Trace Id is missing
Преминаване към основното съдържание
Security Insider

CISO Insider: Проблем 1

Изтегляне
Споделяне
Мъж разглежда таблет в склад.

Навигирайте в пейзажа на днешните заплахи с изключителен анализ и препоръки от ръководителите на защита

Казвам се Роб Лефертс и ръководя инженерния екип на Защита в Microsoft 365. Моят екип - както и изследователските екипи по сигурността на Майкрософт, с които работим - са неуморно фокусирани върху разкриването и борбата с най-новите тенденции на заплахи, с които се сблъскват нашата компания, нашите клиенти и цялата глобална общност.

Досега споделяхме информацията за заплахите само вътрешно, но решихме да започнем да я публикуваме публично под формата на CISO Insider. Нашата цел е да предоставим на организациите по целия свят най-актуалната информация и насоки в областта на сигурността, за да защитят по-ефективно себе си и своите клиенти от киберпрестъпления.

Брой 1 започва с три теми, които са актуални за много от нас:

  • Тенденции за атака: С промяната на атаките основните принципи все още осигуряват ценна защита
  • Рискът от правене на бизнес: Управление на заплахите по веригата за доставки
  • Нови подходи за справяне с недостига на таланти в областта на сигурността

COVID-19 изисква от организациите да засилят зависимостта си от гъвкавостта на работното място и да ускорят цифровата трансформация - и тези промени естествено изискват и някои промени в тактиките за сигурност. Границите се разширяват и стават по-хибридни, простирайки се на множество облаци и платформи. Въпреки че новите технологии са благодат за много организации, даващи възможност за продуктивност и работа дори в предизвикателни времена, промените също предлагат възможност на киберпрестъпниците, които се стремят да използват уязвимостите, намиращи се в ставащите все по-сложни дигитални среди.

Повишаването на броя на фишинг атаките, свързани с отдалечена работа, е на дневен ред за специалистите по защита, с които разговарям, и ние виждаме, че това е отразено и в нашите проучвания. В проучване на Microsoft сред лидери в областта на защитата, проведено през 2020 г., 55% от тях ни казаха, че техните организации са установили увеличение на фишинг атаките от началото на пандемията, а 88% заявиха, че фишинг атаките са засегнали техните организации. Редовно чувам и за рязкото нарастване на атаките с откуп, за това как злонамереният софтуер остава постоянна заплаха и как компрометирането на самоличността продължава да бъде основно предизвикателство, което тормози екипите по защита.

Освен това знаем, че държавните атаки стават все по-агресивни и постоянни. Атаката на NOBELIUM supply-chain attack, използваща платформата SolarWinds, беше една от многото нови атаки, които се появиха на първите страници на вестниците през последната година. Макар че ярките нови техники са това, което често завладява новинарските цикли, CISO постоянно ми казват, че дори тези напреднали участници в заплахите, подобно на повечето киберпрестъпници, са склонни да се фокусират върху евтини атаки с висока стойност на възможностите.

"Ако национални държави ще нападат мен и моята компания, това е събитие, което може да се случи мълниеносно. Това може да се случи, притеснявам се за него, но не толкова, колкото за ежедневните си дейности, за фундаменталната си сигурност."
CISO в сферата на финансовите услуги

За да илюстрираме допълнително този въпрос, наблюдаваме увеличение на броя на атакуващите национални държави, които използват атаки с пръскане на пароли. Да бъдеш лидер в областта на защитата означава да управляваш риска и да определяш приоритети – и много лидери ми казват, че укрепването на киберхигиената им за предотвратяване на най-често срещаните линии на атака, особено в нарастващия им цифров отпечатък, е техен основен приоритет. И нашите данни и изследвания подкрепят това мнение – според нашите оценки основната хигиена на сигурността все още предпазва от 98% от атаките (вж. стр. 124 в  Отчета за дигитална защита на Microsoft, октомври 2021 г.).

