Wykrywanie i reagowanie jako usługa

W tak skomplikowanej sytuacji najważniejsze stają się dwa działania: wykrywanie i reagowanie. Zdaniem ekspertów z firmy Barracuda osiąganie wyznaczonych celów w strategii ochrony środowisk informatycznych wymaga użycia platform typu XDR (eXtended Detection and Response). Skuteczne wykrywanie i reagowanie wymagają sięgania po wszystkie informacje dostarczane przez używane w firmie rozwiązania zabezpieczające. Kluczową sprawą staje się rejestrowanie sygnałów z każdego narzędzia oraz korelowanie tych danych w celu wyciągania wniosków, którą pozwolą podjąć konkretne działania.

Zarówno w obszarach ochrony i wykrywania, jak też reagowania, odpieranie współczesnych cyberataków wymaga umiejętności z zakresu informatyki śledczej i analityki bezpieczeństwa. Wiadomo też, że na rynku brakuje specjalistów w tej dziedzinie, dlatego dobrym rozwiązaniem dla małych i średnich firm może być współpraca z zarządzanym centrum operacji bezpieczeństwa (Security Operations Center, SOC), które w swojej ofercie ma także usługę XDR.

W efekcie wzrastać ma popularność zarządzanych usług typu MDR (Managed Detection and Response), oferowanych przez zewnętrzne podmioty. Gartner przewiduje, że do 2024 r. z rozwiązań MDR będzie korzystać 40 proc. średnich firm na świecie. Będą one potrzebować usługodawców, którzy pomogą im skutecznie wykorzystywać możliwości centrów reagowania SOC/NOC/XDR i utrzymywać odpowiedni poziom ochrony.

Od przybytku… głowa boli

W coraz większym stopniu samodzielnie zarządzać bezpieczeństwem są w stanie tylko duże firmy i korporacje. Tam konieczne jest lepsze poznanie posiadanych narzędzi, większe rozumienie dostarczanych przez nie informacji oraz ich konsolidowanie, aby wewnętrzne zespoły mogły łatwiej wykrywać zagrożenia i odpowiednio na nie reagować. Obecnie w wielu firmach funkcjonuje tyle narzędzi i dostarczanych przez nie informacji, że menedżerowie nie bardzo wiedzą, co z nimi zrobić…

Owszem, do pewnego stopnia dodawanie kolejnych zabezpieczeń zwiększa poziom ochrony. Narzędzia te bazują na dostarczanych do nich danych wywiadowczych, sygnaturach ataków i innego typu informacjach, które pokrywają się u różnych producentów tylko w pewnym, ograniczonym zakresie. Dlatego ich skuteczność sumuje się (choć ze wspomnianych powodów nie jest to prosta suma arytmetyczna), ale tylko do momentu, gdy kolejne rozwiązanie niczego już nie wnosi, za to wyraźnie zwiększa złożoność zarządzanego środowiska. A ono zwykle i tak jest już na tyle skomplikowane, że poradzenie sobie z nim wymaga coraz częściej użycia automatyzacji.

– Warto pamiętać, że całościowe podejście do zabezpieczania infrastruktury IT można uzyskać tylko dzięki wdrożeniu produktów ochronnych, które zostały zaprojektowane do współpracy – twierdzi Jolanta Malak. – Tworzą one ekosystem, w którym dzielą się informacjami w zautomatyzowany sposób, a przez to mogą podejmować skoordynowane działania przeciwko cyberatakom. Taka strategia umożliwi dalsze bezpieczne wdrożenia projektów IT, które częściowo są wymuszone przez pandemię, a częściowo przez rosnące oczekiwania klientów.

Jeśli wyzwaniem staje się zmierzenie z wielką masą informacji generowanych przez rozwiązania ochronne oraz agregowanych i korelowanych przez systemy SIEM, to zyskiwać na znaczeniu powinny platformy orkiestracji i automatyzacji bezpieczeństwa typu SOAR (Security Orchestration, Automation and Response).Coraz większy udział w tworzeniu systemu bezpieczeństwa będą też mieć samouczące się algorytmy, bazujące na sztucznej inteligencji (AI) oraz głębokim uczeniu maszynowym (ML).

Zdaniem specjalisty

Przemysław Kania, dyrektor generalny, Cisco Przemysław Kania, dyrektor generalny, Cisco  

Obowiązujące dzisiaj fundamentalne zasady dostępu, określane jako Zero Trust, oznaczają, że użytkownik danego systemu powinien mieć minimalne uprawnienia (na pewno nie administratora), uwierzytelniać się dwuskładnikowo (hasła wyciekają lub można je złamać), dostęp do internetu powinien być odpowiednio kontrolowany i filtrowany, a poszczególne urządzenia w sieci (jeśli jest ich więcej niż jedno) powinny być od siebie separowane i nie mieć bezpośredniego dostępu, aby uniknąć tzw. ruchu bocznego, czyli podstawowej taktyki „przeskakiwania” pomiędzy chronionymi komputerami po pokonaniu zabezpieczeń jednego z nich. Niezwykle ważne są również szkolenia pracowników, uczulenie ich, aby nie klikali w podejrzane linki czy nie otwierali wiadomości pochodzących od nieznanych nadawców.

  
Jolanta Malak, Regional Sales Director, Fortinet Jolanta Malak, Regional Sales Director, Fortinet  

W związku z zachodzącymi zmianami, przedsiębiorstwa musiały zacząć radzić sobie z gwałtownie rosnącą liczbą nieautoryzowanych urządzeń podłączanych do sieci, takich jak smartfony, laptopy czy sprzęt z kategorii Internetu Rzeczy. Stało się to z dnia na dzień kolejnym wyzwaniem w zakresie bezpieczeństwa. W efekcie na popularności zaczęły zyskiwać rozwiązania typu EDR, które zapewniają zaawansowaną ochronę urządzeń końcowych przed zagrożeniami w czasie rzeczywistym – zarówno przy próbie zainfekowania złośliwym oprogramowaniem, jak też w sytuacji, gdy z jakiegoś powodu się ona powiedzie. Rozwinięciem koncepcji EDR są narzędzia typu XDR. Chronią one nie tylko urządzenia końcowe, ale również pomagają analizować zdarzenia w obrębie sieci pod kątem wystąpienia incydentu.