З початку війни багато світових виробників надали українським компаніям безкоштовний доступ до своїх продуктів. Cisco, Elastic, Panda, IBM, Qualys та інші відкривали ліцензії для підприємств різних галузей, що, безумовно, надає їм більше можливостей для протистояння на кіберфронті.
Зараз за результатами кварталу роботи в нових умовах, ми в Octava Defence можемо зробити декілька висновків, заснованих на досвіді наших замовників та в цілому по ситуації в Україні.
Отже, пастка безкоштовних ліцензій приховує в собі дві ключові проблеми:
Обидві зводять нанівець, як добрі наміри вендорів, так і зусилля команди захисту.
Так, некоректне налаштування системи не дозволяє кібероборонцям отримувати дані про реальний стан систем захисту та забезпечити необхідний рівень безпеки.
Найактуальніша проблема – не до кінця налаштовані сервіси безпеки міжмережних екранів (NG-FW) такі як WEB, DNS, Application, malware та ін. В той час, коли бізнес розраховує на надійний захист з боку міжмережного екрана, його налаштування на рівні “аби працювало” конфліктує з реальною можливістю забезпечити захист. Так, налаштування сервісів безпеки – це кропітка робота, яка потребує ретельності у дизайні, проєктуванні та підтримці рішення, і тільки тоді гарантує, що доступ до інфраструктури зовні отримують виключно довірені запити.
Інший приклад – доволі складні системи класу EDR / XDR, які можуть працювати в режимі “за замовчуванням”, проте за умов професійного налаштування ефект від їх використання збільшується в рази.
Стосовно другого пункту – неправильної експлуатації конкретного рішення або, так званої, експлуатаційної зрілості підприємства в цілому, кібероборонці українських підприємств “грішать” тим, що забувають про необхідність постійного тюнінгу систем захисту.
Так, NG-FW має працювати з оновленими базами сігнатур (IoC). Треба проводити аналіз та тюнінг ефективності списків доступу на базі оцінки ландшафту загроз, т.ін.
Системи класу EDR / XDR взагалі потребують постійної “опіки” з боку власників. Безперервний аналіз подій та тюнінг допоможе усунути false-positive для роботи з реальними загрозами, які відповідають мапі ризиків конкретного підприємства.
У нас була ситуація, коли на початку проєкта, EDR-система замовника генерувала 10 000 сповіщень на день. І це НЕ тому що, компанія була ласим шматком для хакерів, а через недбалість та непрофесійність персоналу. В результаті система сприймала майже будь-яку подію, як спробу втрутатися в роботу ІТ-інфраструктури про що чесно сповіщувала власників. Найгірше те, що серед цих тисяч подій 2-5 становили реальну загрозу і не були помічені.
Та навіть ті, хто зумів подолати похибки налаштування, реалізації базової експлуатації та адміністрування рішень стикаються з наступною перешкодою – нездатністю персоналу провести аналіз подій, професійне розслідування та реагування на інциденти.
Відсутність кваліфікованих кібераналітиків, здатних інтерпретувати дані, які надають різні рішення безпеки та побачити ланцюжок кібератаки, призводить до того, що сила силенна кіберподій залишається непоміченими, а це пряма загроза бізнесу у вигляді потенційних інцидентів
Ключова цінність рішень з кібербезпеки в тому, що окрім забезпечення завдань автоматизованого захисту та протидії в моменті, вони надають величезну кількість інформації для реалізації повноцінних процесів розслідування та реагування. Головне – вміти скористатися цими даними та зробити коректні висновки.
Для цього ми в Octava Defence супроводжуємо впровадження будь-яких рішень з кібербезпеки детальним аналізом існуючої інфраструктури, критичних бізнес-сервісів, проводимо спільний аналіз ризиків та допомагаємо з тюнингом та налаштуванням відповідних систем й необхідних бізнес-процесів.
На наш погляд формат керованих послуг дозволяє оптимізувати витрати незалежно від цінової політики вендора та є гарантом того що ви отримуєте від технології максимум, як з точки зору необхідних для вашої інфраструктури налаштувань, так і експлуатації на всі 100%.