Trace Id is missing

CISO Insider: 1. szám

Letöltés
Megosztás
Egy táblagépet néző férfi egy raktárban.

Eligazodás a fenyegetések mai világában biztonsági vezetők exkluzív elemzései és ajánlásai segítségével

Rob Lefferts vagyok, a Microsoft 365 Biztonság mérnöki csapatának vezetője. A csapatommal – és a Microsoft biztonsági kutatási csapataival, amelyekkel együtt dolgozunk – fáradhatatlanul arra törekszünk, hogy felfedjük a legújabb fenyegetési trendeket, amelyekkel a cégünk, az ügyfeleink és a teljes globális közösség szembesül, majd megküzdjünk ezekkel a fenyegetésekkel.

Mindeddig csak belső körben osztottuk meg a fenyegetésekkel kapcsolatos összefoglalóinkat, de úgy döntöttünk, hogy elkezdjük őket nyilvánosan is kiadni a CISO Insider hírlevélben. Az a célunk, hogy a legfrissebb, naprakész biztonsági elemzésekkel és útmutatókkal lehetővé tegyük a világ minden részén működő szervezetek számára, hogy hatékonyabban védjék magukat és ügyfeleiket a kiberbűnözéssel szemben.

Az 1. szám három olyan témakörrel indít, amely sokunk számára a legégetőbb kérdések közé tartozik:

  • Támadási trendek: Az alapvető intézkedések még a támadások változó természete mellett is értékes védelmet nyújtanak
  • Az üzleti tevékenységgel járó kockázatok: Az ellátási láncra irányuló fenyegetések kezelése
  • Újszerű megközelítésmódok a biztonság iránt érdeklődő tehetségek hiányának megoldására

A COVID–19 megkövetelte, hogy a szervezetek nagyobb mértékben támaszkodjanak a munkahelyi rugalmasságra, és felgyorsítsák a digitális átalakulást, és ezek a változások természetesen a biztonsági taktikák módosítását is szükségessé tették. A külső biztonsági szegély kitágult, és egyre inkább hibrid, több felhőre és platformra kiterjedő. Bár az új technológiák sok szervezet számára áldásosak voltak, hiszen még a nehéz időkben is lehetővé tették a termelékenységet és a növekedést, a változások egyúttal lehetőséget jelentettek a kiberbűnözők számára is, akik az egyre összetettebb digitális környezetekben található biztonsági rések kihasználásán dolgoznak.

A távmunkához kapcsolódó adathalász támadások egyre nagyobb száma a legégetőbb kérdések közé tartozik azon biztonsági szakemberek körében, akikkel beszélek, és ezt a kutatásaink is tükrözik. Egy a Microsoft által 2020-ban biztonsági vezetők között végzett felmérésben a válaszadók 55%-a szerint a szervezetük növekedést észlelt az adathalász támadások számában a világjárvány kezdete óta, és 88%-a arról számolt be, hogy az adathalász támadások már érintették a szervezetüket. Arról is rendszeresen hallok, hogy kimagasló a zsarolóvírusos támadások száma, hogy a kártevő szoftverek állhatatos fenyegetést jelentenek, és hogy az identitások feltörése folyamatosan jelentős kihívás elé állítja a biztonsági csapatokat.

Mindemellett azt is tudjuk, hogy a nemzetállamok által elkövetett támadások egyre agresszívebbek és kitartóbbak. A SolarWinds platformját kihasználó, a NOBELIUM általi ellátásilánc-támadás az egyike volt azoknak az újszerű támadásoknak, amelyek tavaly a címlapokra kerültek. Bár a híreket gyakran a feltűnő új technikák uralják, az információbiztonsági vezetők rendszeresen arról számolnak be, hogy még ezek a kifinomult fenyegető szereplők is – a legtöbb kiberbűnözőhöz hasonlóan – leginkább a csekély költségű, de számukra jelentős értéket teremtő, a kedvező alkalmat kihasználó támadásokra összpontosítanak.

