S tím, jak se mění prostředí, hrozby a útočné plochy, se organizace často musí přizpůsobit a změnit svou strategii kybernetické bezpečnosti. Mnoho organizací se spoléhá na nové nástroje, technologie a partnery, kteří zvyšují jejich kybernetickou odolnost.
Nicméně stejně jako je těžké držet krok s nejnovějšími hrozbami, které se neustále vyvíjejí a nabývají na složitosti, je náročné porozumět současnému prostředí dodavatelů kybernetické bezpečnosti. Trh je přeplněný a je obtížné protřídit všechen ten marketingový šum s velkou porcí zkratek a cizích slov, která si razí cestu do vaší e-mailové schránky.
Rozebereme si teď některá z nejnovějších řešení, která vstoupila na trh, abychom si udělali představu o tom, co je pro kybernetickou bezpečnost vaší organizace nejlepší.
Začněte s interním hodnocením/auditem kybernetické bezpečnosti
Než vedoucí pracovníci v oblasti bezpečnosti provedou audit jakéhokoli potenciálního dodavatele zabezpečení, musí provést audit vlastní organizace, aby si udělali představu o jejích prioritách, strategii a schopnostech v oblasti kybernetické bezpečnosti.
Začněte posouzením odvětví, velikosti, umístění (včetně různých poboček) a prostředí vaší organizace, abyste věděli, co je třeba zabezpečit a jaké předpisy, nařízení a zákony je třeba mít na paměti, zejména pokud podnikáte na mezinárodní úrovni.
Měli byste si také udělat představu o tom, jak vaše prostředí vypadá nyní a jak bude vypadat v následujících 6, 12, 18 měsících. Budete výrazně rozšiřovat své partnery v cloudu nebo se budete v případě významných infrastrukturních služeb či obchodních procesů spoléhat na třetí stranu?
Pak si udělejte přehled o svých současných a budoucích zdrojích kybernetické bezpečnosti. Má smysl pustit se do strategie, která buduje kybernetickou bezpečnost ve vlastní režii, nebo budete muset na několik let outsourcovat významného partnera? Budete počítat s tím, že budete mít silný tým pro kybernetickou bezpečnost, nebo se o odpovědnost podělíte se specializovaným IT týmem?
Znalost vašeho rozpočtu a očekávání ohledně budování týmu je také klíčová, když začnete vést rozhovory s dodavateli. Celkově je toto počáteční posouzení nezbytné, aby pomohlo při budoucím rozhodování.
Přehled nových řešení kybernetické bezpečnosti
Rozebereme si teď některá novější řešení, abychom vám poskytli představu o tom, co hledáte.
EDR - Endpoint Detection and Response
Reakce na detekci koncových bodů (EDR) představuje nástroj nebo systém, který analyzuje koncové body organizace s cílem odhalit útoky, indikátory kompromitace nebo anomální chování, které by mohlo být známkou útoku. Zavedení systému EDR umožňuje organizaci rozpoznat útok a rychle na něj reagovat, čímž se zabrání většímu poškození a zefektivní se odstraňování následků.
Vhodné pro: Pro každou organizaci. Koncové body jsou primárním vektorem útočníků a každá organizace bez nějaké formy EDR by měla být považována za zranitelnou a ohroženou.
XDR - eXtended Detection and Response
Rozšířená detekce a reakce (XDR) často staví na schopnostech EDR a agreguje informace i z jiných než koncových bodů, například z cloudových prostředí a dalších nástrojů pro bezpečnostní analýzu. XDR se často vyskytuje ve dvou formách. Nativní XDR, což je řešení od jednoho dodavatele, které je snazší implementovat a spustit v organizaci, která ještě nemá robustní infrastrukturu kybernetické bezpečnosti. Open XDR je spíše centralizované řešení, které je nezávislé na dodavateli a je určeno k agregaci dat a telemetrie ze zdrojů, které již v prostředí společnosti existují.
Vhodné pro: Nativní XDR je nejvhodnější pro menší organizace, jejichž prioritou je co nejrychlejší zlepšení kybernetické odolnosti, a které mají k dispozici minimum zdrojů a nástrojů kybernetické bezpečnosti. Open XDR je nejlepší pro větší a robustnější organizace, které mají bezpečnostní tým, jenž může být přetížen různorodými nástroji pro bezpečnostní analýzu.
MDR - Managed Detection and Response
Jedná se o skupinu různých typů "spravovaných" služeb, které jsou odpovědné za podmnožinu rolí a úkolů kybernetické bezpečnosti. MDR označuje nástroje a systémy detekce a reakce, které jsou "spravovány" třetí stranou. V tomto případě dodavatelé MDR poskytnou nástroje a technologie, a také podporu potřebnou k tomu, aby pomohli organizacím rychle postupovat v případě kompromitace nebo útoku. Mohou také poskytovat doplňkové služby a zaplnit zjištěné bezpečnostní mezery v organizaci.
Vhodné pro: Pro organizace, které nemají vlastní tým kybernetické bezpečnosti. Většina dodavatelů MDR poskytuje podporu 24 hodin denně, 7 dní v týdnu, což pro interní tým společnosti často není prakticky možné.
