Analytici Gartneru podnikům a organizacím doporučují zaměřit se na agilní pojetí kybernetické bezpečnosti a nahradit tradiční bezpečností produkty a řešení novější generací systémů EPP a EDR (ochrana koncových bodů, včetně rychlé odpovědi na útoky), nebo použít strategický model CARTA (soustavné adaptivní vyhodnocování rizika a důvěry) a sestavit podle něj ochranu na bázi predikce, prevence, detekce a reakce.
Brian Reed ve své přednášce představil níže uvedený seznam doporučech top projektů v oblasti informační bezpečnosti pro roky 2020-21. Ty nejsou řazeny v žádném specifické pořadí a je možné se jim věnovat zcela individuálně – dle potřeb a potenciálního přínosu pro konkrétní organizaci. Pro úsůěšn ou implementaci bezpečnostní projektů (stejně jako i jinde) platí obecná pravda, že ze tří variant – dobře, rychle a levně můžete vždy zvolit jen dvě (a to ještě nanejvýš).
1. Zabezpečení zaměstnanců pracujících na dálku (Securing your remote workforce)
Zaměřte se na byznys požadavky a potřeby a pochopte (zmapujte) jak uživatelé a týmy přistupují k datům a aplikacím. Nyní, když uplynulo několik měsíců od prvotního přechodu k práci na dálku je na čase potřeby zrevidovat a zjistit co se změnilo a zda jsou přístupová práva správně nastavena, případně zda naopak některá bezpečnostní opatření zaměstnance příliš neomezují.
2. Řízení zranitelností na základě rizika (Risk-based vulnerability management)
Nepokoušejte se opravit a zalepit vše – zaměřte se na zranitelnosti, které je možné reálně zneužít. Posuňte se od celkového či rámcového zhodnocování hrozeb a využijte TI (threat intelligence), aktivitu útočníků a cennost interních aktiv k vytvoření lepšího pohledu na skutečná rizika jimž vaše organizace čelí.
3. Rozšířená detekce a odezva (Extended detection and response, XDR)
XDR přestavuje sjednocenou platformu bezpečnosti a odezvy na incident jež sbírá a koreluje data z různých proprietárních komponent. Integrace na úrovni platformy probíhá v okamžiku nasazení (spíše než aby byla přidávána dodatečně). Konsoliduje se tak několik bezpečnostních produktů do jediného, co může pomoci dosahovat v oblasti bezpečnosti lepších výsledků. Organizace by proto měly tuto technologii zvážit pro zjednodušení a zeštíhlení bezpečnosti.
4. Správa stavu cloudové bezpečnosti (Cloud security posture management)
Organizace potřebují zajistit jednotný dohled nad IaaS a PaaS včetně podpory automatického vyhodnocování a remediace. Cloudové aplikace jsou ale velmi dynamické a vyžadují automatizovanou bezpečnost ve stylu DevSecOps. Může tak být složité zabezpečit veřejný cloud bez prostředků jež by zajistily jednotná pravidla napříč různými způsoby zabezpečení cloudu.
5. Zjednodušení dohledu nad přístupem ke cloudu (Simplify cloud access controls)
Řízení přístupu ke cloudu probíhá obvykle prostřednictvím CASB (Cloud Acceess Security Broker). Ti nabízejí dohled nad pravidly v reálném čase skrze in-line proxy s nastavenými pravidly a aktivním blokováním. CASB také nabízejí jistou flexibilitu – například v případě potřeby spustí monitorovací režim, který lépe pohlídá důvěryhodnost a oprávněnost přístupů.
6. DMARC (Domain-based message authentication, reporting and conformance)
Vůbec nejpoužívanějším kanálem pro ověřování přístupu zůstává e-mail, pro uživatele je přitom často těžké odlišit autentické vzkazy či výzvy od podvržených. DMARC (Domain-based message authentication, reporting and conformance) je pravidlem (politikou) pro ověřování e-mailů. Nejedná se o totální řešení e-mailové bezpečnosti – mělo by jít jen o jeden z dílků celkového zabezpečení. Nabízí ale dodatečnou vrstvu důvěry a ověření domény odesílatele. DMARC umí odhalit podvržení e-mailové domény, nevyřeší ale všechna bezpečnostní rizika spojená s e-maily.
7. Ověřování bez hesla (Paswordless authentication)
Zaměstnanci často neřeší, zda používají pro zabezpečení pracovního počítače stejné heslo jako pro svůj soukromý e-mailový účet – pro podnik se ale jedná o zásadní bezpečnostní riziko. Ověřování bez hesel, které může fungovat na různých principech, je z hlediska zabezpečení lepším řešením. Cílem by každopádně mělo být jak zvýšení důvěry a ochrany, tak zlepšení uživatelského zážitku.
8. Klasifikace a ochrana dat (Data classification and protection)
Všechna data si nejsou rovna. Bezpečnostní přístup který mezi nimi nerozlišuje povede tomu, že některá budou zabezpečena příliš striktně, zatímco jiná, pro podnik cennější, nedostatečně. Pravidla a definice byste měli určit na samotném začátku abyste podle nich mohli odpovídajícím způsobem zvolit a nasadit jednotlivé vrstvy bezpečnostních technologií.
9. Hodnocení dovedností zaměstnanců (Workforce competencies assessment)
Je třeba mít správné lidi, se správnými dovednostmi na správných pozicích. Těžké ale zásadní je zkombinovat tvrdé technické znalosti s měkkými vůdčími schopnostmi či zkušenostmi. Jen zřídka naleznete dokonalé kandidáty, pro každý projekt je ale možné definovat pět či šest nezbytných dovedností. Ty můžete vyhodnocovat různými způsoby, včetně kyber-rankingu, kybersimulací či měkčího subjektivního hodnocení dovedností.
10. Automatizace vyhodnocování bezpečnostních rizik (Automating security risk assessments)
Jde o jeden ze způsobů, jak pomoci bezpečnostním týmům pochopit rizika související se zabezpečováním a provozem, novými projekty či programovým rizikem. Hodnocení rizik je stále často přeskakováno, nebo prováděno jen v omezeném rozsahu. Jeho automatizace znamená i jistou míru automatizace řízení rizika a lepší vhled do slabých míst.
Zdroj: KPC-Group/Gartner
PŘEDPLATNÉ
ČLÁNKY DO MAILU