V súčasnosti sa na trhu objavuje množstvo nových služieb a technických riešení, ktoré vychádzajú z koncepcie tradičného bezpečnostného monitorovania v podobe bezpečnostného operačného centra (SOC). Medzi najnovšie trendy v tejto oblasti patrí služba Managed Detection and Response (MDR), ktorá vychádza z predpokladu implementácie pokročilých technológií do centra každodennej činnosti bezpečnostných tímov SOC a jeho analytikov.
Riešenia MDR spolupracujú s nástrojmi SIEM (Security Information and Event Management) na zhromažďovanie a analýzu bezpečnostných údajov z rôznych systémových zdrojov. Tieto nástroje okrem samotnej bleskovej detekcie hrozieb v reálnom čase umožňujú vypracovať plán okamžitej reakcie na bezpečnostné hrozby, organizovať automatizované postupy pri vzniknutých incidentoch, a tým efektívne znižovať nároky na tradičné centrum bezpečnostných operácií.
Ďalšou dôležitou súčasťou úplného riešenia MDR je integrovaná ochrana koncových bodov. S príchodom cloudových zdrojov a moderných nástrojov na spoluprácu zamestnanci bežne pracujú mimo zabezpečenej firemnej siete a môžu pristupovať k citlivým firemným údajom z viacerých miest a zariadení. Z tohto dôvodu sa koncové body na periférii internej IT infraštruktúry stávajú stredobodom záujmu útočníkov a v súčasnosti zohrávajú kľúčovú úlohu v stratégii kybernetickej bezpečnosti každej organizácie bez ohľadu na jej veľkosť.
Napriek pomerne širokej ponuke produktov MDR na trhu nie sú všetky nástroje a služby kategoricky rovnaké, preto je pri výbere vhodného dodávateľa dôležité venovať pozornosť podrobným parametrom.
Aké sú kritériá výberu?
Základným kritériom zostáva výber samotného technického riešenia, kde sa kladie dôraz na maximálnu flexibilitu nástrojov SIEM a rozsah pokrytia vrátane možnosti variabilného pripojenia monitorovaných informačných zdrojov. Pri riešeniach EDR vystupuje do popredia schopnosť spolupráce týchto nástrojov, označovaná ako XDR (Extended Detection Response). Celkovú efektivitu týchto nástrojov ďalej výrazne zvyšuje možnosť využitia pokročilého strojového učenia a umelej inteligencie (Machine Learning/AI).
Opísané technické aspekty súvisiace s pomerom obstarávacích a prevádzkových nákladov sú pre organizácie pri výbere MDR príliš často hlavným alebo jediným kritériom.
Pri správnom výbere je však potrebné zvážiť mnoho ďalších dôležitých faktorov .
Ako príklad uveďme aspoň nasledujúce:
- umiestnenie systému SIEM vo vlastnom dátovom centre dodávateľa a jeho vplyv na prevádzku v prípade výpadku alebo možnosť vysokej dostupnosti zdrojov vo verejnom cloude
- Dôraz na ochranu, spôsob a umiestnenie spracúvaných údajov vrátane prísneho oddelenia od výrobného prostredia organizácie a prostredia dodávateľa
- Možnosť nastaviť variabilnú dĺžku uchovávania údajov (Data Retention Policy) podľa požiadaviek organizácie alebo právnych predpisov a nariadení
- Kombinované náklady na uchovávanie protokolov auditu a údajov počas celého zvoleného obdobia uchovávania
- možnosť a spôsob kontroly práce dodávateľa vrátane úplnej možnosti kontroly jeho činností nad celým riešením a vlastnými údajmi organizácie
- Potreba dodržiavania právnych predpisov a vysokého štandardu kybernetickej bezpečnosti zo strany samotného dodávateľa ako neoddeliteľnej súčasti reťazca vlastných operácií organizácie
Ďalším zo základných kritérií výberu dodávateľa MDR je škálovateľnosť a schopnosť rozšíriť riešenie podľa aktuálnych potrieb organizácie. Táto podmienka a z nej vyplývajúca flexibilita nasadenia je nevyhnutná pre strategické plánovanie a rozvoj každej dynamickej organizácie. Práve tu sa služba MDR od System4u plne prispôsobuje svojim zákazníkom, či už ide o malé organizácie na začiatku cesty do cloudu, alebo rýchlo rastúce stredné a veľké podniky s množstvom vlastných konfigurácií a prebiehajúcich zmien prostredia. Túto podmienku je dobré mať na pamäti pri výbere aj vzhľadom na regulačné a zákonné podmienky, ktoré prechádzajú pravidelnými revíziami, a preto možno v budúcnosti očakávať ďalšie zmeny kritérií, ktoré kvalitný dodávateľ dokáže bez problémov integrovať do svojho riešenia.
Čo by teda malo riešenie MDR ponúkať?
- nepretržité monitorovanie všetkých kľúčových prvkov IT infraštruktúry
- Pokročilé spravodajstvo o hrozbách
- Integrované nástroje strojového učenia/I na zvýšenie celkovej efektívnosti nasadenia, rýchlosti, presnosti a rozsahu hodnotenia hrozieb
- Plne integrovaný rámec na analýzu a vyhodnocovanie udalostí, napr. MITRE ATT&CK alebo The Cyber Kill Chain
- Škálovateľnosť a vysoká flexibilita služby podľa skutočných potrieb zákazníkov, aktuálne riešenia teraz aj v budúcnosti
- Dôraz na orchestráciu reakcií a pokročilú automatizáciu celého riešenia
- Dôraz na ochranu údajov zákazníkov a ich umiestnenie aj počas spracovania
- zachovať si možnosť úplného auditu práce dodávateľa
- vysoká úroveň odborných znalostí dodávateľa a dodržiavanie požadovaných predpisov v rámci dodávateľského reťazca organizácie
- podávanie úplných správ o celkovom stave bezpečnosti organizácie a kvalite poskytovania služieb
Službu System4u MDR sme vyvinuli tak, aby spĺňala všetky opísané parametre. Viac informácií nájdete tu.