Trace Id is missing
Μετάβαση στο κύριο περιεχόμενο
Security Insider

CISO Insider: Τεύχος 1

Λήψη
Κοινοποίηση
Ένας άνδρας που κοιτάζει ένα tablet σε μια αποθήκη.

Περιηγηθείτε στο σημερινό τοπίο απειλών με αποκλειστικές αναλύσεις και προτάσεις από τους ηγέτες ασφαλείας

Είμαι ο Rob Lefferts και ηγούμαι της ομάδας Μηχανικής ασφάλειας της Ασφάλειας Microsoft 365. Η ομάδα μου —και οι ερευνητικές ομάδες ασφαλείας της Microsoft με τις οποίες συνεργαζόμαστε— εστιάζουν αδιάκοπα στην αποκάλυψη και την καταπολέμηση των τελευταίων τάσεων απειλών που αντιμετωπίζει η εταιρεία μας, οι πελάτες μας και ολόκληρη η παγκόσμια κοινότητα.

Μέχρι τώρα, κοινοποιούσαμε μόνο εσωτερικά τις ενημερώσεις σχετικά με τις απειλές, αλλά αποφασίσαμε να αρχίσουμε να τις δημοσιεύουμε δημόσια με τη μορφή του CISO Insider. Στόχος μας είναι να ενδυναμώσουμε τους οργανισμούς σε όλο τον κόσμο με τις πιο ενημερωμένες πληροφορίες και οδηγίες για την ασφάλεια, ώστε να προστατεύσουν τον εαυτό τους και τους πελάτες τους πιο αποτελεσματικά από το έγκλημα στον κυβερνοχώρο.

Το τεύχος 1 ξεκινά με τρία θέματα που είναι κορυφαία για πολλούς από εμάς:

  • Τάσεις επιθέσεων: Καθώς οι επιθέσεις αλλάζουν, οι βασικές αρχές εξακολουθούν να παρέχουν πολύτιμη προστασία
  • Ο κίνδυνος της επιχειρηματικής δραστηριότητας: Διαχείριση απειλών εφοδιαστικής αλυσίδας
  • Νέες προσεγγίσεις που θα βοηθήσουν στην αντιμετώπιση των ελλείψεων ταλέντων ασφαλείας

Λόγω της COVID-19 οι οργανισμοί χρειάστηκε να αυξήσουν την ανθεκτικότητα με ευελιξία του χώρου εργασίας και να επιταχύνουν τον ψηφιακό μετασχηματισμό—και αυτές οι αλλαγές απαίτησαν φυσικά ορισμένες αλλαγές και στις τακτικές ασφάλειας. Η περίμετρος έχει επεκταθεί και είναι όλο και πιο υβριδική, καθώς εκτείνεται σε πολλά cloud και πλατφόρμες. Παρόλο που οι νέες τεχνολογίες είναι ένα όφελος για πολλούς οργανισμούς, επιτρέποντας την παραγωγικότητα και την ανάπτυξη ακόμη και σε δύσκολους καιρούς, οι αλλαγές έχουν επίσης παρουσιάσει μια ευκαιρία στους εγκληματίες του κυβερνοχώρου, οι οποίοι προσπαθούν να εκμεταλλευτούν τις ευπάθειες που βρίσκονται σε όλο και πιο περίπλοκα ψηφιακά περιβάλλοντα.

Η άνοδος των επιθέσεων ηλεκτρονικού ψαρέματος που σχετίζονται με την απομακρυσμένη εργασία είναι στο επίκεντρο των επαγγελματιών ασφάλειας με τους οποίους συνομιλώ - και το βλέπουμε αυτό να αντικατοπτρίζεται και στην έρευνά μας. Σε μια έρευνα της Microsoft με τους ηγέτες ασφαλείας που διεξήχθη το 2020, το 55 τοις εκατό μας είπε ότι οι οργανισμοί τους είχαν εντοπίσει αύξηση των επιθέσεων ηλεκτρονικού "ψαρέματος" από την αρχή της πανδημίας και το 88 τοις εκατό είπε ότι οι επιθέσεις ηλεκτρονικού "ψαρέματος" είχαν επηρεάσει τους οργανισμούς τους. Ακούω επίσης τακτικά για επιθέσεις ransomware, για το πώς το κακόβουλο λογισμικό παραμένει σταθερή απειλή και πώς η παραβίαση ταυτότητας εξακολουθεί να είναι μια σημαντική πρόκληση που μαστίζει τις ομάδες ασφαλείας.

Επιπλέον, γνωρίζουμε ότι οι επιθέσεις σε εθνικό επίπεδο είναι όλο και πιο επιθετικές και επίμονες. Η επίθεση εφοδιαστικής αλυσίδας NOBELIUM, αξιοποιώντας την πλατφόρμα SolarWinds, ήταν μια από τις πολλές νέες επιθέσεις που έγιναν πρωτοσέλιδα τον τελευταίο χρόνο. Ενώ οι εντυπωσιακές νέες τεχνικές είναι αυτές που συχνά καταγράφονται από τις ειδήσεις, οι CISO μου λένε με συνέπεια ότι ακόμη και αυτοί οι προηγμένοι παράγοντες απειλής, όπως οι περισσότεροι κυβερνοεγκληματίες, τείνουν να εστιάζουν σε χαμηλού κόστους και υψηλής αξίας επιθέσεις ευκαιρίας.

