Od jakiegoś czasu pracujemy w modelu oprogramowania jako usługi (ang. Software-as-a-Service, SaaS) i coraz bardziej angażujemy się w podobne schematy dostarczania całych infrastruktur (IaaS) i platform (PaaS). Uważamy, że to dobry kierunek dla organizacji na całym świecie; dzięki gotowym rozwiązaniom firmy mogą skupić się na swoich głównych zadaniach. Jednak czy można dać dużym przedsiębiorstwom w pełni zintegrowaną ochronę w modelu Security-as-a-Service?
Jak my postrzegamy gotową ochronę
Aby odpowiedzieć na to pytanie, najpierw należy wyjaśnić, co według nas oznacza w pełni zintegrowana ochrona. Jeśli mówimy o korporacjach, oznacza to ochronę infrastruktury na wszystkich etapach reagowania na ochronę:
- Na etapie ochrony przed incydentami — używanie rozwiązań dla punktów końcowych na punktach końcowych.
- Na etapie wykrywania zagrożeń — monitorowanie i analizowanie danych, które przepływają z rozwiązania po stronie klienta do centrum operacji bezpieczeństwa (SOC).
- Na etapie polowania na zagrożenia ochrona obejmuje sprawdzanie hipotez dotyczących nowych zagrożeń i przeprowadzanie skanowania retrospektywnego danych historycznych dla nowych oznak włamania i wskaźników ataku (IoCs/IoAs).
- Na etapie oceny zagrożenia zespół SOC określa, czy konkretne podejrzane wydarzenie stanowi prawdziwe zagrożenie, czy jest legalnym działaniem (fałszywy alarm).
- Na etapie reakcji na incydent — tworzymy ponownie łańcuch ataku i zapewniamy zalecenia leczenia.
Rozwiązania klasy Endpoint Protection Platform and Endpoint Detection and Response (EDR) są odpowiedzialne za pierwszy etap w trybie automatycznym. Na kolejnych etapach konieczny jest udział ekspertów SOC. Jednak nie każda firma może pozwolić sobie na zatrudnienie osób tworzących zespół SOC.
Firmy, w których nie ma zespołu SOC
Zorganizowanie zespołu SOC działającego wewnątrz organizacji nie jest warunkiem koniecznym do zapewnienia kompleksowej ochrony. W rzeczywistości większość dużych firm go nie ma — działa on w zaledwie 20% firm, jeśli porównamy ogólną liczbę opinii dla platform typu Endpoint Protection z liczbą opinii dla rozwiązań klasy EDR (które zakładają dostępność zespołu SOC) opublikowanych na platformie Gartner Peer Insights.
Jak sobie radzi pozostałe 80%? Rozsądną opcją dla większości firm jest oddelegowanie funkcji bezpieczeństwa. Wyszukiwanie zagrożeń, ocena i potwierdzanie ich, a następnie reagowanie na incydenty może przeprowadzać dostawca zarządzanych usług bezpieczeństwa (MSSP) lub dostawca rozwiązań zabezpieczających, który przejmie część funkcji MSSP (nasz przypadek).
W tym podejściu klienci otrzymują zestaw rozwiązań oferujących znacznie szerszą funkcjonalność niż zwykłe rozwiązanie EDR. Obejmuje ona zarówno wykrywanie zagrożeń poprzez analizowanie anomalii w ruchu sieciowym (Network Detection and Response, NDR), jak i możliwość interpretowania informacji o incydencie przez ekspertów (Managed Detection and Response, MDR). Nasz zespół SOC jest unikatowy: eksperci mają szybki dostęp do informacji o incydentach i nowych zagrożeniach na całym świecie, na podstawie których mogą podjąć stosowne działania na rzecz klientów. I chociaż wykrywanie zagrożeń oraz proces reagowania (EDR + NDR = XDR) są już dość dobrze zautomatyzowane, nieustannie ulepszamy i rozwijamy ten obszar naszej działalności.
Metodologia ATT&CK Evaluation potwierdziła już skuteczność naszego podejścia. Ze względu na szczególną naturę tego podejścia edycja MITRE ATT&CK Evaluation Round 2 była skupiona wyłącznie na możliwościach wykrywania naszych rozwiązań. Wobec tego reagowanie na incydenty, zapobieganie im i polowanie na zagrożenia — w których nasi eksperci SOC mają unikatowe umiejętności — zostały celowo z niej wykluczone.
Nasze rozwiązanie EDR również wykazało się niezawodnym działaniem i okazało się odpowiednie zarówno dla wewnętrznych, jak i wynajmowanych zespołów SOC. Według wspomnianego wyżej portalu Gartner Peer Insights nasze rozwiązanie Kaspersky Anti Targeted Attack trafiło do grupy Top 3 i otrzymało wyróżnienie Wybór klientów dla rozwiązań typu Endpoint Detection and Response. Bardzo dziękujemy wszystkim naszym klientom, którzy poświęcili swój czas na napisanie swojej opinii.
![](https://media.kasperskydaily.com/wp-content/uploads/sites/95/2020/05/22205721/security-as-a-service-cto-Gartner.png)
Ogólny ranking rozwiązań EDR według Gartner Peer Insights. Źródło: Gartner
Podsumowując, wierzę, że przyszłość bezpieczeństwa informacji bez wątpienia należy do modelu Security-as-a-Service, ale z możliwością wybrania przez klienta stopnia automatyzacji konkretnego zestawu narzędzi i aktualizacji gotowego rozwiązania o dodatkowe funkcje.