Менеджери, відповідальні за кібербезпеку, по всьому світі змінюють підходи до своєї діяльності, дивлячись в бік підвищення рівня зрілості системи кібербезпеки. Їх невблаганні супротивники підтримують цей рух нав’язливими спробами перетнути периметр та скористатися даними. Компанії адаптують свою тактику, технологічне оснащення та процедури, спираючись на допомогу постачальників керованих послуг, яким на тлі глобального дефіциту кваліфікованих кадрів, вдається акумулювати навколо себе експертизу та кращих професіоналів галузі.
Кількість гравців на ринку постачальників керованих послуг потроху зростає. Вони диференціюються за областями та методами роботи потрохи мігруючі від розповсюдженої раніше моделі надання послуг управління певними технологічними засобами для забезпечення кіберзахисту (MSSP) до повноцінного комплексного сервісу, який включає виявлення, розслідування та реагування (MDR).
Відома аналітична агенція світу, IDC, запиталась в 410 CISO провідних компаній США як вони обирають собі партнерів з керованих послуг в сфері кібербезпеки (MSSP та MDR), щоб допомогти ринку визначитися з критеріями оцінки якості послуг в цьому швидкозростаючому сегменті ринку.
Респонденти відзначили вісім найважливіших атрибутів провайдера з кібербезпеки:
Ми проаналізували ці критерії та пропонуємо вашій увазі детальний опис кожного атрибута.
Швидкість підключення сервісу. Швидкість підключення до послуг постачальника MDR варіюється від годин до тижнів. З досвіду Octava Defence підключення займає в середньому 2-2,5 місяці. Налаштовані процеси адаптації сприяють зниженню ризиків за допомогою таких елементів, як моделювання загроз, перевірка загального стану безпеки та/або перевірка архітектури безпеки. Перший день «живого» використання послуги MDR зазвичай не забезпечить бажаного рівня захисту. Досягнення більш захищеної, зрілої позиції вимагає часу, особливо для організацій, які не використовували раніше SIEM або іншу систему збору історичних даних, які є ключовими в тому числі і для алгоритмів машинного навчання (ML). З часом сервіс MDR зможе краще визначати, що є нормальною активністю, а що аномальною. Зазвичай потрібно від 3 до 6 місяців з подальшим постійним тюнінгом у відповідності до нових типів загроз, контролів та оновлень у системах. Тим не менш, скорочення часу на підключення послуги є ключовою відмінністю.
Моніторинг 24x7x365. Не всі провайдери послуг кібербезпеки працюють цілодобово, в той час як зловмисники не мають обмежень по часу. Саме тому безперервність моніторингу і підтримки центрів моніторингу та реагування на інциденти (SOC) швидко стала необхідною ознакою послуг з кібербезпеки. В Octava Defence чергова зміна L1 вже працює цілодобово (24*7), а процес супроводу кібераналітиків L2-L3 передбачає різні рівні ескалації виходячи з вимог Замовника.
Наявність процесу керованого обміну інформацією щодо загроз (curated threat intelligence) у форматі різних типів індикаторів компрометації (IoC). Розширення поверхні ризику, спричинене у тому числі й стрімким переходом до хмари, збільшило кількість індикаторів компрометації (IoC), які команди SOC мають дослідити. Обмін про загрози з верифікацією або додатковою перевіркою, допомагає зменшити кількість хибно-позитивних сповіщень (false-positive), зосереджуючись на загрозах, які з більшою ймовірністю можуть бути спрямовані проти організації та завдати шкоди. Ми в Octava Defence накопичуємо інформацію про можливі загрози з різних джерел (комерційних і безкоштовних, закритих і відкритих, державних і приватних), класифікуємо їх та збагачуємо цими даними роботу засобів захисту та SIEM-системи. Наявність систем классу SOAR дозволяє деякі процеси автоматизувати, та таким чином підвищити якість обслуговування.
