Trace Id is missing

CISO Insider: Issue 2

 Nainen tarkistaa osaa teollisuusvarastossa

Kyberrikollisuuden ala edistää kehittyneiden hyökkäysten nopeaa kasvua. Tässä numerossa kuulemme CISO:iden mielipiteitä siitä, mitä he näkevät etulinjassa.

Kirje Robilta

Tervetuloa CISO Insiderin toiseen numeroon. Olen Rob Lefferts, ja johdan Microsoft 365 Defender- ja Sentinel-suunnittelutiimiä. Microsoft Security kuuntelee jatkuvasti asiakkaitaan ja oppii heiltä, kun he liikkuvat yhä monimutkaisemmassa tietoturvan toimintaympäristössä. Suunnittelimme CISO Insiderin välineeksi, joka jakaa suosituksia, joita olemme saaneet vertaisiltasi ja omasta alan tutkimuksestamme. Tässä toisessa numerossa jatkamme numerossa 1 esiin tuomiamme haavoittuvuuksia, tarkastelemme lähemmin kyberkiristystä ja käytäntöjä, joita tietoturvajohtajat käyttävät tällaisten lateraalihyökkäysten hillitsemiseksi niin, että ne aiheuttavat mahdollisimman vähän häiriöitä liiketoiminnalle ja tietoturvaryhmälle.

Numerossa 1 käsittelimme kolmea CISO:iden tärkeintä huolenaihetta: sopeutuminen uusiin uhkatrendeihin hybridi- ja monipilviympäristössä, toimitusketjuun kohdistuvien uhkien hallinta ja tietoturvaosaajapulaan vastaaminen. Tässä numerossa tarkastelemme lähemmin tätä kyberriskitekijöiden täydellistä myrskyä ja selvitämme, miten organisaatiot kehittävät taktiikkaansa kasvavien uhkien torjumiseksi. Ensiksi tarkastelemme kiristysohjelmien muuttuvaa riskiprofiilia ja parhaita käytäntöjä, joiden avulla voidaan ehkäistä näitä ja muita verkkoon sivusuunnassa leviäviä tietoturvaloukkauksia. Seuraavaksi tarkastelemme kahta keskeistä resurssia, jotka ovat kriittisen tärkeitä paitsi tietoturvaloukkauksen estämisessä myös nopeassa reagoinnissa ensimmäisinä kriittisinä hetkinä: laajennettu havaitseminen ja reagointi (XDR) ja automaatio. Molemmat auttavat käsittelemään haavoittuvuuksia, joita käsittelimme numerossa 1: nykypäivän verkkojen laajennetut turvallisuus- ja identiteettirajat, jotka ovat hajautuneet hybridityön ja toimittajien ekosysteemeihin, sekä henkilöresurssien niukkuus näiden uhkien valvomiseksi ja niihin reagoimiseksi.

Kyberrikollisuuden ala antaa tavallisille kyberrikollisille paremmat työkalut ja automaation käyttöön, mikä mahdollistaa skaalaamisen ja alentaa kustannuksia. Kun tähän yhdistetään onnistuneiden hyökkäysten taloudellisuus, kiristysohjelmat kehittyvät nopeasti (Microsoft Digital Defense Report, 2021). Hyökkääjät ovat nostaneet panoksia ottamalla käyttöön kaksinkertaisen kiristysmallin, jossa uhrilta kiristetään ensin lunnaita ja sitten varastettujen tietojen mahdollista julkaisemista. Myös hyökkäykset, jotka kohdistuvat operatiiviseen teknologiaan kriittisen infrastruktuurin häiritsemiseksi, ovat lisääntyneet. CISO:t ovat eri mieltä siitä, kumpi on katastrofaalisempi kustannus liiketoiminnalle, liiketoimintahäiriö vai tietojen altistuminen, riippuen toimialasta ja valmistautumistasosta. Joka tapauksessa valmistautuminen on avain riskien hallintaan molemmilla rintamilla. Onnistuneet ennaltaehkäisevät toimet, kuten vahvempi päätelaitteiden tietoturva, identiteettisuojaus ja salaus, ovat välttämättömiä, kun otetaan huomioon näiden hyökkäysten yleisyys ja vakavuus.