«Αν τα εθνικά κράτη πρόκειται να επιτεθούν σε εμένα και την εταιρεία μου, αυτό είναι ένα εξαιρετικά σημαντικό γεγονός. Μπορεί να συμβεί, ανησυχώ για αυτό, αλλά όχι τόσο όσο ανησυχώ για τις καθημερινές μου δραστηριότητες, τη θεμελιώδη ασφάλειά μου».
Χρηματοπιστωτικές υπηρεσίες CISO

Για να επεξηγήσουμε περαιτέρω αυτό το σημείο, έχουμε δει μια αύξηση στους εισβολείς εθνικών κρατών που χρησιμοποιούν επιθέσεις τύπου password spray.. Το να είσαι ηγέτης ασφάλειας έχει να κάνει με τη διαχείριση του κινδύνου και την ιεράρχηση, και πολλοί ηγέτες μού λένε ότι η ενίσχυση της υγιεινής τους στον κυβερνοχώρο για την πρόληψη των πιο συνήθων γραμμών επίθεσης, ειδικά σε όλο το αυξανόμενο ψηφιακό τους αποτύπωμα, είναι η κορυφαία προτεραιότητά τους. Τα δεδομένα και η έρευνά μας υποστηρίζουν αυτό το συναίσθημα—εκτιμούμε ότι η βασική υγιεινή ασφαλείας εξακολουθεί να προστατεύει από το 98 τοις εκατό των επιθέσεων (βλ. σελίδα 124 στην Αναφορά ψηφιακής ασφάλειας της Microsoft, Οκτώβριος 2021).

Οι περισσότεροι ηγέτες ασφαλείας με τους οποίους συνομιλώ συμφωνούν στα θεμελιώδη βήματα για μια στρατηγική ασφάλειας:

  • Εφαρμογή ελέγχου ταυτότητας πολλών παραγόντων (MFA) και πολιτικής καταχώρησης
  • Απόκτηση ορατότητας στο περιβάλλον τους
  • Εκπαίδευση χρηστών
  • Παραμονή στην κορυφή της ενημέρωσης και της διαχείρισης ευπαθειών
  • Διαχείριση και προστασία όλων των συσκευών
  • Εξασφάλιση ρυθμίσεων πόρων και φόρτου εργασίας εσωτερικής εγκατάστασης και cloud
  • Εξασφάλιση αντιγράφων ασφαλείας σε περίπτωση που επέλθει το χειρότερο σενάριο ανάκτησης
«Στο τέλος, τις περισσότερες φορές, είναι… ένας ανόητος κωδικός πρόσβασης σε έναν προνομιακό λογαριασμό ή είναι ότι κάποιος δεν εφάρμοσε ένα πιστοποιητικό σε ένα απαιτούμενο συγκεκριμένο τελικό σημείο».
Υπηρεσίες υγείας CISO

Μπορεί να νομίζετε ότι είναι εύκολο να μιλήσετε για θεμελιώδη βήματα ασφαλείας, αλλά πολύ πιο δύσκολο να τα εφαρμόσετε στην πραγματική ζωή, ειδικά όταν μια ομάδα είναι υπερφορτωμένη και υποστελεχωμένη. Αλλά θα υποστήριζα ότι το να είσαι ηγέτης ασφάλειας έχει να κάνει με τη διαχείριση τόσο του κινδύνου όσο και την ιεράρχηση προτεραιοτήτων – και αυτό κάνει την εστίαση στα θεμελιώδη στοιχεία μια σταθερά ρεαλιστική προσέγγιση. Πολύ συχνά, τα συμβάντα ασφαλείας δεν είναι θέμα του ΑΝ αλλά του ΠΟΤΕ. Υπάρχουν εκατοντάδες ανησυχητικά στατιστικά στοιχεία για την ασφάλεια από απειλές στον κυβερνοχώρο, όπως οι περίπου 4.000 επιθέσεις κυβερνοεγκλήματος που διαπράττονται καθημερινά μόνο στις ΗΠΑ και οι περισσότερες από 30.000 τοποθεσίες web σε όλο τον κόσμο που παραβιάζονται καθημερινά.

Πιστεύω ότι η καλύτερη γραμμή άμυνας είναι η υιοθέτηση μιας ισορροπημένης προσέγγισης και η επένδυση στον εντοπισμό και την αντιμετώπιση περιστατικών παράλληλα με την πρόληψη.

Αν και μπορεί να φαίνεται δύσκολο να επενδύσει κανείς σε νέα επίπεδα πρόληψης, ενώ παράλληλα προσπαθεί να συμβαδίσει με τις αυξανόμενες απαιτήσεις για εντοπισμό και απόκριση, η εύρεση της σωστής ισορροπίας μεταξύ των δύο προσπαθειών είναι τόσο σημαντική όσο και επωφελής. Μια μελέτη του 2021 του Ponemon Institute και της IBM Security διαπίστωσε ότι οι οργανισμοί χωρίς ομάδα αντιμετώπισης περιστατικών ή σχέδιο είδαν το μέσο κόστος των παραβιάσεων δεδομένων να αυξάνεται κατά 55%. Οι ομάδες ασφαλείας που μπορούν να εξισορροπήσουν τη σταθερή πρόληψη με μια στρατηγική που περιλαμβάνει αντιμετώπιση περιστατικών και επενδύσεις σε εργαλεία εντοπισμού και αποκατάστασης θα είναι σε θέση να αντιμετωπίσουν το αναπόφευκτο.