Повечето лидери в областта на защитата, с които разговарям, се съгласяват с основните стъпки на стратегията за сигурност:

  • Въвеждане на многофакторно удостоверяване (MFA) и политика за регистрация
  • получаване на видимост на средата
  • Обучение на потребителите
  • следене на актуализациите и управлението на уязвимостите
  • Управление и защита на всички устройства
  • Защита на конфигурациите на локални и облачни ресурси и работни натоварвания
  • Осигуряване на резервно копие в случай на най-лоши сценарии за възстановяване
„В крайна сметка в повечето случаи става дума за... глупава парола на привилегирован акаунт или за това, че някой не е внедрил сертификат на необходимата конкретна крайна точка.“
CISO в Здраве­опазването

Може би си мислите, че е лесно да се говори за основни стъпки в областта на защитата, но е много по-трудно да се приложат в реалния живот, особено когато екипът е претоварен и не разполага с достатъчно персонал. Но аз твърдя, че да бъдеш лидер в областта на защитата означава да управляваш както риска, така и да определяш приоритети - и това прави фокусирането върху основите един напълно прагматичен подход. Твърде често инцидентите, свързани със сигурността, не са въпрос на АКО, а на КОГА. Има стотици тревожни статистически данни за киберсигурността, като например, че само в САЩ всеки ден се извършват около 4000 киберпрестъпни атаки, а повече от 30 000 уебсайта по света се хакват ежедневно.

Вярвам, че най-добрата линия на защита е да се възприеме балансиран подход и да се инвестира в откриване на инциденти и реагиране наред с превенцията.

Въпреки че може да изглежда трудно да се инвестира в нови нива на превенция, докато се опитваме да се справим с нарастващите изисквания за откриване и реагиране, намирането на правилния баланс между двете усилия е от съществено значение и от полза. Проучване 2021 на Ponemon Institute и IBM Security установи, че организациите, които не разполагат с екип за реакция при инциденти или план, са увеличили средните разходи за нарушения на сигурността на данните с 55%. Екипите по защита, които могат да балансират солидната превенция със стратегия, включваща реакция при инциденти и инвестиции в инструменти за откриване и отстраняване на грешки, ще бъдат в добра позиция да се справят с неизбежното.

Крайният резултат?

Възприемете балансиран подход - въведете основните си принципи и имайте план за възможни нарушения.
  • Инвестирането в основите на киберхигиената и нейното разширяване към разрастващата се цифрова среда е критична стратегия, която помага да защитите компанията си от атака на първо място.
  • Въпреки че тези големи атаки не са ежедневие, важно е да сте подготвени и да сте в готовност. Макар че основите са от решаващо значение, мислещите за бъдещето организации се стремят към добре документиран и тестван план за действие след нарушение.

И да преминем към следващата актуална тема за CISO в наши дни: веригите за доставки и присъщите им заплахи. Разширяването на периметъра на сигурност извън организацията за сигурност и ИТ в резултат на все по-свързаната и сложна верига за доставки е реалност на днешната бизнес среда. В  доклад на Sonatype от септември 2021 г. се констатира 650-процентно увеличение на атаките във веригите за доставки на годишна база от 2020 г. насам.

Да, правилно прочетохте – 650%!

А новите бизнес реалности – като хибридната работа и прекъсванията на веригата за доставки от всякакъв вид, които засягат всички индустрии – разшириха още повече границите на сигурността и самоличността.
1013

Среден брой доставчици във веригата за доставки на една компания

Източник: BlueVoyant,

„Верига за доставки на CISO“, 2020 г.

64%

от фирмите твърдят, че предоставят повече от една четвърт от ежедневните си бизнес задачи на доставчици, които изискват достъп до техните бизнес данни

Източник: (ISC)2, „Защита на партньорската екосистема“, 2019 г.

Не е чудно, че лидерите в областта на сигурността обръщат повече внимание на рисковете във веригата за доставки – всички звена във веригата за доставки са не само жизненоважни за дейността на компанията, но прекъсванията навсякъде по веригата могат да бъдат вредни по безброй начини.

