Στον συνεχώς εξελισσόμενο τομέα της κυβερνοασφάλειας, οι ειδικοί βρίσκονται σε έναν αδιάκοπο αγώνα ενάντια στις ψηφιακές απειλές. Εξετάζουν τεράστιες ποσότητες δεδομένων, αναζητώντας ενδείξεις ύποπτης δραστηριότητας ή επιθέσεων που συχνά περνούν απαρατήρητες. Ωστόσο, η πραγματική πρόκληση δεν είναι μόνο η ανίχνευση αυτών των απειλών, αλλά και η αξιοποίηση αυτών των πληροφοριών για την ενίσχυση της άμυνας και τη διαχείριση του συνεχώς αυξανόμενου αριθμού κανόνων ανίχνευσης.

Η απάντηση της Ευρωπαϊκής Επιτροπής σε αυτήν την πρόκληση είναι το OpenTide, ένα λογισμικό ανοικτού κώδικα που αναπτύχθηκε για να διαχειρίζεται αποτελεσματικά τη ροή πληροφοριών σχετικά με τις κυβερνοαπειλές. Το OpenTide επιτρέπει στο Κέντρο Επιχειρήσεων Ασφαλείας της Επιτροπής να αναπτύσσει κανόνες ανίχνευσης με μεγαλύτερη ακρίβεια, ενώ ταυτόχρονα διατηρεί πολύτιμες γνώσεις σχετικά με τις κυβερνοαπειλές και τις στρατηγικές άμυνας.

Από τη διάσπαση στην αυτοματοποίηση: Η ανάγκη για μια νέα λύση

Το OpenTide δημιουργήθηκε από την ανάγκη να αντιμετωπιστεί η χαοτική και κατακερματισμένη διαχείριση των κανόνων ανίχνευσης απειλών. Ο Claus Houmann, ένας από τους πρώτους αναλυτές κυβερνοασφάλειας της Επιτροπής που αντιμετώπισε το πρόβλημα, περιγράφει πώς, μέχρι πρόσφατα, η ομάδα του βασιζόταν σε υπολογιστικά φύλλα για τη διαχείριση των απειλών. Κάθε φορά που εντόπιζαν μια νέα απειλή, οι αναλυτές περνούσαν ώρες καταγράφοντας τα δεδομένα με το χέρι και μεταφέροντας τις πληροφορίες σε συναδέλφους που δημιουργούσαν τους απαραίτητους κανόνες ανίχνευσης.

«Οι συνάδελφοί μου μισούσαν τα υπολογιστικά φύλλα», εξηγεί ο Houmann. «Δεν μπορούσαν να συνδέσουν άμεσα τις πληροφορίες που περιείχαν με τους κανόνες που ανέπτυσσαν στα συστήματα ανίχνευσης». Επιπλέον, η χειροκίνητη μεταφορά των δεδομένων σε διαφορετικά συστήματα προκαλούσε συχνά λάθη, καθιστώντας τον έλεγχο και την επικύρωση των κανόνων ιδιαίτερα δύσκολη υπόθεση.

Για να αντιμετωπίσει αυτό το πρόβλημα, ο Houmann στράφηκε στον Amine Besson, έναν ειδικό στην ανίχνευση και την απόκριση σε κυβερνοεπιθέσεις. Ο Besson εντόπισε αμέσως το κενό στη διαδικασία: «Χρειαζόμασταν ένα εργαλείο που να μας επιτρέπει να βλέπουμε το ιστορικό των απειλών, να εντοπίζουμε ευκαιρίες ανίχνευσης και να σχεδιάζουμε αμυντικούς μηχανισμούς. Και φυσικά, να αυτοματοποιούμε όσο το δυνατόν περισσότερο αυτές τις διαδικασίες».

