Mindent a fenyegetésekről: hogyan kerülhetünk közelebb öt kérdéssel a hatékony kiberbiztonsághoz

LinkedInGoogle+
Megosztás:

Az informatikai hálózatok növekvő jelentősége, az egyre összetettebb fenyegetések, valamint a szabályozói környezet változása és az IT biztonsági szakemberek hiánya miatt egyre több cég keres külső megoldást biztonsági problémáira. A Gartner előrejelzése szerint az IT-biztonsággal kapcsolatos outsourcing költések 2017-re elérik a 24,5 milliárd dollárt, ami a 2013-as szintnek több mint kétszerese lesz.

A folyamatosan fejlődő kiberbiztonsági területen nem könnyű azonban megtalálni a megfelelő megoldásokat. A felügyelt biztonsági szolgáltatásokat nyújtó szolgáltatók (managed security service providers - MSSP) eddig főként az eszközök beszerzésére, működtetésére, karbantartására és az ezekkel kapcsolatos oktatásra koncentráltak, de az igazán hatékony kiberbiztonsági szolgáltatóknak a hálózat teljes átláthatóságát és kontrollálhatóságát kell megoldaniuk a támadások minden fázisában. Ez az új fenyegetés-központú megközelítés komoly változásokhoz vezet a kiberbiztonsági technológiák, megoldások és szolgáltatások körében.

Leginkább a vállalaton belüli biztonsági ismeretek, a költségvetés és az üzleti célok alapján választhatjuk ki, hogy kiberbiztonságunkat milyen mértékben bízzuk külső szolgáltatóra. Amikor e megoldás mellett döntünk, az alábbi öt kérdés segíthet a megfelelő szolgáltató kiválasztásában:

  • Milyen típusú telemetrikus adatokra támaszkodhatunk?

    A szimpla topológia ábra vagy naplózási adatok nem elegendőek. Más adatok, mint például a protokoll metaadatok – közvetlenül a hálózaton áthaladó csomagokból kinyerve az adatokat – elegendő betekintést nyújtanak a manapság népszerű watering hole, vagy az adathalász támadások folyamatába. A HTTP metaadatok beemelése a telemetria sablonba tehát hasznos információkkal támogathatja a webes támadások felismerését. A nagyobb mennyiségű adat segítségével a szolgáltató is hatékonyabb védelmet nyújthat a támadások ellen.

  • Hogyan történik az adatok elemzése?

    Az egyszerűbb adatelemző modellek, mint a naplózási adatok és a biztonsági szabályok összehasonlítása, nem elegendőek, főleg ha nem is valós időben történnek. A valós idejű adatelemző megoldások nem csak a vállalaton belül nélkülözhetetlenek a nagy mennyiségű adat kezeléséhez, hanem a közösségi alapú fenyegetések globális elemzése során is. Az ilyen magas szintű elemzés nem a támadók számára érthető és elkerülhető szabályokra épül, hanem egy prediktív és dinamikus statisztikai modellre, amely képes azonosítani a felhasználói hálózatokban a rendellenes viselkedést és más támadást generáló (Indicators of compromise - IoC) tényezőket. Egy nagy pontosságú adatelemző megoldás használata jelentősen javítja az észlelések pontosságát.

  • Hol tárolják az adatokat és hogyan történik a védelem?

    Fontos tudni, hogy az adatokat helyben, a biztonsági szolgáltató (MSSP) adatközpontjában vagy a felhőben tárolják-e. Annak fényében, hogy milyen típusú adatokról van szó, továbbá a vállalatra milyen szabályzók vonatkoznak, illetve a szolgáltató (MSSP) milyen garanciát vállal, végig kell gondolni, hogy melyik a legmegfelelőbb megoldás. A döntésbe be kell vonni a műszaki mellett a jogi és üzleti szervezetet is.

  • Milyen jelentést kapunk?

    Az adatok fontosak, de azokat értelmezni, és ha szükséges, akkor ennek alapján cselekedni is kell. Meg kell bizonyosodni arról, hogy a kapott adatok összefüggésükben értelmezhetőek és relevánsak. Így arra a fenyegetésre koncentrálhatunk, amelyik a legnagyobb veszélyt jelenti szervezetünk számára. Az idő fontos tényező akkor, amikor célzott, fejlett támadással nézünk szembe. Fontos előre tudni, hogy a szolgáltató egy további vizsgálatokat igénylő és gyakran felesleges riasztásokat eredményező hosszú eseménylistát produkál, vagy már leellenőrzött, nagy megbízhatóságú információkat képes biztosítani számunkra.

  • Hogyan védekezhetünk az ismeretlen, nulladik napi támadások ellen?

    Ahhoz, hogy eredményesen felismerjük és kivédjük a nulladik napi támadásokat, túl kell lépnünk a hagyományos point-in-time (PIT) megközelítésen. A hálózatokat ma már folyamatosan monitorozni kell és szükség esetén alkalmazni kell a védelmi megoldásokat. Az észlelési telemetrikus adatok, a prediktív elemzés és a statisztikai modell együtt képes felismerni a szinte észrevehetetlen anomáliákat, és segítenek azonosítani a különösen veszélyes támadásokat is.


A Cisco Systemsről

A Cisco (NASDAQ: CSCO) az internetes hálózati piac vezetője. A Ciscóval kapcsolatos hírek és információk a weben a http://www.cisco.com illetve a http://newsroom.cisco.com oldalon olvashatók.

További információ:

Sinkó Judit
Cisco Magyarország, PR manager
Tel.: 225 4650
Mobil: +3630/949 3405
E-mail: jsinko@cisco.com

Kérdése van? Válaszolunk!