Το συμπέρασμα;

Ακολουθήστε μια ισορροπημένη προσέγγιση - θέστε σε εφαρμογή τα θεμελιώδη στοιχεία σας και δημιουργήστε ένα σχέδιο για πιθανές παραβιάσεις.
  • Η επένδυση στη θεμελιώδη υγιεινή του κυβερνοχώρου και η επέκτασή της στο αναπτυσσόμενο ψηφιακό περιβάλλον είναι μια κρίσιμη στρατηγική για την προστασία της εταιρείας σας από μια επίθεση εξαρχής.
  • Παρόλο που αυτές οι μεγάλες επιθέσεις δεν είναι καθημερινό φαινόμενο, είναι σημαντικό να είστε προετοιμασμένοι και έτοιμοι. Ενώ τα βασικά στοιχεία είναι ζωτικής σημασίας, οι οργανισμοί που στοχεύουν στο μέλλον έχουν στραμμένο το βλέμμα τους σε ένα καλά τεκμηριωμένο και δοκιμασμένο σχέδιο για το τι πρέπει να κάνουν μετά από μια παραβίαση.

Και στο επόμενο κορυφαίο θέμα μας για τους CISO αυτές τις μέρες: οι αλυσίδες εφοδιασμού και οι εγγενείς απειλές που εκθέτουν. Η επέκταση της περιμέτρου ασφαλείας εκτός του οργανισμού ασφάλειας και της πληροφορικής ως αποτέλεσμα μιας ολοένα και πιο συνδεδεμένης και πολύπλοκης αλυσίδας εφοδιασμού είναι μια πραγματικότητα του σημερινού επιχειρηματικού περιβάλλοντος. Μια έκθεση του Σεπτεμβρίου 2021 από τη Sonatype διαπίστωσε αύξηση 650 τοις εκατό από έτος σε έτος σε επιθέσεις εφοδιαστικής αλυσίδας από το 2020.

Ναι, καλά διαβάσατε—650%!

Και οι νέες επιχειρηματικές πραγματικότητες—όπως η υβριδική εργασία και οι διακοπές της εφοδιαστικής αλυσίδας όλων των τύπων, που πλήττουν όλους τους κλάδους— έχουν επεκτείνει ακόμη περισσότερο τα όρια ασφάλειας και ταυτότητας.
1.013

Μέσος αριθμός πωλητών στην αλυσίδα εφοδιασμού μιας εταιρείας

Πηγή: BlueVoyant,

“CISO Supply Chain,” 2020

Το 64%

των επιχειρήσεων ισχυρίζονται ότι αναθέτουν σε τρίτους περισσότερο από το ένα τέταρτο των καθημερινών επιχειρηματικών τους εργασιών σε προμηθευτές που απαιτούν πρόσβαση στα επιχειρηματικά τους δεδομένα

Πηγή: (ISC)2, “Securing the Partner Ecosystem,” 2019

Δεν είναι περίεργο που οι ηγέτες ασφάλειας δίνουν μεγαλύτερη προσοχή στους κινδύνους της εφοδιαστικής αλυσίδας - οποιοσδήποτε και όλοι οι κρίκοι στην εφοδιαστική αλυσίδα δεν είναι μόνο ζωτικής σημασίας για τις λειτουργίες μιας εταιρείας, αλλά οι διακοπές οπουδήποτε στην αλυσίδα μπορεί να είναι επιβλαβείς με πολλούς τρόπους.

Καθώς οι ηγέτες ασφάλειας επεκτείνουν την εξωτερική ανάθεση σε προμηθευτές για εφαρμογές, υποδομές και ανθρώπινο κεφάλαιο, αναζητούν πιο αποτελεσματικά πλαίσια και εργαλεία για να βοηθήσουν στην αξιολόγηση και τον μετριασμό του κινδύνου σε όλα τα επίπεδα προμηθευτών. Επειδή αυτός ο αριθμός 650 τοις εκατό είναι τρομακτικός - και είμαστε όλοι επιρρεπείς.

Οι CISO μου λένε ότι, ενώ τα παραδοσιακά μέτρα ελέγχου μπορεί να είναι αποτελεσματικά στη μείωση του κινδύνου κατά τη διαδικασία επιλογής ή κατά τη διάρκεια των ελέγχων, οι ομάδες τους παλεύουν με τις εγγενείς ελλείψεις των επιτόπιων ελέγχων, όπως:

  • Οι διαδικασίες ελέγχου προμηθευτών συχνά περιλαμβάνουν μόνο ένα ερωτηματολόγιο ή μια «λίστα ελέγχου» που δεν αντιμετωπίζει όλους τους εγγενείς κινδύνους στις σημερινές αλυσίδες εφοδιασμού.
  • Μόλις ενσωματωθεί ένας προμηθευτής, υπάρχει μόνο ένας κύκλος ελέγχου σε χρόνο, συχνά ετήσιος ή κατά την ανανέωση της σύμβασης.
  • Συχνά, διαφορετικά τμήματα της ίδιας εταιρείας έχουν διαφορετικές διαδικασίες και λειτουργίες που εμπλέκονται και δεν υπάρχει σαφής τρόπος για να κοινοποιήσουν πληροφορίες μεταξύ των εσωτερικών ομάδων
«Βασικοί προμηθευτές είναι εκείνοι στους οποίους έχουμε εμπιστοσύνη σε μεγάλη κλίμακα ή εκείνοι που μας υποστηρίζουν περισσότερο στην επίτευξη του οράματός μας. Οποιαδήποτε διατάραξη στην ευημερία οποιουδήποτε τύπου προμηθευτή θα έχει σημαντική επιζήμια επίδραση στον οργανισμό μας.»
Επιστημονική έρευνα CIO

