– Albania
– Bosnia and Herzegovina
– Bulgaria
– Croatia
– Czech Republic
– Estonia
– Hungary
– Kosovo
– Latvia
– Lithuania
– Macedonia
– Moldova
– Montenegro
– Poland
– Romania
– Serbia
– Slovakia
– Slovenia
Az informatikai rendszereket fenyegető kockázatok és támadások ellen már régóta kevés a pusztán a már bekövetkező incidensek elhárítására szolgáló reaktív védekezési módszer. Az összes rendszert és az összes lehetséges támadási felületet folyamatosan figyelni és értékelni kell, hogy a szervezet minimalizálni tudja a potenciális veszélyeket. Ezt teszik a CTEM-rendszerek, amelyek közül az alábbiakban bemutatunk négyet.
Ha visszaemlékszünk, pár évvel ezelőtt az XDR platformok megjelenésekor (de akár a SASE megoldásokat is említhetnénk) mindenki kapkodta a fejét, ahogy egymás után jelentek meg a gyártók, mondván: mától nekik is van olyan termékük, ami lefedi az aktuális trendeket és minden gondunkra megoldást nyújt. Első ránézésre ezt alapvetően igaznak is gondolhattuk, de ha a színfalak mögé lestünk, akkor elég nagy eltérések voltak a megoldások között. Igazzá vált a mondás, miszerint „Mindenki azzal főz, amije van!” Szerencsére ez nem jelenti automatikusan azt, hogy valamelyik megoldás jobb vagy rosszabb lenne, mint a másik, egész egyszerűen csak másban jeleskedik. Ezt figyelhetjük meg jelenleg a CTEM megközelítést nyújtó megoldások piacán is.
Állandó kockázatkezelés
Ha hátrébb lépünk egyet és első körben megvizsgáljuk, hogy mit is jelent ez a megközelítés, akkor röviden a következőkkel lehetne jellemezni: a Continuous Threat Exposure Management (CTEM) a vállalatok folyamatos monitorozását és felügyeletét célozza meg a kiberfenyegetésekkel és biztonsági kockázatokkal szemben. A CTEM program lényege, hogy a vállalatok mindig tisztában legyenek az aktuális fenyegetésekkel, proaktívan tudjanak reagáljanak azokra és minimalizálni tudják a potenciális veszélyeket.
Különösen fontos ez a modern informatikai környezetek esetén, ahol a támadók egyre kifinomultabb módszereket alkalmaznak, míg a támadási felületünk folyamatosan változik. A CTEM tehát holisztikus, proaktív megközelítést jelent, amely a vállalatok számára lehetővé teszi a kibertámadások és egyéb biztonsági kockázatok folyamatos monitorozását, felismerését és kezelését. Célja a biztonságos működés fenntartása, a potenciális veszteségek minimalizálása és a fenyegetések elleni hatékony védekezés.
Támadási felületek: kipipálva
Ha végignézünk a Clico portfólióján, akkor logikusnak tűnhet, hogy ezen megoldások bemutatását az általunk régóta képviselt Rapid7-nel kezdjük. A kezdetektől fogva a sérülékenységekkel foglalkozó Rapid7 az évek során rendkívül széles portfóliót épített fel ezen a területen. Mivel a Rapid7 meglévő termékei már a gyártó felhős platformjára, az Insight Platformra készülnek – és ezt kihasználva képesek egységes adatmodellbe gyűjteni az adatokat –, ezért a legújabb fejlesztés, a kimondottan a teljes támadási felületet megmutatni képes Surface Command is ezt a szinergiát használja ki.
Egyrészt önállóan is használható External Surface Managementet (EASM) megoldást biztosít, másrészt a gyártó meglévő termékeiből érkező adatok mellett több mint 140 további külső gyártó termékeitől is képes adatokat fogadni, és azokat fejlett MI-motorban feldolgozni. Ezáltal folyamatos, 360°-os rálátást biztosít a szervezet teljes támadási felületére, valamint lehetővé teszi a biztonsági problémák azonosítását a végponti eszközöktől a felhőig. Így az EASM mellett CAASM-et (jellemzően belső erőforrásokra fókuszáló Cyber Asset Attack Surface Managementet) is biztosít.
