Czy firmy powinny polegać na rozwiązaniach bezpieczeństwa opartych na chmurze? To i inne pytania nurtują zespoły IT przy zabezpieczaniu systemów, a gąszcz ofert nie ułatwia wyboru.
Ale podjęcie właściwej decyzji wcale nie jest takie trudne.
Cyberbezpieczeństwo to złożony temat i na rynku dostępne jest wiele rozwiązań i usług. Zespoły informatyków często mają problem z rozpoznaniem, czego dokładnie potrzebują do ochrony swojej infrastruktury informatycznej przed cyberatakami. Pracę utrudniają napięte budżety, brak środków na realizację zadań i brak wykwalifikowanej kadry. Jak pokazują aktualne badania „Cyberbezpieczeństwo w liczbach“ przeprowadzone przez G DATA, Statista i brand eins., szczególnie poszukiwani są specjaliści z zakresu bezpieczeństwa informatycznego. Dlatego ważne jest, aby dokładnie przemyśleć, jakie działania będą celowe dla posiadanych zasobów informatycznych i co można, a czego nie można zrobić w tym zakresie. Może to ułatwić podjęcie niektórych decyzji. W tym kontekście odpowiadam na trzy ważne pytania.
Czy korzystanie z rozwiązania bezpieczeństwa opartego na „chmurze” ma sens?
Zasadnicza odpowiedź brzmi: tak. Rozwiązania bezpieczeństwa oparte na chmurze są instalowane na (wirtualnym) serwerze i dlatego są dostępne dla firm „jako usługa” (ang. „As-a-service”, AAS). Rozwiązanie oparte na chmurze jest elastyczne, można je rozbudować w dowolnym momencie (w przypadku rozszerzenia sieci o dodatkowe punkty końcowe) i jest zawsze dostępne za pośrednictwem łącza internetowego. Wybór takiego podejścia sprawia, że nie ma konieczności inwestowania w specjalny sprzęt serwerowy, co oznacza, że często napięty budżet na zakupy informatyczne i cyberbezpieczeństwo nie zostaje uszczuplony.
Informacje o korzystaniu z oprogramowania i architekturze zabezpieczeń (na przykład specyfikacje klienta) dostępne w chmurze nie tylko pozostają wyłącznie u klienta, ale także docierają do dostawcy. Zespoły IT muszą o tym wiedzieć, i w razie wątpliwości muszą omówić ten aspekt z dostawcą usług, aby było jasne, o jakie informacje chodzi. Ogólnie rzecz biorąc, wybierając odpowiedniego dostawcę, firma powinna upewnić się, że nie tylko oferuje on odpowiednie rozwiązanie, ale także ma doświadczenie i w szczególności, że jest godny zaufania.
Bezpieczeństwo informatyczne to kwestia zaufania, a klient musi być pewny uczciwości swojego dostawcy usług. Powstaje przy tym pytanie o lokalizację dostawcy – czy podlega on unijnemu ogólnemu rozporządzeniu o ochronie danych, czy też ma siedzibę poza Unią Europejską i obowiązują go inne przepisy o ochronie danych? Nie każda firma chce udostępniać swoje informacje dużemu dostawcy usług w chmurze. Te sprawy należy wyjaśnić przy wyborze odpowiedniego oprogramowania zabezpieczającego.
Tim Berghoff
Security Evangelist w G DATA CyberDefense
W przypadku rozwiązania “on-premise” (lokalnego) oprogramowanie bezpieczeństwa jest instalowane u pojedynczego klienta i każda aktualizacja musi być wdrażana lokalnie. Ponadto zespół IT obsługuje centralny serwer zarządzający, który kontroluje system bezpieczeństwa. Z drugiej strony, przy tego typu rozwiązaniach zabezpieczających, firmy zachowują pełną kontrolę nad swoimi danymi i nad wszystkimi informacjami pochodzącymi z oprogramowania zabezpieczającego i wiedzą, kto ma do nich dostęp. Dzięki temu wariantowi firmy mogą również korzystać z bardzo skutecznej ochrony przed złośliwymi programami. Zespoły IT ostatecznie muszą zdecydować, czy chcą samodzielnie obsługiwać systemy zabezpieczeń lokalnie, czy nie. Jednak niektórzy producenci wycofują się ze swoich rozwiązań “on-premise”, i dlatego menedżerowie IT muszą rozważyć przejście do usług w chmurze lub zmienić dostawcę. G DATA nadal oferuje klientom wybór – rozwiązanie on-premise lub chmura.
Systemy zarządzane czy nie?
Zespoły IT powinny również rozważyć zastosowanie zarządzanego rozwiązania bezpieczeństwa, ponieważ często pojawia się pytanie, czy firma ma wystarczające zasoby do samodzielnej obsługi i kontroli oprogramowania zabezpieczającego oraz do natychmiastowej reakcji w przypadku wystąpienia incydentu krytycznego dla bezpieczeństwa. Kolejnym problemem jest know-how. Cyberbezpieczeństwo to obszerny i złożony temat. Bez odpowiedniej wiedzy specjalistycznej nie da się skutecznie zabezpieczyć firmy przed cyberatakami. Bądźmy szczerzy – czy średnie firmy mogą to wszystko same zrobić? Realistycznie – większość nie może. Własny dział informatyki ma wiele zadań, w tym oczywiście również zajmuje się cyberbezpieczeństwem, ale nie w takim zakresie, jaki jest niezbędny do pełnej i skutecznej ochrony przed cyberatakami. Kolejnym problemem jest obecny niedobór wykwalifikowanych pracowników, który występuje również w branży informatycznej i cyberbezpieczeństwa. Często mówi się, że „dobrych ludzi trudno znaleźć” i to jest właśnie problem, z którym borykają się firmy i ma to trwały wpływ na ich cyberbezpieczeństwo.
