Новые инструменты управления кибербезопасностью

Ландшафт киберугроз продолжает развиваться быстрыми темпами. Пандемия COVID-19 вынудила значительную часть мировой рабочей силы работать на дому. Это расширило возможности атаки с помощью незащищенных устройств, несанкционированного программного обеспечения, незащищенного Wi-Fi и облачных приложений. Работники (в том числе ИТ-персонал) путаются и отвлекаются при работе дома и представляют собой легкие цели для кибератак.

Несмотря на то, что оперативная идентификация и устранение неисправностей является приоритетной задачей для специалистов в области кибербезопасности, более 80% из них чувствуют себя перегруженными работой. Ситуация, возможно, обострилась из-за пандемии.

Решения в области кибербезопасности нового поколения на подъеме

Сложные вредоносные программы чрезвычайно трудно обнаружить. Вредоносное ПО может терпеливо оставаться в ваших системах в течение длительного времени, ожидая подходящего момента для удара. Современные решения для безопасности конечных точек, такие как Обнаружение и реагирование для конечных точек (Endpoint Detection and Response - EDR), фокусируются на отслеживании поведения конечных точек и могут помочь справиться со смещением поверхности атаки.

Проблема, однако, заключается в том, что развертывания дорогостоящих решений EDR недостаточно, если только опытная команда аналитиков не работает круглосуточно для мониторинга предупреждений безопасности. А реальность такова, что 76% руководителей подразделений кибербезопасности в глобальном масштабе уже ссылаются на нехватку навыков в области безопасности и не могут использовать технологии в полной мере. Это все равно, что купить дорогой мобильный телефон и использовать его только для телефонных звонков.

Аналогичным образом, управление собственной платформой безопасности информации и управления событиями (Security Information and Event Management - SIEM) добавляет массу сложностей и накладных расходов для бизнеса. Это особенно верно, когда организация собирает данные из сотен различных источников и устройств, таких как облачные приложения, брандмауэры, коммутаторы, серверы, смартфоны, датчики, устройства Интернета вещей (IoT), EDR и многое другое. Если эти данные не не анализируются и не обрабатываются в реальном времени, это не очень полезно. Исследования показывают, что платформы SIEM могут вызвать усталость от предупреждений и нанести серьезный ущерб командам кибербезопасности, когда они пытаются просеять тысячи предупреждений.

Устаревшие управляемые службы безопасности все еще оставляют вас уязвимыми

Чтобы бороться с этими ограничениями в навыках и ресурсах, предприятия передают аутсорсинг поставщикам управляемых услуг безопасности (Managed Security Services Providers - MSSP). По оценкам аналитиков IDC, управляемые службы безопасности занимали самую большую долю в глобальных расходах на безопасность в 2019 году и должны вырасти на двузначные цифры в течение следующих пяти лет. MSSP помогают организациям отслеживать и поддерживать повседневные потребности в области безопасности, такие как поддержание брандмауэров, обновление программного обеспечения безопасности, исправление конечных точек и достижение соответствия требованиям безопасности.

Хотя MSSP в основном ориентированы на безопасность периметра, а также на обнаружение на основе правил для выявления известных угроз, им не хватает навыков безопасности - набора для проведения криминалистики, поиска угроз или глубокого погружения в аналитику безопасности.

MDR - это следующее поколение управляемых сервисов

Управляемое обнаружение и реагирование (Managed Detection and Response - MDR) - одна из самых быстрорастущих областей на рынке кибербезопасности. Аналитики Gartner говорят, что к 2024 году 40% средних организаций будут использовать MDR. Компания IDC называет его следующим поколением управляемых сервисов. Но, в отличие от управляемых сервисов, сфера применения MDR определяется не технологиями как таковыми, а скорее конкретными целями безопасности или примерами использования.

Поставщики MDR используют полный набор различных инструментов кибербезопасности, таких как EDR, SIEM, анализ сетевого трафика, поведенческую аналитику пользователей и сущностей, обнаружение активов, управление уязвимостями, обнаружение вторжений и облачную безопасность.

Почему использование сервиса MDR имеет смысл

MDR может обеспечить интегрированную технологию, аналитику и человеческий опыт в масштабе. Хорошо управляемое решение может действительно расширить возможности организаций и укрепить их позиции в области кибербезопасности. Причины, по которым стратегия MDR является убедительной, включают в себя:

Ускоренное обнаружение угроз, снижение усталости от оповещений и более быстрое время отклика: MDR использует опыт в области кибербезопасности и лучшие в своем классе инструменты кибербезопасности для обеспечения активного мониторинга вашей сети и конечных точек на наличие продвинутых постоянных угроз и уклоняющихся вредоносных программ. Они также помогают отфильтровывать шумы (ложные срабатывания, некритические предупреждения), генерируемые продуктами безопасности, и помогают командам кибербезопасности сосредоточиться на приоритетных уязвимостях. Наличие выделенных команд в вашем распоряжении также приводит к более быстрому времени реагирования в случае нарушения/инцидента безопасности.

Доступ к совершенным экспертизам безопасности: MDR гарантирует, что вы совершили доступ к командам кибербезопасности круглосуточно. Без службы MDR ИТ-команды могут пойти на то, чтобы идентифицировать электронную почту, вызвавшую заражение, и попытаться очистить конечную точку с помощью устаревшего решения. Но команды MDR пойдут гораздо дальше. Они проведут тщательное расследование инцидента безопасности, проведя обширный судебно-медицинский анализ, определят цепочку повреждений, заткнут лазейки безопасности и очистят машину от ядра вплоть до операционной и файловой систем.
MDR должен быть во многих вариантах и нужно признать, что подход «один размер подходит всем» не работает. Для организаций важно выбрать правильного поставщика MDR, который соответствует потребностям конкретного бизнеса.

Подготовлено порталом Allinsurance.kz