A Surface Command által kezelt adatmodellt ki lehet egészíteni további eszközökkel, például a Rapid7 Insight Platformjának további elemeivel (úgymint InsightVM, InsightCloudSEc, InsightAppSec). Ily módon a teljes támadási felület egyetlen konzolról áttekinthető. A szintén a platform részét képező automatizálási SOAR megoldással (az InsightConnecttel) további gyártók termékei is integrálhatók, így a Rapid7 képes hatékony segítséget adni egy vállalati CTEM programhoz. Fontos segítség, hogy az Insight Platform említett elemeit nem szükséges külön-külön megvásárolni, mert a Rapid7 elérhetővé tett egy kedvező árú licenccsomagot, az úgynevezett Expossure Commandot
Szimulált támadások
A következő megoldás, amit érdemes megvizsgálni, az XM Cyber platformja. A gyártó alapvetően „szenzor” alapú információgyűjtéssel dolgozik, és rögtön a végpontokról gyűjti be az adatokat. A platform használatával támadási szimulációkat is végre tudunk hajtani, amelyek lépésről lépésre megmutatják, hogyan haladna végig egy támadó a környezetünkben a célja eléréséig. Ezzel kapcsolatosan fontos megemlíteni, hogy a megoldás teljesen ártalmatlan, mivel a támadásokat nem hajtja végre, csupán egy szimulált környezetet használ, melynek modellezéséhez a szenzorokból származó információkat alkalmazza.
Működési szempontból szintén nem elhanyagolható, hogy a vezetőségtől származó információk alapján mi határozhatjuk meg, hogy melyek lesznek a számunkra kiemelt erőforrások (például ügyféladatbázis, fizetési információk, egyebek). A megoldás alapvetően felhős konzolt használ, viszont képes on-prem környezetek és felhős környezetek felderítésére is.
A hagyományos sérülékenység-vizsgáló megoldásokkal szemben üzemeltetési szempontból óriási előnyt jelent, hogy rámutat a kritikus „choke pointokra” (gócpontokra: ezekre fókuszálva az üzemeltető csapat anélkül tud hatékonyan védekezni a támadásokkal szemben, hogy az összes sérülékenységet felszámolná.
Gyártási környezetben is
Az Armis megoldása más irányból közelíti meg a problémakört. A gyártó már régóta foglalkozik az asset management és a sérülékenység-priorizálás témakörével. Gyakorlatilag minden rendelkezésükre áll, ami egy hatékony CTEM-platform létrehozásához szükséges – és fontos megemlíteni, hogy a szokásos támadási vektorokon felül az OT, IoT és IoMT környezetekre is fel van készítve a rendszer (ilyen környezetek esetén akár on-prem verzió is megoldható).
A legtöbb konkurens megoldással szemben az Armis főleg a már meglévő infrastruktúrára támaszkodik és saját agentek helyett a különféle kibervédelmi eszközökkel integrálódik, és azok információit beépíti saját adatbázisába. Ezen felül hálózati forgalmi adatokból gyűjt saját információkat és mindezt felhasználva kaphatunk egységes képet a környezetünkről.
Kitekintésünket a Zscaler megoldásával zárjuk. A Zscaler esetében a CTEM megoldás velejét a gyártó által nyújtott data fabric szolgáltatás adja, amely az adott ügyfél által igénybe vett különböző szolgáltatásokból származó adatok kombinálásával segíti a törekvéseinket. A Zscaler Asset Exposure Management megoldást használva központi helyen láthatjuk, hogy milyen kitettségeink vannak a teljes vállalati környezetre vonatkozóan, de segít a problémák priorizálásban is.
Fényes jövő előtt
A CTEM-megoldások gyakorlatilag minden elemzőcég szerint gyorsan fognak terjedni a piacon. Legfőbb előnyük a védekezés hatékonyságának növelése és ezzel a költségmegtakarítás. Ugyanakkor használatukkal az elmúlt időszakban sűrűn emlegetett NIS2- és DORA-megfelelőség bizonyos pontjai is egyszerűbben megvalósíthatók, hiszen a hangsúly ott is a rendszeres kockázatértékelésen és az annak megfelelő védekezésen van.