Αυτά τα μέτρα σημαίνουν ότι οι οργανισμοί απλώς δεν είναι σε θέση να επιβάλουν τη συμμόρφωση και να μετριάσουν τον κίνδυνο σε πραγματικό χρόνο. Ως αποτέλεσμα, είναι πολύ πιο δύσκολο για τις ομάδες ασφαλείας να ανταποκριθούν σε ανώμαλη συμπεριφορά, όπως η καραντίνα σε παραβιασμένο εξωτερικό λογισμικό ή ο αποκλεισμός των διαπιστευτηρίων διαχειριστών που διέρρευσαν από την πρόσβαση στα δίκτυά τους. Αν οι πρόσφατες επιθέσεις μάς έχουν διδάξει κάτι, είναι ότι ακόμη και η καλύτερη υγιεινή στον κυβερνοχώρο και η αφοσίωση στα θεμελιώδη στοιχεία για τον εντοπισμό, τη μέτρηση και τον μετριασμό του κινδύνου δεν μπορούν να εξαλείψουν εντελώς την πιθανότητα να εισχωρήσουν κρυφά απειλές στις αλυσίδες εφοδιασμού.

«Έχουμε ετήσιους ελέγχους για συγχρονισμό με βασικούς προμηθευτές και ανάλογα με τη βαθμίδα των προμηθευτών, μπορεί να επιστρέφουμε κάθε δύο χρόνια, κάθε τρία χρόνια και να κάνουμε ξανά μια αξιολόγηση. Αλλά η αξιολόγηση σάς παρέχει μόνο πληροφορίες για τη συγκεκριμένη χρονική στιγμή. Δεν επικυρώνει το περιβάλλον ελέγχων για όλο το έτος.»
Μέλος Συμβουλευτικής Επιτροπής Πελατών του Supply Chain Management της Microsoft

Πώς μπορείτε λοιπόν να διαχειριστείτε τους κινδύνους της εφοδιαστικής αλυσίδας παραμένοντας ευέλικτοι και παραγωγικοί; Αποδεικνύεται ότι πολλοί ηγέτες ασφάλειας προσεγγίζουν τις απειλές της εφοδιαστικής αλυσίδας σχεδόν με τον ίδιο τρόπο που προσεγγίζουν τις επιθέσεις στον κυβερνοχώρο - εστιάζοντας σε ισχυρά θεμελιώδη στοιχεία και βελτιώνοντας την ορατότητα.

Επειδή υπάρχουν τόσοι πολλοί διαφορετικοί τύποι κινδύνων που σχετίζονται με το οικοσύστημα προμηθευτή, δεν υπάρχει σαφής τυποποίηση, «βέλτιστες πρακτικές» ή ακόμη και τεχνολογία για τη διαχείρισή τους. Ωστόσο, πολλοί ηγέτες ασφάλειας κλίνουν σε ένα μοντέλο μηδενικής εμπιστοσύνης ως προσέγγισή τους για να μειώσουν την έκθεσή τους σε κινδύνους και να βοηθήσουν στην προστασία από τις ευπάθειες που κρύβονται σταθερά πίσω από απειλές της εφοδιαστικής αλυσίδας - όπως παραβιασμένα διαπιστευτήρια τρίτων χρηστών, συσκευές που έχουν μολυνθεί από κακόβουλο λογισμικό, κακόβουλο κώδικα, και άλλα.

Η μηδενική εμπιστοσύνη είναι μια προληπτική, ολοκληρωμένη προσέγγιση της ασφάλειας σε όλα τα επίπεδα των ψηφιακών πόρων, η οποία επαληθεύει ρητά και συνεχώς κάθε συναλλαγή, επιβεβαιώνει την πρόσβαση με τα λιγότερα δικαιώματα και βασίζεται στην ευφυΐα, τον εκ των προτέρων εντοπισμό και την αντιμετώπιση των απειλών σε πραγματικό χρόνο.

