V svojih sporočilih bralcem pogosto poudarjamo nujnost zagotavljanja potrebnih kadrovskih zmogljivosti in specializiranih kompetenc na področju kibernetske varnosti. Naša namera in poslanstvo je, da pomanjkanje specializiranih kadrov ozavestimo, ustrezno naslovimo in podamo rešitve. Prepričani smo, da največji razkorak od učinkovite zaščite pred kibernetskim kriminalom tiči prav v človeškem dejavniku, naj se ta odraža v šibkem zavedanju digitalnih tveganj ali v njihovem zavestnem ne naslavljanju.
Pomanjkanje usposobljenih strokovnjakov (p)ostaja pereča vrzel v boju proti kibernetskemu kriminalu. Po poročanju mednarodne organizacije ICS2 letos na globalni ravni primanjkuje tri milijone specialistov s področja kibernetske varnosti. Številna slovenska podjetja, med njimi prevladujejo zlasti nosilci bistvenih storitev in organizacije s kritično infrastrukturo, že pristopajo v zavarovanje digitalnih premoženj z inovativnimi strategijami kibernetske obrambe. Te vse pogosteje temeljijo na omejenih lastnih zmogljivostih ter njihovi krepitvi v obliki najema specializiranih zunanjih izvajalcev in upravljanjih varnostnih storitev.
In kakšna so naša opažanja? V poizvedovanjih po storitvah našega (NIL) varnostno operativnega centra spremljamo visoko rast povpraševanja po upravljanju zaznavanja in odzivanja na incidente (angl. Managed Detection and Response, MDR). Ta oblika varnostnih storitev se v prvi meri odlikuje prav po svoji fleksibilnosti – najem zmogljivosti po meri, možnost hibridnega najema (na primer zunaj delovnega časa organizacije) in preprostost obvladovanja stroškov (običajno v obliki mesečne naročnine).
Previdnost pri izbiri izvajalca storitev MDR je zelo pomembna, zato podajamo nekaj bistvenih kriterijev za vrednotenje kakovosti in kredibilnosti ponudnikov:
- Kadrovske zmogljivosti ponudnika SOC/MDR: Režim 24/7 z zavezujočim dogovorom o ravni storitev (SLA) – na primer enourni odzivni čas za kritične incidente – zahteva dediciran tim ter čas varnostnih analitikov, in sicer na različnih ravneh izvajanja operacij. Naročnik lahko v procesu izbora ponudnika vedno preveri sistematizacijo kadra na delovnih mestih SOC in njegovo samozadostnost (upoštevajte minimalni multiplikacijski faktor za pokrivanje 21 izmen posameznega tedna v mesecu).
- Kadrovska usposobljenost operativnih timov MDR: Pomembna diferenciacija utečenega operativnega tima MDR so njegovo specializirano znanje in doseženi strokovni nazivi vsakega posameznika. Objektivno merilo ponudnikove kredibilnosti so pridobljeni certifikati in izkušnje varnostnih analitikov, ki (naj) jih ponudnik vseskozi dokazuje z referenčnimi projekti in strokovnimi certifikati. Ponudnik naj svoje kompetence gradi celovito, upoštevaje kompleksnost in prepletenost osrednjega nabora storitev MDR (blue/red teaming, incident response, threat hunting, sistemski inženiring, digitalna forenzika).
- Upravljanje kataloga detekcijskih in preventivnih zmogljivosti: Ponudnik storitev MDR mora izkazovati sposobnost zaznavanja ter odzivanja na pomenljive tehnike napadov. Objektivno merilo doseganja pokritosti MDR je kontinuirano dokazovanje pokritosti industrijsko uveljavljene matrike MITRE ATT&CK, ki pa naj ne sloni izključno na produktnih specifikacijah apliciranih tehnologij. Naj poudarim, da ima skrben naročnik storitev MDR svojega izvajalca vedno možnost neodvisno preveriti (na primer z izvedbo kibernetske vaje – red teaming). Pri tem naj se naročnik ne omeji izključno na preverjanje tehnologije, temveč tudi na skladnost izvajanja storitev s pogodbeno opredeljenimi procesi zaznave in odziva.
- Sposobnost neprekinjenega poročanja o obrambnih zmogljivostih in varnostnem stanju organizacije: Izpolnjevanje pogodbenih obveznosti izvajalca (SLA) naj bo organizaciji neprekinjeno vidno, kar zagotavlja potrebno transparentnost in kakovost izvajanih storitev. Podjetja naj izvajalce pozovejo k neprekinjenemu prikazovanju statusov operacij in rednemu obdobnemu poročanju varnostnega stanja ter podajanju varnostnih priporočil za omejevanje digitalnih tveganj.
Zaključno misel namenjam pozivu uporabnikom upravljanih storitev zaznave in odziva na kibernetske incidente. Izjemnega pomena je, da v procesih izbire in nadzora izvajalcev MDR (p)ostanete zahteven sogovornik. Le takšen pristop namreč zagotavlja kontinuirano kakovost nas, varnostno operativnih centrov, ki želimo svojo raven storitev tudi v prihodnje ohranjati na najvišji ravni.
Avtor: mag. Matevž Mesojednik, vodja NIL-ovega varnostno operativnega centra (SOC)
Članek je bil izvorno objavljen v časniku Finance. Objavljamo z dovoljenjem.
Kaj je razlika med MDR, XDR in EDR?
S selitvijo fokusa kibernetske obrambe na končne točke, postajajo rešitve MDR, XDR in EDR vedno bolj aktualne. Toda kakšne rešitve te kratice predstavljajo in kaj omogočajo? Njihove lastnosti, namen in prednosti je Jan Češčut predstavili v predavanju.