„Ha egy nemzetállam megtámad engem és a cégemet, az villámcsapáshoz fogható esemény. Bekövetkezhet, és aggódok miatta, de nem annyira, mint a napi szintű tevékenységeim, az alapvető biztonságom miatt.”
Pénzügyi szolgáltató információbiztonsági vezetője

Ezt még jobban aláhúzza az, hogy a tapasztalatunk szerint egyre több nemzetállami támadó hajt végre szórásos jelszófeltöréses támadásokat. A biztonsági vezetők feladata, hogy kezeljék a kockázatot, és megállapítsák a dolgok fontossági sorrendjét. És sok vezető azt mondja nekem, hogy a kiberhigiénia megerősítése a legfontosabb a számára a leggyakoribb támadási útvonalak megakadályozása érdekében, különösen a növekvő digitális lábnyomra kiterjedően. Adataink és kutatásaink alátámasztják ezt az érzést – becsléseink szerint az alapvető biztonsági higiénia még mindig védelmet nyújt a támadások 98%-a ellen (lásd a 2021. októberi Microsoft Digitális védelmi jelentés 124. oldalán).

A legtöbb biztonsági vezető, akivel beszélek, egyetért abban, hogy egy biztonsági stratégia alapvető lépései a következők:

  • Többtényezős hitelesítés (MFA) és regisztrációs szabályzat bevezetése
  • Megfelelő rálátás a környezetre
  • A felhasználók képzése
  • A javítási és biztonságirés-kezelési feladatok naprakész elvégzése
  • Az összes eszköz felügyelete és védelme
  • A helyszíni és felhőbeli erőforrások és számítási feladatok konfigurációjának biztonságossá tétele
  • Biztonsági mentés a legrosszabb esetben szükségessé váló helyreállítási forgatókönyvekre való felkészüléshez
„Végső soron a legtöbbször egy emelt jogosultságú fiók buta jelszava okoz majd gondot, vagy az, hogy valaki elfelejtett alkalmazni egy tanúsítványt egy adott, szükséges végponton.”
Egészségügyi információbiztonsági vezető

Azt gondolhatja, hogy könnyű beszélni az alapvető biztonsági lépésekről, de sokkal nehezebb bevezetni őket a való életben, különösen túlterhelt és létszámhiányos csapatokkal. Én azonban úgy vélem, hogy a biztonsági vezetők feladata, hogy kezeljék a kockázatot, és megállapítsák a dolgok fontossági sorrendjét. Ez pedig azt jelenti, hogy az alapvető lépésekre való összpontosítás kifejezetten gyakorlatias megközelítésmód. A biztonsági incidensek tekintetében a kérdés legtöbbször nem az, hogy HA, hanem az, hogy MIKOR. Több száz riasztó kiberbiztonsági statisztikát láthatunk, például a csak az USA-ban naponta elkövetett kb. 4 000 kiberbűnözői támadásról, illetve a világszerte naponta meghekkelt több mint 30 000 webhelyről.

Szerintem a legjobb védekezés egy kiegyensúlyozott megközelítésmód alkalmazása, amelynek a megelőzés mellett az incidensészlelés és a reagálás terén való befektetés is része.

Bár nehéznek tűnhet befektetni a megelőzés újabbnál újabb szintjeibe, miközben lépést kell tartani az észlelés és a reagálás egyre jelentősebb követelményeivel, a kétféle erőfeszítés közötti egyensúly megteremtése létfontosságú és előnyös is. A Ponemon Institute és az IBM Security 2021-es tanulmánya arra a megállapításra jutott, hogy azoknál a szervezeteknél, amelyeknél nem működött incidenselhárítási csapat, vagy nem volt incidenselhárítási terv, az adatkiszivárgások átlagos költsége 55%-kal emelkedett. Azok a biztonsági csapatok, amelyek ki tudják egyensúlyozni a hatékony megelőzést egy olyan stratégiával, amely incidenselhárítást és az észlelési és szervizelési eszközökbe való befektetést is tartalmaz, jó eséllyel megúszhatják majd az elkerülhetetlent.

Mi a lényeg?

Alkalmazzon kiegyensúlyozott megközelítésmódot – tegye meg az alapvető intézkedéseket, és készítsen tervet a lehetséges biztonsági incidensek esetére.
  • Az alapvető kiberhigiéniába való befektetés, illetve annak kiterjesztése az egyre növekvő digitális környezetre kritikus fontosságú stratégia, amely segít megvédeni a cégét a támadástól.
  • Bár az ilyen jelentős támadások nem mindennaposak, fontos, hogy felkészülten a cselekvésre készen várjuk őket. Az alapvető intézkedések létfontosságúak, de az előretekintő szervezetek már olyan, jól dokumentált és tesztelt terv kialakítására törekednek, amely meghatározza az esetleges biztonsági incidens utáni teendőket.

