci kybernetické bezpečnosti.

Důvod č. 1: Větší odbornost v oblasti domény

Jednou z charakteristik ochrany webových aplikací je, že zasahuje do více oblastí v rámci kybernetické bezpečnosti a výpočetní techniky. Abychom pochopili zabezpečení aplikací, musíme rozumět aplikacím. A aby člověk porozuměl aplikacím, musí mít hluboké znalosti z oblasti IT.

Ke klíčovým tématům ochrany aplikací patří:

• Sítě: Jak jsou navrženy, postaveny, konfigurovány a chráněny.
• Vývoj aplikací: Jak jsou aplikace vyvíjeny, jak jsou navrhovány, jaké technologie se používají při jejich vytváření a kdo se podílí na jejich vývoji a zavádění.
• Vlastnosti aplikace: Jaká je obchodní funkce aplikace, jaké jsou její možnosti a jak s ní uživatelé komunikují.
• Cloud computing: Protože většina webových aplikací je nyní umístěna v cloudu, pochopení veřejného cloudu, privátního cloudu a hybridních cloudů je prvořadé.
• Kubernetes a mikroslužby: Jak mikroslužby (a konkrétně Kubernetes) fungují, jak jsou spravovány, jaký je jejich životní cyklus po zavedení a jak se liší od tradičního návrhu aplikací.

Není překvapením, že najít kvalifikovaný personál, který má vhled do všech výše uvedených oblastí, není snadný úkol.

Důvod č. 2: Rozsáhlejší a složitější „válečná zóna“

Kromě toho, jak jsou aplikace sestavovány a implementovány, je klíčovým požadavkem na bezpečnost aplikací pochopení hrozeb, kterým dnešní moderní aplikace čelí. V důsledku toho je zásadní mít znalosti o útocích a hrozbách útoků.

Odborník by měl vědět o způsobech vedení útoků na webové aplikace, útocích botů a zranitelností API, útocích DDoS na aplikační vrstvě (L7) a – stále častěji – útocích na dodavatelský řetězec a na samotného klienta.

U každého takového útoku je nutné porozumět tomu, jak je plánován a prováděn, čím je motivován a jaký je potenciální dopad útoku na bezpečnost aplikací.

Důvod č. 3: Širší sada nástrojů

S rozšiřováním seznamu aplikačních hrozeb se rozšiřoval i seznam dostupných – a požadovaných – nástrojů pro obranu aplikací. Proto je nutné, aby profesionálové v oblasti zabezpečení aplikací do hloubky rozuměli bezpečnostním nástrojům a mechanismům.

Zabezpečení aplikací je dnes více než jen firewall webových aplikací (WAF). Zahrnuje ochranu proti botům, ochranu DDoS na aplikační vrstvě (L7), zabezpečení API, ochranu na straně klienta a další. Profesionálové na zabezpečení aplikací musí znát všechny tyto nástroje, jak fungují, co pokrývají (a co nepokrývají) a jak všechny tyto nástroje společně používat k vytvoření komplexního ochranného brnění pro moderní aplikace.

Vzhledem k tomu, že aplikace jsou klíčovou součástí podnikání, musí odborníci na zabezpečení aplikací rozumět více než jen tomu, jak tyto nástroje zavádět a implementovat zásady zabezpečení. Potřebují také vědět, jak je přizpůsobit s ohledem na legitimní vzorce chování uživatelů aplikace, eliminovat falešně pozitivní závěry a kontrolovat protokoly a analýzy, aby identifikovali potenciální slabá místa zabezpečení.

Důvod č. 4: Dopady napříč byznysem

A konečně, protože aplikace jsou někdy v centru podnikání, je nutné pochopit i to, jak zabezpečení aplikací ovlivňuje větší organizace.

I když je bezpečnost aplikací považována za zásadní, existuje vnitřní napětí mezi tím, jak je firma agilní, a jak účinně se dokáže bránit v případě rizik. Mnoho obchodních týmů chce být maximálně agilní a flexibilní a pracovat bez jakýchkoli omezení. Zabezpečení však z definice spočívá v zavedení omezení, aby se zabránilo škodlivým aktivitám. I když je tedy zabezpečení považováno za zásadní, zabezpečení webových aplikací může být pro určité organizační či strategické záměry firmy brzdou.

Zachovat špičkovou ochranu aplikací, a přitom co nejméně omezovat a vyhnout se použití protiopatření, která mají negativní efekt na hospodářský výsledek společnosti, je velká výzva.

Proto je nezbytné, aby profesionálové v oblasti zabezpečení webových aplikací dokázali tyto dvě klíčové hodnoty vybalancovat. Musí si být vědomi toho, jak zabezpečení aplikací ovlivňuje stávající obchodní a technologické procesy.

