Karmaikat reszelgetik, és emelik a tétet a kiberbűnözők, mutatott rá éves fenyegetésjelentésében a Sophos (lásd Sophos 2021 Threat Report: Bűnözés mint szolgáltatás című cikkünket 2021/03. lapszámunkban). Az egyre kifinomultabbá váló támadásokban és a hatékony védekezés újgenerációs eszköztárában is mind fontosabb szerepet kap a mesterséges intelligencia (AI) képességeire építő automatizálás és a szolgáltatási modell, amelyről Kevin Isaacet, a Sophos régiós alelnökét kérdeztük, aki az értékesítésért felel az európai, közel-keleti és afrikai piacokon.
Computerworld: A gépi vagy az emberi intelligencia kerekedik felül a kibervédelemben?
Kevin Isaac: A gépi tanulás, és különösen a mély neurális hálózatok használata továbbra is az új technológiák egyik legjelentősebb hajtóereje a biztonság terén. A hatalmas mennyiségű adatot feldolgozó algoritmusok a futtatható és más fájlokban, például a felhasználók által létrehozott dokumentumokban megbúvó fenyegetések felderítésére épp oly hatékonyan bevethetők, mint a rosszindulatú webhelyek, az egyszerű levélszemét és az adathalász kampányok kiszűrésére, de képességeik a veszélyesebb támadásokkal, például üzleti e-mailekkel megkísérelt visszaélésekkel (business email compromise, BEC) szemben is beválnak.
Ennél is fontosabb, hogy ezek az algoritmusok megtanulják, mi megszokott és elfogadható a szervezet működésében, így észreveszik az ettől gyanúsan eltérő mintákat a hálózati forgalomban, a hitelesítésben és a felhasználók viselkedésében. Az ilyen típusú biztonsági termékek korai vészjelző rendszerként működnek a vállalatoknál, de végül az ember dönti el, mi legyen a következő lépés - különös tekintettel az összetett kibertámadások elterjedésére, amelyek befejező szakaszát szintén emberek irányítják. Az AI támogatásával a biztonsági csapat már a kibontakozó biztonsági eseményekre is reagálni tud, jóval azelőtt, hogy azok súlyosabb kárt okozhatnának.
Különösen fontos ez napjainkban, amikor a hackerek is mind gyakrabban adják fejüket különböző technikákat ötvöző támadásokra, amelyeket a nemzetállami támadóktól lestek el. De míg utóbbiak jellemzően arra törekednek, hogy hosszú ideig meglapuljanak a feltört hálózatokban, addig a közönséges kiberbűnözők célja a gyors pénzszerzés. A legtöbb rosszindulatú program ma már automatizált, segítségükkel a támadók is könnyen kiszúrják a gyengén védett szervezeteket, hogy azután a hálózatba férkőzve billentyűzetet ragadjanak, és a lehető legrövidebb idő alatt a legnagyobb kárt okozzák.
CW: Információbiztonsági szakemberekből viszont sosincs elég, ezért a szervezetek az ebből fakadó problémákat többek között felügyelt biztonsági szolgáltatások bevezetésével oldják meg. A Sophos is kínál ilyeneket Managed Threat Response portfóliójában, melynek legújabb elemét a 451 Research egyedülállónak nevezte. Mitől különleges Rapid Response szolgáltatásuk?
KI: A Sophos Rapid Response a hét minden napján 24 órában eseménykezelő, fenyegetésvadász és fenyegetéselemző szakemberek dedikált csapatát biztosítja a szervezeteknek, hogy gyorsan megállíthassák a fejlett támadásokat, minimalizálhassák a károkat és a költségeket, valamint a helyreállításhoz szükséges időt is lerövidítsék. Biztonsági esemény észlelésekor a Sophos Rapid Response csapata néhány órán belül akcióba lendül, és a támadások többségét 48 óránál rövidebb idő alatt felgöngyölíti.
Miután gyors reagálással ártalmatlanította a közvetlen fenyegetéseket, a Sophos Rapid Response folyamatos megfigyelésre áll át 24 órás proaktív fenyegetésvadászattal, kivizsgálással, felderítéssel és a Sophos MTR csapatának válaszadásával. A fenyegetések kivizsgálásáról készülő jelentés a feltárt részleteket, a megtett intézkedéseket és a helyreállításhoz adott ajánlásokat részletezi, így hozzásegíti a szervezeteket a támadások eredetének és annak megértéséhez, hogy a behatolók milyen eszközöket veszélyeztettek, milyen adatok szivároghattak ki.
A Sophos Rapid Response különlegessége, hogy ez az iparág első fix díjas távoli incidenskezelő szolgáltatása, amely a 45 napra szóló megbízatás teljes időtartamában azonosítja és semlegesíti a kibontakozó kiberbiztonsági támadásokat. Míg a hagyományos válaszadó és helyszínelő kiberbiztonsági szolgáltatások összetett és elhúzódó felvonulást feltételeznek, amelyet a szolgáltatók óradíj alapon számláznak, addig a Sophos Rapid Response távolról elérhető szolgáltatás fix árképzési modellel, amely az ügyfélnél levő felhasználók és szerverek számát veszi alapul. Következésképp a Sophos Rapid Response a kisebb szervezetek számára is hozzáférhető, amelyek - közvetlenül legalábbis - mindeddig elég nehezen tudták kihasználni a menedzselt biztonsági szolgáltatások képességeit.
