В данной статье пойдет речь о том, как можно повысить уровень киберзащиты своей организации в 2023 году, в частности, усовершенствовав операции по обеспечению кибербезопасности. Это возможно сделать тремя способами: оптимизацией XDR, внедрением упреждающего выявления киберрисков и переходом на единую платформу безопасности.
Введение
Поскольку предприятия продолжают осуществлять цифровую трансформацию, ИБ-группам приходится брать на себя дополнительную ответственность – они теперь не только защищают корпоративные данные, но и помогают обеспечивать непрерывную деятельность бизнеса. Чтобы добиться поставленных целей, необходимо искать новые подходы и внедрять дополнительные решения, которые сделают сотрудников более гибкими и проактивными, но менее перегруженными. Для этого применяются такие практики, как оптимизированное расширенное обнаружение и реагирование на сложные угрозы и целевые атаки (англ. «Extended Detection and Response (XDR)»), упреждающее выявление киберрисков и единая платформа безопасности.
Нет сомнений в том, что цифровая трансформация увеличила значение роли осуществления операций по обеспечению кибербезопасности на современных предприятиях. Стоит еще раз отметить, что ИБ-отделам придется не только защищать данные компании, но и обеспечивать непрерывность работы бизнеса и отстаивать репутацию бренда. Советы директоров и руководители отделов считают кибербезопасность критически важной, но, по словам McKinsey, они точно не знают, как создать стратегию, которая «позволит противостоять угрозам во всех их формах сегодня и в будущем».
Становится все более очевидным тот факт, что любая такая стратегия требует усовершенствованного подхода к операциям в области кибербезопасности – такого подхода, который будет сочетать в себе новейшие технологии и передовой опыт в комплексной защите системы. Ключевыми элементами такой стратегии выступают: оптимизированное расширенное обнаружение и реагирование на сложные угрозы и целевые атаки (XDR), упреждающее выявление и управление киберрисками и единая платформа безопасности.
Почему стоит уделять такое внимание операциям в области кибербезопасности?
Переход IТ в облако, внедрение бизнес-моделей типа «как услуга» и поддержка гибридных способов работы – все это расширило поверхность для осуществления корпоративных атак. Помимо защиты периметра сети теперь нужно уделять особое внимание безопасной идентификации. Данный факт усложнил предотвращение угроз для команд ИБ-специалистов, ответственных за мониторинг безопасности и реагирование на инциденты. Многие руководители SOC (или «Security Operations Center») говорят о том, что их сотрудникам тяжело идти нога в ногу со временем: они перегружены оповещениями и имеют в распоряжении слишком много инструментов – что несомненно сказывается на качестве работы.
Необходимо усовершенствовать способы корреляции и приоритизации оповещений, чтобы изолировать те, которые действительно важны, вместо того чтобы реагировать на любые из них мгновенно. Следует также оптимизировать имеющиеся наборы инструментов, чтобы предотвращать и управлять киберрисками более эффективно. В результате оптимизация XDR, постоянная оценка рисков и отказ от ситуативных решений имеют важное значение.
Шаг 1. Оптимизация XDR
Большинство ИБ-групп полагаются на SIEM-решения для выявления и предотвращения угроз. Однако поскольку SIEM не осуществляет корреляцию и приоритезацию возможного вмешательства, команды SOC в конечном итоге получают десятки тысяч предупреждений и не имеют физической возможности их отсортировать.
Решение XDR автоматически сопоставляет данные по нескольким уровням безопасности, ускоряя обнаружение угроз, расследование и реагирование на них. Это оптимизирует рабочий процесс, исключает из него действия, выполняемые вручную, и обеспечивает большую наглядность и более детальную аналитику.
Сочетание возможностей XDR и SIEM – это идеальное решение: данные SIEM обогащают обнаружение и расследование XDR, в то время как корреляции XDR дают контекст журналам SIEM для лучшей идентификации угроз в будущем.
Благодаря оптимизации XDR команды SOC могут быстрее расставлять приоритеты среди выявленных угроз и инцидентов, четко осознавая, на чем сосредоточиться и какие действия предпринять. ИБ-команды получают доступ к облачным рабочим нагрузкам по всей сети – вплоть до уровня конечных точек и приложений, таких как электронная почта. Оптимизация XDR также позволяет предотвращать и устранять случаи вредоносного использования учетных данных предприятия, поскольку особое внимание уделяется безопасной идентификации в сети.
Шаг 2. Проактивное выявление и управление киберрисками
Данные, аналитика и интеграции, полученные в результате оптимизации XDR, напрямую поддерживают процессы непрерывной оценки рисков, позволяя ИБ-группам действовать проактивно, а не просто реагировать. Это снижает вероятность атаки и взлома, о которых было неизвестно заранее.
