Ako sa dnes chráni sieť pred útokmi a čo s tým majú spoločné SIEM, umelá inteligencia a šifrovanie? V paneli o monitoringu bezpečnosti zazneli praktické skúsenosti od integrátorov, výrobcov aj bankových CISO. Diskusia ukázala, že kľúčom je nielen vidieť dáta, ale vedieť na ne rýchlo a rozumne zareagovať.
Od zberu udalostí k automatizovanej reakcii
Základom dnešného bezpečnostného monitoringu je SIEM – nástroj, ktorý zbiera udalosti z rôznych zdrojov, od operačných systémov cez sieťové prvky až po špecializované bezpečnostné senzory. Dôležitá nie je len samotná detekcia incidentu v jednom systéme, ale jeho zasadenie do širšieho kontextu, ktorý odhalí súvislosti naprieč infraštruktúrou. Takéto korelácie dokážu potvrdiť hrozbu, pridať detaily a určiť prioritu zásahu. Trendom je, aby na zistenia nadväzovala automatizácia – systémy majú incident nielen odhaliť, ale aj koordinovane potlačiť.
Výrobcovia preto prepájajú monitoring s odpoveďou: od sandboxingu cez behaviorálnu analýzu až po orchestráciu ďalších zariadení. Do hry vstupuje aj audit aplikácií, najmä tých, ktoré bežia v cloude: pred nasadením pomáha statická analýza a testovanie, po nasadení priebežné vyhodnocovanie prevádzky. Zmyslom je premeniť výstupy z kontroly siete a aplikácií na konkrétne, čo najviac automatizované kroky. Bez toho sa pri dnešnom objeme dát a nedostatku ľudí nezaobídeme.
Banky vs. malé firmy: rovnaké princípy, iná mierka
Veľké inštitúcie prevádzkujú „ťažké delá“ – kombináciu IDS/IPS, pokročilých firewallov, SIEM a sieťovej detekcie, často s mikrosementáciou. Menšie a stredné podniky si však vedia výrazne pomôcť aj jednoduchšie: odporúča sa moderný antivírus s analýzou sieťovej prevádzky, prípadne NDR pri väčšej sieti. Zmysel má aj nasadenie schopnejšieho firewallu než „základ“ od operátora, ktorý zvládne aplikačnú kontrolu. A úplné základy netreba podceniť: pravidelné záplaty, silné heslá a viacfaktorové prihlasovanie.
Pri prvom nasadení monitoringu býva obraz často „červený“ – systém hlási množstvo anomálií a aj niektoré falošné poplachy. Preto je súčasťou pilotu ladenie politík a potláčanie známych legitímnych komunikácií, aby zostali len relevantné upozornenia. Tento tuning môže trvať týždne a v meniacom sa prostredí sa k nemu treba vracať. Výsledkom je prehľadnejšia prevádzka a rýchlejšia reakcia na skutočné problémy.
Šifrovaná prevádzka, WAF a Zero Trust
Pri inšpekcii TLS/SSL existujú tri cesty: import interných certifikátov pre vnútornú komunikáciu, analýza metadát a reputácie certifikátov pre externú prevádzku a napokon dešifrovanie cez firewall alebo webovú proxy. Banky pristupujú k dešifrovaniu citlivo; často sa spoliehajú na behaviorálne techniky, najmä pri odhaľovaní príkazovo-riadiacich kanálov. Pre webové aplikačné firewally je však pohľad do obsahu nutný, inak by nevedeli rozpoznať útok. Novšie verzie TLS zvyšujú latku, preto sa uplatňuje aj segmentácia a in-line zariadenia, ktoré komunikáciu zastavia, skontrolujú a bezpečne pustia ďalej.
Výhľad na päť rokov sa nesie v znamení automatizácie, strojového učenia a Zero Trustu. Identita a kontext budú rozhodovať o tom, kto sa kam dostane, s minimom ručnej správy a s mikrosementáciou „stroj–stroj“. Zero Trust zároveň nahrádza klasické VPN v scenároch prístupu k aplikáciám. Hoci adopcia v menších firmách môže byť nerovnomerná, prax ukazuje, že aj SMB už nasadzujú pokročilé XDR a zefektívňujú obranu – najmä preto, že odborníkov je málo a rýchla, presná reakcia je kľúčová.