CW: Hogyan teljesítenek a Sophos szolgáltatásai az EMEA régióban?
KI: A Sophos a régiós kiberbiztonsági piac átlagánál gyorsabban növekszik, elsősorban a következő generációs portfóliónknak köszönhetően. Legfejlettebb biztonsági megoldásaink forgalma évente több mint 30 százalékkal bővül, és mára üzleti bevételeink 70 százalékát adja. Innovatív, átfogó és nyitott újgenerációs platformunk és MSP üzletágunk továbbra is lendületesen fejlődik, ez stratégiánk egyik legfontosabb fókuszterülete.
Managed Service üzletágunk éves szinten több mint 50 százalékos növekedést ért el az előző négy, egymást követő évben, és továbbra sem mutatja a lassulás jeleit, éppen ellenkezőleg, gyorsul. Managed Service Provider programunk ma már több mint 12 500 globális és regionális MSP-t támogat világszerte, ami 30 százalékos növekedést jelent pénzügyi évünk 2020. áprilisi kezdete óta, és ez idő alatt a bevételek is 56 százalékkal nőttek. Az EMEA régió MSP-növekedése még ezt is felülmúlta, a pénzügyi év első hat hónapjában éves alapon 60 százalékos bővülést könyvelhettünk el.
A kibervédelem fegyvertára a közelmúltban Endpoint Detection and Response (EDR-) megoldásokkal gyarapodott, amelyek mára a fenyegetésvadászat alapeszközeivé váltak. A Sophos ezen a téren az Intercept X EDR-rel tör előre. Az EDR-megoldások hatalmas adatmennyiséget állítanak elő, amely a támadások és fenyegetések kiismeréséhez segíti a szervezeteket, így azokkal szemben jobban megvédhetik magukat. Egy részük azonban nem tud csapatot felállítani az EDR kezelésére. Számukra hoztuk létre a Sophos Managed Threat Response (MTR) szolgáltatásainkat, míg Rapid Response szolgáltatásunk az aktív, kibontakozó támadás alatt álló szervezeteknek segít.
CW: Bizalmat nem előlegező (zero-trust) hálózati hozzáférés-kezeléssel fogja erősíteni a távmunkában fokozottan elosztottá vált munkakörnyezetek védelmét, jelentette be nemrég a Sophos. Mi a gond a virtuális magánhálózatokkal?
KI: Már a világjárvány előtt is elmozdulást láthattunk a vállalati hálózatok terén, a munkaerő mind nagyobb arányban dolgozott otthonról, legalábbis a munkaidő egy részében. Az elmúlt évben azonban ez a trend rendkívüli módon felerősödött, a szervezetek túlnyomó többsége vagy otthoni munkavégzést rendelt el, vagy határozottan erre bátorította alkalmazottait. Sok vállalat szinte egyik napról a másikra nagymértékben elosztott szervezetté változott, mintha hirtelen több száz, ha nem ezer egyszemélyes fiókirodát nyitott volna.
A modell, amely sok szervezetnél az új normalitás része lett, gyökeres változást idézett elő a vállalati IT-osztályok életében is, amelyek azzal küzdöttek, hogy virtuális magánhálózati (VPN-) hozzáférést adjanak a távolról dolgozó kollégáknak. Csak egy példával érzékeltetve a roham méreteit, Sophos Connect VPN kliensünk és XG tűzfalunk használata az elmúlt hónapokban több mint tízszeresére, 1,4 millió aktív kliens fölé nőtt.
Bár a VPN-technológia megmentette a helyzetet, és jól szolgált mindannyiunkat, egyértelművé vált az is, hogy nem erre az új világra született, eleve más igényekre tervezték. A VPN ugyanis megnehezítheti a telepítést és az új felhasználók hozzáadását, és kihívást jelenthet a végfelhasználóknak, amivel felesleges súrlódásokat okoz, ráadásul azt a szemcsés szerkezetű védelmet sem biztosítja, amelyre a legtöbb szervezetnek szüksége lenne.
Nagy erőbevetéssel dolgozunk ezért Sophos ZTNA (zero trust network access) megoldásunkon, amellyel a vállalatok könnyebben és transzparensen, granuláris vezérléssel védhetik fontos üzleti alkalmazásaikat. A Sophos ZTNA lesz a legújabb felhőalapú és felhőből menedzselt termékünk, amellyel a távmunkásokat foglalkoztató szervezetek könnyebben megválaszolhatják a felmerülő kibervédelmi kihívások egy részét. A virtuális magánhálózatnál egyszerűbb, jobb, biztonságosabb megoldást fog adni a felhasználók, valamint a fontos alkalmazások és adatok összekapcsolására.
Programunkat, amelyen keresztül korai hozzáférést adunk ZTNA-megoldásunk kezdeti verziójához, heteken belül indítjuk.
Cikkünk a Computerworld magazin 2021. március 10-i lapszámában (LII. évfolyam 5. szám) jelent meg.