Ακούμε συνεχώς από τους ηγέτες ασφάλειας ότι κατάφεραν να μειώσουν τον αντίκτυπο των μεγάλων επιθέσεων στην εφοδιαστική αλυσίδα και να βελτιώσουν τη συνολική αποτελεσματικότητα των λειτουργιών της εφοδιαστικής αλυσίδας εφαρμόζοντας ισχυρές στρατηγικές μηδενικής εμπιστοσύνης. Στην πραγματικότητα, σύμφωνα με μια πρόσφατη μελέτη του Ponemon Institute και της IBM Security, οι οργανισμοί με ώριμη ανάπτυξη μηδενικής εμπιστοσύνης είδαν περίπου 40 τοις εκατό χαμηλότερο μέσο κόστος μιας παραβίασης σε σύγκριση με εκείνους που δεν είχαν αναπτύξει μηδενική εμπιστοσύνη.
«Η μηδενική εμπιστοσύνη μάς έδωσε τη δυνατότητα να δημιουργήσουμε ένα πλαίσιο και να δημιουργήσουμε τρόπους πρόσβασης για την προστασία όλων των κρίσιμων στοιχείων στον οργανισμό μας».
Υπεύθυνος λήψης αποφάσεων για την ασφάλεια της υγειονομικής περίθαλψης
«Θα έλεγα ότι έχουμε εξετάσει το North Star μας και τουλάχιστον από μια οπτική γωνία ελέγχου, κλίνει κάπως περισσότερο προς τη μηδενική εμπιστοσύνη. Αντί να κάνετε δυνητικά όλες αυτές τις ερωτήσεις και στη συνέχεια να προσπαθήσετε να ασχοληθείτε με το «πώς μπορείτε να ελέγξετε τα πάντα για αυτό το συγκεκριμένο πεδίο», απλώς προχωρήστε με το αντίθετο και ξεκινήστε με τίποτα και ανοίξτε μόνο ό,τι χρειάζεται. Λοιπόν, θεωρώ ότι… η μηδενική εμπιστοσύνη φέρνει νέα ζωή στον κλάδο.»
CISO Κατασκευής καταναλωτικών συσκευασμένων αγαθών

Υποθέστε ότι υπάρχει παραβίαση

Ενώ οι δύο πρώτες αρχές συμβάλλουν στη μείωση της πιθανότητας παραβίασης, υποθέστε ότι η παραβίαση βοηθά τους οργανισμούς να προετοιμαστούν για να εντοπίσουν γρήγορα και να ανταποκριθούν σε μια παραβίαση δημιουργώντας διαδικασίες και συστήματα όπως έχει ήδη συμβεί. Στην πράξη, αυτό σημαίνει τη χρήση περιττών μηχανισμών ασφαλείας, τη συλλογή τηλεμετρίας του συστήματος, τη χρήση της για τον εντοπισμό ανωμαλιών και όπου είναι δυνατόν, τη σύνδεση αυτής της εικόνας με την αυτοματοποίηση που σας επιτρέπει να αποτρέπετε, να ανταποκρίνεστε και να αποκαθιστάτε σε σχεδόν πραγματικό χρόνο. Οι CISO μου λένε ότι επενδύουν στην εφαρμογή ισχυρών συστημάτων παρακολούθησης που μπορούν να τους βοηθήσουν να εντοπίσουν αλλαγές στο περιβάλλον - όπως μια παραβιασμένη συσκευή IoT που προσπαθεί να ανοίξει περιττές συνδέσεις σε άλλες συσκευές - προκειμένου να εντοπίσουν γρήγορα και να περιορίσουν μια επίθεση.

Οι ηγέτες με τους οποίους μιλάω για τη μηδενική εμπιστοσύνη συμφωνούν ότι είναι ένα εξαιρετικό πλαίσιο για τη δημιουργία θεμελιώδους υγιεινής στον κυβερνοχώρο — και αυτό περιλαμβάνει τη διαχείριση της εφοδιαστικής αλυσίδας.

Ας ρίξουμε μια ματιά στο πώς οι ηγέτες ασφάλειας χρησιμοποιούν τις αρχές μηδενικής εμπιστοσύνης για να προστατεύσουν τις αλυσίδες εφοδιασμού τους.

Ρητή επαλήθευση

Η ρητή επαλήθευση σημαίνει ότι πρέπει να εξετάσουμε όλες τις σχετικές πτυχές των αιτημάτων πρόσβασης αντί να υποθέτουμε την εμπιστοσύνη με βάση μια αδύναμη διασφάλιση, όπως η θέση δικτύου. Στην περίπτωση των αλυσίδων εφοδιασμού, οι εισβολείς συνήθως εκμεταλλεύονται κενά στη ρητή επαλήθευση, όπως η εύρεση λογαριασμών προμηθευτών με υψηλή προστασία δικαιωμάτων που δεν προστατεύονται με έλεγχο ταυτότητας πολλών παραγόντων ή η εισαγωγή κακόβουλου κώδικα σε μια αξιόπιστη εφαρμογή. Οι ομάδες ασφαλείας ενισχύουν τις μεθόδους επαλήθευσης και επεκτείνουν τις απαιτήσεις πολιτικής ασφαλείας σε τρίτους χρήστες τους.

Εφαρμόστε ελάχιστα δικαιώματα πρόσβασης

Μόλις επιτύχετε την πρώτη αρχή, η εφαρμογή ελάχιστων δικαιωμάτων πρόσβασης διασφαλίζει ότι τα δικαιώματα παραχωρούνται μόνο για την επίτευξη συγκεκριμένων επιχειρηματικών στόχων από το κατάλληλο περιβάλλον και από κατάλληλες συσκευές. Αυτό βοηθά στην ελαχιστοποίηση των ευκαιριών για πλευρική κίνηση περιορίζοντας πόσο οποιοσδήποτε παραβιασμένος πόρος (χρήστης, τελικό σημείο, εφαρμογή ή δίκτυο) μπορεί να έχει πρόσβαση σε άλλους στο περιβάλλον. Οι ηγέτες ασφάλειας μάς λένε ότι δίνουν προτεραιότητα στην παροχή σε προμηθευτές και τρίτα μέρη μόνο της πρόσβασης που χρειάζονται, όταν τη χρειάζονται, και συνεχώς ελέγχουν και αξιολογούν αιτήματα πρόσβασης και πολιτικές εντός της αλυσίδας εφοδιασμού του οργανισμού για να ελαχιστοποιήσουν την επαφή με σημαντικά συστήματα και πόρους.

