Kdykoliv vytváříte rozpočet, vždy je potřeba si udělat finanční rezervu pro řešení nečekaných událostí. Co však dělat v případě, když je takovou událostí únik dat ve větším rozsahu, než jste si kdy dokázali představit? A když nemáte kybernetické pojištění?
Samozřejmě že se můžete dostat na příslovečnou řeku bez pádla, ale nebojte se, protože bezpečnostní profesionálové se vám snaží hodit záchranné lano, aby vám dobrými radami pomohli před utopením.
Při dotazu na možnosti dělat kompromisy došlo ke shodě, že je nutné zajistit dostatečnou přísnost vašich zásad a postupů. Obvykle neexistují žádné postradatelné zbytečnosti, ale důležité je používat solidní zásady.
Rick Howard, ředitel zabezpečení ve společnosti Palo Alto Networks, uvádí, že nejlepší věc, kterou může CISO udělat pro zlepšení ochrany dat v době nedostatku financí, je zajistit, aby zavedené prevenční kontroly a nástroje fungovaly tak, jak se předpokládalo v době jejich nákupu a instalace.
„Velkou pravdou v našem oboru je, že mnozí z nás rádi utrácejí peníze za všechny nové druhy nablýskaných hraček pro ochranu sítí, ale nevěnujeme dostatek úsilí plnému využití jejich potenciálu,“ vysvětluje Howard.
„Tyto prevenční kontroly a nástroje obvykle bývají komplikovanými systémy. Nemůžete je jednoduše připojit k síti, zapnout je a odejít. Někdo je musí udržovat. Někdo musí analyzovat data přicházející z nich. Někdo také musí zajistit, aby všechny funkce, které šéfové zabezpečení informací chtěli koupit, byly skutečně aktivované a správně fungovaly.“
Pokud chybějí finance, ale přesto chcete vylepšit svůj program ochrany informací, věnujte nějaký čas seznámení se s již nasazenými systémy prevence.
Stan Black, ředitel zabezpečení v Citrixu, zase radí, aby organizace s nedostatečným rozpočtem dělaly jednoduché, ale efektivní bezpečnostní kontroly a opatření.
Například lze udělat pořádek v přihlašovacích údajích správců, zaktualizovat zásady pro síť a přístup a zkontrolovat dodržování požadavků předpisů. Také školení zaměstnanců, jak dodržovat nejlepší metody ochrany kvůli bezpečnosti firmy i jich samotných, může významně pomoci při snižování rizik a stojí to vlastně jen čas.
Jinými slovy, Black říká, že zajišťování bezpečného prostředí uvnitř sítě může pomoci při prevenci a také zlepšit situaci ohledně vnějších hrozeb, které se snaží proniknout dovnitř.
Každý recept na snížení nákladů na zabezpečení začíná podle Blacka třemi společnými oblastmi pro snížení provozních nákladů a také určitým zpomalením, aby se snížilo celkové riziko. První oblastí je testování zabezpečení aplikací.
„Přibližně před deseti lety jsme používali vlastní kapacity s vysokými investičními i provozními náklady. Chcete-li snížit náklady na nápravu, používejte automatizované testovací nástroje a rovněž rozsáhlou bázi znalostí ke školení vývojářů, aby vyvíjeli bezpečný kód,“ doporučuje Black.
Další oblastí, kde lze poměrně drasticky snížit provozní náklady, je správa hrozeb. Počet odpovídajících aktérů roste každým dnem a existuje několik firem, které mají vyladěné své nabídky tak, aby odpovídaly hrozbám relevantním právě pro vaši společnost.
Na druhou stranu existuje mnoho poskytovatelů, kteří nabízejí informace o hrozbách, pokud jde o celkový prostor rizik. Je to pěkné, ale zaměřujte se pouze na svou společnost a své zákazníky. Pečlivé posouzení přizpůsobení pro váš dodavatelský řetězec sníží šum a umožní vašemu týmu zaměřit se na nápravu a neztrácet čas identifikací.
Efektivní threat intelligence také umožňuje nápravu a opevnění před skutečnými hrozbami, abyste nemuseli ztrácet čas s miliony neautorizovaných „pingů“, kterým jsou podniky nepřetržitě vystavené, popisuje Black.
Třetí téma, které může být poněkud ztracené na trhu s novými bezpečnostními produkty, je výčet provozu.
„Pokud máte síťové přenosy, které nepocházejí přímo od vás, nemůžete jim samozřejmě důvěřovat nebo je nemůžete ověřit – jste zkratka v nebezpečí. Kvantifikace známých dobrých, nedůvěryhodných a neznámých přenosů nestojí kromě času nic, ale průmysl chce z nějakého důvodu kupovat další techniku, aby jim řekla, že ve své síti mají další hrozbu, popisuje Black.
Gareth O’Sullivan, ředitel po řešení architektur v regionu EMEA ve společnosti WhiteHat Security, připomíná, že údržba bezpečného prostředí nespočívá v pouhém přidávání dalších bezpečnostních produktů. Lze tvrdit, že žádné řešení nedokáže fungovat jako všelék pro dosažení bezpečnosti, rozhodně ne v izolaci.
Pokud nějaká společnost, ředitel či manažer zabezpečení pochybují o současném stavu zabezpečení či zásadách, měl by to být důvod ke zvýšené pozornosti nebo by se to mělo brát jako příležitost přehodnotit současné zásady a programy.
Výdaje za bezpečnostní produkty je nutné dělat v kontextu celkových zásad řízení rizik, což nakonec má podporovat základní podnikatelské aktivity společnosti.
