Вісім ознак надійності партнера з кібербезпеки, на які спираються CISO компаній США
Відома аналітична агенція світу, IDC, запитала у 410 CISO провідних компаній США як вони обирають собі партнерів з керованих послуг в сфері кібербезпеки (MSSP та MDR), щоб допомогти ринку визначитися з критеріями оцінки якості послуг в цьому швидкозростаючому сегменті ринку.
Респонденти відзначили вісім найважливіших атрибутів провайдера з кібербезпеки:
-
1
швидкість підключення сервісу;
-
2
здатність здійснювати моніторинг 24x7x365;
-
3
curated threat intelligence або обмін інформацією щодо загроз з додатковою перевіркою;
-
4
шифрування даних;
-
5
наявність експертизи у сервісах Threat hunting;
-
6
здатність виконувати задачу Extended detection and response (XDR);
-
7
наявність системи оркестрування (SOAR);
-
8
а також швидкість ідентифікації та реакції на інциденти.
Ми проаналізували ці критерії та пропонуємо вашій увазі детальний опис кожного атрибута.
Швидкість підключення сервісу
Швидкість підключення до послуг постачальника MDR варіюється від годин до тижнів. З досвіду Octava Defence підключення займає в середньому 2-2,5 місяці. Налаштовані процеси адаптації сприяють зниженню ризиків за допомогою таких елементів, як:
- моделювання загроз,
- перевірка загального стану безпеки
- та/або перевірка архітектури безпеки.
Перший день «живого» використання послуги MDR зазвичай не забезпечить бажаного рівня захисту. Досягнення більш захищеної, зрілої позиції вимагає часу, особливо для організацій, які не використовували раніше SIEM або іншу систему збору історичних даних, які є ключовими в тому числі і для алгоритмів машинного навчання (ML).
З часом сервіс MDR зможе краще визначати, що є нормальною активністю, а що аномальною. Зазвичай потрібно від 3 до 6 місяців з подальшим постійним тюнінгом у відповідності до нових типів загроз, контролів та оновлень у системах. Тим не менш, скорочення часу на підключення послуги є ключовою відмінністю.
Моніторинг 24x7x365
Не всі провайдери послуг кібербезпеки працюють цілодобово, в той час як зловмисники не мають обмежень по часу. Саме тому безперервність моніторингу і підтримки центрів моніторингу та реагування на інциденти (SOC) швидко стала необхідною ознакою послуг з кібербезпеки.
Наявність процесу керованого обміну інформацією
Йдеться про обмін інформацією щодо загроз (curated threat intelligence) у форматі різних типів індикаторів компрометації (IoC). Розширення поверхні ризику, спричинене у тому числі й стрімким переходом до хмари, збільшило кількість індикаторів компрометації (IoC), які команди SOC мають дослідити. Обмін про загрози з верифікацією або додатковою перевіркою, допомагає зменшити кількість хибно-позитивних сповіщень (false-positive), зосереджуючись на загрозах, які з більшою ймовірністю можуть бути спрямовані проти організації та завдати шкоди. Наприклад ми в Octava Defence накопичуємо інформацію про можливі загрози з різних джерел (комерційних і безкоштовних, закритих і відкритих, державних і приватних), класифікуємо їх та збагачуємо цими даними роботу засобів захисту та SIEM-системи. Наявність систем классу SOAR дозволяє деякі процеси автоматизувати, та таким чином підвищити якість обслуговування.
Шифрування
Деякі постачальники MDR включають до своєї пропозиції надання послуг шифрування даних або пропонують його як окремий продукт. Шифрування стане ще одним важливим рівнем захисту даних з точки зору забезпечення конфіденційності. Так склалося, що в Україні загалом цей класс рішень відокремлено від послуг MDR, проте Octava Defence через структурну близкість до одного з провідних розробників засобів шифрування, має відповідні компетенції та може задовольняти потреби у шифруванні даних на кшталт реалізації вимог GDPR (General Data Protection Regulation) щодо персональних даних.