Existují tři primární opatření, která mohou organizace začít přijímat již dnes, aby nemusely pro zajištění kybernetické bezpečnosti přijímat nové interní zaměstnance, kterých je na trhu nedostatek. Tato opatření jsou: konsolidace, automatizace a plně spravované bezpečnostní služby.

Opatření č. 1: Konsolidace

Prvním opatřením je konsolidace bezpečnostních nástrojů. Matematika je jednoduchá: čím méně nástrojů ke správě a údržbě, tím méně času a energie strávíte přepínáním mezi systémy a konzolami pro správu – a tím menší je pak vytížení personálu kybernetické bezpečnosti.

Řešením je konsolidovat jednotlivé nástroje a prvky poskytující dílčí ochranu a zvolit všestranný produkt obrany proti možným rizikům. Takové produkty poskytují pokrytí široké škály útoků a vektorů hrozeb v rámci jediného nástroje – řídicího a reportovacího panelu.

Tento přístup umožňuje bezpečnostním týmům udržovat stejnou úroveň ochrany a zároveň urychlit procesy pomocí centralizované správy a reportingu. Mohou také strávit méně času přepínáním mezi systémy a integrací samostatných produktů.

Dodejme ještě jedno. Ujistěte se, že konsolidace nástrojů neprobíhá na úkor zabezpečení firmy.

Je nutné zvolit nástroj, který zajistí maximální možnou kybernetickou bezpečnost.

Opatření č. 2: Automatizace

Dalším opatřením je automatizace co největšího počtu procesů, čímž se nahradí pomalé a pracné manuální konfigurace.

Pokud jde o kybernetickou bezpečnost, automatizace může spadat do dvou kategorií:

• Automatizace zabezpečení – automatizace skutečných aktivit kybernetické obrany, jako je konfigurace zásad, konfigurace pravidel, vytváření podpisů atd.
• Automatizace nasazení – automatizace nasazení mechanismů kybernetické bezpečnosti způsobem, který nenaruší stávající obchodní nebo technické procesy.

Vzhledem k tomu, že útoky jsou stále silnější, častější a sofistikovanější, je automatizace zabezpečení nezbytná pro zajištění neustálé ochrany před útoky. Jakýkoli typ procesu zabezpečení, který je založen na manuálních procesech, je ze své podstaty zranitelný vůči měnícím se vzorcům útoků a novým útokům typu Zero-day, pro které v daném okamžiku neexistují žádné ochranné signatury.

To je obzvláště obtížný problém ve světě, kde není dostatek kvalifikovaných lidí, kteří mají čas a dovednosti pružně a správně reagovat v případě útoku.

Kombinací těchto dvou typů bezpečnostních automatizačních opatření mohou organizace snížit jak přímou zátěž týmů kybernetické bezpečnosti, tak i zmírnit širší dopad opatření kybernetické bezpečnosti na organizace jako celku.

Opatření č. 3: Plně spravované bezpečnostní služby

Třetím opatřením je outsourcing vašich funkcí kybernetické bezpečnosti a spoléhání se na expertní, plně řízené bezpečnostní služby, které za vás udělají těžkou práci.

Pojem „kybernetická bezpečnost“ odkazuje na rozsáhlou sféru, která v sobě zahrnuje mnoho specializovaných dílčích disciplín. Patří zde například zabezpečení sítě (firewally, VPN, zabezpečené webové brány atd.), ochrana aplikací (WAF, ochrana proti botům, ochrana DDoS a další), zabezpečení koncových bodů (antiviry, EDR atd.), zabezpečení e-mailu, veřejné cloudové zabezpečení (ochrana pracovní zátěže, CSPM, zabezpečení IAM a další) a mnoho a mnoho dalších.

Každý takový prvek je odlišný svým rozsahem ochrany, vektory útoku, hrozbami a nástroji. A jak se prostředí hrozeb stává složitějším, tyto prvky se od sebe jen dále oddalují a stávají se víc a více specializovanými.

V důsledku toho je prakticky nemožné najít pracovníky kybernetické bezpečnosti, kteří mají znalosti a odborné znalosti o každé z těchto domén a nástroje potřebné k jejich ochraně. To znamená, že i když má vaše organizace dostatek lidí, v mnoha případech nebudou mít ty správné dovednosti, aby pokryli všechny vaše potřeby.

Proto má smysl spoléhat se na plně řízené bezpečnostní služby a efektivně outsourcovat některé bezpečnostní funkce vyhrazeným týmům odborníků, pro které jsou tyto činnosti každodenní rutinou.

Je důležité zajistit, aby týmy pro řízenou bezpečnost měly osvědčené postupy dokumentovány v rámci svého odvětví, a že jsou řádně obsazeni a vyškoleni. Tento přístup však může výrazně pomoci snížit zátěž interních týmů kybernetické bezpečnosti a zároveň zvýšit úroveň ochrany.