Тъй като лидерите в областта на сигурността разширяват аутсорсинга към доставчици на приложения, инфраструктура и човешки капитал, те търсят по-ефективни рамки и инструменти, които да им помогнат да оценят и намалят риска в различните нива на доставчиците. Защото цифрата 650% е страшна – и всички ние сме уязвими.

CISO ми казват, че макар традиционните мерки за проверка да могат да бъдат ефективни за намаляване на риска по време на процеса на подбор или по време на прегледите, техните екипи се борят с присъщите недостатъци на прегледите „моментно състояние“, включително

  • Процесите на преглед на доставчиците често включват само въпросник или „контролен списък“, който не обхваща всички рискове, присъщи на съвременните вериги за доставки.
  • След като доставчикът е регистриран, има само един цикъл на преглед, често годишен или по време на подновяване на договора.
  • Често различните отдели в една и съща компания имат различни процеси и функции и няма ясен начин за обмен на информация между вътрешните екипи.
„Ключови доставчици са тези, на които разчитаме в голям мащаб, или тези, които ни подкрепят в най-голяма степен в постигането на нашата визия. Всяко прекъсване на благосъстоянието в някой от двата вида доставчици ще има значително вредно въздействие върху нашата организация.“
Главен нформационен директор в областта на научните изследвания

Тези мерки означават, че организациите просто не са в състояние да наложат съответствие и да намалят риска в реално време. В резултат на това за екипите по сигурността е много по-трудно да реагират на аномално поведение, като например да поставят под карантина компрометиран външен софтуер или да блокират достъпа на изтекли администраторски пълномощия до мрежите си. Ако неотдавнашните атаки ни научиха на нещо, то е, че дори най-добрата хигиена на киберсигурността и посвещаването на основите на идентифицирането, измерването и намаляването на риска не могат да премахнат напълно възможността заплахите да се промъкнат във веригите за доставки.

„Провеждаме ежегодни проверки с ключови доставчици, а в зависимост от подреждането на доставчиците може да се връщаме на всеки две, три години и да правим повторна оценка. Но оценката ви предоставя само информация за даден момент. Тя не потвърждава целогодишната среда за контрол.“
Член на Консултативния съвет за Supply Chain Management на Microsoft

И така, как можете да управлявате рисковете по веригата за доставки, като същевременно останете гъвкави и продуктивни? Оказва се, че много лидери в областта на сигурността подхождат към заплахите във веригата за доставки по същия начин, както към кибератаките – съсредоточават се върху силните основи и подобряват видимостта.

Тъй като има толкова много различни видове рискове, свързани с екосистемата на доставчиците, няма ясна стандартизация, „най-добри практики“ или дори технология за тяхното управление. Въпреки това много лидери в областта на сигурността се спират на модела на нулево доверие като свой подход за намаляване на излагането на риск и подпомагане на защитата срещу уязвимостите, които неизменно стоят зад заплахите във веригата на доставки – като компрометирани идентификационни данни на потребители от трети страни, заразени със зловреден софтуер устройства, зловреден код и др.

Zero Trust е проактивен, интегриран подход към защита във всички слоеве на дигиталното имущество, който подробно и продължително проверява всяка транзакция; потвърждава достъпа с най-малко привилегии и разчита на информация, разширено откриване и реакция в реално време към заплахите.