Lépjünk tovább a következő, információbiztonsági vezetők számára jelenleg igen fontos témakörre: az ellátási láncokra és a belőlük fakadó fenyegetésekre. Napjaink üzleti környezetében megfigyelhető, hogy az egyre inkább összekapcsolt és összetett ellátási lánc következtében kitágul a biztonságos szervezetet és informatikát körülvevő biztonsági szegély. A Sonatype 2021. szeptemberi jelentése megállapította, hogy 2020-hoz képest éves szinten 650%-kal nőtt az ellátási láncra irányuló támadások száma.

Igen, jól olvasta – 650%!

És az üzleti világ új tényei – például a hibrid munkavégzés és az ellátási láncok minden iparágat sújtó, különféle típusú zavarai – miatt a külső biztonsági és identitáshatárok még jobban kitágultak.
1013

Egy cég ellátási láncában szereplő szállítók átlagos száma

Forrás: BlueVoyant,

„CISO Supply Chain”, 2020.

64%-a

a vállalatoknak azt állítja, hogy a napi üzleti feladatok több mint egynegyedét kiszervezi szállítóknak, amelyeknek hozzá kell férniük az üzleti adatokhoz.

Forrás: (ISC)2, „Securing the Partner Ecosystem”, 2019.

Nem csoda hát, hogy a biztonsági vezetők egyre nagyobb figyelmet szentelnek az ellátási lánccal járó kockázatoknak – egyrészt az ellátási láncban szereplő láncszemek bármelyike és mindegyike létfontosságú a cég működése szempontjából, másrészt a lánc bármely pontján fellépő zavar rengetegféleképpen okozhat kárt.

Ahogy a biztonsági vezetők az alkalmazások, infrastruktúra és emberi erőforrások egyre tágabb körében szerveznek ki feladatokat beszállítóknak, hatékonyabb keretrendszereket és eszközöket keresnek, amelyekkel felmérhetik és csökkenthetik a szállítói szinteken átnyúló kockázatokat. Mert az a 650% nagyon ijesztő – és mind ki vagyunk téve a veszélynek.

Az információbiztonsági vezetők arról számolnak be nekem, hogy míg a hagyományos átvilágítási intézkedésekkel hatékonyan csökkenthető a kockázat a kiválasztási folyamat vagy felülvizsgálatok során, a csapataik küszködnek az alkalmankénti felülvizsgálatok eredendő hiányosságaival, egyebek között az alábbiakkal:

  • A szállítók felülvizsgálati folyamata gyakran csak egy kérőívből vagy ellenőrzőlistából áll, amely nem terjed ki a napjaink ellátási láncaival kapcsolatos összes kockázatra.
  • Egy szállító a felvétele után csak alkalmankénti felülvizsgálati ciklusnak van alávetve, és az ilyen ellenőrzésekre gyakran csak évente vagy a szerződés megújításakor kerül sor.
  • Egy cégen belüli különböző részlegek gyakran eltérő folyamatokat alkalmaznak, eltérő beosztású személyek közreműködésével, és nem rendelkeznek a belső csapatok közötti információmegosztásra szolgáló világos módszerekkel.
„Azok a kulcsfontosságú szállítók, amelyekre nagy mértékben támaszkodunk, illetve amelyek a leginkább támogatnak minket a jövőképünk megvalósításában. Bármelyik ilyen jellegű szállító jóllétét fenyegető bármely zavar jelentős káros hatást gyakorol a szervezetünkre.”
Tudományos kutatási informatikai vezető

Ezek az intézkedések azt jelentik, hogy a szervezetek egyszerűen nem tudják valós időben betartatni a megfelelőséget, és csökkenteni a kockázatot. Emiatt a biztonsági csapatok sokkal nehezebben tudnak reagálni a szokatlan viselkedésre, például a feltört külső szoftver karanténba helyezésével, illetve a kiszivárgott rendszergazdai hitelesítő adatok letiltásával, hogy a használatukkal ne lehessen hozzáférni a hálózatokhoz. Ha bármit is tanulhattunk a közelmúltbeli támadásokból, az az, hogy még a legjobb kiberbiztonsági higiénia és a kockázat azonosítására, mérésére és csökkentésére szolgáló alapvető intézkedések elkötelezett alkalmazása sem elegendő ahhoz, hogy nullára csökkentsük az ellátási láncokba beférkőző fenyegetések esélyét.

