Jak więc CSO mają zamiar poradzić sobie z problemami związanymi z zarządzaniem incydentami? Menadżerowie ds. bezpieczeństwa zauważają wiele zmian, które należy wprowadzić, by zarządzanie incydentami przebiegało sprawnie i skutecznie. Dla większości ankietowanych w badaniu przeprowadzonym przez Trend Micro i CSO Council, najpilniejszym rozwiązaniem jest zwiększenie personelu odpowiedzialnego za obsługę alertów. Aż 63 proc. ankietowanych wskazało, że chciałoby powiększyć aktualne zatrudnienie w firmie i oddelegować do takiej pracy większą liczbę specjalistów ds. cyberbezpieczeństwa, w celu odciążenia dotychczasowych zespołów.
Prawie tyle samo chce minimalizować liczbę fałszywych alertów – 62 proc. ankietowanych wskazuje, że proces zarządzania incydentami uda usprawnić się dzięki postawieniu na narzędzia do automatycznej priorytetyzacji i klasyfikacji zdarzeń. Taka sama część ankietowanych jako rozwiązanie widzi możliwość korelacji wszystkich typów danych z różnych systemów. Wśród kolejnych najczęściej udzielanych odpowiedzi znalazły się również szybsza i zautomatyzowana reakcja na zdarzenia, pozwalająca na redukcję potencjalnych błędów ludzkich, a także centralizacja zarządzania zdarzeniami.
„Często wraz ze wzrostem obserwowanych incydentów zasoby pozostają na niezmienionym poziomie – zarówno pod względem liczby analityków, jak i systemów, które mają im pomagać. Ja osobiście jestem zwolennikiem automatyzacji w procesie wykrywania incydentów. Uważam, że aspekt ludzki jest potrzebny i konieczny, ale dopiero na etapie, kiedy pojawia się konkretny incydent i wiemy, że coś istotnego zagraża organizacji. Automatyzacja świetnie sprawdza się na pierwszej linii frontu, pozwalając analitykom zająć się najtrudniejszymi przypadkami, które wymagają poświęcenia większej uwagi” – wskazuje Robert Kanigowski, Kierownik ds. Bezpieczeństwa Informacji i Zarządzania Ciągłością Biznesu w Provident.
CSO zauważają więc, że wsparcie jakie może dać holistyczna platforma do zarządzania incydentami, oparta o automatyzację, moduł XDR (crossed detection & response) i wbudowany threat intelligence. Tego rodzaju rozwiązanie pozwala przede wszystkim zwiększyć wydajność, ponieważ nawet mniej zaawansowane i doświadczone zespoły będą mogły dzięki niemu wejść na wyższy poziom skuteczności. Szybsza analiza incydentów związanych z bezpieczeństwem, identyfikacja wzorców krytycznych zagrożeń i złożonych ataków, lepsze zapoznanie się ze swoim stanem zabezpieczeń – to wszystko daje możliwość proaktywnej identyfikacji i oceny potencjalnych zagrożeń bezpieczeństwa.
Podstawą jest wiedza
Wprowadzenie platformy do obrony przed zagrożeniami, takiej jak Trend Micro Vision One, pozwala zapewnić większą widoczność zagrożeń i dostarcza kompleksowych informacji o nich. Niemniej, by proces zarządzania incydentami osiągnął odpowiednią skuteczność, musi zostać spełnione wiele czynników. Oprócz konkretnych rozwiązań i efektywnej organizacji całego procesu, niezbędna jest oczywiście odpowiednia wiedza o zagrożeniach, aktualizowana z pojawianiem się każdego nowego rodzaju zagrożenia.
„Im niższy ma być poziom ryzyka rezydualnego w naszej organizacji, tym więcej wiedzy o zagrożeniach i kampaniach przestępczych powinniśmy zdobywać – podkreśla Joanna Dąbrowska, Sales Engineer w Trend Micro. – Takie informacje pozwalają nam na odpowiednie przygotowanie się na potencjalny atak bez zbędnych inwestycji w ludzi i narzędzia. Wiedza o zagrożeniach i odniesienie jej do własnego środowiska pozwala również na właściwą priorytetyzację i klasyfikację zdarzeń, a to ponad 60 proc. organizacji wskazuje jako drogę do usprawnienia procesu zarządzania incydentami” – dodaje.
Z całym raportem Trend Micro I CSO Council “Wokół zarządzania incydentami” można zapoznać się w tym miejscu: https://www.trendmicro.com/explore/l/aw-epl-vision-one