CISO:t miettivät strategisemmin, miten käsitellä kiristysohjelmien riskejä.

Kiristysohjelmahyökkääjät kohdistavat hyökkäyksensä arvokkaimpaan omaisuuteesi, josta he uskovat voivansa saada sinulta eniten rahaa, olipa se sitten häiritsevintä tai arvokkainta, jos sitä pidetään panttivankina, tai arkaluonteisinta, jos se julkaistaan.

Toimiala on tärkeä tekijä organisaation riskiprofiilin kannalta. Teollisuusjohtajat pitävät liiketoimintahäiriöitä tärkeimpänä huolenaiheena, kun taas vähittäiskaupan ja rahoituspalvelujen CISO:t pitävät tärkeimpänä arkaluonteisten henkilötietojen suojaamista. Terveydenhuolto-organisaatiot ovat yhtä haavoittuvia molemmilla rintamilla. Vastauksena tähän tietoturvajohtajat siirtävät aggressiivisesti riskiprofiiliaan pois tietojen häviämisestä ja altistumisesta koventamalla rajojaan, varmuuskopioimalla kriittisiä tietoja, redundantit järjestelmiä ja parantamalla salausta.

Liiketoiminnan häiriöt ovat nyt monien johtajien painopisteenä. Yritykselle aiheutuu kustannuksia, vaikka keskeytys olisi lyhyt. Eräs terveydenhuollon CISO kertoi minulle hiljattain, että toiminnallisesti kiristysohjelmat eivät eroa mitenkään suuresta sähkökatkoksesta. Vaikka riittävä varajärjestelmä voi auttaa palauttamaan virran nopeasti, sinulla on silti käyttökatkos, joka keskeyttää liiketoiminnan. Eräs toinen CISO mainitsi, että he pohtivat sitä, miten häiriöt voivat ulottua yrityksen pääverkkoa laajemmalle operatiivisiin huolenaiheisiin, kuten putkiongelmiin tai kiristysohjelman sulkemien keskeisten toimittajien toissijaisiin vaikutuksiin.

Toimintahäiriöiden hallintaan kuuluvat sekä redundantit järjestelmät että segmentointi, joiden avulla voidaan minimoida käyttökatkokset, jolloin organisaatio voi siirtää liikennettä verkon toiseen osaan ja samalla rajoittaa ja palauttaa vahingoittuneen segmentin. Vahvimmatkaan varmuuskopio- tai järjestelmäpalautusprosessit eivät kuitenkaan pysty täysin poistamaan yritystoiminnan keskeytymisen tai tietojen altistumisen uhkaa. Lieventämisen kääntöpuolena on ennaltaehkäisy.

Suojellaksesi organisaatiotasi kiristysohjelmilta suosittelemme, että:

