Sve počinje s dobrim namjerama. Alat za zaustavljanje phishing napada. Drugi za nadzor endpoints. Još jedan za cloud. Ubrzo, CISO sa najboljim namjerama nađe se u situaciji da upravlja desetinama proizvoda u različitim timovima, od kojih svaki ima svoju kontrolnu tablu, upozorenja i probleme s licenciranjem.
Dobro došli u eru prekomjernog broja sigurnosnih alata.
CISO-i širom svijeta suočavaju se s umorom od platformi. Prema istraživanju kompanije Syxsense iz 2023. godine, 68% organizacija koristi više od 11 alata za upravljanje i sigurnost endpoitns, što dovodi do operativnih izazova kao što su nedostatak vidljivosti i preopterećenost upozorenjima.
Skriveni troškovi „više alata“
Kupovina novih alata često djeluje kao napredak. Svaki od njih obećava bolje otkrivanje prijetnji, bržu reakciju ili detaljniju kontrolu. Ali svaki dodatak donosi nove slojeve integracije, obuke i upravljanja.
To dovodi do tri česta problema:
- Preopterećenost upozorenjima. Analitičari sigurnosti ne mogu pratiti sve alarme iz brojnih platformi. Neki timovi ignorišu upozorenja i često propuštaju stvarne prijetnje u moru lažnih uzbuna.
- Dupliranje alata. Mnogi alati nude iste funkcionalnosti. Jedan alat za endpoints može obavljati skeniranje ranjivosti, ali to radi i vaša sigurnosna platforma za cloud. Viškovi troše vrijeme i novac.
- Opterećenost kadra. Svaki novi proizvod zahtijeva dodatnu stručnost. Timovi troše sate učeći nove interfejse, upravljajući licencama ili pokušavajući povezati alate međusobno. To je vrijeme koje se ne troši na stvarne rizike.
„Uvođenje više sigurnosnih alata ne garantuje bolju cyber sigurnost“, kaže Jonathan Gill, CEO kompanije Panaseer. „Ovi alati mogu prijaviti samo ono što mogu vidjeti – ali ne znaju šta propuštaju.“
Ova fragmentirana vidljivost dovodi sigurnosne lidere u situaciju donošenja odluka s visokim rizikom, na osnovu nepotpunih informacija. Bez potvrđenog, sveobuhvatnog sistema evidencije svih sredstava i sigurnosnih kontrola, mnoge organizacije funkcionišu pod, kako Gill kaže, „iluzijom vidljivosti“.
„Bez stvarnog nazivnika“, objašnjava on, „CISO-i ne mogu s povjerenjem procijeniti praznine u pokrivenosti niti dokazati usklađenost s promjenjivim regulatornim zahtjevima.“
I te slijepe tačke nisu samo teoretske. Svaki zanemareni resurs ili pogrešno konfigurisana kontrola predstavlja otvorena vrata za napadače – a oni postaju sve bolji u njihovom pronalaženju. „Svaka od tih praznina u pokrivenosti predstavlja rizik“, upozorava Gill, „i sve ih je lakše pronaći i iskoristiti.“
Nedostatak jasne vidljivosti takođe otežava određivanje odgovornosti. „To stvara mračne uglove koji se zanemaruju – serveri i aplikacije ostaju bez vlasnika, što otežava dodjeljivanje odgovornosti za rješavanje problema“, kaže Gill. Čak i kada su praznine poznate, sigurnosni timovi se često guše u podacima iz previše alata, boreći se da razlikuju signal od šuma. „S konfliktima u podacima i bez konteksta za razumijevanje ozbiljnosti, sigurnosni timovi mogu postati paralizovani.“
Prema Gillu, rješenje je uspostavljanje jedinstvenog, pouzdanog pogleda na sigurnosni pejzaž. „Samo uspostavljanjem jednog izvora istine organizacije mogu mjeriti, uspoređivati i djelovati s povjerenjem“, kaže on.
Umor od platformi ne utiče samo na operacije, već i na moral. U globalnoj anketi među CISO-ima, 76% ih je izjavilo da su preopterećeni sve većim brojem prijetnji koje se otkrivaju putem rastućeg broja alata i resursa.
Težnja ka konsolidaciji
Kako se budžeti stežu, a timovi dolaze do krajnjih granica, CISO-i preispituju šta im zaista treba, a šta ne.
Konsolidacija alata dobija na popularnosti. Ideja: smanjiti složenost objedinjavanjem sigurnosnih proizvoda pod manjim brojem platformi. Ali konsolidacija ne znači sve dati jednom dobavljaču. To znači birati alate koji se dobro integrišu, smanjuju ručne prijenose i odgovaraju sposobnostima vašeg tima.
