Top 10 bezpečnostních projektů pro letošní a příští rok (2020/21)

Jak odpovídajícím způsobem zabezpečit naše na dálku přistupující zaměstnance, aniž byste snížili jejich pracovní produktivitu, jak identifikovat rizika a slabiny našich bezpečnostních funkcí? Tak přemýšlí řada CISO, když uvažuje o tom, kam namířit své úsilí, čas a zdroje.

„Snadno můžete strávit až příliš mnoho cenného času při nekonečných analýzách těch nejlepších voleb v oblasti bezpečnosti ve snaze dosáhnout dokonalé ochrany – která ale ve skutečnosti neexistuje. Zkuste raději zvýšit odolnost své organizace – podívejte se za rámec tradiční základní ochrany na inovativní přístupy v oblasti detekce hrozeb a reakce na ně, případně rychlé obnovy po bezpečnostních incidentech.“ Tak uvedl nejzajímavější část své přednášky o TOP 10 bezpečnostních projektech analytik a ředitel výzkumu Gartneru Brian Reed. Správně řízená informační bezpečnost by podle něj měla stát na podpoře byznysu a současné minimalizaci rizika – a na vysvětlení těchto priorit byznysu a nejvyššímu vedení, aby je chápalo a přistoupilo na ně namísto očekávání bezpečnosti absolutní, dokonalé. Protože jak napsal již Voltaire – dokonalé je nepřítelem dobrého. Navíc v bezpečnosti (a ostatně skoro všude) platí, že ze tří variant – dobře, rychle a levně můžete vždy zvolit jen dvě (a to ještě nanejvýš).

Jednou z možností je orientovat se podle plánovaných výdajů ostatních. Není to principálně špatný přístup (ostatně graf níže berou při výběru top 10 bezpečnostních projektů v úvahu i sami analytici), nicméně tím riskujete, že se povezete s hlavním proudem a nebudete příliš reflektovat své vlastní prostředí – tedy jaká data, uživatele a procesy chráníte.

Rok 2020 navíc přepsal řadu pravidel a priorit i ve světě bezpečnosti. Proto se seznam top 10 bezpečnostních projektů mezi lety 2019 a 2020-21 tak zásadně změnil…

Zároveň platí, že v přehledu top bezpečnostní projektů jsou věci, na než se můžete zaměřit ve chvíli, kdy máte hotové základní domácí úkoly z informační bezpečnosti, jsou to především:

Top 10 bezpečnostních projektů 2020-21

Pojďme se tedy podívat na seznam top projektů v oblasti informační bezpečnosti pro roky 2020-21, které ve své přednášce představil Brian Reed. Nejsou řazeny v žádném specifické pořadí a je možné se jim věnovat zcela individuálně – dle potřeb a potenciálního přínosu pro vaši organizaci.

1. Zabezpečení zaměstnanců pracujících na dálku (Securing your remote workforce)

Zaměřte se na byznys požadavky a potřeby a pochopte (zmapujte) jak uživatelé a týmy přistupují k datům a aplikacím. Nyní, když uplynulo několik měsíců od prvotního přechodu k práci na dálku je na čase potřeby zrevidovat a zjistit co se změnilo a zda jsou přístupová práva správně nastavena, případně zda naopak některá bezpečnostní opatření zaměstnance příliš neomezují.

2. Řízení zranitelností na základě rizika (Risk-based vulnerability management)

Nepokoušejte se opravit a zalepit vše – zaměřte se na zranitelnosti, které je možné reálně zneužít. Posuňte se od celkového či rámcového zhodnocování hrozeb a využijte TI (threat intelligence), aktivitu útočníků a cennost interních aktiv k vytvoření lepšího pohledu na skutečná rizika jimž vaše organizace čelí.

