Hogyan válasszunk biztonsági szolgáltatót?

A mind összetettebb fenyegetések és a szabályzó környezet változása miatt egyre több cég keres külső megoldást biztonsági problémáira.
 

A Gartner előrejelzése szerint az IT-biztonsággal kapcsolatos outsourcing költések 2017-re elérik a 24,5 milliárd dollárt, ami a 2013-as szintnek több mint kétszerese lesz. Azonban a folyamatosan fejlődő kiberbiztonsági területen nem könnyű megtalálni a megfelelő megoldásokat. A felügyelt biztonsági szolgáltatásokat nyújtó cégek (MSSP - Managed Security Service Providers) eddig főként az eszközök beszerzésére, működtetésére, karbantartására és az ezekkel kapcsolatos oktatásra koncentráltak, de a Cisco szerint az igazán hatékony kiberbiztonsági szolgáltatóknak a hálózat teljes átláthatóságát és kontrollálhatóságát biztosítaniuk kell. 

Leginkább a vállalaton belüli biztonsági ismeretek, a költségvetés és az üzleti célok alapján választhatjuk ki, hogy a védelmet milyen mértékben bízzuk külső szolgáltatóra. A Cisco úgy látja, hogy amikor döntünk, akkor az alábbi öt kérdés megválaszolása is segíthet a megfelelő szolgáltató kiválasztásában: 

1. Milyen típusú telemetrikus adatokra támaszkodhatunk?

A szimpla topológiai ábra és a naplóinformációk nem elegendőek. Más adatokkal kiegészítve viszont már nagyobb fokú felügyeletre nyílhat lehetőség. Így például a hálózati adatfogalom mélyszintű elemzése segítséget nyújthat például a manapság gyakori célzott támadások vagy az adathalászat detektálásához. A HTTP metaadatok beemelése a telemetria sablonba szintén hasznos információkkal támogathatja a webes támadások felismerését.

2. Hogyan történik az adatok elemzése?

Az egyszerűbb adatelemző modellek - a naplózási adatok és a biztonsági szabályok összehasonlítása - nem elegendőek, főleg ha nem is valós időben történnek. A valós idejű adatelemző megoldások nemcsak a vállalaton belül nélkülözhetetlenek, hanem a közösségi alapú fenyegetések globális elemzése során is. Ezek az analízisek prediktív és dinamikus statisztikai modellekre épülnek, amelyek képesek azonosítani a hálózatokban a rendellenes viselkedéseket, és a támadásokhoz hozzájáruló egyéb kockázatokat. 

3. Hol tárolják az adatokat, és hogyan történik a védelem?

Fontos tudni, hogy az adatokat helyben, a biztonsági szolgáltató (MSSP) adatközpontjában vagy a felhőben tárolják-e. Annak tükrében, hogy milyen típusú adatokról van szó, milyen megfelelőségi előírások vonatkoznak az adott vállalatra, illetve a szolgáltató milyen garanciát vállal, végig kell gondolni, hogy mi a legmegfelelőbb megoldás. A döntésbe be kell vonni a műszaki csoportok mellett a jogi és az üzleti részlegeket is.

4. Milyen jelentést kapunk? 

Az adatok fontosak, de azokat értelmezni is kell, hiszen e nélkül nem hozhatók meg a szükséges védelmi intézkedések. Meg kell bizonyosodni arról, hogy a kapott adatok közötti összefüggések feltárhatóak-e. Az idő lényeges tényező akkor, amikor célzott, fejlett támadással nézünk szembe. Fontos előre tudni, hogy a szolgáltató egy további vizsgálatokat igénylő, és gyakran felesleges riasztásokat eredményező, hosszú eseménylistát produkál-e, vagy már leellenőrzött, nagy megbízhatóságú információkat képes biztosítani.

5. Hogyan védekezhetünk az ismeretlen, nulladik napi támadások ellen?

Ahhoz, hogy eredményesen felismerjük és kivédjük a nulladik napi támadásokat, túl kell lépnünk a hagyományos point-in-time (PIT) megközelítésen. A hálózatokat ma már folyamatosan monitorozni kell. A monitorozásból származó adatok, a prediktív elemzés és a statisztikai modellek együtt képesek elősegíteni a szinte észrevehetetlen anomáliák kimutatását.