Непрекъснато чуваме от лидери в областта на сигурността, че са успели да намалят въздействието на големи атаки във веригата на доставки и да подобрят цялостната ефективност на операциите във веригата на доставки чрез прилагане на стабилни стратегии за нулево доверие. Всъщност, според неотдавнашно проучване на Ponemon Institute и IBM Security, организациите със зрели внедрявания на Zero Trust са отбелязали около 40% по-ниска средна цена на пробив в сравнение с тези без внедрен Zero Trust.
„Zero Trust ни позволи да създадем рамка и да изградим условия за достъп, за да защитим всички критични активи в нашата организация.“
Лице, вземащо решения в областта на сигурността в Здраве­опазването
„Бих казал, че погледнахме нашата Северна звезда и поне от гледна точка на контрола тя клони повече към Zero Trust. Вместо евентуално да задаваме всички тези въпроси и след това да се опитваме да се справим с това „как да контролирам всичко за този конкретен обхват“, просто тръгваме по обратния път и започваме с нищо, а отваряме само точно това, което е необходимо. Така че мисля, че... Zero Trust получава нов живот в индустрията.“
Директор по сигурността на производството на потребителски опаковани стоки

Не изключвайте вероятността от пробиви

Докато първите два принципа помагат за намаляване на вероятността от компрометиране, принципът „Не изключвайте вероятността от пробиви“ помага на организациите да се подготвят за бързо откриване и реагиране на пробив, като изграждат процеси и системи така, сякаш той вече се е случил. На практика това означава използване на дублиращи механизми за сигурност, събиране на системна телеметрия, използването ѝ за откриване на аномалии и, където е възможно, свързване на тази информация с автоматизация, която ви позволява да предотвратявате, реагирате и отстранявате нередности в почти реално време. CISO ми казват, че инвестират във внедряването на надеждни системи за мониторинг, които могат да им помогнат да открият промени в средата - например компрометирано IoT устройство, което се опитва да отвори ненужни връзки с други устройства – с цел бързо идентифициране и ограничаване на атаката.

Лидерите, с които разговарям за Zero Trust, са съгласни, че това е чудесна рамка за създаване на основна киберхигиена – и това включва управлението на веригата за доставки.

Нека разгледаме как лидерите в областта на сигурността прилагат принципите на Zero Trust, за да защитят своите вериги за доставки.

Изрична проверка

Изричната проверка означава, че трябва да проучим всички съответни аспекти на заявките за достъп, вместо да приемаме доверие въз основа на слаба гаранция, като например местоположението на мрежата. В случая с веригите за доставки нападателите обикновено се възползват от пропуските в изричната проверка – например намират силно привилегировани акаунти на доставчици, които не са защитени с многофакторно удостоверяване, или инжектират зловреден код в надеждно приложение. Екипите по сигурността укрепват методите си за проверка и разширяват изискванията на политиките за сигурност към своите потребители от трети страни.

Използване на най-малко привилегирован достъп

След като сте постигнали първия принцип, най-малко привилегированият достъп помага да се гарантира, че разрешенията се предоставят само за постигане на конкретни бизнес цели от подходяща среда и на подходящи устройства. Това помага да се сведат до минимум възможностите за странично движение чрез ограничаване на това колко всеки компрометиран ресурс (потребител, крайна точка, приложение или мрежа) може да има достъп до други в средата. Лидерите в областта на сигурността ни казват, че приоритетно предоставят на доставчици и трети страни само необходимия им достъп, когато им е необходим, и непрекъснато проверяват и оценяват заявките за достъп и политиките в рамките на веригата за доставки на организацията, за да сведат до минимум контакта с важни системи и ресурси.

„Целта е да подобрим цялостната си позиция по отношение на сигурността, но всичко е свързано с намаляване на триенето в работата на крайните потребители и улесняване на живота им.“
Лице, вземащо решения в областта на сигурността в туризма

Крайният резултат?

Огромният брой доставчици и множеството предизвикателства, присъщи на разпределените вериги за доставки, правят още по-важно проактивното управление. С неотдавнашните глобални нарушения на сигурността на данните лидерите по сигурността са нетърпеливи да намерят начини за намаляване на риска за доставчиците, а принципите на нулевото доверие осигуряват солидна стратегия и рамка за управление на екосистемата на доставчиците.
  • Подходът Zero Trust помага да се гарантира, че само правилните хора получават правилното ниво на достъп в организацията, като същевременно се повишава както сигурността, така и производителността на крайните потребители.
  • Макар че има много начини да се започне с Zero Trust, въвеждането на многофакторно удостоверяване трябва да бъде основен приоритет от гледна точка на екосистемата на доставчиците и управлението на риска.
  • Оценете етапа на готовност за Zero Trust на вашата организация и получете указания за целевите контролни точки, както и организиран списък с ресурси и решения, чрез които да напредвате в своето Zero Trust пътуване.