Проактивная кибербезопасность все чаще рассматривается многими руководителями ИБ-групп предприятий как необходимость. «Надежная программа обеспечения безопасности, которая включает в себя принятие решений о рисках на основе данных и измеримые методы митигирования, необходима для соответствия новым реалиям жизни», – говорится в 2022 Planning Guide for Security and Risk Management от Gartner. «Современные методы оценки рисков и информирования о них являются движущими силами улучшения текущего состояния защиты предприятий, о чем свидетельствуют наши недавние беседы с клиентами».
Для достижения проактивности требуются новые, детализированные способы оценки рисков и состояния корпоративной безопасности по широкому спектру факторов, связанных с идентификацией, деятельностью пользователей, контролем за активностью приложений и конфигурацией устройств. Современные хакерские практики вынуждают ИБ-отделы прибегнуть к использованию подхода с нулевым уровнем доверия (англ. «Zero Trust Approach»), который рассматривает любое соединение, будь то внутри корпоративной сети или за ее пределами, как ненадежное.
В системе с нулевым уровнем доверия даже после аутентификации пользователя, устройства или приложения им присваивается минимально возможная степень привилегий. Нулевое доверие также динамично: ни одному пользователю система не доверяет вечно. Даже в рамках одного активного сеанса статус риска постоянно пересматривается.
Учитывая огромное количество точек входа и потенциальных подключений – начиная с личных устройств сотрудников и заканчивая удаленными рабочими средами, облачными элементами и решениями типа «как услуга» – внедрение подхода с нулевым уровнем доверия может быть довольно сложным. Решения SASE и оптимизация XDR помогают быстрее интегрировать элементы Zero Trust в систему защиты сети.
Эффективность защиты данных корпорации и ее сети также зависит от качественного сотрудничества между IТ-подразделениями и ИБ-отделами. Благодаря устранению разногласий в работе, повышению прозрачности деятельности и обеспечению бесперебойной передачи информации между работниками и решениями можно достаточно быстро перейти от высокоуровневых, точечных оценок рисков к непрерывному управлению ими.
Шаг 3. Единая платформа безопасности
Даже при условии оптимизации XDR и непрерывного управления рисками командам SOC по-прежнему трудно справляться с поставленными задачами исключительно из-за количества инструментов и средств контроля, необходимых для защиты всей корпоративной среды.
В течение последних 10 лет организации, обеспокоенные быстрым развитием и растущей изощренностью киберугроз, инвестировали большие деньги в лучшие в своем классе отдельные решения. Таким образом, компании стремились защитить себя с помощью самых новых доступных технологий. Результатом подобных тенденций является распространение разрозненных решений в сфере кибербезопасности, которые в конечном итоге оказываются неэффективными или используются крайне редко. Согласно исследованию Trend Micro, более половины (55%) SOC имеют инфраструктуру безопасности, которой они не пользуются, и главная причина этого – отсутствие интеграции решений.
Это побуждает все большее число организаций искать единую платформу, которая могла бы объединить их инструменты для осуществления постоянных операций в области кибербезопасности. Интеграция решений способна повысить наглядность, улучшить анализ и усилить контроль, одновременно совершенствуя защиту, масштабируемость и производительность на нескольких уровнях безопасности и в различных источниках данных, включая гибридные и мультиоблачные среды.
Важно отметить, что переход на единую платформу кибербезопасности позволяет организациям сохранить уже имеющиеся точечные решения, в которые они вложили средства, и объединить их таким образом, чтобы устранить «пробелы» в защите. По данным ESG, 66% организаций активно консолидируют количество используемых ими инструментов для обеспечения безопасности.
Раньше унифицированные платформы были финансово доступны только крупным организациям – тем, которые были способны создавать свои собственные экосистемы кибербезопасности – однако сейчас ситуация изменилась. Предприятия любого размера могут приобрести готовую платформу у поставщика и относительно легко настроить ее в соответствии со своими конкретными потребностями.
Операции по обеспечению кибербезопасности критически важны для бизнеса
Для того чтобы операции по обеспечению кибербезопасности соответствовали требованиям сегодняшней среды угроз и в то же время удовлетворяли бизнес-потребности предприятия, статус-кво не может сохраняться. Командам SOC нужны новые инструменты для обнаружения и реагирования, интеграция технологий, продвинутый упреждающий подход к киберугрозам и полная консолидация решений, на которые они полагаются, чтобы действовать быстрее и с большей точностью.
Повышение уровня кибербезопасности путем выполнения трех взаимосвязанных шагов (оптимизация XDR, непрерывное управление рисками и переход на единую платформу) поможет командам SOC выполнять свои базовые функции и обеспечивать непрерывную деятельность бизнеса.
Автор переведенной статьи: компания Trend Micro.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.