„Évente bejelentkezünk a legfontosabb szállítókhoz, és a szintjüktől függően két évente vagy három évente visszatérhetünk hozzájuk, és megismételhetjük az értékelést. Egy értékelés azonban csak az adott időpillanatra vonatkozó információt nyújt. Nem igazolja a szabályozási környezet egész éves működőképességét.”
A Microsoft ellátásilánc-kezelési ügyféltanácsadói testületének tagja

Hogyan kezelhetők akkor az ellátási lánccal járó kockázatok úgy, hogy a cég közben agilis és termelékeny maradhasson? Azt találtuk, hogy sok biztonsági vezető ugyanúgy próbálja kezelni az ellátási láncra irányuló fenyegetéseket, mint a kibertámadásokat: erős alapvető intézkedésekre összpontosítanak, és javítják a rendszerek láthatóságát.

A szállítói ökoszisztémához társuló kockázatok típusainak sokszínűsége miatt nincs a kockázatok kezelésére szolgáló szabványosított, világos megoldás, „ajánlott eljárásokat” megfogalmazó útmutató vagy technológia. Sok biztonsági vezető azonban a Teljes felügyeleti modellre támaszkodva próbálja csökkenteni a kockázatnak való kitettséget, és igyekszik védelmet biztosítani az ellátási láncra irányuló fenyegetések mögött rendszerint megbúvó biztonsági résekkel szemben – ezek közé tartoznak a külső felhasználók feltört hitelesítő adatai, a kártevők által megfertőzött eszközök, a rosszindulatú kódok és egyebek.

A Teljes felügyelet a biztonság proaktív, integrált, a digitális eszközpark minden rétegére kiterjedő megközelítési módja, amely explicit módon és folyamatosan ellenőriz minden tranzakciót, minimális jogosultságot biztosít, és intelligenciára, korai észlelésre, valamint a fenyegetésekre adott valós idejű válaszokra támaszkodik.

Rendszeresen halljuk biztonsági vezetőktől, hogy a Teljes felügyeletre épülő robusztus stratégiák bevezetésével sikerült csökkenteniük az ellátási láncra irányuló jelentős támadások hatását, és növelniük az ellátási lánccal kapcsolatos műveletek átfogó hatékonyságát. A Ponemon Institute és az IBM Security közelmúltban megjelent tanulmánya arra a megállapításra jutott, hogy azoknál a szervezeteknél, amelyek üzembe helyezett Teljes felügyeletet működtettek, kb. 40%-kal alacsonyabb volt az egyes biztonsági incidensek átlagos költsége, mint azoknál, amelyek nem helyeztek üzembe Teljes felügyeletet.
„A Teljes felügyelet lehetővé tette, hogy kialakítsunk egy keretrendszert, és olyan hozzáférési módozatokat vezessünk be, amelyek védelmet nyújtanak a szervezetünk összes kritikus erőforrása számára.”
Egészségügyi biztonsági döntéshozó
„Azt mondhatnám, hogy felnéztünk a Sarkcsillagunkra, és – legalábbis szabályozási szempontból – a Teljes felügyelet felé vezet minket. Ahelyett, hogy feltennénk mindezeket a kérdéseket, majd megpróbálnánk választ találni a »hogyan szabályozhatok mindent ennél a hatókörnél« jellegű problémákra, induljunk el az ellenkező irányba, és kezdjük a semmivel, majd fokozatosan nyissuk fel pontosan azt, amire szükség van. Ezért úgy vélem, a Teljes felügyeletnek jut még egy élet az iparágban.”
Fogyasztói csomagolt termékek gyártójának információbiztonsági vezetője

Biztonsági incidensek feltételezése

Míg az első két alapelv segít csökkenteni a feltörés valószínűségét, a biztonsági incidensek feltételezésével a szervezetek felkészülhetnek arra, hogy gyorsan észleljenek egy biztonsági incidenst, és reagáljanak rá. Mindössze ki kell építeniük a megfelelő folyamatokat és rendszereket, mintha az incidens már megtörtént volna. A gyakorlatban ez azt jelenti, hogy redundáns biztonsági mechanizmusokat kell használni, telemetriai adatokat kell gyűjteni a rendszerekből, azok felhasználásával észlelni kell az anomáliákat, és – ahol csak lehetséges – össze kell kapcsolni a megállapításokat olyan automatizált intézkedésekkel, amelyek révén közel valós időben akadályozhatja meg az incidenseket, illetve reagálhat rájuk, és csökkentheti a hatásukat. Egyes információbiztonsági vezetők arról számolnak be nekem, hogy olyan robusztus figyelőrendszerek bevezetésén dolgoznak, amelyek segítségével észlelni tudják a környezetben bekövetkező változásokat – például amikor egy feltört IoT-eszköz szükségtelen kapcsolatokat próbál nyitni más eszközök felé –, hogy gyorsan azonosíthassanak egy támadást, és korlátozhassák a hatását.