Наявність експертизи пошуку загроз (threat hunting)
Інтелектуальні дані про загрози, отримані в процесі curated threat intelligence, повинні використовуватися для подальшого пошуку загроз. Реактивне полювання за загрозами, цілеспрямоване полювання за загрозами та проактивне полювання за загрозами — усе це важливо, щоб допомогти організаціям підвищити зрілість безпеки та посилити захист. Професійний постачальник послуг з кібербезпеки проводить дослідження зловмисників і розуміє, що і як вони роблять.
Ми використовуємо постійне проактивне полювання на загрози, що є оптимальною превентивною стратегією. Також використання інструментарію класу SOAR (Security Orchestration, Automation And Response), дозволяє нам реалізовувати більш складні та єффективніші процеси Thread Hunting.
Розширений захист кінцевих точок (EDR / XDR)
Сучасний провайдер послуг з кібербезпеки має охопити своїми інструментами усі типи кінцевих точок, включаючи Інтернет речей (IoT), промисловий Інтернет речей (IIoT) та Інтернет медичних речей (IoMT). Всі вони потребують моніторингу та захисту тому наявність систем класу EDR / XDR є обов'язковою сьогодні. найбільшої ефектиновності вдається досягти у разі використання їх за моделлю MSSP / MDR, коли оператор послуги не тільки впроваджує, а й забезпечує подальше операційне обслуговування цих систем.
Наявність системи оркестрування кібербезпеки (SOAR)
Система визначає одночасно і рівень організації процесів у самого постачальника послуги і його спроможність здійснювати ефективний кіберзахист в розрізі розширених можливостей аналізу, розслідування та реагування на інциденти, а також відстежування показників SLA
Рішення класу SOAR дають можливість збирати дані про події інформаційної безпеки з різних джерел, збагачувати інциденти необхідною додатковою інформацією, обробляти їх з використанням playbook та запускати реагування на інциденти із застосуванням як ручних, так і автоматизованих сценаріїв.
Виявлення інцидентів та час реагування. Швидкість має важливе значення для виявлення та припинення загроз.
Зазвичай ці метрики можна вимірювати по таким показникам:
- Середній час виявлення — MTTD (Mean Time to Detect)
- Середній час реагування — MTTR (Mean Time to Response)
- Середній час валідації інциденту — MTTV (Mean Time to Validate) та ін.
Але, дуже важливо узгодити з оператором послуг контекст цих показників, з тим щоб очікування були однакові з точки зору змісту та трактування. Наявність такого роду SLA — також є ознакою зрілості провайдера послуг.
Найчастіше ми оперуємо показниками MTTD (Mean Time to Detect) та MTTR (Mean Time to Response).
На додачу до аналізу за вже наведеними критеріями, при виборі провайдера з кібербезпеки, рекомендуємо дізнатися, як ваш партнер інвестує у власний розвиток. Щоб залишатися конкурентоспроможними, постачальники MDR повинні постійно інвестувати у своїх людей, процеси та технології.
Резюмую
Менеджери, що відповідають за кібербезпеку, по всьому світі змінюють підходи до своєї діяльності, й дивляться в бік підвищення рівня зрілості системи кібербезпеки. Їх невблаганні супротивники підтримують цей рух нав'язливими спробами перетнути периметр та скористатися даними. Компанії адаптують свою тактику, технологічне оснащення та процедури, та спираються на допомогу постачальників керованих послуг, яким на тлі глобального дефіциту кваліфікованих кадрів, вдається акумулювати навколо себе експертизу та кращих професіоналів галузі.
Кількість гравців на ринку постачальників керованих послуг потроху зростає. Вони диференціюються за областями та методами роботи, й потрохи мігрують від розповсюдженої раніше моделі надання послуг управління певними технологічними засобами для забезпечення кіберзахисту (MSSP) до повноцінного комплексного сервісу, який включає виявлення, розслідування та реагування (MDR).
