A modern kihívásokkal szemben is ellenállóvá tudja tenni az IT-biztonságot az automatizáció, de nem csodaszer. Az akadályok azonban leküzdhetők, csak be kell tartani néhány egyszerű szabályt.

A "jó" és a "rossz" oldal egyaránt használja már a mesterséges intelligencia lehetőségeit. Ahhoz, hogy a védekezésben fel lehessen venni a kesztyűt, szükség van magas szintű automatizációra, melynek kézenfekvő eszköze a SOAR (Security Orchestration and Automated Response). Varázsütésre azonban nem működik, meg kell teremteni a helyes implementáció belső feltételeit.

Ismerni kell a pillanatnyi helyzetet

Mindjárt a legelején tisztáznunk kell valamit: habár az automatizáció nagy terheket képes levenni a szervezet IT-biztonsági csapata válláról, annak létét nem fenyegeti. Elsősorban az egyszerűbb, könnyen automatizálható incidensek önműködő elhárítására és az összetettebb fenyegetések gyors észlelésére használható, illetve hasznos támaszt ad ezek kivédéséhez.

A humán erőforrás tehát továbbra is nélkülözhetetlen marad, ráadásul ahhoz, hogy sikeres lehessen az implementáció, birtokolni kell a megfelelő tudást és képességeket. Például biztonsági eszközök integrálása és playbookok készítése közben előfordulhat, hogy bizonyos SOAR-megoldásokhoz programozási nyelvek – Python, Ruby, Perl – készségszintű ismerete szükséges. Ezek hiányában előfordulhat, hogy a szervezet nem tudja kibontakoztatni teljes mértékben az automatizáció nyújtotta lehetőségeket.

Csak úgy, "bele a vakvilágba" nem lehet SOAR-t sikeresen bevezetni – azt is tudni kell, hogy mik azok a biztonsági célok, amiket el akar érni a szervezet. Emellett ismerni kell a vállalat IT-biztonsági érettségét, annak szintje ugyanis alapvetően befolyásolja az implementációs lépéseket. Ugyancsak elengedhetetlen a vezetői támogatás a sikerhez.

Hogyan kerülhetők el a tipikus hibák?

Érdemes megismerni a SOAR-implementáció buktatóit, és azt is, hogyan lehet elkerülni ezeket az akadályokat. Mint említettük, a megfelelő szakértelem hiánya gondot okozhat; ebben az esetben kész, kvázi azonnal működő (out of the box) megoldásokban lehet gondolkodni. Emellett segíthet, ha a szervezet belső készségeihez igazodó terméket vagy szolgáltatást választ az IT-biztonságán javítani akaró szervezet.

A harmadik utat a SOAR szolgáltatásként való használata jelenti, melynek során meg kell határozni, hogy milyen feladatokat vesz át a szolgáltató és mit kell a szervezetnek elvégeznie. Munkamegosztás zajlik: a hálózatát, adatait magasabb szinten védeni vágyó vállalatnak tisztában kell lennie a saját céljaival. A hatékony védelemhez szükséges playbookok létrehozásának bementét a szervezetnek kell biztosítania, de a szükséges adatok előállítását egyfajta interjú keretei között a SOAR-szolgáltató elősegíti. "A sebezhető pontok felmérése, a leginkább védendő adatok meghatározása, a kritikus eseteket lefedő, legjobb gyakorlatokat tartalmazó folyamatok alkalmazása – ezeken a területeken szintén támogatjuk leendő ügyfeleinket" – nyilatkozta lapunknak Vaspöri Ferenc, az Invitech IT biztonsági szolgáltatások vezetője, hangsúlyozva a két fél közötti közös munka fontosságát.

Belátható a fentiek ismeretében, hogy – akár szolgáltató segítségével, akár belső erőforrással dolgozva – ugyancsak fontos a biztonsági incidensekre adandó válaszok, eljárások lefektetése. Ennek hiányában fejtörést fog okozni annak eldöntése, hogy mit is kellene az elsők között automatizálni. Éppen ezért meg kell győződni a SOAR-implementáció előtt, hogy a szervezet rendelkezik a szabványos működési eljárásokat (standard operating procedures, SOP) leíró dokumentumokkal.

Talán az egyik legnagyobb hiba, amit el lehet követni, a rosszul összeállított vagy túlzó elvárások. Ugyan a SOAR az IT-biztonsági automatizációt hivatott megvalósítani, mindent mégsem érdemes ennek alávetni. Nincs olyan szervezet, ahol ne akadna néhány, manuális módon gyorsabban, könnyebben megoldható feladat, vagyis – egy közhellyel élve – nem érdemes túltolni a biciklit. Ráadásul a kritikus, emberi gondolkodás nem vonható ki az egyenletből; éppen ezért minden implementációnak az adott szervezet SOC-igényeihez illeszkedő, gépi és emberi elemzői képességek optimális elegyét kell(ene) elérnie. Ennek megtalálása nem triviális feladat; olyan megoldást érdemes választani, ami egy munkafolyamatban zökkenők nélkül képes vegyíteni mindkét típusú feladatot.

Neverending story

Nyugodtan kijelenthető, hogy lehetetlen mindent elsőre tökéletesen beállítani. Azt is fejben kell tartani, hogy az online fenyegetések megállás nélkül fejlődnek, vagyis a korábban létrehozott automatizmusokat időről időre felül kell vizsgálni. A már használatba vett SOAR folyamatos megfigyelést, tesztelést igényel, az automatizmusokat pedig a visszajelzések tükrében kell naprakészen tartani. Ebben a rendszer komolyan segíti a szervezeteket: lehetővé teszi, hogy teszteket végezzenek és riasztási szimulációkat futtassanak.

Nem csak azt kell tehát tudni a bevezetés során, hogy hol tart IT-biztonsági érettség szempontjából a vállalat – egyfolytában képben kell lenni az aktuális helyzettel. A SOAR implementálása egy véget nem érő feladatot indít el, amely egyúttal garantálja, hogy a védendő rendszerek a korábbinál magasabb színvonalú biztonságban részesülnek.

Ez a cikk független szerkesztőségi tartalom, mely az Invitech támogatásával készült. Részletek »

 

Biztonság

MI-vel védenék a britek az internetre szabadított óvodásokat

Az illetékes hatóság felmérése szerint egyre több kisgyerek jelenik meg a világhálón, akiknek a szülei is egyre nagyobb szabadságot engednek a digitális térben.
 
Hirdetés

Adathelyreállítás pillanatok alatt

A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.

Hol, milyen adatokat és hányszorosan tároljunk ahhoz, hogy biztonságban tudhassuk szervezetünk működését egy nem várt adatvesztési incidens esetén is?

a melléklet támogatója az EURO ONE Számítástechnikai Zrt.

CIO KUTATÁS

TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?

Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »

Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.