A felgyorsult – és sokszor kényszerű – digitalizációt kísérő sietségnek és kapkodásnak sok esetben az informatikai biztonság issza meg a levét (már megint). Új alapokra fektetendő IT-biztonsági megközelítésre van szükség, amelynek középpontjában az egyetlen változatlan tényező: a dolgozó és az ő viselkedése áll.
Amíg a dolgozók kizárólag a munkahelyen és a munkahely által biztosított számítógépeken végezték feladataikat, a védekezés is könnyebb volt (legalábbis visszanézve úgy tűnik). Amíg a hálózatnak volt pereme, voltak bejáratai, addig azokat őrizni is lehetett, ha pedig mégis bejutott a fertőzés, a végpontokon kellett megállítani a terjedést.
Ez a filozófia már nem csupán a pandémia és a rohamléptekkel fejlődő digitalizáció miatt idejétmúlt, hanem a gyorsan fejlődő külső veszélyek miatt. Mind a nemzetállamok, mind a pénzünkre hajtó bűnözők digitális diverzáns képességei sokkal-sokkal előrébb járnak, mint a vállalati védelmi képességek fejlesztése. Az IT-biztonság nem termel bevételt, igaz? (Csak zárójelben: viszont nagymértékben képes lenne enyhíteni az incidensek miatt bekövetkező károkat.)
A következmény: már nem elég a végpontok és a hálózat védelmét külön-külön kezelni, hanem valamilyen módon az egészet egyben kellene. A behatolás megakadályozásánál fontosabb annak minél előbbi észlelése. Nem az a fő kérdés, hogy van-e vírus a gépen, hanem hogy a felhasználó jogosan használja-e, és tényleg az, akinek mondja magát.
Védelem új megközelítéssel
Teljes koncepcióváltásra van szükség. Olyan fejlett detektáló és reagáló rendszereket kell hadrendbe állítani, amelyek képesek összességükben kezelni a fenyegetéseket. Ha csak a múltbéli eseményeket próbáljuk feldolgozni (naplóelemzés, SIEM mond valamit?) azzal fontos időablakot veszítünk. Ha csak a hálózati információkat dolgozzuk fel, szintén hátrányba kerülünk a támadókkal szemben.
A fentieket felismerve a Palo Alto Networks körvonalazni kezdte a kiterjesztett detektálásra és reagálásra megoldást kínáló csomagját. Ezt az elmúlt években a piac több szereplője is próbálta a saját kiindulási pontjának megfelelően követni. Így lett az EPP-ből (végpontvédelem) EDR (endpoint detection and response), az NTA-ból (hálózati forgalomelemzés) NDR (bizonyára kitalálták: network detection and response). Mindkét fejlődési irány hamar felismerte, hogy öntanuló algoritmusok nélkül a detektálási képességeik nem igazán haladják meg a jó öreg heurisztikus megoldásokét. A szükséges adatok begyűjtéséhez és korrelálásához viszont a megvédeni kívánt infrastruktúrával összemérhető nagyságú védelmi rendszert kellene kiépíteni. Valahogy el kell dönteni, hogy mi a gyanús mozgás, művelet. Így született meg az U(E)BA, a felhasználók és egyéb monitorozható entitások viselkedéselemzése. Ezt igyekeznek megvalósítani az XDR, a mindent (is) detektáló és reagáló megoldások.
Versengő XDR megoldások
Nem merem egyértelműen letenni a voksomat egyik megoldás mellett sem. Egyik erősebb hálózati alapokkal rendelkezik (Rapid7 InsightIDR), a másik a végpontokra lett kihegyezve (SentinelOne Singularity), a harmadik nem a felhőben, hanem saját infrastruktúrán kínál hadiipari szintű védelmi funkciókat (Fidelis Elevate Active XDR). És ott van még a trendformáló Palo Alto Networks Cortex platformja is.
Egy biztos: a szakma felkészült a védelmi koncepcióváltásra, és együtt megtaláljuk azt az utat is, amelyen a vállalatoknak a digitalizáció korában érdemes elindulniuk, ha védelmi képességeiket növelni, de legalábbis az egyéb fejlődési erőfeszítésekkel szinten tartani szeretnék.
A blogbejegyzés az IT Business cikkének átdolgozott változata.