Kupujete si bezpečnostní službu. Automatickou analýzu prostřednictvím vyspělých robotů na serverech bezpečnostní společnosti. Práci odborníků ve viruslabu zkoumající nové sofistikované hrozby 24 hodin 7 dní v týdnu. Kontinuální vývoj analytických systémů na backendu. A samozřejmě i samotný vývoj vyspělých detekčních systémů na koncových bodech.
Tento provozní model funguje v určité míře stejně u všech kyberbezpečnostních společností. Jak ale poznat, že Vámi využívaný software nefunguje správně a že je čas jej vyměnit?
Shrnuli jsme 10 nejběžnějších ukazatelů, které napoví, že je potřeba zvažovat změnu bezpečnostního řešení.
#1 Zpomalení hardwaru
Pokud mají kolegové, na jejichž koncových stanicích konkrétní antimalware řešení je, dojem, že počítač startuje pomalu nebo se podezřele rychle vybíjí baterie, je na místě zkontrolovat hardwarové nároky softwaru. Bezpečnostní řešení by mělo mít minimální vliv na výkon a použitelnost počítače. A to i v případě, že probíhá vynucené skenování.
Můžete si udělat jednoduchý test. Zvolte si testovací počítač, odinstalujte používaný antimalware produkt, vypněte výchozí bezpečnostní řešení a na bezpečných úkonech si vyzkoušejte, jak se odezva zařízení změní.
#2 Stížnosti uživatelů
Stěžují si vaši kolegové na bezpečnostní program? Mezi hlavní důvody patří už zmíněné zpomalování počítače, příliš mnoho vyskakujících interaktivních upozornění (produkt si není jistý a nechává rozhodnutí na uživateli) komplikující pohodlnou práci, falešně detekce čistých legitimních souborů nebo nemožnost nainstalovat nejnovější aktualizace.
Problematické je také to, pokud v produktech není vidět důvod případného vyššího zatížení a přibližný čas opětovného normálního chodu systému. Program by měl zřetelně zobrazovat, že zrovna dochází ke skenování nebo stahování aktualizací. A to včetně progress baru, aby mohl uživatel odvodit, kdy daná činnost skončí. To vše lze považovat za dobré signály, že je čas najít si nové řešení.
#3 Příliš spamu
E-maily jsou stále kanálem, kterým se šíří přes 90 procent malwaru. Pokud se dostává až k uživatelům do schránek, roste riziko, že někdo méně zkušený infikovanou přílohu spustí. S přechodem na cloudové služby je také třeba včas odhalit phishing. Pokud bezpečnostní řešení, které využíváte, pustí do uživatelských schránek více než minimální množství spamu, je na místě zvážit jeho výměnu.
#4 Nespolehlivá ochrana
Zranitelné jsou všechny koncové stanice, bez ohledu na operační systém nebo typ. Pokud současné řešení nedokáže zabezpečit počítače a servery s různými operačními systémy, telefony ale i PoS prvky, je jednoduše nedostatečné.
#5 Chybějící technologie
Aktuální hrozby jsou stále sofistikovanější, což potvrzují i závěry NÚKIBu za rok 2020. Bez vícevrstvé ochrany se firmy neobejdou. Spolehlivé bezpečnostní řešení by dnes mělo přinejmenším využívat strojové učení, cloudovou analýzu v sandboxu pro odhalení perzistentního malwaru a také modul anti-exploit pro detekci malwaru zneužívajícího neopravené softwarové chyby.
#6 Těžkopádné ovládání
Alarmem by měla být centrální správa dostupná pouze jako zastaralá desktopová Win32 aplikace. I moderní cloudové konzole vzdálené správy ale mohou mít své mouchy. Složité ovládání může v důsledku snížit bezpečnost, protože příliš komplikované prvky nebude prostě nikdo plně využívat.
V důsledku může dojít k tomu, že IT tým nebude reagovat na vzniklé bezpečnostní incidenty. Nebude provádět aktualizace nebo nebude řešit opakující se situace. Nebude sledovat důležité reporty a reagovat na ně nastavováním odpovídajících úloh nebo politik, protože taková konfigurace je v konzoli moc složitá.
