Każda osoba biorąca udział w procesie wyboru rozwiązań cybersecurity prędzej czy później zacznie zastanawiać się nad tym, które podejście do cyberochrony jest lepsze. Czy należy wdrażać najlepsze, wybrane z rynku rozwiązania punktowe o wąskiej specjalizacji, czy podejście platformowe, oznaczające konsolidację do jednego bądź kilku dostawców?
Pytanie towarzyszy nam już od 30 lat, od kiedy na rynku pojawił się ogrom rozwiązań security. Od mniej więcej dwóch trzech lat najwięksi dostawcy mocniej promują rozwiązanie platformowe “platform approach”. Czy to tylko slogan marketingowy, czy jest w tym ziarnko prawdy?
Czy w polskim firmach używamy zbyt wielu rozwiązań punktowych? Czy istnieje rozwiązania pośrednie, łączące zalety obu opcji?
Odpowiedzi na te pytania znajdują się w poniższym artykule przygotowanym na podstawie wystąpienia Tomasza Matuły podczas konferencji Trecom Security 360.
Rozwiązania punktowe/architektura punktowa - rozwiązania cyberbezpieczeństwa o wąskiej specjalizacji przeznaczone do zwalczania konkretnych, określonych zagrożeń (np. bezpieczeństwo aplikacji i API, Active Directory). W tym podejściu wdrażamy najlepsze rozwiązania w swojej klasie “best of breed”, łącząc kilkanaście, a nawet kilkadziesiąt rozwiązań od różnych dostawców.
Podejście platformowe/Platform Approach - dzielimy na dwie kategorie:
Skonsolidowane rozwiązania security - łączenie wielu rozwiązań lub usług w ramach jednej platformy, dostarczanej przez jednego lub kilku dostawców. Ujednolicone rozwiązanie zapewniające szersze spektrum ochronny, lepszą integrację i wydajność. W tym rozwiązaniu brakuje jednak specjalizacji cechującej rozwiązania punktowe.
Security as a service (SECaaS) - rozbudowana usługa chmurowa zapewniająca gotowe rozwiązania cybersecurity. Przykładem może być SASE czy ochrona przed atakami rozproszonej odmowy dostępów (DDos).
Rozwiązania cybersec dostępne w Polsce możesz obejrzeć na przygotowanej przez nas mapie "Krajobraz cyberbezpieczeństwa na rynku polskim", która dostępna jest tutaj: Przewodnik: Krajobraz rozwiązań bezpieczeństwa IT na rynku polskim.
Pierwszym aspektem, który CIO i CISO muszą wziąć pod uwagę wybierając rozwiązania cyberbezpieczeństwa jest dynamiczna zmiana, która obejmuje większość obszarów związanych z cybersec, czyli perspektywa zewnętrzna.
W ostatnich latach mamy do czynienia z postępującą migracją do chmur i rozwiązań software as a service (SaaS). Najpopularniejszym rozwiązaniem jest chmura hybrydowa, z którą wybiera około 70-80% firm na całym świecie. W takim modelu łączy się rozwiązania on-premise, chmury prywatne, chmury publiczne i rozwiązania SaaS.
W Polsce aż 95% firm korzysta z chmur hybrydowych.
Jakie ma to znaczenie w kontekście rozważań o cyberbezpieczeństwie?
Wiele osób mylnie sądzi, że migracja do chmury oznacza zawsze zwiększenie bezpieczeństwa lub uproszczenie zarządzania bezpieczeństwem. To błędne myślenie - w przypadku np. zarządzania tożsamością, bezpieczeństwo będzie bardziej skomplikowane - zarządzanie dzieli się na środowiska on premisowe, chmury prywatne i publiczne.
Sama migracja do chmury oznacza ryzyka, na które w bardzo wielu przypadkach nie jesteśmy jako organizacje przygotowani. W zeszłym roku aż 71% image kontenerów zawierało krytyczne podatności!
Wybierając rozwiązania cyberbezpieczeństwa trzeba również zwrócić uwagę na kwestię pracy.
Wszystkie analizy pokazują, że praca hybrydowa pozostanie z nami na zawsze. W Polsce około 46% pracowników twierdzi, że gdyby pracodawca zmusił ich do powrotu do pracy w biurze w pełnym wymiarze godzin, to po prostu zrezygnują z pracy.
Mamy więc do czynienia z “odmiejscowieniem” pracy, czyli możliwością wykonywania obowiązków zawodowych z dowolnego miejsca na świecie, co bardzo wpływa na krajobraz IT oraz cyberbezpieczeństwo.
Finalnie - gwałtownie rośnie ilość cyberzagrożeń. 77% wszystkich incydentów związane jest z trzema obszarami: software vulnarebility, phishing, credentials (kradzież danych uwierzytelnienia). Każdego dnia powstaje ok 100 tyś. wariantów nowego malware. Ale najbardziej porażającą daną jest średni czas wykrycia włamania, który wynosi… 287 dni!
To pokazuje, że coś jest nie tak - nie radzimy sobie do końca z naszym środowiskiem, aplikacjami i szybkim wykrywaniem włamania.
Wraz ze wzrostem liczby narzędzi służących do ochrony rośnie lawinowo tsunami alertów, eventów, zdarzeń. Szacuje się, że tylko 17% alertów obsługiwane jest automatycznie. Połączenie powyższych danych pokazuje jasno, że pozostała część alertów może pozostać bez odpowiedzi lub szybkiej reakcji - nie widzimy ich lub nie jesteśmy w stanie obsłużyć, nie reagujemy na czas, i pozostawiamy bez reakcji część z krytycznych powiadomień!
Wypełnij formularz, aby pobrać cały artykuł