Prim Hírek

A folyamatosan fejlődő kiberbiztonsági területen nem könnyű azonban megtalálni a megfelelő megoldásokat. A felügyelt biztonsági szolgáltatásokat nyújtó szolgáltatók (managed security service providers - MSSP) eddig főként az eszközök beszerzésére, működtetésére, karbantartására és az ezekkel kapcsolatos oktatásra koncentráltak, de az igazán hatékony kiberbiztonsági szolgáltatóknak a hálózat teljes átláthatóságát és kontrollálhatóságát kell megoldaniuk a támadások minden fázisában. Ez az új fenyegetés-központú megközelítés komoly változásokhoz vezet a kiberbiztonsági technológiák, megoldások és szolgáltatások körében.

Leginkább a vállalaton belüli biztonsági ismeretek, a költségvetés és az üzleti célok alapján választhatjuk ki, hogy kiberbiztonságunkat milyen mértékben bízzuk külső szolgáltatóra. Amikor e megoldás mellett döntünk, az alábbi öt kérdés segíthet a megfelelő szolgáltató kiválasztásában:

1. Milyen típusú telemetrikus adatokra támaszkodhatunk?

A szimpla topológia ábra vagy naplózási adatok nem elegendőek. Más adatok, mint például a protokoll metaadatok – közvetlenül a hálózaton áthaladó csomagokból kinyerve az adatokat – elegendő betekintést nyújtanak a manapság népszerű watering hole, vagy az adathalász támadások folyamatába. A HTTP metaadatok beemelése a telemetria sablonba tehát hasznos információkkal támogathatja a webes támadások felismerését. A nagyobb mennyiségű adat segítségével a szolgáltató is hatékonyabb védelmet nyújthat a támadások ellen.

2. Hogyan történik az adatok elemzése?

Az egyszerűbb adatelemző modellek, mint a naplózási adatok és a biztonsági szabályok összehasonlítása, nem elegendőek, főleg ha nem is valós időben történnek. A valós idejű adatelemző megoldások nem csak a vállalaton belül nélkülözhetetlenek a nagy mennyiségű adat kezeléséhez, hanem a közösségi alapú fenyegetések globális elemzése során is. Az ilyen magas szintű elemzés nem a támadók számára érthető és elkerülhető szabályokra épül, hanem egy prediktív és dinamikus statisztikai modellre, amely képes azonosítani a felhasználói hálózatokban a rendellenes viselkedést és más támadást generáló (Indicators of compromise - IoC) tényezőket. Egy nagy pontosságú adatelemző megoldás használata jelentősen javítja az észlelések pontosságát.

3. Hol tárolják az adatokat és hogyan történik a védelem?

Fontos tudni, hogy  az adatokat helyben, a biztonsági szolgáltató (MSSP) adatközpontjában vagy a felhőben tárolják-e. Annak fényében, hogy milyen típusú adatokról van szó, továbbá a vállalatra milyen szabályzók vonatkoznak, illetve a szolgáltató (MSSP) milyen garanciát vállal, végig kell gondolni, hogy melyik a legmegfelelőbb megoldás. A döntésbe be kell vonni a műszaki mellett a  jogi és üzleti szervezetet is.

4. Milyen jelentést kapunk?

Az adatok fontosak, de azokat értelmezni, és ha szükséges, akkor ennek alapján cselekedni is kell. Meg kell bizonyosodni arról, hogy a kapott adatok összefüggésükben értelmezhetőek és relevánsak. Így arra a fenyegetésre koncentrálhatunk, amelyik a legnagyobb veszélyt jelenti szervezetünk számára. Az idő fontos tényező akkor, amikor célzott, fejlett támadással nézünk szembe. Fontos előre tudni, hogy a szolgáltató egy további vizsgálatokat igénylő és gyakran felesleges riasztásokat eredményező hosszú eseménylistát produkál, vagy már leellenőrzött, nagy megbízhatóságú információkat képes biztosítani számunkra.

5. Hogyan védekezhetünk az ismeretlen, nulladik napi támadások ellen?

Ahhoz, hogy eredményesen felismerjük és kivédjük a nulladik napi támadásokat, túl kell lépnünk a hagyományos point-in-time (PIT) megközelítésen. A hálózatokat ma már folyamatosan monitorozni kell és szükség esetén alkalmazni kell a védelmi megoldásokat. Az észlelési telemetrikus adatok, a prediktív elemzés és a statisztikai modell együtt képes felismerni a szinte észrevehetetlen anomáliákat, és segítenek azonosítani a különösen veszélyes támadásokat is.