U nedavnom istraživanju Gigamona, 6 od 10 CISO-a navelo je konsolidaciju i optimizaciju alata kao svoj glavni prioritet za uklanjanje slijepih tačaka.
„Konsolidacija broja dobavljača smanjuje troškove resursa i tzv. ‘soft’ troškove povezane s godišnjim revizijama i procjenom rizika dobavljača“, komentariše Chris Goettl, VP upravljanja proizvodima u kompaniji Ivanti. „Štaviše, konsolidacija više alata pod jednim dobavljačem i platformom često rezultuje nižim troškovima vlasništva – kako u pogledu licenci tako i u objedinjavanju alata koje koriste IT i sigurnosni timovi.“
CISO-i se suočavaju s izazovom pojednostavljenja sigurnosnih alata u okruženju gdje se prijetnje stalno povećavaju. Goettl naglašava: „Cyber prijetnje rastu, a broj alata potreban za zaštitu okruženja i identiteta korisnika se širi.“
Goettl ističe nekoliko područja gdje je konsolidacija već uspješno provedena, kao što su rješenja za zaštitu endpoitns (EPP) i otkrivanje/reakciju (EDR), koja su spojena u jedinstvene platforme s jednim agentom. Takođe ukazuje na pojavu platformi za upravljanje izloženostima kao sljedeći korak u evoluciji konsolidacije: „Platforme za upravljanje izloženostima predstavljaju sljedeći evolutivni korak na tržištu upravljanja ranjivostima“, dodaje Goettl.
Kroz sve te primjere, konsolidacija pomaže organizacijama da smanje broj alata, eliminišu podatkovne silose i značajno smanje operativne i licencne troškove, zaključuje Goettl.
Odakle početi
„Kada CISO-i žele ukrotiti prekomjeran broj alata, trebaju se fokusirati na integraciju i konsolidaciju, a ne na dodavanje novih alata. Prvi korak je evaluacija trenutnog sigurnosnog okruženja i identifikacija suvišnih ili neučinkovitih alata“, objašnjava Piyush Sharma, CEO kompanije Tuskira.
Umjesto da šire alatni arsenal, CISO-i trebaju osigurati da postojeći alati međusobno funkcionišu, stvarajući objedinjeni sigurnosni ekosistem. Uvođenje „security data mesh“ pristupa može donijeti značajnu promjenu – povezujući različite alate i izvore podataka radi bolje koordinacije i konteksta oko upozorenja.
Jednostavan okvir za početak:
- Inventarizacija. Napravite spisak svih alata u upotrebi. Identifikujte preklapanja i napuštene alate.
- Procjena stvarne upotrebe. Pitajte tim koje alate koriste i vjeruju im. Mnogi alati se plaćaju, a zapravo se ne koriste.
- Prioritet integraciji. Tražite platforme koje povlače podatke s drugih, centralizuju upozorenja i podržavaju zajedničke radne tokove.
- Ne jurite za funkcijama. Birajte alate koji rješavaju najveće rizike, a ne one s najviše funkcija.
- Investirajte u obuku, ne samo u tehnologiju. Ponekad bolji rezultati dolaze iz boljeg korištenja jednog alata, a ne dodavanja novog.
Kako se sigurnosni budžeti smanjuju, trošak neiskorištenih alata će sve više dolaziti pod lupu odbora i finansijskih direktora. CISO-i koji uspiju smanjiti troškove uz povećanu jasnoću i brzinu, imat će bolju poziciju da opravdaju ono što im je zaista potrebno.
Redefinisanje zrelosti sigurnosti
Prečesto se zrelost mjeri brojem kupljenih alata. Prava zrelost je sposobnost brzog odgovora, jasne komunikacije i oporavka bez haosa.
To zahtijeva čvrste procese, dobro obučene ljude i alate koji funkcionišu zajedno – a ne police pune kontrolnih tabli koje niko ne koristi.
U nedavnom intervjuu za Help Net Security, Sean Embry, CISO eBaya, naglasio je važnost balansiranja između dugoročnog strateškog planiranja i trenutnog odgovora na prijetnje.
Manje može značiti više
Prekomjerni broj alata nije se pojavio preko noći – i neće nestati za jedno tromjesečje. Ali trend je jasan: sigurnosni timovi žele manje pokretnih dijelova, a ne više. Žele alate koji se integrišu, pojednostavljuju i podržavaju njihovu misiju – a ne da ih odvlače od nje.
Za CISO-e poruka je jasna: smanjenje broja alata nije samo operativno čišćenje – to je strateški potez. Kroz pametnu konsolidaciju i eliminaciju onoga što ne donosi vrijednost, sigurnosni lideri mogu učiniti svoje timove bržim, efikasnijim i otpornijim.
Izvor:Help Net Security