Omezení duplicit
Ravi Devireddy, technologický ředitel společnosti E8 Security, zase uvádí, že nehledě na případná omezení daná rozpočtem je dobrou praxí pro všechny organizace odstranění provozních duplicit v oblasti zabezpečení.
Většina firem totiž podle něj vynakládá příliš mnoho času a peněz prošetřováním upozornění na nízké úrovni, která jsou roztroušená v různých systémech správy, což zvyšuje vyšetřovací náklady na každý incident.
Nejlepším způsobem, jak omezit zbytečné výdaje, je zajistit, aby veškerá data relevantní pro zabezpečení (generovaná síťovými systémy, aplikacemi a koncovými body) byla zachycovaná do jednoho centrálního systému, který dokáže automaticky stanovit priority varování na základě rizika, tvrdí Devireddy.
Pokud bude pro bezpečnostní analytiky k dispozici funkce vizualizace vztahů mezi cíli, umožní to podle Devireddyho mnohem efektivnější bezpečnostní praxi, eliminuje redundantní vyšetřovací úkony a zajistí týmům zabezpečení zachycení správných informací na jednom místě.
„Vyhodnoťte existující programy a zásady. Upřednostněte takové strategie, které se zaměřují na identifikaci přítomnosti útočníků na základě chování a pohybů, které se ve vaší organizaci nepovažují za normální, a zastavte takové aktivity, co nejrychleji je to možné,“ doporučuje Devireddy.
Na trhu se objevují nové produkty pro kybernetické zabezpečení podniků, které mají často překrývající se a matoucí hodnotu. Je možné, že i v případě, že organizace přidá a nasadí další produkty, stále nemusí být v současné době lépe zabezpečená než v minulosti – nebo dokonce může být chráněná méně s menší spolehlivostí v důsledku zvýšené složitosti.
Podniky by měly vytvořit a velmi pečlivě udržovat architekturu podnikového zabezpečení, která má plnit podnikové požadavky a lze ji používat k pochopení rizik a stavu možných řešení.
Pokud taková architektura není k dispozici nebo není aktuální, je nyní čas to napravit, radí Andrew Wertkin, technologický ředitel ve společnosti BlueCat Networks.
Organizace podle něj mohou zjistit, že vytvořily duplicitní funkce v různých sadách produktů, a téměř určitě zjistí, že dostatečně nevyužívají vynaložené investice.
O’Sullivan dodává, že zatímco získání nového softwaru nebo řešení vyžaduje rozpočet v důsledku dané ceny, kontrola a aktualizace zásad budou mít další příslušné implicitní náklady. Efektivitu lze zajistit pravidelnou aktualizací pravidel a tím, že budou v souladu s cíli společnosti.
Například v souvislosti s vytvářením bezpečného softwaru může přijetí bezpečnostního frameworku, který umožňuje vestavěné zabezpečení namísto jeho externího připojování, pomoci snížit náklady a zlepšit efektivitu tím, že se organizace naučí vytvářet bezpečný software a rychle nacházet a opravovat zranitelnosti.
Podívejte se na open source
Zabezpečení skutečně nemusí stát hodně peněz. Existuje celá řada nástrojů a technologií, jež jsou open source a které lze upravit, aby byly skutečně bezpečné a přínosné pro odpovídající organizaci, prohlašuje Chase Cunningham, šéf výzkumu kybernetických hrozeb ve společnosti Armor.
Mezi tyto možnosti patří například open source IDS a bezplatné a volně přístupné kanály threat intelligence. Požadavkem samozřejmě ale je používat tyto nástroje a technologie bezpečně a efektivně.
„Nevidím důvod, proč za něco platit, bez ohledu na to, jak skvělé a přitažlivé to může mít uživatelské rozhraní. Organizace mohou a měly by vyzkoušet bezplatné nástroje a open source vybavení a upravit si je pro své potřeby – to je celý smysl těchto iniciativ, říká Cunningham.
Jakmile podle něj firmy produkty otestují, mohou si zvolit bezpečné používání této technologie nebo zaplatit dodavateli za vyřešení svého problému.
Na rozdíl od představy hledání produktů s minimálními či nulovými náklady Jeff Schilling, ředitel zabezpečení společnosti Armor, upozorňuje, že neexistuje žádný všelék, který by týmu podnikového zabezpečení nabídl skvělou ochranu bez jakýchkoliv investic.
„Vypozoroval jsem, že většina bezpečnostních týmů koupila technologie, ale nemají architekturu, která by podporovala její plné využití. Je to jako stavět krásnou hráz, ale ne na správném místě na řece, která by vám tam vytvořila jezero, jež potřebujete. Myslím, že většina organizací zápasí s bezpečnostní architekturou a kybernetickým terénem, který lze chránit. Velká část této práce není drahá a ve skutečnosti vám může ušetřit peníze, např. snížením počtu datových center, které ve svém prostředí používáte.“
Ryan O’Leary, viceprezident centra výzkumu hrozeb ve společnosti WhiteHat Security, dodává, že jedním z nejlepších způsobů, jak zlepšit bezpečnost, aniž je nutné zaplatit jedinou korunu, je implementovat program vývoje založeného na zabezpečení.
Vývoj a zabezpečení jsou podle něj často dvě odlišné skupiny, které si vzájemně takzvaně předávají lístky přes plot. Vývojáři často nerozumějí podstatě hrozeb, a proto nechápou, že příčinou problémů může být právě jejich kód.
Stržení překážky mezi těmito dvěma skupinami a vzdělávání vývojářů ohledně běžných hrozeb vedou ke kódu, který drasticky snižuje pozdější problémy. Toto školení může často zajistit interní personál zabezpečení, nebo pokud je potřebné externí školení, lze ho udělat na náklady vývojového týmu.
Tento příspěvek vyšel v Security Worldu 4/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU