Neni nad to mit 20 ruznych dodavatelu, 50 ruznych dashboardu a 1 cloveka ktery to ma monitorovat… Jeden vendor znamena obvykle lepsi integraci, obvykle min dashboardu, lepsi komunikaci mezi jednotlivymi systemy. V idealnim prioade chcete aby IoC ze sandboxu slo do IPS nebo FW a endpointum k blokaci, to same od endpointu smerem k dalsim systemum. Nemit tuhle provazanost tak sice minimalizujete riziko s jednim vendorem ale zaroven snizujete efektivitu celkove obrany.
Díky za ušetřenou práci s psaním :-) Lépe bych to nenapsal, naprosto souhlasím.
Z návrhu zákona(NIS2) co vydal NÚKIB vyplývá, že budeme muset mít stejně nějakého "manažera bezpečnosti", který toto celé bude za organizaci zaštitovat.
Úplně jednoduše to máme zatím nastaveno takto:
ESET na koncových stanicích, windows serverech a telefonech, které se připojují do vnitřní sítě - Spravují si admini geograficky sami. ESET je s centrální správou takže jeden dashboard.
K tomu na pracovních stanicích HIDS od sophosu (Pokud není HIDS nainstalován nedostane se do sítě)
Všechen provoz do a z internetu přes jeden sophos firewall XG. Zase jeden dashboard, který upozorňuje na případné anomálie/nekorektní/podezřelé chování stanic.
A celé to chceme doplnit jen o IDS, kterou bude monitorovat vyškolený "manažer bezpečnosti"
Takže není to 20 vendorů atd...
Celé je to samozřejmě doplněno o sofistikované zálohování profilů a virtuálních serverů, kdy se jde vrátit den po dni několik měsíců zpátky a profil nebo virtuální server obnovit během několika málo minut.
Jak jsem pochopil tak ten Sophos MDR je stejně jen nějaká placená externí analýza.
Když už budeme muset mít člověka, který to bude celé zaštitovat zdá se mi elegantnější když to založíme na Security Onion a to co pro nás vyplývá ze směrnice NIS 2 jenom doplníme ke stávajícímu řešení....
Zatím je ta národní implementace NIS2 dána k připomínkám odborné veřejnosti, schválení se plánuje až kolem roku 2024 takže je zatím čas to celé promyslet a uvést do chodu.
10 Odpovědí
4315 Zhlédnutí