«Ο στόχος είναι να βελτιώσουμε την κατάσταση ασφάλειάς μας συνολικά, αλλά το μόνο που χρειάζεται είναι η μείωση της τριβής στην εμπειρία του τελικού χρήστη και η διευκόλυνση της ζωής του».
Υπεύθυνος λήψης αποφάσεων για την ασφάλεια της φιλοξενίας

Το συμπέρασμα;

Ο τεράστιος αριθμός προμηθευτών και η σειρά προκλήσεων που ενυπάρχουν στις κατανεμημένες αλυσίδες εφοδιασμού καθιστούν ακόμη πιο σημαντική την προληπτική διαχείριση. Με τις πρόσφατες παγκόσμιες παραβιάσεις δεδομένων, οι ηγέτες ασφάλειας είναι πρόθυμοι να βρουν τρόπους για να μετριάσουν τον κίνδυνο προμηθευτών και οι αρχές της μηδενικής εμπιστοσύνης παρέχουν μια σταθερή στρατηγική και πλαίσιο για τη διαχείριση του οικοσυστήματος προμηθευτών.
  • Η προσέγγιση μηδενικής εμπιστοσύνης διασφαλίζει ότι μόνο τα κατάλληλα άτομα έχουν το σωστό επίπεδο πρόσβασης στον οργανισμό σας, ενώ παράλληλα βελτιώνει τόσο την ασφάλεια όσο και την παραγωγικότητα του τελικού χρήστη.
  • Αν και υπάρχουν πολλοί τρόποι για να ξεκινήσετε με τη μηδενική εμπιστοσύνη, η θέσπιση ελέγχου ταυτότητας πολλών παραγόντων θα πρέπει να είναι η κορυφαία προτεραιότητα από πλευράς οικοσυστήματος προμηθευτή και διαχείρισης κινδύνου.
  • Αξιολογήστε το επίπεδο ωριμότητας του οργανισμού σας σε ό,τι αφορά τη Μηδενική εμπιστοσύνη και λάβετε στοχευμένη καθοδήγηση βάσει καθορισμένων ορόσημων και μια επιμελημένη λίστα πόρων και λύσεων για να κάνετε το επόμενο βήμα στην πορεία σας προς τη Μηδενική εμπιστοσύνη.

Όλοι έχουμε ακούσει για τη μεγάλη παραίτηση. Πάνω από το 40 τοις εκατό του παγκόσμιου εργατικού δυναμικού σκέφτεται να εγκαταλείψει τον εργοδότη του φέτος-και οι ηγέτες ασφάλειας και οι ομάδες τους αισθάνονται ήδη την έλλειψη προσωπικού. Συχνά μιλώ με τους CISO για το πώς πάνε τα πράγματα συνολικά και η οικονομική δυνατότητα, η εύρεση και η διατήρηση κορυφαίων ταλέντων είναι ένα από τα κύρια μέλημά τους. Και αν τα κορυφαία ταλέντα φύγουν, τότε είτε θα βρουν νέα κορυφαία ταλέντα είτε θα αναβαθμίσουν τις δεξιότητες αυτών που απομένουν. Η πιο αποτελεσματική, ολοκληρωμένη και αυτοματοποιημένη τεχνολογία μπορεί να βοηθήσει, αλλά δεν είναι σχεδόν αρκετή.

Τα τσιτάτα ασφαλείας έχουν γίνει μέρος της καθημερινής γλώσσας καθώς οι επιθέσεις στον κυβερνοχώρο εμφανίζονται τακτικά στις ειδήσεις — και αυτές οι επιθέσεις (και τα νέα σχετικά με αυτές) μπορούν να επηρεάσουν βαθιά μια εταιρεία. Αλλά, μαντέψτε! Αυτές δεν είναι απαραίτητες κακές ειδήσεις. Δεδομένου ότι η ασφάλεια από απειλές στον κυβερνοχώρο έχει γίνει ένα οικείο θέμα σε όλους τους τομείς ενός οργανισμού, ακούμε ότι η έννοια της φράσης «η ασφάλεια είναι δουλειά όλων μας» αρχίζει να έχει απήχηση σε όλους τους οργανισμούς. Ειδικά με τα νέα υβριδικά μοντέλα εργασίας και τις περιμέτρους ασφαλείας που προωθούνται με κάθε είδους νέους τρόπους—οι ηγέτες ασφάλειας βασίζονται όλο και περισσότερο σε καινοτόμους τρόπους για να κρατούν τους πάντες ασφαλείς, ακόμη και όταν αντιμετωπίζουν κενά ταλέντων και δεξιοτήτων. Δεν «κάνουμε περισσότερα με λιγότερα», αλλά «κάνουμε περισσότερα με διαφορετικούς τρόπους» είναι αυτό με το οποίο ασχολούνται σήμερα οι καινοτόμοι ηγέτες ασφάλειας.