  • Valmistaudu puolustautumaan ja toipumaan. Ota käyttöön Zero Trust -suojausmalli , jossa oletetaan, että tietoturvaloukkauksia on tapahtunut, ja ota samalla käyttöön tietojen palautusjärjestelmä, varmuuskopiointijärjestelmä ja suojattu käyttöoikeus. Monet tietoturvajohtajat ovat jo ottaneet ratkaisevan tärkeän askeleen lieventääkseen hyökkäyksen vaikutuksia varmuuskopioinnin ja salauksen avulla, mikä voi auttaa suojautumaan tietojen häviämiseltä ja paljastumiselta. On tärkeää suojata nämä varmuuskopiot hyökkääjän tahalliselta poistamiselta tai salaamiselta määrittämällä suojatut kansiot. Kun käytössä on harjoiteltu liiketoiminnan jatkuvuuden ja katastrofista toipumisen (BC/DR) suunnitelma, tiimi voi ottaa järjestelmät nopeasti pois käytöstä ja keskeyttää hyökkäyksen etenemisen, jolloin toiminta voidaan palauttaa mahdollisimman lyhyellä käyttökatkoksella. Zero Trust -suojausmalli ja turvallinen pääsy auttavat organisaatiota puolustautumaan ja toipumaan eristämällä hyökkäyksen ja vaikeuttamalla hyökkääjien liikkumista verkossa.
  •  Suojaa käyttäjätiedot vaarantumiselta. Minimoi tunnistetietojen varastamisen ja sivuttaisliikkeiden mahdollisuus toteuttamalla erityisoikeutetun pääsyn strategia. Tärkeä vaihe kiristysohjelmia vastaan suojautumisessa on organisaatiosi verkon tunnistetietojen kattava tarkastus. Etuoikeutetut kirjautumistiedot ovat kaikkien muiden tietoturvatakeiden perusta – hyökkääjä, joka hallitsee etuoikeutettuja tilejäsi, voi heikentää kaikkia muita tietoturvatakeita. Microsoftin suosittelema strategia on rakentaa asteittain suljetun silmukan järjestelmä etuoikeutetuille käyttöoikeuksille, jolla varmistetaan, että vain luotettavia, "puhtaita" laitteita, tilejä ja välijärjestelmiä voidaan käyttää etuoikeutettuihin käyttöoikeuksiin arkaluonteisiin liiketoimintajärjestelmiin. Microsoftin suosittelema strategia on rakentaa asteittain suljetun silmukan järjestelmä etuoikeutetuille käyttöoikeuksille, jolla varmistetaan, että vain luotettavia, "puhtaita" laitteita, tilejä ja välijärjestelmiä voidaan käyttää etuoikeutettuihin käyttöoikeuksiin arkaluonteisiin liiketoimintajärjestelmiin.
  •  Ehkäise ja tunnista uhkia sekä reagoi niihin. Auta puolustautumaan uhkia vastaan kaikissa kuormituksissa hyödyntämällä kattavia, integroituja uhkien havaitsemis- ja reagointiominaisuuksia. Siiloutuneet pisteratkaisut aiheuttavat usein aukkoja ennaltaehkäisyyn ja hidastavat havaitsemista ja reagoimista kiristystoimia edeltäviin toimiin. Microsoft tarjoaa integroidun SIEM:n ja XDR:n , jotka tarjoavat kattavan uhkien suojausratkaisun, joka tarjoaa luokkansa parasta ennaltaehkäisyä, havaitsemista ja reagointia koko monipilvisen ja monialustaisen digitaalisen omaisuutesi alueella.

Nämä kolme parasta käytäntöä nivoutuvat toisiinsa muodostaen kattavan turvallisuusstrategian, jossa on integroitu tietojen, käyttäjätietojen ja verkon hallinta, joka perustuu Zero Trust -suojausmalliin. Zero Trust -suojausmallin toteuttaminen edellyttää monissa organisaatioissa laajempaa tietoturvan muutosta. Vaikka useimmat tietoturvajohtajat pyrkivät kohti Zero Trust -suojausmallia, jotkut ovat ilmaisseet huolensa siitä, että segmentoitu ympäristö saattaisi häiritä työntekijöiden tai tietoturvaryhmien tuottavuutta niin paljon, että ei olisi kannattavaa siirtyä liian nopeasti vahvaan segmentointiin.

Vaikka jokaisella organisaatiolla on omat vaatimuksensa, jotka sen on täytettävä, haluan todeta, että on mahdollista saada molempien maailmojen parhaat puolet, pääsy ja tietoturva. Segmentoinnin ei tarvitse olla häiritsevää. Näemme tämän hyödyn erityisesti silloin, kun organisaatiot yhdistävät käyttäjätietojen hallinnan tietoturvan muutostoimiin, kuten salasanattoman todennuksen käyttöönottoon, jolloin käyttäjien ei tarvitse hallita useita häiritseviä kirjautumisia. Microsoftin CISO Bret Arsenault kertoo, miten salasanattomuus helpottaa tietoturvaa: "Laitteiden suojaaminen on tärkeää, mutta se ei riitä. Meidän olisi myös keskityttävä yksilöiden suojaamiseen. Voimme parantaa käyttökokemustasi ja tietoturvaa antamalla sinun tulla salasanaksi." Koska varastetut kirjautumistiedot ovat useimpien hyökkäysten aloituskohta – esimerkiksi 2022 Verizon Data Breach Investigation Report (DBIR) -raportin mukaan yli 80 prosenttia verkkosovelluksiin tehdyistä tietoturvaloukkauksista johtui varastetuista kirjautumistiedoista – salasanattomuus auttaa myös sulkemaan tämän kriittisen turvallisuusaukon.