Всички сме чували за голямата оставка. Над 40 % от световната работна сила обмисля да напусне работодателя си тази година, а лидерите в областта на сигурността и техните екипи вече изпитват недостиг на кадри. Често разговарям с CISO за това как вървят нещата като цяло, а осигуряването, намирането и задържането на най-добрите специалисти е една от основните им грижи. А ако най-добрите специалисти напуснат, те са изправени пред необходимостта или да намерят нови най-добри специалисти, или да повишат уменията на тези, които са останали. По-ефективните, интегрирани и автоматизирани технологии могат да помогнат, но те не са достатъчни.

Думите за сигурност са станали част от ежедневния език, тъй като кибератаките се появяват редовно в новините – и тези атаки (и новините за тях) могат да окажат дълбоко въздействие върху компанията. Но познайте какво? Това не са само лоши новини. Като се има предвид, че киберсигурността се е превърнала в позната тема във всички области на организацията, чуваме, че концепцията „сигурността е работа на всички“ започва да намира отклик в организациите. Особено с новите хибридни модели на работа и периметрите на сигурността, които се разширяват по всевъзможни нови начини – лидерите по сигурността все повече разчитат на иновативни начини да осигурят безопасността на всички, дори когато са изправени пред недостиг на кадри и умения. Не „да правиш повече с по-малко“, а „да правиш повече с нещо различно“ е това, което иновативните лидери в областта на сигурността правят в наши дни.

„Това е предизвикателство, пред което са изправени всички, трудно е да се намерят кадри, трудно е да се задържат кадри. Това е нож с две остриета - когато развивате кадри, те стават твърде скъпи, за да ги задържите, така че определено има някои предизвикателства.“
CISO в сферата на правните услуги

Въпреки че недостигът на специалисти и умения определено не е положителен, тук има малък лъч светлина – създаването на култура на сигурност става реалност. Много CISO ни казват, че един от най-ефективните начини да се справят с предизвикателствата пред сигурността на фона на кадровите проблеми е да изградят култура на сигурност, при която сигурността е работа на всички. CISO все по-често застъпват тази идея, че цялата организация може да поеме отговорността за сигурността, особено когато са изправени пред недостиг на персонал или предизвикателства, свързани с финансирането.

Екипите за разработка, системните администратори и, да, крайните потребители трябва да разбират политиките за сигурност, които се отнасят до тях. Обменът на информация е от основно значение и екипите по сигурността все по-често намират нови начини да работят с разработчиците, администраторите и собствениците на бизнес процеси, за да разберат рисковете и да разработят политики и процедури, които са от полза за цялата организация.

Недостигът на кадри и пропуските в уменията (особено в постоянно променящата се професия в областта на киберсигурността) карат CISO да търсят нови и иновативни начини да останат напред. Една от стратегиите, за които продължаваме да чуваме, е развиващото се „заместване“ на служители извън екипа по сигурността. CISO се стремят да използват цялата организация, като особено внимание се обръща на обучението крайните потребители да бъдат част от решението и на изграждането на подкрепа от съседните екипи.

Повишаването и подобряването на знанията на крайните потребители за заплахите за сигурността – като например да се гарантира, че те разбират фишинга и признаците на фините атаки – изминават дълъг път към увеличаване на очите и ушите на екипа по сигурността, особено като стратегия „връх на копието“, при която крайните потребители често са входна точка за атака. Не казвам, че крайните потребители могат магически да бъдат обучени да откриват всичко, но наличието на подготвени и предупредителни потребители може драстично да намали натоварването на екипите по сигурността.

