Ha felemásan is, de folyamatosan javul a szervezetek kiberbiztonsághoz való hozzáállása. A Kaseya egy közelmúltban kiadott globális felmérése szerint, melyből a Security Today szemlézett, a szervezetek többsége nem tervezi a kiberbiztonsági költései csökkentését, sőt. Már olyan területen is megmutatkozik a javulás, állítja a kutatás, hogy egyre kevesebb szervezet kényszerül ransomware-támadásokért váltságdíjat fizetni (bár az is lehet, hogy csak egyre kevesebben vallják be), mert kiépítettek olyan biztonsági mentési és helyreállítási rendszert, ami jelentősen csökkenti a támadások negatív hatását.

Van viszont a biztonsági stratégiának egy világszerte gyenge pontja, állítja a Kaseya tanulmánya: az incidensreagálás. Bár a szervezetek mintegy 60 százalékának van ilyen terve, mindössze a válaszadók 37 százaléka teszi rendszeresen próbára gyakorlatozással annak hatékonyságát.

Legyen ez is felhőből?

Ez nem feltétlenül a cégek hanyagsága miatt van így, sokkal inkább az erőforrások hiányoznak. Ebben Magyarországon is egyre több biztonsági megoldásszállító lát fantáziát: nemcsak tereméket, megoldást, esetleg SOC (security operation center), és benne incidensreagálási szolgáltatást kínálnak, hanem például oktatással növelik, rendszeres biztonsági gyakorlatokkal pedig tesztelik egy szervezet kiberbiztonsági képességeit.

Az AWS is meglátta ebben az üzletet, amely ráadásul kettős haszonnal kecsegtet: amellett, hogy pénzt hoz, növeli a szolgáltatásai iránti bizalmat. A felhőszolgáltató a ma kezdődő re:Invent fejlesztői konferenciája felvezetéseként elkezdte csepegtetni újdonságait. Tegnap jelentette be Security Incident Response (SIR) szolgáltatását. A SIR ígérete az, hogy csökkenti a kibertámadások utáni helyreállítási időt, és támogatja a kiberbiztonsági csapatokat abban, hogy hatékonyan megakadályozhassák felhasználói fiókok feltörését és ellopását, a zsarolóprogram-támadásokat és így tovább.

Az AWS saját bevallása szerint ügyféligényre reagált: az ügyfelek többségének a lehetőségeit meghaladja egy hatékony incidens-reagálási koncepció megvalósítása. Nincs forrásuk az ehhez szükséges eszközökre, szolgáltatásokra és emberekre sem. Az Amazon szerint ők mostantól egyfajta SOC-ként (bár a cég kerüli ezt a kifejezést) vehetik igénybe az AWS Security Incident Response-t.

Az alap a GuardDuty

A SIR a 2017-ben elindított GuardDuty szolgáltatásra épül. Utóbbi figyeli az összes olyan adatfolyamot, amely biztonsági problémákra utalhat (AWS CloudTrail naplók, DNS-naplók, API-használat stb.). Ha hibát, rendellenességet észlel, ad rá kockázati becslést (alacsony, közepes, magas), valamint megoldást is javasol.

A SIR egy lépéssel tovább megy: automatikusan kiértékeli és egy integrált üzenetküldő és adatátviteli modulokat tartalmazó irányítópulton megosztja az ügyfelekkel a GuardDuty (és az általa támogatott third-party biztonsági eszközök) eredményeit. Ők pedig ugyanott módosíthatják a riasztási beállításokat, a fiókengedélyeket, áttekinthetik az aktív eseményeket, a historikus adatokat, valamint a metrikákat, például hogy mennyi az adott incidens megoldásához szükséges átlagos idő.

Az ügyfelek beavatkozhatnak maguk, vagy engedélyezhetik a proaktív incidensreagálást. Utóbbi esetben lépésről lépésre nyomon követhetik, hogy a SIR hogyan kezelte az adott incidenst. Ennél a beállításnál a SIR csak akkor küld riasztást az ügyfél illetékeseinek, ha egy problémát nem tud orvosolni. A SIR-ben vannak előre konfigurált, de személyre szabható értesítési szabályok, és engedélybeállítások, melyek kiterjeszthetők akár külső biztonsági szolgáltatókra is.

A kritikusok szerint mindez egyelőre nem nagy újdonság, hasonló szolgáltatásokat egyre több startup kínál. Az AWS válasza erre az, hogy igen, de a SIR mögött ott áll napi 24 órában az AWS CIRT (customer incident response) teljes arzenálja, a támogatás épp úgy, mint az önkiszolgáló vizsgálati eszközök. És aki AWS-ügyfél, annak valószínűleg kézenfekvőbb ezt igénybe venni, mint egy újabb külső szolgáltatót bevonni az amúgy is bonyolult képletbe.