"Laitteiden suojaaminen on tärkeää, mutta se ei riitä. Meidän olisi myös keskityttävä yksilöiden suojaamiseen. Voimme parantaa käyttökokemustasi ja tietoturvaa antamalla sinun tulla salasanaksi."
– Bret Arsenault, Microsoftin CISO

Kokonaisvaltainen lähestymistapa kiristysohjelmiin edellyttää hyviä työkaluja

Monet CISO:t, joiden kanssa keskustelen, käyttävät hyökkäysten ehkäisyyn ja havaitsemiseen palettilähestymistapaa, jossa hyödynnetään toimittajien ratkaisujen kerroksia, jotka kattavat mm. haavoittuvuustestauksen, reuna-alueen testauksen, automaattisen seurannan, päätelaitteiden tietoturvan ja käyttäjätietojen suojauksen. Joillekin tämä on tarkoituksellista redundanssia, jossa toivotaan, että kerroksittainen lähestymistapa peittää kaikki aukot, kuten sveitsiläisen juuston pinoaminen siinä toivossa, että reiät eivät osu kohdakkain.

Kokemuksemme on osoittanut, että tämä monimuotoisuus voi vaikeuttaa korjaustoimia ja mahdollisesti lisätä riskiä. Kuten eräs CISO toteaa, useiden ratkaisujen kokoamisen haittapuolena on pirstaleisuudesta johtuva näkyvyyden puute: "Minulla on lajinsa paras lähestymistapa, joka itsessään tuo mukanaan tiettyjä haasteita, koska silloin ei ole näkemystä kokonaisriskeistä, koska sinulla on näitä itsenäisiä konsoleita, joilla hallitset uhkia, eikä sinulla ole kokonaisnäkemystä siitä, mitä omassa paikassasi tapahtuu." (Terveydenhuolto, 1100 työntekijää) Kun hyökkääjät kutovat monimutkaista verkkoa, joka ulottuu useiden erilaisten ratkaisujen yli, voi olla vaikeaa saada kokonaiskuvaa hyökkäysketjusta, tunnistaa vaaratilanteen laajuus ja kitkeä haittaohjelmien hyötykuormat kokonaan. Käynnissä olevan hyökkäyksen pysäyttäminen edellyttää kykyä tarkastella useita eri vektoreita hyökkäysten havaitsemiseksi, estämiseksi ja rajoittamiseksi/välttämiseksi reaaliajassa.

Lopputulos

Kattava integroitu ratkaisu auttaa sinua hallitsemaan haavoittuvuuksia, jotta voit pienentää hyökkäyspintaa ja erottaa kriittiset signaalit muusta kohinasta. Tämä yksinkertaisuus on ratkaisevan tärkeää organisaatioille, joiden on vaikea erottaa todellinen uhka hälytysten ja väärien positiivisten hälytysten jatkuvasta virrasta.

Auta puolustautumaan kiristysohjelmia ja muita kehittyneitä hyökkäyksiä vastaan XDR:n avulla

Monet tietoturvajohtajat turvautuvat laajennettuun havaitsemiseen ja reagointiin (XDR) saadakseen tämän alustarajat ylittävän näköalapaikan. XDR auttaa koordinoimaan signaaleja koko ekosysteemissä – ei vain päätelaitteissa – ja nopeuttamaan kehittyneiden uhkien havaitsemista ja niihin reagoimista.

XDR toimii kuten päätepisteiden tunnistus ja käsittely (EDR), mutta se kattaa laajemman alueen ja laajentaa tietoturvauhkien havaitsemisen ja tapahtumiin reagoimisen koko digitaaliseen ympäristöön (mukaan lukien mm. tunnistetiedot, infrastruktuuri, sovellukset, data, verkot ja pilvet). Tämä kattava laajuus on ratkaisevan tärkeä, kun otetaan huomioon nykyaikaisten hyökkäysten kehittyneisyys, sillä ne hyödyntävät nykypäivän monimutkaista, hajautettua ympäristöä ja liikkuvat sivusuunnassa eri toimialueiden välillä. Hyökkäykset etenevät yhä useammin epälineaarisesti ja liikkuvat sivusuunnassa eri pilvien, sähköpostin, SaaS-sovellusten jne. välillä.