3. Rozšířená detekce a odezva (Extended detection and response, XDR)

XDR přestavuje sjednocenou platformu bezpečnosti a odezvy na incident jež sbírá a koreluje data z různých proprietárních komponent. Integrace na úrovni platformy probíhá v okamžiku nasazení (spíše než aby byla přidávána dodatečně). Konsoliduje se tak několik bezpečnostních produktů do jediného, co může pomoci dosahovat v oblasti bezpečnosti lepších výsledků. Organizace by proto měly tuto technologii zvážit pro zjednodušení a zeštíhlení bezpečnosti.

4. Správa stavu cloudové bezpečnosti (Cloud security posture management)

Organizace potřebují zajistit jednotný dohled nad IaaS a PaaS včetně podpory automatického vyhodnocování a remediace. Cloudové aplikace jsou ale velmi dynamické a vyžadují automatizovanou bezpečnost ve stylu DevSecOps. Může tak být složité zabezpečit veřejný cloud bez prostředků jež by zajistily jednotná pravidla napříč různými způsoby zabezpečení cloudu.

5. Zjednodušení dohledu nad přístupem ke cloudu (Simplify cloud access controls)

Řízení přístupu ke cloudu probíhá obvykle prostřednictvím CASB (Cloud Acceess Security Broker). Ti nabízejí dohled nad pravidly v reálném čase skrze in-line proxy s nastavenými pravidly a aktivním blokováním. CASB také nabízejí jistou flexibilitu – například v případě potřeby spustí monitorovací režim, který lépe pohlídá důvěryhodnost a oprávněnost přístupů.

6. DMARC (Domain-based message authentication, reporting and conformance).

Vůbec nejpoužívanějším kanálem pro ověřování přístupu zůstává e-mail, pro uživatele je přitom často těžké odlišit autentické vzkazy či výzvy od podvržených. DMARC (Domain-based message authentication, reporting and conformance) je pravidlem (politikou) pro ověřování e-mailů. Nejedná se o totální řešení e-mailové bezpečnosti – mělo by jít jen o jeden z dílků celkového zabezpečení. Nabízí ale dodatečnou vrstvu důvěry a ověření domény odesílatele. DMARC umí odhalit podvržení e-mailové domény, nevyřeší ale všechna bezpečnostní rizika spojená s e-maily.

7. Ověřování bez hesla (Paswordless authentication)

Zaměstnanci často neřeší, zda používají pro zabezpečení pracovního počítače stejné heslo jako pro svůj soukromý e-mailový účet – pro podnik se ale jedná o zásadní bezpečnostní riziko. Ověřování bez hesel, které může fungovat na různých principech, je z hlediska zabezpečení lepším řešením. Cílem by každopádně mělo být jak zvýšení důvěry a ochrany, tak zlepšení uživatelského zážitku.

8. Klasifikace a ochrana dat (Data classification and protection)

Všechna data si nejsou rovna. Bezpečnostní přístup který mezi nimi nerozlišuje povede tomu, že některá budou zabezpečena příliš striktně, zatímco jiná, pro podnik cennější, nedostatečně. Pravidla a definice byste měli určit na samotném začátku abyste podle nich mohli odpovídajícím způsobem zvolit a nasadit jednotlivé vrstvy bezpečnostních technologií.

9. Hodnocení dovedností zaměstnanců (Workforce competencies assessment)

Je třeba mít správné lidi, se správnými dovednostmi na správných pozicích. Těžké ale zásadní je zkombinovat tvrdé technické znalosti s měkkými vůdčími schopnostmi či zkušenostmi. Jen zřídka naleznete dokonalé kandidáty, pro každý projekt je ale možné definovat pět či šest nezbytných dovedností. Ty můžete vyhodnocovat různými způsoby, včetně kyber-rankingu, kybersimulací či měkčího subjektivního hodnocení dovedností.

10. Automatizace vyhodnocování bezpečnostních rizik (Automating security risk assessments)

Jde o jeden ze způsobů, jak pomoci bezpečnostním týmům pochopit rizika související se zabezpečováním a provozem, novými projekty či programovým rizikem. Hodnocení rizik je stále často přeskakováno, nebo prováděno jen v omezeném rozsahu. Jeho automatizace znamená i jistou míru automatizace řízení rizika a lepší vhled do slabých míst.