„Може би сте чували фразата, че „сигурността е отговорност на всички“. Това е хубаво, но наистина... само докато не се случи нещо. Когато става въпрос за ИТ, това, което направихме, е, че заменихме членовете на ИТ като представители на сигурността. Назначихме членове на различни екипи, по-конкретно екипи за разработка, архитектурни екипи, инфраструктурни екипи, където те получават допълнително обучение по сигурността. Те могат да седят на някои от моите срещи по сигурността и да бъдат представители на своята група в областта на сигурността, както и представители на сигурността обратно към своята група.“
CISO в сферата на правните услуги

Друга стратегия е да се заместят ИТ като част от защитата. Поддържането на тясна връзка между ИТ екипа и екипа по сигурността и гарантирането, че ИТ екипът е информиран за стратегиите за защита, помага на много лидери по сигурността да разширят мисията си до всички области на организацията.

Предоставянето на насоки и помощ за автоматизация и други проактивни стратегии за управление на работните процеси и задачите е основен начин, по който CISO разширяват екипите си и използват ИТ, за да помогнат за осигуряването на солидна позиция по отношение на сигурността.

„И така, ако погледнете света на сигурността, персоналът по сигурността не прави голяма част от спирането на атаките, а това правят ИТ специалистите. Специалистите по сигурността не правят пачове, например. Хората от страна на ИТ сектора (са тези, които) поправят грешките. Защитата не управлява инвентара за управление на активите, това правят ИТ специалистите.   И има много неща и в зависимост от това в коя организация сте, защитните стени обикновено се управляват от екип по мрежите, а не непременно от екип по защитата. Така че голяма част от това, което правим, е да помагаме на хората, на които е възложено да извършват действителните защитни дейности, да повишават квалификацията си, да им даваме инструменти за автоматизиране на някои от дейностите, които извършват.
  Даваме им информация защо, а не само какво, и понякога разбирането на причината ще повлияе и ще ги вдъхнови да направят това, което трябва.“
CISO в сферата на правните услуги

Крайният резултат?

Креативното използване на ресурсите не е нещо ново. Но развитието на по-широк екип чрез системно обучение и ангажиране на екипи, съседни на тези по сигурността, е иновативен начин, по който CISO облекчават някои от проблемите, свързани с недостига на кадри и пропуските в ключовите умения.
  • Създаването на синергия с други екипи и заместването на служители извън екипа по сигурността помага да се разшири сферата на влияние и да се запази сигурността на компанията.
  • Обучението на потребителите за разпознаване на фишинг и често срещани проблеми със сигурността е стратегия, за която повечето лидери в областта на сигурността са съгласни, че си заслужава да се отделят време и усилия.

цялото цитирано проучване на Microsoft използва независими проучвания на фирми за свързване със специалисти в областта на защитата както за количествени, така и за качествени проучвания, гарантирайки защити на поверителността и аналитична точност. Цитатите и констатациите, включени в този документ, освен ако не е указано друго, са резултат от проучвания на Microsoft.

Сродни статии

Cyber Signals: Проблем 1

Самоличността е новото бойно поле. Получете прозрения за развиващите се киберзаплахи и какви стъпки да предприемете, за да защитите по-добре вашата организация.
Научете повече

CISO Insider, издание 2

В този брой на CISO Insider научаваме от ръководителите по защита на информацията какво виждат на първа линия – от целите до тактиките – и какви стъпки предприемат, за да предотвратят и реагират на атаките. Също научаваме как лидерите се възползват от XDR и автоматизацията, за да мащабират защитата срещу сложни заплахи.
Научете повече

Cyber Signals Издание 2: Икономика на изнудването

Научете от експертите на първа линия за развитието на рансъмуера като услуга. От програми и полезен обем до достъп до брокери и съдружници, научете за инструментите, тактиките и целите, които киберпрестъпниците предпочитат, и получете указания, които ще ви помогнат да защитите организацията си.
Научете повече