XDR voi auttaa sinua kokoamaan yhteen kaikkien erilaisten järjestelmien tiedot, jotta näet koko tapahtuman alusta loppuun. Pisteratkaisut voivat vaikeuttaa tätä kattavaa näkyvyyttä, koska ne näyttävät vain osan hyökkäyksestä ja riippuvat siitä, että usein ylikuormitettu turvallisuustiimi korreloi manuaalisesti useita eri portaaleista tulevia uhkasignaaleja. Viime kädessä tämä voi tehdä uhan täydellisestä korjaamisesta aikaa vievää – ja joissakin tapauksissa jopa mahdotonta

Siirtyminen EDR:stä XDR:ään

Useimmat eivät ole vielä ymmärtäneet XDR:n lupausta. Monet CISO:t, joiden kanssa keskustelemme, ovat ottaneet käyttöön tehokkaan lähtökohdan EDR:ssä. EDR on todistettu voimavara: olemme nähneet, että nykyiset päätepisteiden tunnistusta ja käsittelyä käyttävät käyttäjät havaitsevat ja pysäyttävät kiristysohjelmia nopeammin.

Koska XDR on EDR:n evoluutio, jotkut CISO:t suhtautuvat kuitenkin edelleen epäilevästi XDR:n hyödyllisyyteen. Onko XDR vain EDR, johon on liitetty joitakin pisteratkaisuja? Pitääkö minun todella käyttää täysin erillistä ratkaisua? Vai tarjoaako EDR lopulta samat ominaisuudet? XDR-ratkaisujen nykyiset markkinat lisäävät sekaannusta entisestään, kun toimittajat kilpailevat XDR-tuotteiden lisäämisestä tuotevalikoimiinsa. Jotkut toimittajat laajentavat EDR-työkalujaan sisällyttämällä niihin lisää uhkatietoja, kun taas toiset keskittyvät rakentamaan erityisiä XDR-käyttöympäristöjä. Jälkimmäiset on rakennettu alusta alkaen tarjoamaan valmiita integraatioita ja ominaisuuksia, jotka keskittyvät tietoturva-analyytikon tarpeisiin ja jättävät mahdollisimman vähän aukkoja, joita tiimisi joutuu täyttämään manuaalisesti.

Lopputulos

XDR on nykypäivän turvallisuusympäristössä niin houkutteleva, koska se kattaa ja havaitsee ja rajoittaa uhkia nopeasti. Koska kiristysohjelmat ja muut pahantahtoiset hyökkäykset yleistyvät (eräs haastateltava totesi, että hänen organisaationsa kimppuun hyökätään keskimäärin *päivittäin*), tietoturvajohtajat näkevät automaation kriittisenä työkaluna, joka tarjoaa ympärivuorokautista valvontaa ja lähes reaaliaikaista reagointia.

Automaation avulla voit lisätä tiimisi vaikuttavuutta

Koska tietoturva-alan osaajista on pulaa ja uhkiin on reagoitava nopeasti, olemme rohkaisseet johtajia käyttämään automaatiota, jotta heidän työntekijänsä voisivat keskittyä pahimpien uhkien torjuntaan sen sijaan, että he hoitaisivat arkipäiväisiä tehtäviä, kuten salasanojen palauttamista. Mielenkiintoista on, että monet turvallisuusjohtajat, joiden kanssa keskustelin, mainitsivat, että he eivät vielä hyödynnä automatisoituja toimintoja täysimääräisesti. Joissakin tapauksissa turvallisuusjohtajat eivät ole täysin tietoisia tästä mahdollisuudesta. Toiset taas epäröivät ottaa automaation käyttöön, koska he pelkäävät menettävänsä hallinnan, saavansa epätarkkuutta tai menettävänsä näkyvyyden uhkiin. Jälkimmäinen on hyvin perusteltu huolenaihe. Näemme kuitenkin, että tehokkaat automaation omaksujat saavuttavat juuri päinvastaisen tuloksen – enemmän valvontaa, vähemmän vääriä positiivisia tuloksia, vähemmän hälyä ja enemmän merkityksellisiä havaintoja – ottamalla automaation käyttöön tietoturvaryhmän rinnalla ohjaamaan ja keskittämään ryhmän toimia.