Τους πρώτους μήνες του 2022, ο Besson ανέπτυξε μια αρχική έκδοση του OpenTide, η οποία μπορούσε να μετατρέπει τις πληροφορίες των αναλυτών σε έγκυρους κανόνες ανίχνευσης σε μορφή κώδικα. Λίγο αργότερα, πρόσθεσε δυνατότητες για την αυτόματη ενσωμάτωση αυτών των κανόνων στα συστήματα ασφαλείας της Επιτροπής.

Το OpenTide τέθηκε σε λειτουργία τον Σεπτέμβριο του 2022 και άλλαξε ριζικά τον τρόπο με τον οποίο η Ευρωπαϊκή Επιτροπή διαχειρίζεται τις κυβερνοαπειλές.

Ένα βασικό εργαλείο για την κυβερνοάμυνα της Ευρώπης

Σήμερα, το OpenTide έχει εξελιχθεί σε αναπόσπαστο κομμάτι της στρατηγικής κυβερνοασφάλειας της Επιτροπής. Ο Rémi Seguy, επικεφαλής της ομάδας «Threat Hunting and Detection Engineering», τονίζει ότι το λογισμικό χρησιμοποιείται πλέον για τη διαχείριση εκατοντάδων απειλών, εξασφαλίζοντας ότι κάθε γνωστή απειλή καλύπτεται από τους κατάλληλους κανόνες ανίχνευσης.

«Το OpenTide απλοποιεί δραστικά τα βήματα που απαιτούνται για την αντιμετώπιση νέων κυβερνοεπιθέσεων», εξηγεί ο Seguy. «Κάθε κανόνας ελέγχεται και επικυρώνεται αυτόματα, μειώνοντας τον κίνδυνο λαθών και επιταχύνοντας την απόκριση στις απειλές».

Η δύναμη της κοινότητας και η επόμενη μέρα

Το 2024, το OpenTide κυκλοφόρησε ως λογισμικό ανοικτού κώδικα στην πλατφόρμα code.europa.eu, επιτρέποντας στις ομάδες κυβερνοασφάλειας από όλη την Ευρώπη να συνεργάζονται στη δημιουργία και βελτίωση των κανόνων ανίχνευσης απειλών.

Ένα από τα πιο φιλόδοξα επόμενα βήματα του έργου είναι η ενσωμάτωση εργαλείων Τεχνητής Νοημοσύνης (ΑΙ) για την περαιτέρω ανάλυση τεχνικών δεδομένων. Ο Besson και η ομάδα του δοκιμάζουν ήδη μια λειτουργία που επιτρέπει στην ΤΝ να προτείνει προσχέδια κανόνων ανίχνευσης, αν και παραμένουν προκλήσεις. «Η ΤΝ μπορεί να βοηθήσει σε επιμέρους βήματα, αλλά η δημιουργία ενός ολοκληρωμένου συνόλου κανόνων ανίχνευσης εξακολουθεί να είναι πολύπλοκη», σημειώνει ο Besson.

Ο Seguy πιστεύει ότι το OpenTide δεν είναι απλώς ένα εργαλείο – είναι η βάση για μια ευρύτερη συνεργατική προσπάθεια.

«Με το OpenTide, μπορούμε να αντιμετωπίζουμε τις κυβερνοαπειλές πιο οργανωμένα και αποτελεσματικά», λέει. «Η επιτυχία του θα εξαρτηθεί από τη συνεισφορά της κοινότητας κυβερνοασφαλείας, η οποία μοιράζεται και εξελίσσει τις γνώσεις της πάνω στις απειλές και την άμυνα απέναντί τους».

Με την επικείμενη υιοθέτησή του από το Συμβούλιο της Ευρωπαϊκής Ένωσης και τη διεύρυνση της χρήσης του από κυβερνοασφαλείς οργανισμούς διεθνώς, το OpenTide δείχνει να εδραιώνεται ως ένας από τους ακρογωνιαίους λίθους της ψηφιακής άμυνας της Ευρώπης.

Πηγή: https://interoperable-europe.ec.europa.eu/collection/ec-ospo/news/taming-flood