O platforma de securitate oferita de un vendor este o solutie care inglobeaza intr-o singura interfata de management atat produse si functii de securitate specifice acelui vendor, cat si solutii de securitate oferite de alti producatori. Echipele de securitate dintr-o organizatie vor putea colabora mai eficient atunci cand are loc un incident intrucat prin integrarea solutiilor de securitate intr-o platforma unificata se obtine vizibilitate crescuta asupra endpoint-urilor, cloud-ului si aplicatiilor, si viteza rapida de reactie prin automatizarea raspunsului la incident.
Beneficiile unei platforme de securitate sunt derivate din tehnologiile emergente de machine learning si inteligenta artificiala folosite in mod deosebit la ingestia de loguri raportate de diferite surse (firewall, SIEM, endpointuri, etc.) si corelarea acestora in vederea eliminarii alertelor de tip fals pozitiv, si detectia proactiva a unei amenintari bazata pe analiza unor indicatori de compromis (IoCs) si izolarea si eliminarea acelei amenintari folosind playbook-uri. Organizatia va beneficia astfel de costuri operationale reduse, intrucat timpii de detectie si remediere vor fi considerabili mai mici. Departamentul de SOC va fi degrevat de analizarea alertelor de fals pozitiv, care reprezinta cel mai mare volum de munca pentru un analist de nivel 1. Astfel, se castiga timp pentru intelegerea, examinarea si combaterea incidentelor de securitate reale.
Vendorii ofera mai multe categorii de platforme de securitate din care ne putem alege:
- Platforme create in jurul unei solutii punctuale. De exemplu,un firewall de tip next generation care combina intr-un singur produs capabilitatile un firewall traditional cu functii avansate precum Intrusion Prevention, Application Visibility and Control sau filtrarea traficului pe baza feed-urilor de securitate. Un alt exemplu este o solutie de protectie a endpoint-urilor. O astfel de solutie protejeaza endpoint-urile de aplicatii periculoase sau nedorite, de fisiere malitioase, de procese distructive, oferind si capabilitati de investigare si threat hunting.
- Platforme bazate pe o solutie de tip SIEM (Security Information and Event Management). Un SIEM este un produs care poate colecta informatii si loguri de la orice „asset” al organizatiei. Valorea unui SIEM consta in abilitatea de a agrega si corela volume imense de date pentru a oferi informatii utile/alerte de securitate. Un trend din ce in ce mai intalnit in industrie este folosirea unui SOAR (Security Orchestration, Automation and Response) care vine sa suplineasca SIEM-ul cu capabilitatea de a integra feed-uri de securitate si de a automatiza investigarea unui incident de securitate si raspunsul la acesta pe baza unor flow-uri predefinite de echipa de securitate
- Platforme bazate pe portofoliul de securitate al unui vendor. Marele avantaj al acestui tip de platorma este integrarea transparenta cu produsele de securitate deja folosite de organizatie. Se elimina timpul pierdut cu depanarea problemelor de incompatibilitate, cu instalarea conectorilor aditionali sau cu necesitatea de a face upgrade la o anumite versiune de software. O astfel de platforma ofera si posibilitatea de a beneficia de pe urma unui management centralizat al politicilor de securitate atat pentru locatii on-premises, cat si pentru cloud. Un alt avantaj este posibilitatea de a integra platforma cu solutii de la alti vendori, fie in mod direct (out of the box), fie prin folosirea API-urilor. Astfel, organizatia isi protejeza investiile facuta in zona de securitate si reduce si mai mult costurile operationale care pot rezulta in urma unui proces complex de integrare si onboarding.
Cisco SecureX este o platforma de securitate care face parte din ultima categorie. Fiind o solutie cloud-native, organizatia este scutita de costurile tipice asociate cu o solutie „in house” (upgrade, patching, vulnerability assessment, upgrade hardware, etc). Cisco SecureX poate fi folosit de organizatii pentru a prioritiza corect alertele de securitate, pentru a raspunde proactiv si automat la incidentele de securitate si pentru a efectua operatiuni specifice de threat hunting. Mai mult, orice organizatie care foloseste cel putin o solutie de securitate Cisco (de exemplu Cisco Secure Firewall, Secure Endpoint, Secure Email, Umbrella, Duo) poate folosi imediat platforma SecureX fara costuri sau licente suplimentare. Beneficiile imediate constau in cresterea vizibilitatii asupra retelei, asupra aplicatiilor si a dispozitivelor, posibilitatea de investigare a unui incident folosind o singura interfata si, mai apoi, automatizarea detectiei si a raspunsului la o problema de securitate folosind flow-uri create de organizatie. Daca utilizati deja produse Cisco Secure, incepeti sa folositi si SecureX. Nu stiti ca aveati nevoie de el, pana cand nu incepeti sa il folositi 😊iar inginerii Dendrio va pot ajuta sa profitati la maxim de aceasta platforma.
Mihai Dumitrascu, Sr Systems Engineer