Gartner reports that "Buyers face challenges in selecting managed detection and response (MDR) services to meet their needs due to the quantity and variety of providers, and the different delivery models, available in the market." To avoid changing providers because of failed expectations, we provide you with a list of critical questions to consider when selecting an MDR provider. You should also evaluate the service as a whole and try it with a pilot.
Ennakointi, havainnointi, reagointi – kyberturvan mahdollistava mantra
Elokuu 9, 2018 at 15:02
Kyberturvallisuuden suunnittelussa on kriittisen tärkeää ottaa lähtökohdaksi todelliset uhat ja yrityksen liiketoiminta. Näin kyberpuolustuksen panostukset suunnataan liiketoiminnan kannalta kriittisiin osiin ja niihin kohdistuviin aitoihin uhkiin.
Yritysten tietoturvallisuus on perinteisesti keskittynyt vahvasti estäviin kontrolleihin - on yritetty rakentaa suuri ja vahva muuri, joka pitää pahan poissa. Ajatus muurista voi tarjota mielenrauhaa mutta vain hetken, sillä todellisuudessa se ei toimi.
Tietoturvan kannalta on tärkeää ymmärtää, että täydellisen turvallisuuden rakentaminen on mahdotonta. Jo pelkästään sen tavoittelu vaatii organisaatiolta äärimmäisyyksiin meneviä kontrolleja, jotka eivät sovellu normaaleihin toimintaympäristöihin. Mikäli yritys on panostanut kaiken energiansa ja resurssinsa estäviin kontrolleihin, ja ne silti pettävät, ei yrityksellä ole enää kyvykkyyttä havaita tietomurtoja saati reagoida niihin oikein. Tämä käy ilmi eri tutkimuksista, jotka kertovat karua tarinaa siitä, miten tietomurtojen keskimääräinen havaitsemisaika on nykyisin noin 200 päivää.
Viimeisen parin vuoden aikana yhä useammat yritykset ovat tunnustaneet tämän faktan ja aloittaneet investoinnit valvonta- ja reagointikykyyn. Koska oman kyvykkyyden rakentaminen on hyvin haastavaa, ostaa suurin osa yrityksistä sen palveluntarjoajalta. Niin kuin missä tahansa ulkoistuksessa, myös valvontapalveluiden kohdalla on oleellista varmistaa, että ostettava palvelu oikeasti vastaa yrityksen tarpeita ja pystyy tuottamaan tarvittavan kyvykkyyden.
Ei turvaa ilman valvontaa
Kyberpuolustuksen keskeisenä osa-alueena valvontapalveluita on hyvä tarkastella liiketoiminnan ja yrityksen riskienhallinnan näkökulmasta. Jotta valvonta kykenee havaitsemaan ja hallitsemaan liiketoiminnalle kriittiset uhat, yrityksen on ensin ymmärrettävä mitkä järjestelmät, prosessit ja ihmiset itse asiassa ovat kriittisiä ja mitkä uhat ovat realistisia. Toisin sanoen jokainen yritys joutuu puntaroimaan itse onko sen liiketoiminnan kannalta esimerkiksi tärkeintä suojautua yritysvakoilulta, torjua yleiset massahyökkäykset vai pitää logistiikkaketju käynnissä.
Kyberpuolustuksen onnistumisen kannalta on tärkeää varmistaa, että valvontapalvelulla on tarpeellinen näkyvyys järjestelmiin ja ymmärrys niiden kriittisyydestä. Näkyvyys voidaan tuottaa monella tapaa, esimerkiksi verkkotasolla tai lokitietojen kautta. Oleellista on miettiä näkyvyyttä uhkien kautta, eli miten uhat käytännössä voivat realisoitua ja mistä se voidaan havaita.
Hyvin oleellista on myös valvontapalvelun palvelutaso (SLA) ja sen suhteuttaminen liiketoiminnan kriittisyyteen. Käsiteltäessä kriittisten toimintojen liiketoiminnan jatkuvuutta puhutaan usein toipumisvaatimuksista (RTO), eli siitä miten nopeasti liiketoiminta tulee voida palauttaa toimintaan häiriötilanteiden jälkeen. Valvonnan palvelutaso tulee suhteuttaa tähän toipumisvaatimukseen. Jos yrityksen toipumisvaatimus on esimerkiksi 24 tuntia, tulee valvontapalvelun käytännössä toimia vuorokauden ympäri ja tarjota valvonnan ohella kyvykkyys reagoida ja hoitaa tietoturvapoikkeamia. Jos näin ei ole, ei toipumisvaatimusta voida täyttää esimerkiksi viikonloppuisin.
Kun yritys on pitänyt huolta kaikesta edellä mainitusta eli varmistanut, että valvontapalvelu kattaa sen liiketoiminnalle kriittiset osa-alueet ja tarjoaa riittävän palvelutason, on aika testata palvelua käytännössä. Testauksen avulla yritys voi varmistua, että valvonta todella havaitsee poikkeamat ja että niihin reagoidaan asianmukaisesti.
Testauksen lisäksi palvelulta on hyvä edellyttää jatkuvaa raportointia. Minimitaso raportoinnissa kattaa havaitut poikkeamat, mutta siihen ei tulisi tyytyä. Valvontapalvelun tulisi tuottaa organisaatiolle tietoa myös yleisestä uhkatilanteesta, uusista hyökkäysmenetelmistä ja organisaation oman uhkakuvan muutoksista. Nämä tiedot ovat erittäin oleellisia, jotta yritys voi varmistaa, että sen kyberpuolustus ja havainnointikyky pysyvät kunnossa jatkuvasti muuttuvien kyberuhkien keskellä.
Alkuperäinen julkaistu 13.04.2018 tivi.fi
Haluatko saada viimeisimmät kyberturvauutiset ja blogit suoraan sähköpostiisi kerran kuussa? Tilaa Nixun uutiskirje »