Rolul vizibilității în asigurarea securității cibernetice

Tendinte (de , July 14, 2017)

autor: Cătălin Pătraşcu

Atunci când vine vorba de gestionarea incidentelor de securitate cibernetică, cu toții știm că în teorie trebuie să ne asigurăm că dispunem de următoarele capabilități: prevenție, detecție și răspuns. Din fericire există deja o multitudine de tehnologii, open source, gratuite sau comerciale, care adresează aceste nevoi și pe care atât utilizatorii casnici cât și companiile au început să le folosească.

Cu toate acestea, tot mai multe studii afirmă faptul că, în medie, unei companii îi trebuie zeci de zile să detecteze faptul că sistemul informatic a fost compromis și, ceea ce este și mai grav, are nevoie de asemenea de câteva zeci de zile să remedieze problema. Întrebarea evidentă care se pune este: ce anume scăpăm din vedere? Iar în rândurile care urmează regăsiți o opinie personală ca răspuns la această întrebare.

Una dintre cele mai mari probleme cu care se confruntă companiile la nivel global atunci când vine vorba de asigurarea securității cibernetice este insuficiența personalului specializat în acest domeniu. Însă acesta este doar un argument în plus pentru care avem nevoie de două componente importante care, după părerea mea, sunt neglijate de cele mai multe ori atunci când se creionează strategiile de asigurare a securității cibernetic într-o companie: vizibilitatea și controlul.

Sunt din ce în ce mai multe companii care utilizează peste zece unelte/tehnologii de securitate de tipurile: antivirus, firewall, IDS/IPS, web application firewall, email gateway, web gateway, web proxy, sanboxing, SIEM etc. Și cu toate acestea există cazuri în care unele dintre aceste companii au probleme serioase cu detectarea și remedierea breșelor și compromiterilor din propriile rețele. De vină pentru acest lucru este lipsa asigurării corespunzătoare a celor două componente vitale, din nou:  vizibilitatea și controlul.

Explicația este simplă și la îndemâna oricui: fiecare tehnologie utilizată are propriile facilități de vizibilitate și control, punând la dispoziție diferite interfețe grafice sau de tip consolă de comenzi (CLI), însă este aproape imposibil ca personalul dedicat să urmărească datele furnizate de toate aceste tehnologii în același timp. Și chiar dacă ar încerca să facă acest lucru, tot ar întâmpina greutăți în corelarea informațiilor puse la dispoziție de fiecare dintre aceste tehnologii.

Partea frumoasă este că, în teorie, dacă ne asigurăm că avem vizibilitate și control în infrastructura IT este aproape suficient pentru asigurarea celor trei capabilități de care vorbeam la început: prevenție, detecție și răspuns. Pentru a atinge acest obiectiv avem la dispoziție două mari opțiuni: achiziția de soluții de securitate integrate care oferă deja vizibilitate și facilități de control adecvate, sau integrarea mai multor tehnologii de sine stătătoare astfel încât să obținem aceste facilități.

Un exemplu simplu de unealtă care trebuie pusă la dispoziția responsabililor cu securitatea informatică este o consolă grafică în care aceștia să poată urmări evenimentele importante din infrastructura IT, să poată realiza investigații mai amănunțite și, foarte important, să poată lua măsuri/acțiuni din cadrul aceleiași console.

Închei prin a-mi exprima speranța că rândurile de mai sus vă vor fi utile în viitoarele discuții cu furnizorii de tehnologie de securitate și în implementările proiectelor de securizare a infrastructurilor cibernetice.


Tags: , ,

Trackbacks

Leave a Trackback