Увеличьте рентабельность инвестиций в инструменты безопасности с помощью этих 7 советов

Dec 02 2022

Сто пятьдесят один миллиард долларов! Именно столько, по прогнозам, будет потрачено на продукты и услуги, связанные с кибербезопасностью, в глобальном масштабе в 2021 году. По правде говоря, получение новейших инструментов не полностью повышает уровень безопасности любой организации автоматически.

Если организация тратит много денег на инструменты безопасности, цель состоит в том, чтобы получить отдачу от инвестиций, которая оправдывает первоначальные объемы и будущие периодические расходы, верно? Возникает вопрос: как себя чувствуют организации, потратившие тысячи, а то и миллионы долларов на приобретение лучших в своем классе инструментов безопасности, но все равно подвергающиеся взлому? Доставлено нулевое значение, да? Но это не совсем так. Эти инструменты не являются волшебной палочкой для защиты от злоумышленников. Они должны быть дополнены определенными элементами, чтобы обеспечить получение полной ценности инструмента.

В пунктах, перечисленных ниже, я делюсь полезными советами о том, как получить максимальную отдачу от любых инвестиций в техническую безопасность, от межсетевых экранов до XDR, SIEM и так далее.

1. Во-первых, убедитесь, что инструмент действительно нужен

Не покупайте инструмент только потому, что он «высоко оценен» или потому, что его покупают ваши коллеги по отрасли. Не покупайте инструмент только потому, что он привлекательный, блестящий или воплощает модные слова, такие как «искусственный интеллект», «машинное обучение», «цепочка блоков» и т. д.

Прежде чем инвестировать в какой-либо инструмент, необходимо решить проблему! Если нет проблемы, требующей решения, то нет необходимости тратить деньги на технические решения для обеспечения безопасности.

2. Назначьте эксперта для активного владения инструментом и управления им.

Я видел случаи, когда инструменты безопасности были куплены, а затем оставлены без присмотра, пока не произошел инцидент, и не возникла необходимость проверить определенные журналы или события в этом инструменте. Это не тот путь. Прежде чем делать такие инвестиции, убедитесь, что на месте находится хотя бы один обученный сотрудник, который будет отвечать за ежедневный мониторинг, администрирование и обслуживание решения по мере необходимости.

Наличие выделенного эксперта, ответственного за решение, имеет большое значение, поскольку он сможет выявить потенциальные проблемы на раннем этапе жизненного цикла инцидента и приложить все усилия для их предотвращения. Какой смысл тратить кучу денег на инструмент, если нет персонала, который помог бы извлечь из него выгоду?

3. Регулярно оптимизируйте инструмент для повышения производительности и ценности

Когда вы покупаете машину, после того, как вы наберете пробег, вы идете на техническое обслуживание, верно? Автомеханик проверяет уровень масла, тормозные колодки, развал-схождение и балансировку колес и многое другое (эй, я уже автоэксперт ;) ), чтобы обеспечить оптимальную работу автомобиля, пока он снова не придет на техническое обслуживание.

То же самое относится и к инструментам безопасности. Вы должны проводить периодическую проверку этих инструментов, чтобы убедиться, что они работают должным образом. Вы должны убедиться, что все модули полностью активированы и работают по назначению. Проверьте наличие неправильных конфигураций, критических модулей, которые не включены, элементы управления доступом (больше похоже на проверку доступа, чтобы гарантировать, что только те, кому нужен доступ к инструментам, получают доступ только с необходимыми правами и привилегиями). Это следует делать, возможно, один или два раза в год, и это в значительной степени обеспечит оптимальную производительность решения.

4. Сделайте из инструмента рабочую рутину/процесс (настоятельно рекомендуется)

При работе с определенной организацией, если бы мы купили новое решение для обеспечения безопасности, например, средство защиты от вредоносных программ, моя команда и я должны были бы предоставлять ежеквартальный отчет о вредоносном ПО вышестоящему руководству, чтобы показать ценность, которую оно приносит организации. Мы бы выделили количество потенциальных инцидентов с вредоносными программами, которые могли проявиться, количество активов, не защищенных решением, что было сделано для устранения выявленных проблем и многие другие полезные цифры/статистику. То же самое относится и к другим приобретенным инструментам. Целью этого было показать, что мы активно ищем потенциальные проблемы и своевременно реагируем на них. Вот почему инструмент был куплен, а?

В дополнение к тому факту, что мы сообщали о ценности инструмента вышестоящим руководителям, мы также косвенно давали им очень веские причины одобрить обновление инструмента, не задавая слишком много вопросов. Главное здесь заключается в том, что кто-то/команда активно сообщала о ценности инструмента безопасности, оставаясь при этом наблюдательной. Если бы инструмент использовался пассивно, заинтересованным сторонам было бы трудно понять важность таких инструментов, а в некоторых случаях они могли бы счесть их «ненужными инвестициями».

5. Техническое обслуживание. Обслуживание. Обслуживание:

Это применимо только в том случае, если решение установлено локально. OEM-производители средств безопасности, как и любые другие OEM-производители, выпускают регулярные периодические обновления для улучшения функций и устранения проблем с безопасностью. Не ждите 2023 года, чтобы установить пакет обновлений 2022 года. Подождите некоторое время (может быть, неделю) и понаблюдайте за отзывами онлайн-сообщества решения, чтобы увидеть, не сломает ли что-нибудь обновление/обновление, и установите или подождите дальше, основываясь на своем наблюдении. Всегда следите за тем, чтобы установка была в хорошем состоянии.

6. Проводить периодические технологические оценки

Я вернусь к моему примеру с защитой от вредоносных программ. Насколько я помню, защита от вредоносных программ начиналась с технологии обнаружения сигнатур. Через некоторое время эвристическое обнаружение стало массово применяться многими антивирусными поставщиками. Затем мы начали наблюдать обнаружение программ-вымогателей из-за большого количества случаев программ-вымогателей. Многие другие инновации в области защиты от вредоносных программ произошли с момента изобретения решений для защиты от вредоносных программ до настоящего времени.

Моя точка? Всегда проводите периодические исследования, чтобы убедиться, что ваш инструмент безопасности оснащен последними инновациями в своей области, которые обеспечивают лучшую и более эффективную работу. Например, современные SIEM могут иметь встроенный AI/ML. Вы же не хотите быть пойманным на использовании традиционного SIEM в такие времена, когда атаки становятся все более изощренными.

7. Обучите персонал, который будет администрировать инструмент

Что может быть лучше, чтобы гарантировать, что специалист, назначенный для управления и администрирования недавно приобретенных инструментов безопасности, выполнит эту работу наиболее удовлетворительным образом? Тренируйте их!

Имеет смысл включить обучение в состав результатов при подготовке контракта с поставщиком на развертывание любого инструмента безопасности.

Эй, можно я открою тебе секрет? Некоторые поставщики инструментов безопасности могут просто предоставить вам обучение (в основном виртуальное) бесплатно, если вы обязуетесь покупать их инструмент и поддержку. Не говори им, что я сказал тебе ;).