Datafox - blogi

Turvaintsidentide tuvastus- ja reageerimisteenus laseb IT-tiimil suvel rahulikult puhata

mai 22, 2024

Enamik küberrünnakud tehakse öösiti, nädalavahetustel ja puhkuste ajal, kuna siis on sageli pärsitud ettevõtete IT-võimekus rünnetele kiirelt reageerida. Kuna algamas on puhkusteperiood, annab küberturbe- ja võrgulahenduste müügijuht Raido Vahi nõu, mida ennetavalt IT-süsteemide kaitsmiseks teha, et IT-osakonna suvepuhkus ei lõpeks enne, kui see sisuliselt jõuab alata.

Kübermaailmas järjest enam tooni andvate lunavararünnete ohvriks on küberturbelahenduste pakkuja Sophose andmetel langenud juba 2/3 ettevõtetest, kusjuures “edukate” rünnete osakaal on kasvanud 76%-ni, kui on õnnestunud andmed ka krüpteerida. Ründeid iseloomustab see, et kui pahalasel on õnnestunud IT-süsteemidessetungida, tuleb edasise kahju minimeerimiseks reageerida mõne minuti jooksul – siit ka põhjus, miks valitakse ründamiseks aeg, mil suuremat osa IT-meeskonnast enamasti tööl pole. See omakorda eeldab, et rünnete edukaks tõrjumiseks peaks ööpäevaringelt töötama küberturbe keskus (SOC), mille loomine ei ole kindlasti igale ettevõttele jõukohane ega ka majanduslikult mõistlik. Seetõttu on pahavarakaitse järjest enam muutumas tarkvaratootest teenuseks, mis tegeleb pideva logide kontrolli ja keskse turvamonitooringuga ning intsidendi korral reageerib sellele, ehk tõrjub ründe.

Turvaintsidentide tuvastus- ja reageerimisteenus pakub 24/7 valmisolekut 

Datafox pakub koostöös Sophosega turvaintsidentide tuvastus- ja reageerimisteenust MDR lõppseadmete, serverite, võrkude, pilveteenuste, töövoogude, e-posti kontode, identiteedihalduse süsteemide jne 24/7/365 kaitsmiseks. Kuna Sophose tööriistad blokeerivad automaatselt valdava enamuse turvaohtudest, saavad analüütikud keskenduda konkreetsele ettevõttele suunatud keerukamatele rünnetele, mida suudavad tuvastada ja peatada ainult eksperditasemel pädevust omavavad inimesed. Kui ettevõtte oma jõul avastatakse turvaintsidendid ja lahendatakse keskmiselt 16 tunniga, siis Sophoses tuvastatakse oht tavaliselt minutiga, selle uurimiseks kulutavad analüütikud 25 minutit ning 12 minutiga rünne peatatakse, nii et kogu intsidendi käsitlemine võtab keskmiselt aega 38 minutit. Samuti annavad analüütikud juba ennetavalt soovitusi erinevate turvariskide vähendamiseks ilma, et turvaintsidente peaks üldse ilmnema. 

Sophose teenust saab integreerida erinevate tulemüüride, pilvekeskkondade, identiteedihalduse süsteemide, võrguturbe lahenduste ja e-posti tarkvaradega. Lisaks Sophose enda toodetele sobib see kokku paljude juhtivate turvatarkvaradega.

Teenusel on kaks alternatiivset lahendust. Esimesel juhul jälgivad Sophose analüütikud reaalajas ettevõtte serverite, tööjaamade, võrguseadmete, kesksüsteemide jne logisid ning võtavad turvaintsidendi ilmnedes ühendust ettevõtte määratud kontaktisikutega ja küsivad luba ründele reageerimiseks, mis enamasti eeldab ka osade seadmete või ühenduste ajutist blokeerimist. Teiseks juhul asutakse koheselt rünnet tõrjuma, mis võib näiteks andmevarguse või lunavaraga krüpteerimise puhul tähendada ajutiselt tervete IT-süsteemide seiskamist, kuid kahtlemata üritatakse sel viisil ettevõtte IT-taristusse sekkuda minimaalselt vajalikus ulatuses.

Loomulikult on pahavarakaitse teenusena koos 24/7 töötava monitooringu- ja turvatiimiga mõnevõrra kallim kui lihtsalt turvatarkvara litsentside ostmine kuid . Turvatarkvara ning rünnete tuvastamise ja tõkestamise võimekusega (IDS/IPS) tulemüür suudavad küll avastada suure osa rünnetest ning paljud neist ka blokeerida, ent taolisel suutlikkusel on ka selge piir. Haavatavuste haldust, turvapaikamist ja intsidentide lahendamist saavad teha vaid inimesed ning seda eriti keerukate sihitud rünnete korral. Väikese ja keskmise suurusega ettevõttel puhul moodustab MDR-teenuse maksumus vähem kui poole ühe infoturbespetsialisti palgakulust. Arvestada tuleb seda, et ühe inimesega ei ole võimalik ööpäevaringselt toimivat küberturbe keskust üles ehitada, vaid see eeldab terve tiimi olemasolu, mistõttu teenusena kujuneb SOC mitmeid kordi soodsamaks. Lisaks kuluefektiivsusele vabastab SOC-võimekuse sisseostmine ettevõtte enda IT-tiimi tulekahju kustutamisest, nii et neil on võimalik rohkem keskenduda IT kaudu äri toetamisele ja arendamisele.

Veelgi enam, Sophose MDR sisaldab ka IT-süsteemidesse sissemurdmise kindlustust. See tähendab, et kui teenust kasutava ettevõtte IT-taristus on teadolevad turvahaavatavused korrapäraselt paigatud, makstakse “eduka” küberründe korral kindlustushüvitist kuni miljon dollarit aastas, kuni 100 000 dollarit iga lunavararünde korral või kuni 1000 dollarit iga IT-seadme kohta. Kusjuures märkimisväärne on ka see, et välja varasemalt nõuet välja makstud ei ole, kuna edukaid ründeid ei ole teenuse olemasolul juhtunud.

Turvaintsidentide tuvastus- ja reageerimisteenuse juurutamine on kiire, ent see võtab koos korraliku seadistamise ja häälestamisega siiski keskmiselt mõned nädalad aega. Seetõttu tasuks juba praegu mõelda teenuse soetamisele, et see suvepuhkuste ajal korralikult toimiks ning IT-meeskond saaks rahulikult talvest taastuda. 

Soovid, et ettevõtte IT-juht ja tema kolleegid saaksid suvel rahulikult puhata? Võta minuga ühendust e-posti aadressil raido.vahi@datafox.ee ning leiame sobiliku lahenduse küberohtude ennetamiseks.