Nevhodné je také, pokud aplikace umožní ovládání jen v angličtině. Stále ještě můžete narážet na jazykovou bariéru.
Velkou komplikací pro administrátory je příliš mnoho různých ovládacích aplikací, které se od sebe výrazně liší. Takový „poslepovaný” systém bývá obvykle pozůstatek různých historických akvizic.
"Zásadní je, aby administrátoři nepoužívali zastaralé a neaktualizované verze softwaru. Proces aktualizace by měl být uživatelsky přívětivý."
#7 Chybějící funkce
Pro spolehlivé zabezpečení firemní sítě je prakticky nezbytné, aby vaše bezpečnostní řešení disponovalo co možná nejmodernějšími technologiemi pro včasnou detekci a diagnostiku.
Mezi funkce pomáhající administrátorům lze zařadit hardwarový audit poskytující informace o hardwarové konfiguraci, nebo správce softwaru pro přehled o veškerém softwarovém vybavení používaném ve firmě. Některé produkty disponují také funkcí pro probuzení počítače (wake on LAN) nebo detekcí rizikových nespravovaných zařízení v interní síti.
Z hlediska použitelnosti lze doporučit vzdálenou správu z jedné administrátorské konzole, přes kterou lze nastavit veškeré funkce od zabezpečení koncových stanic, e-mailového serveru, přes konfiguraci sandboxové analýzy až po šifrování.
Doporučujeme si také ověřit, že řešení podporuje štítkování pro snadnější správu a MFA přihlašování.
#8 Chybovost v detekcích
Bezpečnostní řešení má v prvé řadě spolehlivě detekovat potenciální rizika. Pokud ale dochází k detekci legitimních souborů, uvažte, zda je řešení nastavené správně nebo není čas jej vyměnit. Samozřejmě za předpokladu, že zmíněné legitimní aplikace stahujete z oficiálního zdroje. Stejně tak urychleně řešení změňte, pokud není schopno detekovat nové hrozby.
#9 Komplikovaná podpora
Dnes je samozřejmostí, že velké vývojářské společnosti nabízí ke svému softwaru nějakou úroveň technické podpory, na kterou se lze obracet v případě komplikací. Ačkoli jde o neziskovou aktivitu, měly by být součástí služeb zákazníkům, obzvláště u komplexních řešení. Při výběru se zaměřte na následující faktory.
Pokud je technická podpora zpoplatněná, příliš pomalá nebo je dostupná jen v angličtině, zvažte změnu daného dodavatele. V případě problémů by mělo být možné, abys se technik připojil vzdáleně k zařízení, které vykazuje problém. V případě větších problémů, by měl dokonce přijet do firmy, typicky při prvotní konfiguraci.
#10 Nejasná cenovka
Jednání ze strany dodavatelů by mělo být transparentní. Ostatně jim do určité míry svěřujete bezpečnost vaší organizace. To se týká nejen veškeré dokumentace ale také cenové politiky. Pokud se každý měsíc ceny mění a něco zdražuje, je poměrně těžké spolehnout se na detekční mechanismy.
Každý bezpečnostní administrátor by si měl položit několik otázek a dle množství kladných odpovědí zvážit výměnu bezpečnostního produktu:
- Stěžují si uživatelé na bezpečnostní software?
- Dochází ke zpomalování práce i u nově zakoupených počítačů?
- Nejsou blokovány reálné hrozby jako například ransomware?
- Dochází k blokaci legitimních aplikací?
- Probíhá vzdálená správa pomocí několika nesourodých aplikací?
- Je aktualizace na novou verzi příliš komplikovaná, a proto se odkládá?
- Je konfigurace nových bezpečnostních funkcí v čerstvě vydaných verzích pracná, a proto se nepoužívá?
- Je složitě dohledatelné, že na některých strojích dochází k pravidelným opakujícím se detekcím, a proto tyto hrozby nikdo neřeší?
- Je nastavování výjimek ve firewallu a jejich propagace noční můrou?
- Je technická podpora placená? Pouze v angličtině? Pouze přes e-maily? Problém řeší dlouho? Problém nevyřeší?