Jak zajistit, aby bezpečnostní technologie přinášely skutečnou hodnotu

Karel Galuška

Jako dlouholetý profesionál v oblasti bezpečnosti IT jsem viděl řadu implementací pokročilých a velmi nákladných bezpečnostních technologií. Tak, jak byly nasazené a provozované, však bohužel neposkytovaly svým uživatelům ani zlomek hodnoty, jakou by poskytovat mohly. O to pyšnější jsem teď na to, že T-Mobile svým zákazníkům umožňuje tento problém řešit a získávat z bezpečnostních technologií skutečnou hodnotu.

Typickým příkladem složité a velmi nákladné bezpečnostní technologie, se kterou si často organizace tak trochu nevědí rady, je SIEM. Jde o technologii pro sběr bezpečnostních událostí (logů), jejich automatizované vyhodnocování a odhalování bezpečnostních incidentů. Jistě není pochyb o tom, že pro ochranu rozsáhlejších kritických IT infrastruktur je nasazení SIEM nezbytností.

Odhalení i těch složitějších útoků

Denně se objevují tisíce nových hrozeb a pro napadení přitažlivých cílů mohou útočníci připravit specifický malware. Takovéto útoky jsou standardními ochrannými mechanismy obtížně odhalitelné. Je třeba počítat s tím, že ochrana systému bude dříve či později překonaná, a pak je SIEM (Security Information and Event Management) neocenitelný pomocník.

V reálném čase identifikuje neobvyklé chování prvků sledované infrastruktury a upozorní na to operátory. Ti následně musejí co nejrychleji takové podezření ověřit a případně proti začínajícímu incidentu zasáhnout dříve, než se rozšíří a způsobí rozsáhlé škody, únik obchodního tajemství nebo osobních údajů.

Takto to zní jednoduše, že? Stačí koupit SIEM a hurá na to! Ale tady už od začátku začínají typické zádrhely:

a) Jaké výkonnostní parametry SIEM mám pořídit? Pokud zvolím parametry na současné potřeby, půjdou upravit podle toho, jak se pružně mění naše firemní infrastruktura? Když zvolím velkou výkonnostní rezervu, obhájím podstatné navýšení nákladů?

b) Jaké prvky infrastruktury je účelné monitorovat a jaké konkrétní události na nich sledovat?

c) Má moje organizace nastavené procesy řízení bezpečnostních incidentů? Tedy je stanovené, jak ověřit podezřelou událost a jaké kroky k řešení incidentu se budou realizovat? Jsou v tomto smyslu nastavené komunikační kanály uvnitř organizace?

d) Jsou k dispozici dostatečné personální zdroje pro rutinní obsluhu SIEM a řešení incidentů? Jak se budou řešit události vzniklé mimo pracovní dobu?

Problémy se zaváděním bezpečnostních technologií

Musím z praxe bohužel říct, že řada organizací přes uvedená typická úskalí neprojde dobře. První problém se škálováním se zpravidla řeší pořízením SIEM s rezervní kapacitou. Což vede ke zbytečně vysoké vstupní investici, a většinou se stejně nepodaří vývoj infrastruktury správně predikovat. Nicméně pořízení se podaří.

Další nastíněná úskalí však mnoho organizací nepřekoná vůbec, a SIEM proto zůstává jen nevyužitou hračkou. Co a jak monitorovat, nelze vybírat podle toho, co je předpřipravené v daném SIEM, jak to často vidím, ale podle konkrétních požadavků analýzy rizik dané infrastruktury. Bez bezpečnostní politiky, která určuje odpovědnosti a procesy řešení bezpečnostních incidentů, nelze ochranu účinně realizovat.

A v neposlední řadě zůstává problém personálních kapacit. Ani velké firmy nejsou schopny zajistit adekvátní množství kvalifikovaného personálu. Nemluvě vůbec o situaci, kdy by měl být zajištěn 3směnný provoz v režimu 24 × 7. Ekonomicky jsou takové provozní náklady pro většinu organizací neodůvodnitelné. Bez reakce na nálezy SIEM v reálném čase se však většina jeho přínosů neprosto vytrácí.

T-Mobile – partner v oblasti cybersecurity

A jak tedy s naší pomocí zákazníci projdou přes zmíněná úskalí? Zákazník může čerpat SIEM jako službu a nemusí předem plánovat škálování. Může každý měsíc zvětšit či zmenšit rozsah sledované infrastruktury a platí jen za výkon, který opravdu spotřebuje. Zásadní je ale využívání našeho Střediska kybernetické bezpečnosti. Tedy pracoviště s nepřetržitým provozem, obsazené certifikovanými cybersecurity profesionály.

Odtud se nepřetržitě dohlíží na chráněné systémy, manuálně se ověřují podezřelé události a v případě potřeby se koordinuje řešení kybernetických bezpečnostních incidentů či následné forenzní šetření. A že jsem zapomněl na procesní stránku? Ale kdepak. Zákazník a naše Středisko kybernetické bezpečnosti tvoří jeden tým.

Jsou mezi námi nastaveny adekvátní komunikační kanály, pravomoci a odpovědnosti. Naše středisko se vlastně chová jako interní tým zákazníka včetně dohodnuté komunikace dovnitř jeho organizace. Zákazník má pak k dispozici špičkový cybersecurity tým, pracující podle jeho potřeb a požadavků, ale za zlomek nákladů budování a provozu interního týmu.

Motto T-Mobile je „Life is for sharing“. V IT bezpečnosti je toto motto zvláště příhodné. Sdílení zdrojů je jednoznačnou výhodou pro všechny zainteresované. Jsem moc rád, že se mohu podílet na tomto úsilí. Moc mě těší, když vidím u našich zákazníků dobře fungující bezpečnostní procesy. Navíc za nízké náklady, jakých by tradičním způsobem při dané úrovni nemohli dosáhnout.

A co vy? Přidáte se také? Koukněte, jak to v našem Středisku kybernetické bezpečnosti vypadá.

Karel Galuška

Bezpečností informací a řízením IT služeb se zabývám více jak 20 let. Jsem držitelem řady odborných bezpečnostních certifikací, jako např. CISA či ISMS Lead Auditor. Od roku 2015 vedu ve společnosti T-Mobile tým Security a business konzultací, který zajišťuje služby v oblasti bezpečnosti informací pro firemní zákazníky a státní správu. Mám za sebou celou řadu komplexních bezpečnostních projektů a řešení od návrhu bezpečnostních procesů přes dodávku a zajištění provozu technologií.

Podobné články

Proč platit svůj férový díl? Abyste se uchránili před DDoS útoky

Naučte se bránit efektivně proti DDoS útokům. Udržíte tak své podnikání stále online.

Přečíst článek

Bezpečnost internetu věcí – nekonečný proces od prvního okamžiku

Vytvořit komplexní bezpečnostní strategii se vyplatí i v oblasti internetu věcí (IoT).

Přečíst článek

Zvyšte bezpečnost vašeho mobilního zařízení

Bezpečnost mobilních zařízení je důležitá. Při těch firemních to platí dvojnásob.

Přečíst článek