V kyberbezpečnosti neexistujú „strieborné guľky“. Účinná obrana vzniká z rozumne poskladaných vrstiev, ktoré spolu pokrývajú prevenciu, detekciu aj reakciu. Aj umelá inteligencia je len jeden z nástrojov, ktorý má veľké prínosy, no aj jasné limity dané dátami.
Vrstvená ochrana namiesto zázračnej technológie
Žiadna jediná technológia nevyrieši všetky problémy, preto je dôležité skladať obranu z viacerých kontrol, ktoré sa dopĺňajú. AI a machine learning používame roky, ich kvalita však závisí od dostupných dát, veľkosti modelov a správne navrhnutej architektúry. Kľúčom je široká telemetria naprieč koncovými bodmi aj backendom a jej zmysluplné spracovanie.
Ľudskí experti zostávajú nevyhnutní: navrhujú koncepty, overujú výsledky a dopĺňajú AI tam, kde zlyháva. Výsledkom má byť viacvrstvový „stack“ z desiatok technológií, ktoré kooperujú a pokrývajú rôzne fázy útoku. Preceňovať jednu vrstvu sa nevypláca, dôležitá je ich koordinácia.
XDR a zraniteľnosti: silné stránky aj limity
Koncept XDR je silný, no nie je všeliek: záleží na tom, akú telemetriu zbiera, akú má hĺbku a ako je integrovaný s ďalšími kontrolami. Objem dát rýchlo rastie, preto je nutné nasadiť AI, aby pomohla s filtráciou a koreláciou udalostí. Popri tom rastie aj počet zraniteľností, no nie každá je okamžite zneužiteľná.
Prioritizáciu preto treba opierať o spravodajstvo o hrozbách, ktoré ukáže, čo sa reálne zneužíva. Takéto spravodajstvo však vzniká práve z bohatej telemetrie a detekcií, ktoré vie poskytnúť XDR a príbuzné systémy. Všetko so všetkým súvisí a dobrý vulnerability management má byť čo najviac automatizovaný aj v malých firmách.
Od endpointu po cloud: čo tvorí moderný ekosystém
Dnešná základná výbava zahŕňa globálnu reputačnú telemetriu, kontrolu firmvéru a pokročilé skenovanie pamäte, keďže škodlivé kódy bývajú šifrované a odhalia sa až pri behu. Potrebná je aj sieťová ochrana pre zariadenia mimo perimetra a sandboxing, ktorý pomáha, hoci nie je univerzálnym riešením. Takéto schopnosti by mali tvoriť baseline, nie voliteľný doplnok.
Bezpečnosť však presahuje samotný endpoint: patrí sem šifrovanie disku na ochranu dát, správa identít a minimálne dvojfaktorová autentifikácia. Rovnako dôležitá je ochrana cloudových služieb, ktoré používajú takmer všetci, a dostupnosť služieb podpory, keď je potrebná rýchla pomoc. Celok musí byť integrovateľný do SIEM a iných nástrojov cez robustné API a škálovateľný od malých po veľké firmy – od robustnej endpoint ochrany s ochranou dát a cloudu až po XDR a spravované služby.