MSP - Managed Service Provider
Poskytovatel spravovaných služeb je spíše poskytovatelem IT služeb, který slouží jako externí IT oddělení. Často zahrnuje minimální podporu kybernetické bezpečnosti a nemá téměř žádné další možnosti řízení kybernetických rizik.
Vhodné pro: Pro organizace, které mají malý IT tým. Poskytovatelé MSP sice nabízejí klíčové služby správy IT, ale nemělo by se na ně výhradě spoléhat v oblasti kybernetické bezpečnosti.
MSSP - Managed Security Service Provider
Poskytovatel spravovaných bezpečnostních služeb je obdobou MSP, ale v oblasti kybernetické bezpečnosti. Může přinést vlastní nástroje a technologie, nebo pracovat se stávajícími, které máte ve svém prostředí. Můžete se na ně také obrátit s žádostí o odborné znalosti v oblasti proaktivní strategie kybernetické bezpečnosti, správy, detekce, reakce a analýzy. Jedná se o komplexnějšího partnera v oblasti kybernetické bezpečnosti.
Vhodné pro: Organizace s minimálními požadavky na kybernetickou bezpečnost. MSSP se velmi blíží tomu, abyste měli outsourcovaný tým kybernetické bezpečnosti - pokud víte, že vlastní IT tým je z podstaty věci vyloučen nebo s ním počítáte ve vzdálené budoucnosti, může být MSSP nejlepším řešením.
VRM - Vendor Risk Management
Vendor Risk Management může být nástroj, strategie nebo systém, který posoudí stávající a budoucí dodavatele organizace z hlediska řízení rizik. To často zahrnuje řízení rizik kybernetické bezpečnosti, vyhodnocování přístupu k vlastní kybernetické bezpečnosti a schopnosti dodavatele bránit se před útoky, a také pracuje na tom, aby dodavatel nevystavoval společnost zbytečnému právnímu, reputačnímu, finančnímu a kybernetickému riziku.
Vhodné pro: Pro vysoce regulované organizace. VRM by měl být standardním procesem, na kterém se podílí více oddělení, nejen oddělení kybernetické bezpečnosti. Pokud však neexistuje centralizovaný proces nebo klíčový vlastník, může se vyplatit vyhledat externí podporu.
SIEM - Security Information and Event Management
Management bezpečnostních informací a událostí (SIEM) často označuje nástroj, který centralizuje informace o bezpečnostních událostech a informace ze sítě, prostředí a koncových bodů organizace, a poskytuje tak kontextuální analýzu stavu kybernetické bezpečnosti organizace i případného ohrožení. I když se jedná o podobný nástroj jako EDR, hlavním účelem nástrojů SIEM je centralizovat analýzu dat pro usnadnění rychlejších akcí, přičemž často rozšiřuje svůj záběr i mimo koncové body.
Vhodné pro: Silný tým kybernetické bezpečnosti. Nástroje SIEM jsou nejlepší pro organizace, které mají více zdrojů telemetrických a bezpečnostních dat, a také tým, který dokáže všechna data využít. V opačném případě může být menší tým informacemi příliš zahlcen a nemusí být schopen včas reagovat.
CWS - Cloud Workload Security
Cloud Workload Security označuje relativně novou sadu nástrojů určených k ochraně cloudového prostředí organizace. Cloudové pracovní zátěže jsou vysoce cílenou a obtížně chránitelnou záležitostí. Některé nástroje ale ve výsledku zpomalují práci vývojářů a ovlivňují jejich produktivitu. Nové nástroje CWS jsou navrženy tak, aby poskytovaly ochranu bez zvyšování doby zpoždění.
Vhodné pro: Pro organizace, které se zaměřují na cloud. Pokud má vaše společnost velký tým vývojářů nebo inženýrů, a/nebo používá cloudové zátěže Linuxu, vyplatí se do CWS investovat.
Výběr správného řešení kybernetické bezpečnosti vyžaduje komplexní uvažování
Vedoucí pracovníci v oblasti zabezpečení by se neměli dívat na tento seznam, aby našli jediné "správné" řešení. Tyto produkty se často vzájemně doplňují nebo jsou zabudovány do služeb konkrétních partnerů. Organizace může například uvažovat o partnerovi MDR až poté, co investuje do řešení XDR, ale také o něm může uvažovat jako o doplňku svého stávajícího prostředí EDR.
Doporučujeme posoudit potřeby vaší organizace, protože při zvažování dodavatelů kybernetické bezpečnosti je důležité znát plán vaší společnosti. Pokud víte, že vaše organizace chce outsourcovat většinu, ne-li všechny role v oblasti kybernetické bezpečnosti, pak možná budete chtít najít partnera, který vám poskytne všechny potřebné služby, a ne vytvářet nesourodou infrastrukturu složenou z několika dodavatelů, kteří mají oddělené nástroje, které spolu nekomunikují.
V konečném důsledku se snažíte snížit riziko narušení bezpečnosti a zároveň riziko, že narušení bezpečnosti bude mít závažný dopad na vaši organizaci. Toho nedosáhne žádný jednotlivý nástroj. Správný partner vám však může ukázat cestu.