Automaatio kattaa monenlaisia toimintoja perustason automaattisista hallinnollisista tehtävistä älykkääseen koneoppimiseen perustuvaan riskinarviointiin. Useimmat CISO:t ilmoittavat käyttävänsä edellistä, tapahtumapohjaista tai sääntöihin perustuvaa automaatiota, mutta harvempi on hyödyntänyt sisäänrakennettua tekoälyä ja koneoppimisominaisuuksia, jotka mahdollistavat reaaliaikaiset riskiperusteiset käyttöoikeuspäätökset. Rutiinitehtävien automatisointi auttaa tietysti vapauttamaan tietoturvaryhmän aikaa, jotta he voivat keskittyä strategisempaan ajatteluun, jonka ihmiset osaavat parhaiten. Mutta juuri tällä strategisella osa-alueella (esimerkiksi vaaratilanteiden käsittelyssä) automaatiolla on suurin potentiaali antaa tietoturvaryhmälle mahdollisuus toimia tietojen murskaajana, mallien täsmäyttäjänä ja älykkäänä kumppanina. Esimerkiksi tekoäly ja automaatio ovat taitavia korreloimaan tietoturvasignaaleja, mikä tukee kattavaa havaitsemista ja reagointia tietoturvarikkomukseen. Noin puolet hiljattain tekemässämme kyselyssä mainituista tietoturva-alan ammattilaisista sanoo, että heidän on korreloitava signaaleja manuaalisesti.1   Tämä on uskomattoman aikaa vievää ja tekee lähes mahdottomaksi reagoida nopeasti hyökkäyksen hillitsemiseksi. Kun automaatiota sovelletaan oikein (esim. turvasignaalien korrelointia), hyökkäykset voidaan usein havaita lähes reaaliajassa.

"Tarvitsemme tekoälyä, koska voittomarginaalimme ovat pienet, emmekä voi palkata liikaa väkeä." 
– Ravintola/majoitus, 6 000 työntekijää

Olemme havainneet, että monet tietoturvaryhmät hyödyntävät liian vähän jo käytössä oleviin ratkaisuihin sisäänrakennettua automaatiota. Monissa tapauksissa automatisoinnin soveltaminen on yhtä helppoa (ja vaikuttavaa!) kuin käytettävissä olevien ominaisuuksien määrittäminen, kuten esimerkiksi kiinteiden käyttöoikeuskäytäntöjen korvaaminen riskiperusteisilla ehdollisilla käyttöoikeuskäytännöillä ja vastausten käsikirjojen luominen.

CISO:t, jotka päättävät luopua automaation tarjoamista mahdollisuuksista, tekevät sen usein epäluottamuksesta, koska he ovat huolissaan siitä, että järjestelmä tekee korjaamattomia virheitä toimiessaan ilman ihmisen valvontaa. Mahdollisia skenaarioita ovat esimerkiksi se, että järjestelmä poistaa käyttäjän tietoja epäasianmukaisesti, aiheuttaa haittaa johtajalle, joka tarvitsee pääsyä järjestelmään, tai pahimmillaan johtaa hallinnan menettämiseen tai siihen, että haavoittuvuus, jota on hyödynnetty, ei ole enää näkyvissä.

"Aina kun yritämme ottaa käyttöön asioita, jotka ovat automaattisia, minua joskus pelottaa, mitä kirjoitetaan yli. Mistä palaudutaan? No, mutta mikä sai tämän toiminnan tulemaan kyseeseen" 
– Finanssipalvelut, 1 125 työntekijää

Tietoturva on kuitenkin yleensä tasapainoilua päivittäisten pienten haittojen ja katastrofaalisen hyökkäyksen jatkuvan uhan välillä. Automaatio voi toimia tällaisen hyökkäyksen ennakkovaroitusjärjestelmänä, ja sen aiheuttamia haittoja voidaan lieventää tai poistaa. Sitä paitsi automaatio ei toimi parhaimmillaan yksin, vaan yhdessä ihmisen kanssa, jolloin sen tekoäly voi sekä antaa tietoa että olla ihmisälyn tarkistama.