Poskytují například komplexní sadu opatření, která organizacím pomáhají zefektivnit a zjednodušit bezpečnostní mechanismy webových aplikací, čímž se snižuje závislost na manuálních konfiguracích a pomůže se tím překonat nedostatek pracovníků a dovedností v oblasti kybernetické bezpečnosti:

Opatření č. 1: Automatizace:

Jak se kybernetické útoky – a kybernetičtí útočníci – stávají sofistikovanějšími, je stále obtížné spoléhat na jakýkoli typ bezpečnostního opatření, které je závislé na ruční konfiguraci. Ve snaze otestovat kybernetickou obranu se útočníci naučili neustále posouvat a měnit své útočné vektory.

V důsledku toho budou obranná opatření založená na jakémkoli typu manuálních konfigurací, pravidel nebo politik rychle odhalena, protože nebudou schopna držet krok s měnícími se charakteristikami útoku.

Kromě toho, jak se aplikace neustále mění a vzorce chování uživatelů se také mění v průběhu času, bezpečnostní pravidla a zásady se musí neustále přizpůsobovat, aby umožnily průchod legitimnímu uživatelskému provozu, a přitom stále blokovaly škodlivé požadavky.

Vyspělé nástroje ochrany aplikací řadu klíčových funkcí automatizace, které pomáhají zlepšit účinnost zabezpečení a zároveň snižují riziko falešných poplachů:

• Automatické učení provozu: Tyto nástroje ochrany aplikací jsou založeny na pozitivním bezpečnostním modelu, který umožňuje pouze legitimní požadavky uživatele a zároveň blokuje provoz, který spadá mimo legitimní chování uživatele. Tento přístup je založen na schopnostech automatického učení provozu, které se učí chování legitimních uživatelů a vytvářejí základ pro legitimní chování uživatelů. Pak blokují vše, co se vymyká těmto vzorcům chování.
• Automatická optimalizace zásad: Poté, co obranný nástroj vygeneruje zásady zabezpečení, které jsou přizpůsobeny vzorcům chování zákazníků, zahájí proces průběžné optimalizace zásad pomocí algoritmů strojového učení ke kontrole probíhajících protokolů zabezpečení a automatickému navrhování upřesnění zásad zabezpečení, čímž se vytváří přesnější zabezpečení a sníží náročnost pro bezpečnostní týmy.
• Automatická oprava falešných poplachů: Ve snaze odstranit překážky legitimní činnosti uživatelů řešení typu CWAF (Cloud Web Application Firewall) automaticky vyhledává potenciální falešně pozitivní výsledky a upozornění na ně, aby je mohli správci zabezpečení povolit podle potřeby.

Opatření č. 2: Komplexní, centralizovaná ochrana aplikací

Dalším klíčovým opatřením při řešení nedostatku kvalifikovaného personálu je odstranění všech zbytečných překážek při správě bezpečnostních nástrojů. Toho lze dosáhnout kombinací několika různých nástrojů do jediné sjednocené platformy, která pokrývá všechny požadované potřeby.

Vyspělá cloudová bezpečnostní platforma pak poskytuje komplexní řešení ochrany webových aplikací, které pokrývá všechny klíčové vektory útoků a povrchy hrozeb:

• Firewall webových aplikací – pro ochranu před webovými útoky, jako je SQL injection, cross-site scripting (XSS), falšování požadavků na straně serveru (SSRF) a dalších 10 hlavních hrozeb OWASP (a další).
• Správce botů – rozlišuje mezi lidským a automatizovaným webovým provozem a rozlišuje mezi „dobrými“ roboty (jako jsou webové vyhledávače) a špatnými roboty (jako jsou DDoS botnety atd.).
• Ochrana API – s vestavěným, plně automatizovaným zjišťováním API, k identifikaci jakýchkoli nezdokumentovaných API a vynucování ochrany všech API organizace.
• Ochrana DDoS – pro ochranu před útoky DDoS založenou na chování jak na síťové vrstvě (L3/4), tak na aplikační vrstvě (L7)
• Ochrana na straně klienta – pro ochranu koncových bodů klienta před útoky dodavatelského řetězce, jako jsou útoky formjacking (Magecart) nebo DOM XSS.

Poskytuje též centralizovanou konzoli pro správu se sjednocenými řídicími panely, sestavováním a správou všech těchto funkcí.

Opatření č. 3: Integrace bez „třecích ploch“

V dnešním moderním prostředí již ochrana aplikací není samostatná disciplína; je neodmyslitelně propojena s vývojem aplikací, nasazením, doručováním, DevOps, a dokonce i marketingem a sociálními médii. To je důvod, proč je bezproblémová integrace tak důležitá pro zabezpečení aplikací: a ochrana webových aplikací v moderní době by neměla být překážkou.