«Είναι μια πρόκληση που αντιμετωπίζουν όλοι, είναι δύσκολο να βρεις ένα ταλέντο, είναι δύσκολο να το διατηρήσεις. Υπάρχει ένα δίκοπο μαχαίρι, όταν αναπτύσσεις ταλέντα, να τα κάνεις πολύ ακριβά για να τα κρατήσεις, οπότε σίγουρα υπάρχουν κάποιες προκλήσεις εκεί».
Νομικές υπηρεσίες CISO

Ενώ οι ελλείψεις ταλέντων και δεξιοτήτων σίγουρα δεν είναι θετικές, υπάρχει μια μικροσκοπική ακτίνα φωτός εδώ - η δημιουργία μιας κουλτούρας ασφάλειας γίνεται πραγματικότητα. Πολλοί CISO μάς λένε ότι ένας από τους πιο αποτελεσματικούς τρόπους αντιμετώπισης των προκλήσεων ασφάλειας εν μέσω προκλήσεων προσωπικού είναι να οικοδομήσουμε μια κουλτούρα ασφάλειας όπου η ασφάλεια είναι δουλειά όλων. Οι CISO υποστηρίζουν όλο και περισσότερο αυτή την ιδέα ότι ολόκληρος ο οργανισμός μπορεί να αναλάβει την ευθύνη της ασφάλειας, ειδικά καθώς αντιμετωπίζουν ελλείψεις προσωπικού ή προκλήσεις χρηματοδότησης.

Οι ομάδες ανάπτυξης, οι διαχειριστές συστήματος και, ναι, οι τελικοί χρήστες, πρέπει να κατανοούν τις πολιτικές ασφαλείας που σχετίζονται με αυτούς. Η κοινοποίηση πληροφοριών είναι θεμελιώδης και οι ομάδες ασφαλείας βρίσκουν ολοένα και περισσότερο νέους τρόπους για να συνεργαστούν με προγραμματιστές, διαχειριστές και ιδιοκτήτες επιχειρηματικών διαδικασιών για την κατανόηση των κινδύνων και την ανάπτυξη πολιτικών και διαδικασιών που ωφελούν ολόκληρο τον οργανισμό.

Οι ελλείψεις ταλέντων και τα κενά στις δεξιότητες (ειδικά στο διαρκώς μεταβαλλόμενο επάγγελμα της ασφάλειας από απειλές στον κυβερνοχώρο) αναγκάζουν τους CISO να αναζητούν νέους και καινοτόμους τρόπους για να παραμείνουν μπροστά. Μια στρατηγική για την οποία συνεχίζουμε να ακούμε είναι η εξελισσόμενη «αναπλήρωση» υπαλλήλων εκτός της ομάδας ασφαλείας. Οι CISO επιδιώκουν να αξιοποιήσουν ολόκληρο τον οργανισμό, με ιδιαίτερη έμφαση στην εκπαίδευση των τελικών χρηστών ώστε να συμμετέχουν στη λύση και στη δημιουργία υποστήριξης από γειτονικές ομάδες.

Η ενίσχυση και η βελτίωση της γνώσης των τελικών χρηστών σχετικά με τις απειλές ασφαλείας —όπως η διασφάλιση ότι κατανοούν το ηλεκτρονικό "ψάρεμα" και τα σημάδια ανεπαίσθητων επιθέσεων— συμβάλλουν σημαντικά στην αύξηση των ματιών και των αυτιών της ομάδας ασφαλείας, ειδικά ως στρατηγική «άκρης του δόρατος», όπου οι τελικοί χρήστες αποτελούν συχνά σημείο εισόδου για μια επίθεση. Δεν λέω ότι οι τελικοί χρήστες μπορούν ως δια μαγείας να εκπαιδευτούν για να πιάνουν τα πάντα, αλλά η προετοιμασία και η ειδοποίηση των χρηστών μπορεί να μειώσει δραματικά το φορτίο στις ομάδες ασφαλείας.

«Μπορεί να έχετε ακούσει τη φράση ότι «η ασφάλεια είναι ευθύνη όλων». Αυτό είναι ωραίο, αλλά πραγματικά… μόνο μέχρι να συμβεί κάτι. Όσον αφορά το IT, αυτό που κάναμε είναι ότι αντικαταστήσαμε μέλη του IT με εκπροσώπους της ασφάλειας. Έχουμε ορίσει μέλη διαφορετικών ομάδων, συγκεκριμένα ομάδες ανάπτυξης, ομάδες αρχιτεκτονικής, ομάδες υποδομής όπου λαμβάνουν επιπλέον εκπαίδευση ασφάλειας. Συμμετέχουν σε κάποιες από τις συσκέψεις ασφαλείας μου και γίνονται αντιπρόσωποι της ομάδας τους σε θέματα ασφάλειας καθώς και εκπρόσωποι της ασφάλειας πίσω στην ομάδα τους».
Νομικές υπηρεσίες CISO

Μια άλλη στρατηγική είναι η αντικατάσταση του IT στο πλαίσιο της ασφάλειας. Η διατήρηση της ομάδας IT στενά συνδεδεμένης με την ομάδα ασφαλείας και η διασφάλιση ότι το IT είναι ενημερωμένο για τις στρατηγικές ασφαλείας βοηθά πολλούς ηγέτες ασφαλείας να επεκτείνουν την αποστολή τους σε όλους τους τομείς του οργανισμού.