Varmistaaksemme sujuvan käyttöönoton olemme lisänneet ratkaisuihimme pelkkiä raportteja sisältäviä tiloja, jotta voimme kokeilla niitä ennen käyttöönottoa. Näin tietoturvaryhmä voi ottaa automaation käyttöön omaan tahtiinsa, hienosäätää automaatiosääntöjä ja seurata automaattisten työkalujen suorituskykyä.

Tietoturvajohtajat, jotka käyttävät automaatiota tehokkaimmin, käyttävät sitä tiiminsä rinnalla täyttämään aukkoja ja toimimaan ensimmäisenä puolustuslinjana. Kuten eräs CISO kertoi minulle hiljattain, on lähes mahdotonta ja kohtuuttoman kallista pitää tietoturvaryhmää keskittyneenä kaikkialle kaikkina aikoina – ja vaikka näin olisikin, tietoturvaryhmät vaihtuvat usein. Automaatio tarjoaa aina käytössä olevan jatkuvuuden ja johdonmukaisuuden kerroksen, joka tukee turvatiimiä alueilla, jotka vaativat tätä johdonmukaisuutta, kuten liikenteen valvonta ja ennakkovaroitusjärjestelmät. Kun automaatio otetaan käyttöön tässä tukikapasiteetissa, se auttaa vapauttamaan tiimin aikaa lokien ja järjestelmien manuaalisesta tarkastelusta ja antaa heille mahdollisuuden toimia ennakoivammin. Automaatio ei korvaa ihmistä. Nämä ovat työkaluja, joiden avulla työntekijäsi voivat priorisoida hälytyksiä ja keskittää ponnistelunsa sinne, missä se on tärkeintä.

Lopputulos
Tehokkaimmassa puolustusstrategiassa yhdistyvät tekoäly ja automatisoidut työkalut sekä tietoturvaryhmän vivahteikkaampi valppaus ja taktinen reagointi. Tehtävien suorittamisesta ja välittömistä toimista hyökkäyksen torjumiseksi saatavien välittömien hyötyjen lisäksi automatisointi auttaa tiimiä hallitsemaan aikaansa ja koordinoimaan resurssejaan tehokkaammin, jotta he voivat keskittyä korkeamman tason tutkinta- ja korjaustoimiin.

Kaikissa mainituissa Microsoftin tutkimuksissa käytetään riippumattomia tutkimusyrityksiä, jotka ottavat yhteyttä tietoturva-alan ammattilaisiin sekä kvantitatiivisissa että kvalitatiivisissa tutkimuksissa, mikä takaa yksityisyyden suojan ja analyyttisen tarkkuuden. Tähän asiakirjaan sisältyvät lainaukset ja havainnot ovat Microsoftin tutkimusten tulosta, ellei toisin mainita.

  1. [1]

    2021 Microsoftin tutkimus CISO:ista ja tietoturva-alan ammattilaisista

Aiheeseen liittyviä artikkeleita

CISO Insider Issue 1

Selviydy nykypäivän uhkakuvista tietoturvajohtajien yksinoikeudella tekemien analyysien ja suositusten avulla.

Cyber Signals: Issue 1

Identiteetti on uusi taistelukenttä. Hanki tietoja kehittyvistä kyberuhkista ja vaiheista organisaatiosi parempaan suojaamiseen.

Cyber Signals Issue 2: Extortion Economics

Kuuntele etulinjan asiantuntijoiden mielipiteitä palveluina tarjottavien kiristysohjelmien kehityksestä. Ohjelmista ja kuormituksista laitonta pääsyä kauppaaviin kyberrikollisiin ja kumppaneihin: lue lisätietoja kyberrikollisten suosimista työkaluista, taktiikoista ja kohteista sekä vinkkejä organisaatiosi suojaamiseen.