Постійна загроза кібератак продовжує створювати серйозні проблеми для компаній. Зараз багато людей покладаються на зовнішніх постачальників, коли справа стосується SecOps. Але навіть тоді ІТ-безпека не є безсумнівним успіхом; для цього потрібні певні передумови. Ontinue, експерт із керованого розширеного виявлення та реагування (MXDR), визначає п’ять основних принципів, критичних для успіху SecOps.
Експерти з ІТ-безпеки використовують термін SecOps, тобто операції безпеки, щоб підсумувати всю операційну діяльність у своїй спеціалізованій сфері. Оскільки портфель завдань дуже широкий, компаніям потрібен Центр безпеки операцій (SOC) для захисту їхньої ІТ-інфраструктури за всіма напрямками – один співробітник, який може контролювати сповіщення від EDR (виявлення кінцевої точки та відповіді) та SIEM (інформація про безпеку та події). Інструментів керування) у жодному разі недостатньо.
Основні принципи ефективної та ефективної SecOps
Оскільки дуже небагато компаній мають фінансові ресурси для створення SOC, а відсутність кваліфікованих працівників перешкоджає цьому навіть за ідеальних умов, багато хто покладається на аутсорсинг. Але співпраця з постачальником послуг також має бути надзвичайно ефективною з огляду на збільшення кількості кібератак і постійну зміну ситуації загрози. Ontinue перераховує п’ять основних принципів успішної, ефективної та ефективної SecOps.
Автоматизація: Автоматизація є ключовим аспектом для команд SecOps, щоб не загубитися в потокі сповіщень. Тому експерти з безпеки повинні використовувати інструменти SOAR (Security Orchestration, Automation and Response) для визначення значущих дій реагування, тобто автоматизованих реакцій на повторювані інциденти. Наприклад, у разі сповіщення про атаку програм-вимагачів програмне забезпечення може автоматично ізолювати постраждалий хост.
Співпраця: Безпроблемна співпраця між компаніями та зовнішнім SOC постачальника MXDR є основним фактором ефективного захисту. Навіть у часи складних інструментів для співпраці багато хто все ще використовує громіздкі та повільні системи квитків. Однак доцільніше використовувати такі платформи, як Microsoft Teams або Slack, які забезпечують більш пряме та неформальне спілкування між усіма учасниками. Це дозволяє скоротити середній час відповіді (MTTR).
Локалізація: Щоб забезпечити найвищий рівень безпеки, зовнішні постачальники послуг, такі як постачальники MXDR, потребують глибокого розуміння ІТ-інфраструктури компаній, на які вони працюють. Для цього, з одного боку, ви повинні добре знати клієнтів, кінцеві точки та сервери, а з іншого боку, ви також повинні мати огляд окремих властивостей і прав доступу на основі ролей. Також важливо, щоб вони точно знали, які існуючі бізнес-додатки та які з них важливі для компанії та повсякденної діяльності. Деякі постачальники MXDR з дозволу компанії впроваджують ботів AI, які автоматично відстежують ІТ-інфраструктуру та сповіщають зовнішні SOC про появу невідомого апаратного чи програмного забезпечення.
Спеціалізація: Коли мова заходить про архітектури безпеки, менше означає більше. Багато постачальників послуг покладаються на надто великий портфель продуктів безпеки. Недолік: Вашим експертам доводиться мати справу з різними технологіями. Тому має більше сенсу зосередитись на цілісній екосистемі виробника, щоб легко та всебічно інтегрувати операції безпеки та таким чином забезпечити найвищу якість у цій сфері. Внутрішнім ІТ-фахівцям також легше працювати із зовнішніми колегами, якщо використовуваний портфель продуктів є максимально послідовним.
Профілактика: Найкраще сповіщення те, яке навіть не з’являється. Компанії та постачальники послуг повинні працювати разом, щоб усунути загрози не лише реактивно, а й проактивно. Зрозумілою мовою це означає, що обидві сторони працюють передбачливо. З боку компанії це означає своєчасне інформування партнера з безпеки про зміни в ІТ-інфраструктурі або навіть залучення його до оцінки нового обладнання чи програмного забезпечення. З боку постачальника послуг це означає, серед іншого, інвестувати багато часу в так званий аналіз загроз, тобто виявлення можливих майбутніх прогалин і загроз у безпеці.
«Втілення ефективного SecOps на практиці непросте завдання — ні для постачальників MXDR, ні для компаній», — підкреслює Йохен Келер, віце-президент із продажів у регіоні EMEA Ontinue. «Тому важливо, щоб усі зацікавлені сторони об’єднувалися і щоб співпраця працювала гладко. Це працює, лише якщо обидві сторони працюють над безперебійним спілкуванням і роблять усе індивідуально у відповідних зонах відповідальності, щоб вжити найвищих заходів безпеки. Тільки так вони можуть справді ускладнити життя хакерам».
Більше на Ontinue.com
Про Ontinue
Ontinue, експерт із керованого розширеного виявлення та реагування (MXDR) на базі штучного інтелекту, є партнером із безпеки, що працює цілодобово та без вихідних, зі штаб-квартирою в Цюріху. Щоб постійно захищати ІТ-середовище своїх клієнтів, оцінювати стан їх безпеки та постійно вдосконалювати їх разом Ontinue Автоматизація на основі штучного інтелекту та людський досвід із портфоліо продуктів безпеки Microsoft. Інтелектуальної хмарної платформи Nonstop SecOps достатньо Ontinues Захист від кібератак значно перевищує базові служби виявлення та реагування.