Η παροχή καθοδήγησης και βοήθειας σχετικά με την αυτοματοποίηση και άλλες προληπτικές στρατηγικές ροής εργασιών και διαχείρισης εργασιών είναι ένας θεμελιώδης τρόπος με τον οποίο οι CISO επεκτείνουν τις ομάδες τους και αξιοποιούν το IT για να εξασφαλίσουν σταθερή στάση ασφαλείας.

«Λοιπόν, αν κοιτάξετε τον κόσμο της ασφάλειας, το προσωπικό ασφαλείας, δεν κάνει πολλά για να σταματήσει τις επιθέσεις, τα μέλη του IT κάνουν. Οι άνθρωποι ασφαλείας δεν κάνουν ενημέρωση, για παράδειγμα. Την ενημέρωση την κάνουν τα μέλη του IT. Η ασφάλεια δεν διαχειρίζεται το απόθεμα διαχείρισης στοιχείων, το IT το κάνει αυτό.   Και υπάρχουν πολλά πράγματα και ανάλογα με τον οργανισμό στον οποίο βρίσκεστε, τα τείχη προστασίας συνήθως διαχειρίζονται μια ομάδα δικτύωσης, όχι απαραίτητα μια ομάδα ασφαλείας. Έτσι, πολλά από αυτά που κάνουμε είναι ότι βοηθάμε τους ανθρώπους που έχουν επιφορτιστεί να κάνουν πραγματικά τους προστατευτικούς τύπους πραγμάτων, και τους αναβαθμίζουμε, τους δίνουμε εργαλεία για να αυτοματοποιήσουν μέρος της δουλειάς τους.
  Τους δίνουμε το γιατί, και όχι μόνο το τι, και μερικές φορές καταλαβαίνουμε ότι το γιατί θα επηρεάσει και θα εμπνεύσει να κάνουν το τι».
Νομικές υπηρεσίες CISO

Το συμπέρασμα;

Η δημιουργικότητα με πόρους δεν είναι κάτι νέο. Αλλά η ανάπτυξη μιας ευρύτερης ομάδας μέσω συστηματικής εκπαίδευσης και η ενασχόληση με ομάδες που γειτνιάζουν με την ασφάλεια είναι ένας καινοτόμος τρόπος με τον οποίο οι CISO αμβλύνουν μέρος της δυσκολίας των ελλείψεων ταλέντων και των κενών σε βασικές δεξιότητες.
  • Η δημιουργία συνέργειας με άλλες ομάδες και η αναπλήρωση εργαζομένων εκτός της ομάδας ασφαλείας συμβάλλει στην επέκταση της σφαίρας επιρροής και στη διατήρηση της ασφάλειας της εταιρείας.
  • Η εκπαίδευση των χρηστών να αναγνωρίζουν το ηλεκτρονικό "ψάρεμα" και τα κοινά ζητήματα ασφάλειας είναι μια στρατηγική που οι περισσότεροι ηγέτες ασφάλειας συμφωνούν ότι αξίζει τον χρόνο και την προσπάθεια.

Όλες οι αναφερόμενες έρευνες της Microsoft χρησιμοποιούν ανεξάρτητες εταιρείες έρευνας για να επικοινωνήσουν με επαγγελματίες ασφάλειας τόσο για ποσοτικές όσο και για ποιοτικές μελέτες, διασφαλίζοντας προστασία απορρήτου και αναλυτική αυστηρότητα. Τα αποσπάσματα και τα ευρήματα που περιλαμβάνονται σε αυτό το έγγραφο, εκτός εάν ορίζεται διαφορετικά, είναι αποτέλεσμα ερευνητικών μελετών της Microsoft.

Σχετικά άρθρα

Cyber Signals: Τεύχος 1

Η διαχείριση ταυτοτήτων είναι το νέο πεδίο μάχης. Αποκτήστε γνώσεις σχετικά με τις εξελισσόμενες απειλές στον κυβερνοχώρο και τα μέτρα που πρέπει να λάβετε για την καλύτερη προστασία του οργανισμού σας.
Μάθετε περισσότερα

CISO Insider Τεύχος 2

Σε αυτό το τεύχος του CISO Insider, ακούμε από τους CISO τι βλέπουν στην πρώτη γραμμή -από τους στόχους έως τις τακτικές και ποια μέτρα λαμβάνουν για να βοηθήσουν στην πρόληψη και την αντιμετώπιση των επιθέσεων. Ακούμε επίσης πώς οι επικεφαλής εκμεταλλεύονται το XDR και την αυτοματοποίηση για να κλιμακώσουν την άμυνά τους ενάντια σε εξελιγμένες απειλές.
Μάθετε περισσότερα

Cyber Signals Τεύχος 2: Οικονομικά του εκβιασμού

Μάθετε από ειδικούς πρώτης γραμμής για την ανάπτυξη του ransomware ως υπηρεσία. Από τα προγράμματα και τα ωφέλιμα φορτία έως τους μεσολαβητές πρόσβασης και τους συνεργάτες, μάθετε για τα εργαλεία, τις τακτικές και τους στόχους που προτιμούν οι εγκληματίες του κυβερνοχώρου και λάβετε οδηγίες για την προστασία του οργανισμού σας.
Μάθετε περισσότερα