Kvalitních bezpečnostních expertů je na trhu jako šafránu. I když je seženete, nikdy nemohou obsáhnout takovou šíři analýzy, detekce a následné reakce na incidenty jako automatizovaná řešení, říká Michal Lukáš, Head of Presales společnosti Kaspersky pro region východní Evropy.
V čem je využívání služeb monitoringu, detekce a reakce výhodnější než práce interního experta na IT security?
Nikdy není dobré mít jen jednoho člověka, který vše sleduje a musí být vždy k dispozici. Velké firmy mají rozsáhlé bezpečnostní týmy, které pracují na směny a v každém okamžiku jsou připraveny okamžitě reagovat na jakýkoli incident. Malá nebo střední firma si je dovolit nemůže, dokonce často nemá ani jednoho takového experta schopného kvalitní bezpečnostní analýzy. Doba její reakce na incident je příliš dlouhá a čas jsou peníze. V tomto případě čím déle trvá řešení incidentu, tím větší škoda vzniká.
Úplně ale člověka nahradit nelze, nebo ano?
V žádném případě. Ale takzvané EDR výrazně ulehčuje práci IT bezpečnostním manažerům. Díky němu získají přehled a informace o incidentech společně s možností okamžitého vyšetřování a automatizovaných reakcí. Například pokud se objeví podezřelý soubor, odesílá ho do Kaspersky Sandbox. Ten ho pak automaticky spustí v izolovaném prostředí, aby ověřil jeho škodlivé chování nebo charakter. Nebo dokáže izolovat koncový bod, třeba notebook konkrétního zaměstnance, který je na home office, protože u něj objevil potenciální malware a vyšetří ho, aniž by zůstával napojený na firemní infrastrukturu a malware se mohl šířit dál.
Musí někdo sedět v kanceláři a kontrolovat, co EDR zachytí?
Nemusí, protože Kaspersky Endpoint, Detection and Response lze ovládat vzdáleně prostřednictvím konzole pro správu Kaspersky Security Center v cloudu. Ale samozřejmě zachováváme i možnost ovládání přímo v dané firmě.
Letos jste uvolnili pro malé a střední firmy také Kaspersky Managed Detection and Response (MDR), nepřetržitou ochranu založenou na strojovém učení.
Je to takový umělý expert na bezpečnostní hrozby. Odvede práci na analýze, vyšetřování a potlačování hrozeb za interní bezpečnostní tým a využívá při tom všech expertních znalostí analytiků společnosti Kaspersky. Má tedy k dispozici nejnovější informace a ví, jak reagovat na konkrétní typ incidentu. Zajišťuje okamžitou reakci, nedochází k žádným prodlevám, a tím pádem se zásadně snižují případné škody způsobené úspěšným útokem na firemní síť a koncové body. Rychlost je opravdu důležitá, protože podle našich zjištění se průměrné náklady na řešení incidentu zvyšují o 400 tisíc dolarů, pokud je odhalen až týden od útoku, a nikoli v tentýž den, kdy k němu dojde.
A reaguje tedy umělá inteligence, nebo vaši experti?
To je různé. MDR obsahuje funkci AI Analyst, která nabízí automatické řešení výstrah a umožňuje analytikům soustředit se na nejvážnější problémy. Známé hrozby tedy řeší „stroj“, u novějších a sofistikovanějších jde o kombinaci technologií a odborných znalostí našeho týmu. Poskytujeme tak zákazníkům ochranu před hrozbami, které se snaží vyhýbat se detekci například tím, že napodobují legitimní programy.
Jak to tedy prakticky funguje, když dojde k zachycení nějaké hrozby?
Po prošetření obdrží zákazníci na specializovaném portálu MDR upozornění na incident a komplexní návod, jak na něj reagovat. Potřebné reakce se pak mohou spustit prostřednictvím agenta pro detekci a reakci na koncovém bodu (EDR). Zákazníci také mohou zkombinovat MDR se službou Kaspersky Incident Response a tímto způsobem plně outsourcovat vyšetřování, forenzní analýzu a eliminaci bezpečnostních incidentů.
Michal Lukáš
Michal Lukáš vespolečnosti Kaspersky působí na pozici Head of Presales pro region východní Evropy. Má na starosti předprodeje produktů a služeb značky Kaspersky v 21 zemích střední a východní Evropy, kde firma působí. Předtím od roku 2013 zastával funkci Presales Manager & Certified Trainer Kaspersky pro region východní Evropy.
