A modern kihívásokkal szemben is ellenállóvá tudja tenni az IT-biztonságot az automatizáció, de nem csodaszer. Az akadályok azonban leküzdhetők, csak be kell tartani néhány egyszerű szabályt.
Hirdetés
 

A "jó" és a "rossz" oldal egyaránt használja már a mesterséges intelligencia lehetőségeit. Ahhoz, hogy a védekezésben fel lehessen venni a kesztyűt, szükség van magas szintű automatizációra, melynek kézenfekvő eszköze a SOAR (Security Orchestration and Automated Response). Varázsütésre azonban nem működik, meg kell teremteni a helyes implementáció belső feltételeit.

Ismerni kell a pillanatnyi helyzetet

Mindjárt a legelején tisztáznunk kell valamit: habár az automatizáció nagy terheket képes levenni a szervezet IT-biztonsági csapata válláról, annak létét nem fenyegeti. Elsősorban az egyszerűbb, könnyen automatizálható incidensek önműködő elhárítására és az összetettebb fenyegetések gyors észlelésére használható, illetve hasznos támaszt ad ezek kivédéséhez.

A humán erőforrás tehát továbbra is nélkülözhetetlen marad, ráadásul ahhoz, hogy sikeres lehessen az implementáció, birtokolni kell a megfelelő tudást és képességeket. Például biztonsági eszközök integrálása és playbookok készítése közben előfordulhat, hogy bizonyos SOAR-megoldásokhoz programozási nyelvek – Python, Ruby, Perl – készségszintű ismerete szükséges. Ezek hiányában előfordulhat, hogy a szervezet nem tudja kibontakoztatni teljes mértékben az automatizáció nyújtotta lehetőségeket.

Csak úgy, "bele a vakvilágba" nem lehet SOAR-t sikeresen bevezetni – azt is tudni kell, hogy mik azok a biztonsági célok, amiket el akar érni a szervezet. Emellett ismerni kell a vállalat IT-biztonsági érettségét, annak szintje ugyanis alapvetően befolyásolja az implementációs lépéseket. Ugyancsak elengedhetetlen a vezetői támogatás a sikerhez.

Hogyan kerülhetők el a tipikus hibák?

Érdemes megismerni a SOAR-implementáció buktatóit, és azt is, hogyan lehet elkerülni ezeket az akadályokat. Mint említettük, a megfelelő szakértelem hiánya gondot okozhat; ebben az esetben kész, kvázi azonnal működő (out of the box) megoldásokban lehet gondolkodni. Emellett segíthet, ha a szervezet belső készségeihez igazodó terméket vagy szolgáltatást választ az IT-biztonságán javítani akaró szervezet.

A harmadik utat a SOAR szolgáltatásként való használata jelenti, melynek során meg kell határozni, hogy milyen feladatokat vesz át a szolgáltató és mit kell a szervezetnek elvégeznie. Munkamegosztás zajlik: a hálózatát, adatait magasabb szinten védeni vágyó vállalatnak tisztában kell lennie a saját céljaival. A hatékony védelemhez szükséges playbookok létrehozásának bementét a szervezetnek kell biztosítania, de a szükséges adatok előállítását egyfajta interjú keretei között a SOAR-szolgáltató elősegíti. "A sebezhető pontok felmérése, a leginkább védendő adatok meghatározása, a kritikus eseteket lefedő, legjobb gyakorlatokat tartalmazó folyamatok alkalmazása – ezeken a területeken szintén támogatjuk leendő ügyfeleinket" – nyilatkozta lapunknak Vaspöri Ferenc, az Invitech IT biztonsági szolgáltatások vezetője, hangsúlyozva a két fél közötti közös munka fontosságát.

Belátható a fentiek ismeretében, hogy – akár szolgáltató segítségével, akár belső erőforrással dolgozva – ugyancsak fontos a biztonsági incidensekre adandó válaszok, eljárások lefektetése. Ennek hiányában fejtörést fog okozni annak eldöntése, hogy mit is kellene az elsők között automatizálni. Éppen ezért meg kell győződni a SOAR-implementáció előtt, hogy a szervezet rendelkezik a szabványos működési eljárásokat (standard operating procedures, SOP) leíró dokumentumokkal.

Talán az egyik legnagyobb hiba, amit el lehet követni, a rosszul összeállított vagy túlzó elvárások. Ugyan a SOAR az IT-biztonsági automatizációt hivatott megvalósítani, mindent mégsem érdemes ennek alávetni. Nincs olyan szervezet, ahol ne akadna néhány, manuális módon gyorsabban, könnyebben megoldható feladat, vagyis – egy közhellyel élve – nem érdemes túltolni a biciklit. Ráadásul a kritikus, emberi gondolkodás nem vonható ki az egyenletből; éppen ezért minden implementációnak az adott szervezet SOC-igényeihez illeszkedő, gépi és emberi elemzői képességek optimális elegyét kell(ene) elérnie. Ennek megtalálása nem triviális feladat; olyan megoldást érdemes választani, ami egy munkafolyamatban zökkenők nélkül képes vegyíteni mindkét típusú feladatot.

Neverending story

Nyugodtan kijelenthető, hogy lehetetlen mindent elsőre tökéletesen beállítani. Azt is fejben kell tartani, hogy az online fenyegetések megállás nélkül fejlődnek, vagyis a korábban létrehozott automatizmusokat időről időre felül kell vizsgálni. A már használatba vett SOAR folyamatos megfigyelést, tesztelést igényel, az automatizmusokat pedig a visszajelzések tükrében kell naprakészen tartani. Ebben a rendszer komolyan segíti a szervezeteket: lehetővé teszi, hogy teszteket végezzenek és riasztási szimulációkat futtassanak.

Nem csak azt kell tehát tudni a bevezetés során, hogy hol tart IT-biztonsági érettség szempontjából a vállalat – egyfolytában képben kell lenni az aktuális helyzettel. A SOAR implementálása egy véget nem érő feladatot indít el, amely egyúttal garantálja, hogy a védendő rendszerek a korábbinál magasabb színvonalú biztonságban részesülnek.

Ez a cikk független szerkesztőségi tartalom, mely az Invitech támogatásával készült. Részletek »

 

Biztonság

MI buktatja le a tudományos cikkeket író ChatGPT-t

Sárkány ellen sárkányfű - gondolta egy tudóscsapat, és betanított egy algoritmust arra, hogy kiszúrja a generatív mesterséges intelligenciával gyártott kamu tudományos cikkeket.
 
Hirdetés

Sokkolja a magyar cégeket, hogy ilyen támogatás is létezik

Mennyibe kerülhet, hogy a hoszting szolgáltató éjjel-nappal 60 másodpercen belül felvegye nekünk a telefont, és vezető rendszergazdái azonnal foglalkozzanak a problémánkkal? A vshosting~ szerint nem is biztos, hogy annyira sokba.

Valószínűleg soha. A piackutatók szerint a felhő mellett is dinamikusan növekszik a hosting iránti igény.

a melléklet támogatója a vshosting

Létezik egy ortodox irányzat, mely szerint a jelszavak legyenek minél hosszabbak és összetettebbek, valamint cseréljük azokat minél gyakrabban. Valóban ettől lesznek a rendszereink biztonságosabbak? Pfeiffer Szilárd (Balasys) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.