Zajímá firmu, zda by se dal kompromitovat notebook jejího CEO nebo CFO, pokud by byl odcizen z jejich vozidla? Jakou roli dnes hraje v zabezpečení IT penetrační testování nebo poradenské služby, když vedle nich existují samostatné bezpečnostní nástroje, služby cloudové nebo řízené? Odpovídá Stefan Fritz, Director Channel Sales EMEA Central ve společnosti Sophos.
Jak fungují služby Sophos Advisory Services? Jedná se nepřetržitý monitoring, pravidelné testování nebo i jednorázové kroky…?
Naše poradenské služby jsou flexibilní a plně je přizpůsobujeme individuálním potřebám jednotlivých zákazníků. Pro ilustraci, každý rok pro naše zákazníky provedeme více než 1 000 projektů aktivního testování bezpečnosti. Mnoho z těchto zákazníků se rozhodne pro jednorázovou transakci, např. pro penetrační test jednou ročně, zatímco jiní s námi spolupracují průběžně a pravidelně testují svou bezpečnostní pozici proti sofistikovaným útokům, aby byli o krok napřed, než se skutečný útočník zaměří na ně.
Co všechno tyto služby zahrnují?
Sophos Advisory Services kombinují expertízu a kapacity několika týmů, konkrétně z oblastí reakce na bezpečnostní incidenty (Incident Response), připravenosti na bezpečnostní incidenty (Incident Readiness), Red Teamu a simulace útočníka a řízení rizik a dodržování předpisů (Governance, Risk & Compliance, GRC).
Služby Red Teamu pokrývají široké spektrum ofenzivních bezpečnostních aktivit. Mezi hlavní poskytované služby patří hodnocení zranitelností, penetrační testy sítí – a to externí, interní, bezdrátové i cloudové, testování bezpečnosti aplikací včetně webových a mobilních aplikací, API, thick client aplikací nebo kontrol zdrojového kódu. Dále se provádějí tzv. Red a Purple Team cvičení, hodnocení fyzické bezpečnosti, penetrační testy zařízení a řada dalších specializovaných služeb, například testy odolnosti vůči sociálnímu inženýrství, prolomení hesel či bezpečnost IoT a OT zařízení.
Hodnotíte v rámci poradenských služeb konkrétně využití cloudových technologií, suverenitu dat, používání umělé inteligence nebo jiné interní procesy, které by mohly vést k úniku dat?
To záleží na rozsahu spolupráce a typu poskytované služby. Naše bezpečnostní týmy nabízejí široké spektrum ofenzivních bezpečnostních služeb orientovaných na konkrétní cíle, přičemž před každým projektem se setkáváme s klientem, abychom porozuměli jeho cílům a očekáváním. Například: chce klient otestovat, zda by mohlo dojít k úniku dat? Chce zjistit, zda by útočník mohl kompromitovat jeho doménu? Zajímá ho, zda by se dal kompromitovat notebook CEO nebo CFO, pokud by byl odcizen z jejich vozidla? Nebo zda by organizace mohla podlehnout útoku založenému na deep fake a metodách sociálního inženýrství? Seznam cílů a očekávání, včetně těch uvedených v této otázce, se vždy projednává před začátkem spolupráce.
Pokud jde o testování, zahrnují tyto služby samy o sobě nějaké bezpečnostní komponenty, nebo jsou oddělené od nabídky Security-as-a-Service?
Tyto služby nejsou řízené služby – jedná se o poradenské služby poskytované vysoce kvalifikovanými a zkušenými odborníky na bezpečnost.
Jak se tyto služby účtují?
Všechny služby společnosti Sophos lze objednat buď formou předplaceného balíčku služeb, nebo samostatně jako jednotlivé služby účtované podle potřeby. Cena vždy závisí na velikosti, složitosti a rozsahu konkrétního projektu. Služby jsou navíc nabízeny v různých variantách, například pro malé, střední nebo velké organizace.
Získávají zákazníci v rámci těchto služeb nějaký formální dokument nebo certifikát, který lze předložit regulačním orgánům, pojišťovnám nebo použít jako doklad o souladu s předpisy?
Výstupem každého projektu je závěrečná zpráva, která je určena různým zainteresovaným stranám v rámci organizace zákazníka a může být využita i při komunikaci s externími subjekty, jako jsou regulační orgány nebo pojišťovny. Pro zákazníky, kteří splňují příslušné podmínky, navíc Sophos poskytuje i „Prohlášení o ověření“ (Letter of Attestation), které formálně potvrzuje provedené hodnocení.
Jsou nějak propojeny poradenské a řízené bezpečnostní služby společnosti Sophos? Používají je stejní zákazníci dohromady nebo paralelně?
Poradenské služby Sophos úzce souvisejí s řízenými bezpečnostními službami Sophos, s výjimkou kapacit útvaru Sophos Red Team, který funguje jako nezávislý bezpečnostní auditor. Například tým reakce na incidenty pravidelně spolupracuje s naším týmem řízených bezpečnostních služeb při řešení incidentů. Tým řízených služeb zapojuje tým reakce na incidenty i do řady operací, které spadají mimo rámec řízených služeb. Útvar Red Team však funguje nezávisle a bez vlivu ostatních týmů.
Uvedu konkrétní příklad – když s námi zákazník realizuje penetrační test, nejsou o tom informovány týmy řízených bezpečnostních služeb Sophosu. Výstrahy pocházející z testu jsou tříděny stejně, jako by byly tříděny při realizaci testu třetí stranou nebo by se jednalo o skutečného útočníka. Je velmi důležité zachovat tuto úroveň nezávislosti, aby bylo zajištěno, že zákazníci dostávají služby v nejvyšší možné kvalitě.
A ano, je běžné, že zákazníci využívají všechny tyto služby v kombinaci.
