Анализ платформенной модели в кибербезопасности. CISO должны отличать настоящую интегрированную платформу от «театра интеграции» и знать, как защититься от рисков, связанных с концентрацией у одного поставщика. — computerweekly.com
Коммерческая целесообразность платформенной модели в сфере кибербезопасности весьма убедительна и является основным фактором, обуславливающим ее популярность. Организации, использующие 15 или 20 разрозненных инструментов безопасности, сталкиваются с огромными операционными издержками, связанными со сложностью лицензирования, обслуживанием интеграций, отношениями с конкурирующими поставщиками и фрагментированными данными, что действительно затрудняет понимание происходящего во всей их технологической инфраструктуре. Консолидация на платформе, которая снижает эту нагрузку и обеспечивает более тесную корреляцию сигналов, является законной стратегической целью, и технические директора по информационной безопасности (CISO) правы, преследуя ее там, где это имеет смысл. Однако именно корреляция обеспечивает платформенной модели реальную ценность для безопасности, а не только коммерческую эффективность. Когда телеметрия конечных точек, сигналы идентификации, данные сетевого обнаружения и облачной безопасности проходят через нативно интегрированный стек, можно выявить цепочки атак и поведенческие паттерны, которые просто не видны при сшивании оповещений из несвязанных инструментов через SIEM. Эта возможность корреляции является подлинным отличием настоящей платформы от того, что я бы назвал «театром интеграции». И именно так CISO должны проверять это утверждение. Театр интеграции выглядит как единое окно (single pane of glass), прикрепленное поверх приобретенных продуктов, которые под капотом по-прежнему функционируют как независимые системы. Модели данных не совпадают, логика обнаружения не может нативно охватывать продукты, и за кулисами вам все равно приходится поддерживать отдельные наборы правил и рабочие процессы. Истинно интегрированная платформа использует общую модель данных, позволяет логике обнаружения и реагирования работать с различными источниками телеметрии без ручной оркестровки и рассматривает корреляцию как основополагающую, а не как нечто второстепенное. CISO следует просить поставщиков продемонстрировать сценарии обнаружения, охватывающие несколько продуктов, в их собственной среде, а не в тщательно отредактированной демонстрации. Именно там театр рушится. Однако мы должны быть честны в отношении компромисса. Принимая стратегию платформы, вы становитесь зависимы от дорожной карты, темпов инноваций и стратегических приоритетов одного поставщика, которые не всегда могут совпадать с вашими. Поставщики приобретают возможности, выводят из эксплуатации функции и навязывают сроки миграции, которые напрямую влияют на ваши операции по обеспечению безопасности. Эту зависимость необходимо осознанно контролировать. Риск единой точки отказа реален, но управляем, если вы изначально его учитываете. Структуры управления, такие как DORA, уже подталкивают организации к оценке концентрационного риска в их цепочке поставок, и та же дисциплина должна применяться и к платформам безопасности. CISO должны обеспечивать контрактную защиту в отношении переносимости данных и планирования выхода из системы, гарантировать, что контент обнаружения экспортируется, а не заблокирован в проприетарных форматах, и регулярно проводить настольные учения для проверки операционной непрерывности в случае сбоя платформы. Архитектурное резервирование не означает дублирование всего вашего стека. Это означает поддержание независимого логирования и оповещения, которое переживает сбой платформы, сохранение внеполосных каналов связи и процессов реагирования на инциденты, а также наличие достаточной внутренней экспертизы для ручного управления в случае исчезновения автоматизации. Платформизация никуда не денется. Но самые сильные позиции в области безопасности уравновешивают преимущества корреляции и эффективности консолидации с гибкостью и глубиной целенаправленных лучших в своем классе возможностей, обусловленных ясной оценкой потребностей бизнеса, а не слайдами поставщика. Мартин Райли — технический директор компании Bridewell Consulting.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор –