Jeziora danych bezpieczeństwa w firmach. Rozwiązują ważny problem

Na wagę problemu cyberbezpieczeństwa w firmach zwraca uwagę Omer Singer, dyrektor ds. strategii cyberbezpieczeństwa w firmie Snowflake. Jak podaje, wśród pytań, które mogą sobie zadać menedżerowanie są między innymi: ile spośród zagrożeń sygnalizowanych przez dostawców zabezpieczeń to w rzeczywistości fałszywe alarmy? Które zespoły programistyczne wprowadzają najwięcej luk w zabezpieczeniach do środowiska produkcyjnego? Jak szybko zespoły naprawcze wdrażają krytyczne poprawki – i jak różni się to w zależności od chmury?

Niestety, większość szefów ds. bezpieczeństwa informacji (CISO) w firmach nie posiada wystarczającej wiedzy, która pozwoliłaby im zapewnić odpowiedni poziom współodpowiedzialności dostawców czy zespołów w organizacji za kwestie związane z bezpieczeństwem cybernetycznym. Taka sytuacja ma miejsce, ponieważ informacje te są rozproszone w różnych systemach i narzędziach, które nie zapewniają ujednoliconego widoku na to, co się dzieje w przedsiębiorstwie. Ponadto, te narzędzia pozwalają na przechowywanie danych wystarczająco długo, aby móc zwrócić uwagę na istotne prawidłowości i spostrzeżenia.

W odpowiedzi na te i inne wyzwania, powstały tzw. jeziora danych bezpieczeństwa (security data lakes). To struktura, która po raz pierwszy umożliwia liderom z obszaru cyberbezpieczeństwa konsolidację danych niezależnie od ich ilości i różnorodności, co z kolei umożliwia zwiększenie poczucia współodpowiedzialności w całej organizacji. Jeziora danych bezpieczeństwa pomagają to osiągnąć na dwa podstawowe sposoby:

• poprzez oddzielenie pamięci masowej od mocy obliczeniowej, co sprawia, że przechowywanie danych bezpieczeństwa na dużą skalę i przez dłuższy czas jest opłacalne,
• poprzez włączenie danych bezpieczeństwa do podstawowej platformy analitycznej firmy, co pozwala na uzyskanie szerszego wglądu i otrzymanie bardziej szczegółowych insightów za pośrednictwem standardowych narzędzi do raportowania.

CISOs, którzy korzystają z jezior danych bezpieczeństwa, powinni myśleć o wspomnianej współodpowiedzialności, która jest skutecznym sposobem na poprawę ogólnego stanu bezpieczeństwa w organizacji. Poniżej kilka przykładów na to, jak jeziora danych bezpieczeństwa pomagają w zwiększaniu poziomu odpowiedzialności w przedsiębiorstwie.

Większość firm wybiera i ocenia dostawców zabezpieczeń na podstawie prostych kryteriów, takich jak to, czy obsługują określone źródła danych i aplikacje. Brak dostatecznych informacji powstrzymuje osoby decyzyjne przed oceną dostawców pod kątem bardziej znaczących czynników, takich jak skuteczność wykrywania zagrożeń lub dokładność ustalania priorytetów dla luk w zabezpieczeniach.

Jeziora danych bezpieczeństwa pozwalają zidentyfikować luki między spostrzeżeniami dostawców a rzeczywistymi doświadczeniami firmy. Na przykład, analiza danych z systemu ticketowego pozwala sprawdzić, jaki odsetek wykrytych zagrożeń okazał się fałszywym alarmem czy też ile luk w zabezpieczeniach było nieistotnych.

Może zdarzyć się tak, że jakieś narzędzie zadziała świetnie w środowiskach innych firm, ale nie w przypadku naszej organizacji. Jeśli możliwe jest zmierzenie wydajności w zakresie wskaźników, które są istotne dla danej firmy, warto wziąć pod uwagę zwrócenie się do dostawcy w celu wprowadzenia zmian w proponowanym przez niego rozwiązaniu. W innym przypadku może okazać się, że niezbędne jest wprowadzenie innego narzędzia.

Jeśli zespoły naprawcze nie zajmują się wystarczająco szybko i konsekwentnie lukami w zabezpieczeniach, dostęp do danych archiwalnych pomoże ujawnić problemy i zidentyfikować procesy, które mogą wymagać aktualizacji. Efektem będzie bardziej efektywna praca tych zespołów. Niewykluczone, że konieczne może okazać się dostosowanie organizacji pracy, a nawet restrukturyzacja zespołu w celu zapewnienia właściwego poziomu usług.

Jezioro danych bezpieczeństwa umożliwia stosowanie w ramach zapytań kontekstów ze źródeł niezwiązanych z bezpieczeństwem. Dla przykładu, można łączyć dostarczane przez dział HR dane dotyczące zakończenia pracy z informacjami o zasadach dostępu do zabezpieczeń, aby zweryfikować, czy były pracownik nie posiada nadal aktywnego identyfikatora użytkownika. Można też skorelować dane dotyczące szkoleń uświadamiających, ćwiczeń phishingowych i rzeczywistych przypadków pojawienia się złośliwego oprogramowania, aby wykazać, w jakim stopniu działy, które nie ukończyły odpowiednich szkoleń, są bardziej narażone na zagrożenia cybernetyczne.

Gdy zespoły dostarczają nowych komponentów do infrastruktury firmy, jezioro danych bezpieczeństwa może pomóc w śledzeniu, w którym miejscu luki w zabezpieczeniach pochodzą zawsze od tych samych grup – niezależnie od tego, czy są to programiści, inżynierowie ds. niezawodności, czy inne grupy pracowników.

Tego rodzaju wgląd jest trudny do osiągnięcia, gdy dane są rozproszone w wielu narzędziach i przechowywane przez krótki czas. Dzięki ilościowym wskaźnikom popartym danymi, zespoły ds. bezpieczeństwa mogą spełniać swoją funkcję w modelu współodpowiedzialności.

Celem współodpowiedzialności nie jest wskazywanie i obarczanie odpowiedzialnością poszczególnych osób, co może obniżyć morale, ale wsparcie zespołów w lepszym wykonywaniu pracy i podniesienie ogólnego profilu bezpieczeństwa całej organizacji. Stare powiedzenie mówi, że nie można zarządzać tym, czego nie da się zmierzyć, i ma ono zastosowanie w przypadku zespołów ds. bezpieczeństwa.

CISOs mają do czynienia z coraz bardziej złożonymi zagrożeniami i są zobowiązani do przestrzegania najwyższych standardów bezpieczeństwa. To niezwykle istotne nie tylko z punktu widzenia ich przełożonych czy organów regulacyjnych, ale przede wszystkim klientów. Kierowanie się odpowiedzialnością jest jedynym właściwym sposobem na odniesienie sukcesu jako organizacja.