W większości przypadków zespoły IT powinny polegać na rozwiązaniu MDR, ponieważ hakerzy nie mają weekendów ani wolnych popołudni i właśnie ten czas najczęściej wykorzystują na ataki. Firmy często nie mogą sobie pozwolić na monitorowanie własnych systemów informatycznych 24 godziny na dobę ani na natychmiastową reakcję, jeśli coś wydarzy się np. w sobotni wieczór lub święto.
Tim Berghoff
Security Evangelist w G DATA CyberDefense
Dzięki zarządzanej usłudze bezpieczeństwa firmy otrzymują wsparcie od dostawcy i korzystają z jego wiedzy i doświadczenia. W zarządzanym systemie ochrony punktów końcowych, stacji roboczych i serwerów (ang. Managed Endpoint Detection and Response, „MEDR”) zespół analityków pracuje w tle 24 godziny na dobę, siedem dni w tygodniu i może natychmiast interweniować i, na przykład, odizolować zainfekowane punkty końcowe od sieci, jeśli okaże się to konieczne. Wewnętrzne zespoły informatyków zwykle nie mogą tego zrobić. Zarządzane rozwiązanie MEDR oferuje zatem dużą korzyść dla firm: kompleksową ochronę przed cyberatakami prowadzoną przez cały czas przez specjalistów.
Czy potrzebne jest również SIEM lub inne rozwiązania, jeśli korzystam z zarządzanego rozwiązania EDR?
Jak już wspomniano w artykule Ochrona Twoich klientów przed cyberatakami. Ciesz się elastycznością chmury korzyści z zarządzanego rozwiązania EDR są oczywiste. Ogólnie rzecz biorąc, samo korzystanie z MEDR nie zapewnia oczywiście kompleksowego bezpieczeństwa i konieczne są również inne elementy. Dlatego korzystne dla firm jako dobre uzupełnienie całości będzie jednoczesne użycie SIEM (ang, Security Information and Event Management – zarządzanie zdarzeniami i informacjami bezpieczeństwa). Istnieją jednak dwa ważne warunki wstępne: firma musi dysponować niezbędnymi środkami finansowymi na zakup i konserwację aktualizacji oraz wystarczającymi zasobami ludzkimi.
Podczas gdy EDR koncentruje się na punkcie końcowym, SIEM zajmuje się całą siecią, w tym serwerami. Jednak SIEM nie jest konkurentem dla EDR, a jedynie jego uzupełnieniem, i odwrotnie. Dlatego jednoczesne korzystanie z obu systemów może być korzystne dla firm.
Tim Berghoff
Security Evangelist w G DATA CyberDefense
SIEM gromadzi i agreguje dane z rejestrów z całości lub z części infrastruktury informatycznej firmy. Aby ocenić te informacje i stwierdzić, czy nie ma w nich nieprawidłowości, potrzebni są specjaliści, którzy potrafią to dokładnie ocenić. Wiele firm nie ma takich możliwości, a SIEM nie daje żadnych „podpowiedzi” ani nie posiada zarządzanych komponentów. Natomiast MEDR ma obie te funkcje. Posiadanie własnego kompletnego SIEM jest opłacalne tylko dla dużych firm, chociaż w każdym przypadku jest to z korzyścią dla cyberbezpieczeństwa.
Oprócz MEDR sensowne może być również korzystanie z innych platform, takich jak na przykład Security Monitoring (monitoring bezpieczeństwa) lub usług, takich jak regularne testy penetracyjne lub Security Assessments (oceny bezpieczeństwa).
Podsumowanie: Czego właściwie potrzebują Zespoły IT w firmach?
Zespoły IT muszą zastanowić się, co są w stanie zrobić same w zakresie cyberbezpieczeństwa i czego potrzebują, aby skutecznie chronić infrastrukturę informatyczną swojej firmy przed cyberatakami. Po wyjaśnieniu tych kwestii odpowiedź na powyższe pytanie prawdopodobnie nie będzie trudna. Jednak większość firm będzie musiała przyznać, że z trudem lub wcale nie jest w stanie samodzielnie zarządzać cyberbezpieczeństwem. Rozwiązanie MEDR może być tutaj pomocnym wsparciem i zapewnić dobry poziom bezpieczeństwa. O tym, czy dodatkowe systemy mają sens, decyduje nie tylko budżet, ale także sytuacja organizacyjno-kadrowa danej firmy. Menedżerowie IT powinni zawsze pamiętać o tym, co jest naprawdę potrzebne, co ma sens i z czym trzeba sobie poradzić.
——-
www.GDATA.pl