Možnost bezproblémové integrace v architektuře takového nástroje je obrovskou výhodou. Na rozdíl od tradičních mechanismů ochrany aplikací se tato architektura nedotýká samotné povahy dat, čímž poskytuje bezproblémovou ochranu aplikací bez nutnosti změn stávající architektury nebo procesů.

Všechny tradiční nástroje ochrany aplikací fungují inline: buď jako zařízení (pro místní nasazení), nebo prostřednictvím přesměrování DNS (u cloudových nasazení). Zatímco tento přístup umožňuje inspekci veškerého provozu, také způsobuje výpadek při stávajících metodách implementace a přidává další latenci v cloudových nasazeních. To je problém zejména při nasazení v multicloud prostředí a hybridním cloudu.

Na druhé straně pak out of the path řešení poskytuje plnou ochranu od prvního souboru prostřednictvím přístupu založeného na API, takzvaně mimo cestu. Díky integraci s aplikačním serverem je v případě přijetí požadavku odesláno volání API do nejbližšího PoP (Point of Presence, datového centra) výrobce s podrobnostmi požadavku, kde probíhá analýza podezřelé aktivity a škodlivé požadavky jsou zablokovány. To umožňuje plnou ochranu bez nutnosti jakýchkoli změn datové cesty, bez zbytečných výpadků provozu, bez zvyšování latence, a dokonce bez vyžadování SSL/TLS certifikátu aplikace.

Opatření č. 4: Spravované bezpečnostní služby

V neposlední řadě překonávání nedostatku pracovníků v oblasti kybernetické bezpečnosti pomocí nabízejí špičkoví výrobci dostupností svých řízených bezpečnostních služeb, v jejichž čele stojí skupina specialistů – Emergency Response Team (ERT).

Jak se ochrana aplikací stává stále více specializovanou disciplínou, mnoho organizací se potýká s nedostatkem kvalifikovaných pracovníků, kteří mají dostatečné znalosti, dovednosti a zkušenosti k identifikaci a ochraně před útoky webových aplikací.

Služby ochrany cloudových aplikací je proto vhodné vyhledat ve formě spravované služby, přičemž interní SOC výrobce a pracovníci podpory přebírají odpovědnost za pomoc zákazníkům s integrací, konfigurací, průběžným monitorováním, nepřetržitou podporou a ochranou v době útoku.

Tento přístup pomáhá organizacím zlepšovat kvalitu programů ochrany webových aplikací se zkušenými odborníky na aplikační bezpečnost, kteří s ochranou aplikací pracují každý den a zároveň snižují zátěž interních zaměstnanců tím, že jim umožňují soustředit se na interní procesy organizace.

V dnešním napjatém ekonomickém prostředí mnoho organizací hledá způsoby, jak snížit náklady na správu nástrojů kybernetické bezpečnosti. Organizace by si měly uvědomit, že mnohá opatření nastíněná v tomto dokumentu nejen zvýší kvalitu bezpečnostních ochrany, ale také jim pomohou snížit náklady.

Mezi klíčová opatření ke snížení TCO patří:

Konsolidace řešení a výrobců

Snižte počet produktů a služeb, které využíváte, konsolidujte na menší množství nástrojů, které mají větší rozsah záběru.

Automatizace procesů náročných na zdroje

Zlepšete kvalitu ochrany při současném zrychlení procesů a snížení množství manuální práce, která je pro to nutná.

Integrovaná, centralizovaná správa a viditelnost

Věnujte méně času přepínání mezi nástroji a řídicími panely díky jediné centralizované konzoli.

Využijte plně spravovanou bezpečnostní službu

Úkoly spojené s ochranou webových aplikací nesvěřujte svým již tak vytíženým zaměstnancům, kteří pro to nemají potřebnou kvalifikaci. Zlepšete kvalitu ochrany tím, že ochranu kyberbezpečnosti necháte na pověřených odbornících z externích firem.

Dlouhotrvající dopad epidemie COVID-19 spolu s rozšiřujícími se poli hrozeb a rostoucí složitostí útoků způsobil, že nedostatek zaměstnanců se v mnoha organizacích stal trvalou realitou. To platí zejména pro ochranu webových aplikací, která se stále více stává specializovanou disciplínou v rámci kybernetické bezpečnosti.

Překonání těchto problémů vyžaduje kombinaci strategických kroků zaměřených na konsolidaci, automatizaci a expertně spravované bezpečnostní služby.

Lídři mezi producenty nástrojů pro ochranu webových aplikací poskytují komplexní sadu opatření, která organizacím pomáhají zefektivnit a zjednodušit mechanismy zabezpečení webových aplikací. Pomáhají organizacím snížit závislost na manuálních konfiguracích a překonat nedostatek pracovníků v oblasti kybernetické bezpečnosti.

_____

Převzato z RADWARE Whitepaper „Overcoming Staff and Skill Shortages in 2023“, březen 2023