Шифрування. Деякі постачальники MDR включають до своєї пропозиції надання послуг шифрування даних або пропонують його як окремий продукт. Шифрування стане ще одним важливим рівнем захисту даних з точки зору забезпечення конфіденційності. Так склалося, що в Україні загалом цей класс рішень відокремлено від послуг MDR, проте Octava Defence через структурну близкість до одного з провідних розробників засобів шифрування, має відповідні компетенції та може задовольняти потреби у шифруванні даних на кшталт реалізації вимог GDPR (General Data Protection Regulation) щодо персональних даних.
Наявність експертизи пошуку загроз (threat hunting). Інтелектуальні дані про загрози, отримані в процесі curated threat intelligence, повинні використовуватися для подальшого пошуку загроз. Реактивне полювання за загрозами, цілеспрямоване полювання за загрозами та проактивне полювання за загрозами — усе це важливо, щоб допомогти організаціям підвищити зрілість безпеки та посилити захист. Професійний постачальник послуг з кібербезпеки проводить дослідження зловмисників і розуміє, що і як вони роблять.
У випадку Octava Defence ми використовуємо постійне проактивне полювання на загрози, що є оптимальною превентивною стратегією. Також використання інструментарію класу SOAR (Security Orchestration, Automation And Response), дозволяє нам реалізовувати більш складні та єффективніші процеси Thread Hunting.
Розширений захист кінцевих точок (EDR / XDR). Сучасний провайдер послуг з кібербезпеки має охопити своїми інструментами усі типи кінцевих точок, включаючи Інтернет речей (IoT), промисловий Інтернет речей (IIoT) та Інтернет медичних речей (IoMT). Всі вони потребують моніторингу та захисту тому наявність систем класу EDR / XDR є обов’язковою сьогодні. найбільшої ефектиновності вдається досягти у разі використання їх за моделлю MSSP / MDR, коли оператор послуги не тільки впроваджує, а й забезпечує подальше операційне обслуговування цих систем.
В Octava Defence ми здійснюємо безперервний моніторинг та ретроспективний аналіз стану кінцевих точок на основі поведінкових методів та даних, збагачених контекстом систем класу EDR / XDR.
Наявність системи оркестрування кібербезпеки (SOAR) визначає одночасно і рівень організації процесів у самого постачальника послуги і його спроможність здійснювати ефективний кіберзахист в розрізі розширених можливостей аналізу, розслідування та реагування на інциденти, а також відстежування показників SLA.
Рішення класу SOAR дають можливість збирати дані про події інформаційної безпеки з різних джерел, збагачувати інциденти необхідною додатковою інформацією, обробляти їх з використанням playbook та запускати реагування на інциденти із застосуванням як ручних, так і автоматизованих сценаріїв.
SOAR є ключовим компонентом Security Operations Center Octava Defence, який крім збору та обробки всіх сповіщень та інцидентів від замовників дозволяє нам надавати індивідуальні послуги завдяки функціоналу логічного розподілення (multi tenancy).
Виявлення інцидентів та час реагування. Швидкість має важливе значення для виявлення та припинення загроз.
Зазвичай ці метрики можна вимірювати по таким показникам:
Але, дуже важливо узгодити з оператором послуг контекст цих показників, з тим щоб очікування були однакові з точки зору змісту та трактування. Наявність такого роду SLA – також є ознакою зрілості провайдера послуг.
Ми в Octava Defence маємо декілька варіантів сервісних угод: від стандартного SLA до унікального для кожного окремого замовника, у тому числі з використанням автоматичних плейбуків. Найчастіше оперуємо показниками MTTD (Mean Time to Detect) та MTTR (Mean Time to Response).
На додачу до аналізу за вже наведеними критеріями, при виборі провайдера з кібербезпеки, рекомендуємо дізнатися, як ваш партнер інвестує у власний розвиток. Щоб залишатися конкурентоспроможними, постачальники MDR повинні постійно інвестувати у своїх людей, процеси та технології. В Octava Defence для цього ми маємо R&D-центр, завдання якого відстежувати та тестувати нові технології, оптимізувати процеси тощо.
Дізнайтесь більше про керовані послуги та SOCaaS від Octava Defence.