Monitoring kybernetickej bezpečnosti nie je luxus, ale nutná nadstavba nad klasickými nástrojmi. Tradičná „pevnosť“ z firewallov, WAF a VPN má v praxi diery, ktoré útočníci využívajú. SIEM a SOAR pomáhajú vidieť, čo sa v sieti deje, a skrátiť čas, počas ktorého je útočník nepozorovaný.
Keď pevnosť nestačí: prečo potrebujeme monitoring
Bežné bezpečnostné produkty tvoria dôležitý múr, no realita býva iná než na prospektoch. Aj tieto nástroje majú limity a slabé miesta, takže samotná obrana nestačí. Práve tu vstupuje do hry monitoring – riešenia typu SIEM a SOAR, ktoré prepájajú signály z rôznych systémov a dávajú im zmysel.
Dobrým obrazom je dom, do ktorého sa zlodej vkráda cez bráničku a dvere, deň čo deň odnáša cennosti a nikto si nič nevšimne. Cennosti sú vaše dáta či informácie o zákazníkoch a útočník si v „domácnosti“ robí, čo chce. Bez monitoringu o tom nemusíte vedieť celé mesiace. S monitoringom získate prehľad, upozornenia a možnosť konať včas.
Čo hovoria čísla a prečo je monitoring „poistkou“
Podľa jedného z reportov IBM ostáva útočník v sieti do odhalenia v priemere až 277 dní. Ten istý zdroj uvádza aj priemerné náklady incidentu 4,88 milióna, čo je číslo použiteľné aj u nás – mitigácia, vyšetrovanie a pokuty nie sú lacné. Kľúčový problém je, že bez monitoringu firmy netušia, čo sa v sieti deje, a reagujú neskoro.
Obhájiť rozpočet na niečo, čo „nezarába“, je ťažké. Zmysel monitoringu však spočíva v znížení škôd – podobne ako pri poistke na auto, ktorá nezarába, ale pri nehode šetrí náklady. Pri včasnom odhalení sú dopady incidentu menšie a zotavenie rýchlejšie, než keď problém skryto rastie dlhé mesiace.
Ako obhájiť a obstarať SIEM/SOAR
Najlepšie argumenty sú čísla a konkrétne otázky na vedenie: aká je hodnota vašich zákazníkov a čo sa stane pri strate veľkého klienta? Akú pokutu zaplatíte a koľko bude stáť externá pomoc, forenzné vyšetrovanie a mitigácia? Koľko vás vyjde nákup chýbajúcich technológií a obnova reputácie po incidente? Takéto kalkulácie ukážu, že monitoring je investícia do zníženia rizika.
Pri tendroch často viazne definícia požiadaviek – kritériá nesúvisia so SIEM a celý proces sa komplikuje. Pomôže opisná forma zadania alebo konzultácia s odborníkmi. Po nákupe sa pridávajú benefity: lepšia viditeľnosť pre dohľadové tímy a priorizácia ďalších bezpečnostných investícií; podľa skúsenosti z praxe môže byť napríklad IBM QRadar až 2,5-krát lacnejší než niektoré konkurenčné riešenia, pričom posúva firmu vpred nielen funkciami, ale aj pridanou hodnotou pre celé IT.
