Naujos kartos kibernetinio saugumo programos: kaip jas pasirinkti? ()
Remiantis pasaulinės tyrimų bendrovės „Gartner“ prognozėmis, daugiau nei 60 proc. organizacijų iki 2025 m. pabaigos pakeis naudojamas įprastas antivirusines programas į grėsmių galutiniuose taškuose aptikimo ir atsako programine įrangą (žinomą kaip EDR). EDR sprendimai leidžia kovoti ne tik su sistemose jau esančiais virusais, bet ir aptikti naujas grėsmes, kadangi EDR pastebi įvairius neįprastus procesus ar neįprastus veiksmus. Tokios alternatyvos įprastoms antivirusinėms sistemoms tampa vis populiaresnės.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Pasak Inos Leibovič, saugumo sprendimų tiekimo įmonės Distributor.lt vadovės, šių sprendimų paklausa išaugo dėl kelių veiksnių: „Kibernetinių nusikaltėlių išpuoliai tampa vis dažnesni ir sudėtingesni. Antra, kadangi trūksta IT darbo jėgos, procesų automatizacija tampa neišvengiama, o EDR leidžia supaprastinti reagavimą į saugos incidentus. Be to, EDR sprendimų kaina tapo prieinama ne tik didelėms organizacijoms, bet ir smulkiam verslui. Lietuvoje nuo užsienio madų neatsiliekama ir čia EDR rinka auga taip pat.“
Visgi kadangi tai nėra įprastos antivirusinės programos, prie kurių visi jau yra pripratę, iškyla viena problema: dažnai nėra aiškūs pasirinkimo kriterijai. Saugumo programinės įrangos gamintojas „F-Secure“ išskiria 7 svarbiausius dalykus, į kuriuos reikėtų atsižvelgti kiekvienai organizacijai, pasirenkant EDR sprendimą:
Integracija su kitomis saugumo platformomis
Turite būti tikri, kad jūsų organizacijos svarstomas EDR sprendimas yra suderinamas su jau organizacijoje naudojamomis programomis. EDR programinė įranga gali sklandžiai perduoti duomenis į tokias sistemas kaip SIEM (angl. (Security Information and Event Management), kas tiesiogiai sumažins jūsų IT komandos darbo krūvį ir neabejotinai padidins EDR efektyvumą.
Sprendimo agentas bus vienas pagrindinių aspektų
EDR agentas yra programinės įrangos komponentas įdiegtas kiekviename galiniame taške. Tai nėra privaloma, nes EDR sprendimai gali būti diegiami ir pasyviai tinkle, tačiau tai apribotų EDR programinės įrangos funkcionalumą. Kuomet EDR agentas yra įdiegtas į galinį tašką, jis gali surinkti daug daugiau duomenų apie vartotojo veiklą, greičiau reaguoti į aptinkamas kenkėjiškas veikas. Tuo tarpu beagenčių sprendimų pranašumas – greitas diegimas ir galimybė stebėti galinius taškus, kuriuose agentą sunku arba neįmanoma įdiegti.
Jūsų organizacijoje naudojamas programinės įrangos palaikymas – būtinas
Svarbi organizacijos užduotis yra pasirinkti programinę įrangą, suderinamą su daugeliu operacinių sistemų naudojamų organizacijoje. I. Leibovič pastebi, kad beveik visi EDR sprendimai nepalaiko bent kelių operacinių sistemų: „Jei jūsų organizacijos tinkle yra galinių taškų, kurie naudoja operacinę sistemą, kurios jūsų pasirinktas EDR gamintojas nepalaiko, tokiu atveju geriausia būtų pasirinkti beagentį EDR.“
Organizacijai taip pat gali būti svarbu žinoti, ar EDR sprendimas palaiko debesies aplinką: tai nėra būtinas funkcionalumas visoms bendrovėms, tačiau jeigu tai jums atrodo būtina, pasidomėkite, kokiame lygyje yra šios technologijos palaikymas. Verta pastebėti, kad kai kurie EDR sprendimai negali būti taikomi debesijos infrastruktūrai.
Sistemos naujinimai yra būtini
Kibernetiniai nusikaltėliai nuolatos bando įsilauži į organizacijų tinklus naudodami naujus metodus. Todėl bet kuri reguliariai neatnaujinama EDR sistema greitai pasensta ir tampa pažeidžiama pažangių grėsmių. Kad organizacija galėtų geriau ir greičiau reaguoti į pavojus, reikalingas EDR sprendimas, kuris reguliariai atnaujintų IoC (angl. Indicators of Compromise) rodiklius. Distributor.lt vadovė I. Leibovič tikina, kad šiais laikais daugelis sistemų yra atnaujinamos internetu, tad tai neturėtų būti didele problema, tačiau pasidomėti vis tiek vertėtų.
Platformos galimybės gali skirtis
Remiantis „F-Secure“ 2020 B2B rinkos tyrimu, 82 proc. organizacijų pageidautų „viskas viename“ (angl. All-in-One) programinės įrangos visiems savo IT saugumo poreikiams. Tad prieš įsigyjant EDR sprendimą, vertėtų papildomai pasidomėti kokiomis funkcionalumo galimybėmis jūsų pasirinkto EDR tiekėjas planuoja papildyti EDR sistemą ateityje ir kokios galimybės apskritai egzistuoja šiuo metu. Dalies jų jums gali netgi neprireikti, o kai kuriais atvejais tam tikroms įmonėms reikia specialiaus funkcionalumo, kuriuos siūlo tik kai kurie EDR gamintojai. Organizacija taip pat turėtų įvertinti programinės įrangos galimybes susidoroti su išaugusiu srautu, pavyzdžiui, didėjant nuotolinių įrenginių skaičiui.
Poveikis įrenginių ir serverių spartai
Jei pasirenkama EDR sistema reikalauja agentų diegimo, turite įvertinti jo naudojamus resursus. Įprasta EDR sprendimo procesoriaus apkrova yra maždaug 1 proc. Jei apkrova gerokai didesnė, tuomet yra tikimybė, kad jūsų pasirinktas sprendimas nėra gerai optimizuotas. Operatyviosios atminties poreikis priklauso nuo agento svorio, tačiau jis neturėtų viršyti 50 MB.
Techninis palaikymas reikalingas, jeigu problemų nenorite spręsti patys
Renkantis EDR sprendimą, būtina atkreipti dėmesį į suteikiamą techninio palaikymo lygį. Reikėtų atsakyti į klausimus:
- Ar bus suteiktas nemokamas techninis gamintojo palaikymas, jei jūsų EDR sprendimas bus pažeistas?
- Ar tokiu atveju už gamintojo konsultavimą bus apmokestinta jūsų įmonė?
Iš esmės, paprasčiausiai rekomenduojama rinktis tokį saugumo sprendimų gamintoją, kuris turi oficialius atstovus jūsų šalyje. Tokiu atveju į iškylančius incidentus reaguojama ženkliai greičiau ir sklandžiau.
Renkantis kibernetinio saugumo sprendimus, organizacijoms nevertėtų remtis saugumo gamintojo populiarumu rinkoje, vien tik vartotojo sąsajos patogumu, testais ar žema kaina. Svarbiausia suprasti kokią realią apsaugą ir naudą įsigyjamas sprendimas gali suteikti organizacijos saugumui ir kasdieniam IT komandos darbui.