Последние три десятилетия специалисты по защите данных участвуют в гонке, противодействуя сначала «кавалерийским атакам»
Все эти угрозы развивались и совершенствовались, как и требования к безопасности предприятий. Кроме того, появилось много новых технологий — от антивирусов, брандмауэров, средств предотвращения утраты данных, анализа журналов и SIEM нового поколения до разведки угроз. Каждая из них обещает решить наши проблемы с кибербезопасностью.
На протяжении многих лет мы наблюдали взлет и закат различных подходов к безопасности — базовых клиент-серверных схем, а также подходов, в центре которых находятся сеть, сервер, задача, облако, файл или даже блок.
Однако есть некоторые фундаментальные требования безопасности, выдержавшие проверку временем. Поставщик ПО и сервисов безопасности Optiv выделяет пять таких максим.
Подход «забросай проблему деньгами» не работает. На протяжении многих лет компании боролись с вредоносным кодом и изощренными киберпреступниками, реагируя на их действия. В том же духе они отвечают на новые вызовы и требования регуляторов: покупка новой технологии, привлечение новых сотрудников, создание новых шаблонов. Такой подход вызвал кризис корпоративной безопасности. Работники не знают, какими активами располагают, инфраструктуры раздуты и неуправляемы.
Такая стратегия приводит не только к разбазариванию денег. Инфраструктура ИТ превращается в набор несогласованных точечных решений. Во многих случаях компании думают, будто заложили прочный фундамент, тогда как в нем имеются трещины, через которые проникают киберпреступники. Увеличение расходов не всегда приводит к сокращению числа инцидентов.
Организациям следует переосмыслить свой подход к затратам на безопасность. Перед каждым приобретением необходимо тщательно соизмерять потребность в самой передовой технологии с важностью создания инфраструктуры безопасности из полностью интегрированных продуктов, сервисов и систем. Для борьбы с современными изощренными киберпреступниками компаниям надлежит преобразовать свои инфраструктуры безопасности и операции из реактивных, громоздких и построенных вокруг отдельных продуктов в созданные на основе плана, предсказуемые, ориентированные на оптимизацию и согласованность.
Люди — самое слабое звено. Специалисты давно предупреждают об инсайдерских угрозах. Встречаются сотрудники, которых хотят похитить корпоративные данные, получить несанкционированный доступ к конфиденциальным системам и сервисам или запустить вредоносный код для нанесения ущерба компании. Кроме того, бывают случайности, когда сотрудник, например, по ошибке размещает конфиденциальные данные в облаке. Хотя это делается без злого умысла, вред может быть большим.
Сегодня инсайдерская угроза возросла из-за хронической нехватки специалистов по кибербезопасности. В результате многие кражи данных происходят благодаря не хорошо организованным кибератакам, а простым ошибкам людей: неправильным настройкам, не установленным исправлениям и другим нарушениям базовых требований.
Компании нуждаются не в дополнительных приобретениях, а в том, чтобы у них все было «правильно»: правильная стратегия, правильная инфраструктура, правильные политики и процессы. Оптимизация средств защиты — хороший первый шаг к тому, чтобы сделать обеспечение безопасности более простым, более управляемым и менее дорогим делом, снизить нагрузку на специалистов по безопасности и освободить их для выполнения сложных заданий, повышающих защищенность и ценность компании.
Сотрудники — ваша первая линия обороны. Хотя работники и создают серьезный риск для безопасности компании, они могут составить первую линию защиты от киберпреступников. Наиболее эффективный способ подготовить их к этой роли заключается в создании культуры строгой кибербезопасности, стимулирующей и вознаграждающей знание правил безопасности и безопасное поведение в Интернете.
Если сотрудники понимают свою роль в обеспечении защиты сетей и данных компании, они проявят большую готовность выполнять свои обязанности и соблюдать политику компании. Важно организовать программы непрерывного обучения и тренинга, чтобы познакомить сотрудников с методами атак киберпреступников и их тактикой (например, с вымогательским ПО и фишингом), а также объяснить, что следует делать в случае обнаружения угрозы.
Важно также четко разъяснить, как сотрудники должны действовать в Интернете, и определить приемлемые и неприемлемые способы использования корпоративных сетей, ПО и устройств. Чтобы ускорить распространение модели безопасного поведения, рассмотрите возможность запуска программ стимулирования и вознаграждения с проведением ежемесячных соревнований или программ геймификации.
Создание культуры строгой кибербезопасности, основанной на сознательности, тренинге и четко сформулированных политиках, требует времени и сил, но конечный результат этого заслуживает.
Установка исправлений — путь к совершенству. При использовании нового поколения инструментов для обеспечения кибербезопасности установка исправления может показаться тривиальной задачей. Но это важнейший компонент программ надежной защиты. Уязвимости Meltdown и Spectre еще раз напомнили об этом. Их устранение, вероятно, потребует экспоненциального увеличения затрат по сравнению с прежними широко распространенными уязвимостями.
Это связано с количеством требуемых исправлений, сложностью установки нужного исправления на нужную систему и необходимостью тестирования, чтобы понять влияние исправлений на производительность и стабильность систем и приложений. Проблема управления исправлениями усугубляется в тех компаниях, которые не заменили устаревшее оборудование, на которое устанавливать исправления труднее, чем на более новые системы.
Сейчас, когда ежедневно появляются отличные новые продукты для обеспечения безопасности, компаниям следует вернуться к основам, использовать базовые защитные технологии и процессы (такие как установка исправлений), чтобы снизить риск, поддерживать уровень безопасности и навести порядок в царящем сейчас хаосе.
Безопасность как проблема бизнеса. Руководители подразделений ИТ и информационной безопасности всегда испытывают трудности при общении с другими высшими должностными лицами и членами правления. Одна из главных причин этого заключается в том, что они не могут рассказать о своих операциях таким образом, чтобы они стали понятны всему руководству и правлению, не могут связать расходы на защиту с рисками для компании в целом. В результате стратегические решения принимаются без учета требований безопасности, что не позволяет быть проактивными при защите бизнес-операций.
Хотя такая проблема возникла много лет назад, она все еще существует во многих компаниях. Отвечающие за безопасность руководители должны использовать метрики и ключевые показатели эффективности. Тогда они смогут отчитываться о своих операциях так, чтобы это было понятно другим руководителям. Составление бюджета и оценка защитных мероприятий таким же образом, как это делается во всех бизнес-подразделениях, позволит руководителям информационных подразделений играть более важную роль в планировании и определении стратегии бизнеса. А предприятия смогут привести расходы на обеспечение безопасности в соответствие с рисками.
Ну и кроме того, если отвечающие за информационную безопасность будут говорить на языке бизнеса, они смогут, наконец, получить место за пресловутым «столом руководства».
