Великі та малі компанії стикаються зі зростаючою кількістю кібератак, у той же час збільшується кількість конфіденційних даних.
Обійтися без Операційного центру безпеки (SOC) — це як грати з вогнем, тому що наступна атака обов’язково відбудеться. Ontinue, експерт із керованого розширеного виявлення та реагування (MXDR), створив комплексне рішення для гри в кібербезпеці.
Якби «кібербезпека» була грою для ПК або консолі, це, ймовірно, була б так звана стратегічна гра співпраці: щоб успішно захистити себе від хакерів, компаніям потрібна міцна основа (інфраструктура безпеки) і чудова командна робота. Кооперативні ігри мають схожі вимоги до перемоги. На жаль, тема кібербезпеки є надзвичайно серйозною для багатьох ІТ-відділів, і хакерів неможливо перемогти в довгостроковій перспективі. Наступне покрокове рішення Ontinue дає огляд того, які рівні мають пройти компанії, щоб зробити свою гру в кібербезпеці успішною.
Рівень 1: платформа EDR і SIEM
У більшості стратегічних ігор гравці спочатку будують базу. Це також базова вимога для найвищого рівня кібербезпеки і є, так би мовити, першим рівнем. Стабільною основою є суміш платформи EDR (виявлення кінцевих точок і реагування) і SIEM (інформація про безпеку та керування подіями). Платформа EDR забезпечує групі ІТ-безпеки необхідну видимість усіх клієнтів компанії. Він збирає дані про всі важливі для безпеки процеси на всіх кінцевих точках. Платформа SIEM розширює цю видимість і збагачує дані від клієнтів даними решти обладнання, програмного забезпечення, мережевих і хмарних компонентів компанії. Крім того, інструменти SIEM пропонують складні функції аналізу та візуалізації, необхідні для роботи центру безпеки.
Рівень 2: Інженери SOC
Другий рівень, який повинні освоїти компанії, це встановлення SOC-інженерів. Ви є першим керівником у кожному центрі безпеки, що так важливо у боротьбі з кібератаками. Інженери SOC налаштовують і керують існуючими засобами безпеки. Її завдання включають, серед іншого, первинний перегляд попереджувальних повідомлень і їх передачу відповідальним аналітикам безпеки.
Рівень 3: аналітики безпеки
Третій рівень – пошук аналітиків безпеки та призначення їх на посади. Ви тісно співпрацюєте з інженерами SOC і оцінюєте попереджувальні повідомлення від платформ EDR і SIEM, аналізуєте внутрішній потенціал ризику та розставляєте їм пріоритети. Потім вони вживають контрзаходів: якщо попередження свідчить про те, що обліковий запис користувача було зламано, вони можуть заблокувати його.
Рівень 4: мисливець за загрозами
Четвертий рівень – це те, чого вже дуже важко досягти для більшості компаній: створення команди пошуку загроз. Його робота полягає в проактивному пошуку вразливостей в ІТ-інфраструктурі та компонентах безпеки, проведенні тестів на проникнення та виявленні конкретних загроз, які залишилися прихованими від інженерів і аналітиків SOC.
Рівень 5: Команда аналізу загроз
Як і четвертий рівень, п'ятий рівень не є простим завданням. Групі аналізу загроз доручається розвідувальна робота: це включає такі завдання, як аналіз глобальної ситуації з безпекою та перегляд відповідних джерел інформації, таких як форуми, портали безпеки та блоги, а також офіційних звітів BSI та інших органів влади. На основі зібраної інформації вони шукають найбільш відповідне програмне забезпечення безпеки або необхідні оновлення, виправлення та доповнення для існуючих інструментів.
Бонусний рівень: автоматизація та штучний інтелект
Компанії, які пройшли всі рівні та встановили робочий SOC, повинні зайнятися бонусним рівнем. Автоматизація корисна на всіх рівнях і підтримує операційний центр безпеки у виконанні його завдань. Штучний інтелект також став майже обов’язковим засобом захисту, оскільки все більше і більше кіберзлочинців використовують цю технологію для збільшення потужності своїх атак.
«Якщо ви хочете виграти у грі з кібербезпеки, вам потрібно більше, ніж просто хороше програмне забезпечення безпеки», — наголошує Йохен Келер, віце-президент із продажів у регіоні EMEA Ontinue. «Операційний центр безпеки — це правильний вибір, але дорогий і практично неможливий навіть для корпорацій через брак кваліфікованих працівників. У таких випадках гарною ідеєю є зовнішнє обслуговування постачальника послуг MXDR: по суті, чит-код для компаній».
Більше на Ontinue.com
Про Ontinue
Ontinue, експерт із керованого розширеного виявлення та реагування (MXDR) на базі штучного інтелекту, є партнером із безпеки, що працює цілодобово та без вихідних, зі штаб-квартирою в Цюріху. Щоб постійно захищати ІТ-середовище своїх клієнтів, оцінювати стан їх безпеки та постійно вдосконалювати їх разом Ontinue Автоматизація на основі штучного інтелекту та людський досвід із портфоліо продуктів безпеки Microsoft. Інтелектуальної хмарної платформи Nonstop SecOps достатньо Ontinues Захист від кібератак значно перевищує базові служби виявлення та реагування.