Azok a vezetők, akikkel a Teljes felügyeletről beszélgetek, egyetértenek abban, hogy ez nagyszerű keretrendszer az alapvető kiberhigiénia megteremtéséhez, és ebbe beletartozik az ellátási lánc kezelése is.

Most tekintsük át, hogy a biztonsági vezetők hogyan alkalmazzák a Teljes felügyelet alapelveit az ellátási láncuk védelméhez.

Explicit ellenőrzés

Az explicit ellenőrzés azt jelenti, hogy meg kell vizsgálnunk a hozzáférési kérések összes idevágó aspektusát ahelyett, hogy feltételeznénk a megbízhatóságot valamilyen gyenge biztosíték, például a hálózati hely alapján. Az ellátási láncok esetében a támadók többnyire az explicit ellenőrzés hiányosságait használják ki, például olyan, emelt szintű jogosultságokkal rendelkező szállítói fiókokat keresnek, amelyeket nem véd többtényezős hitelesítés, vagy rosszindulatú kódot juttatnak be egy megbízható alkalmazásba. A biztonsági csapatok egyre szigorúbb ellenőrzési módszereket alkalmaznak, és a külső felhasználókra is kiterjesztik a biztonsági házirendjük követelményeit.

A legalacsonyabb szintű hozzáférés használata

Miután megvalósította az első alapelvet, a legalacsonyabb szintű hozzáférés elvével biztosíthatja, hogy csak a meghatározott üzleti célok eléréséhez szükséges, a megfelelő környezetből származó és a megfelelő eszközökön érvényes engedélyeket adja meg. Így minimálisra csökkentheti az oldalirányú mozgás lehetőségét annak korlátozásával, hogy egy esetleg feltört erőforrás (felhasználó, végpont, alkalmazás vagy hálózat) mennyire férhet hozzá a környezetben lévő más erőforrásokhoz. A biztonsági vezetők arról számolnak be, hogy egyre fontosabbnak tekintik csak a szükséges szintű hozzáférés megadását a szállítóknak és külső feleknek, csak akkor, amikor azoknak szüksége van rá, és hogy egyre nagyobb hangsúlyt fektetnek a hozzáférési kérések és szabályzatok folyamatos átvilágítására és értékelésére a szervezet ellátási láncában, hogy minimálisra csökkentsék a fontos rendszerekkel és erőforrásokkal kialakítható kapcsolatot.

„Az a célunk, hogy összességében javítsuk a biztonsági állapotunkat, de közben figyelnünk kell arra, hogy csökkentsük a súrlódást a végfelhasználók élményében, és egyszerűbbé tegyük az életüket.”
Vendéglátóipari biztonsági döntéshozó

Mi a lényeg?

Az elosztott ellátási láncokkal járó hatalmas számú szállító és a kihívások széles köre még fontosabbá teszi a proaktív kezelést. A közelmúltban történt globális adatszivárgások fényében a biztonsági vezetők különféle módszereket keresnek a szállítók jelentette kockázat csökkentésére, és a Teljes felügyelet alapelvei szilárd stratégiát és keretrendszert kínálnak a szállítói ökoszisztéma kezeléséhez.
  • A Teljes felügyelet alapelveire épülő megközelítésmód segít biztosítani, hogy csak a megfelelő személyek kapják meg a megfelelő szintű hozzáférést a teljes szervezetben, miközben fokozza a biztonságot és a végfelhasználók termelékenységét is.
  • Bár számos módon hozzá lehet fogni a Teljes felügyelet bevezetéséhez, a többtényezős hitelesítés elrendelésének a szállítói ökoszisztéma és a kockázatkezelés szempontjából is a legfontosabb prioritásnak kell lennie.
  • Mérje fel a szervezete Teljes felügyeletre való felkészültségét, majd célirányos, mérföldköveken alapuló útmutatást kaphat, és hozzáférhet források és megoldások gondosan válogatott listájához is, hogy elindulhasson a Teljes felügyelet felé vezető útján.

Mindannyian hallottunk a nagy felmondási hullámról. A globális munkaerő több mint 40%-a fontolgatja, hogy idén elhagyja a munkáltatóját – pedig a biztonsági vezetők és csapataik már most is létszámhiánnyal küzdenek. Gyakran beszélgetek információbiztonsági vezetőkkel arról, hogy mennek a dolgaik, és a legjobb szakemberek megfizetése, megtalálása és megtartása a legfőbb aggályaik egyike. És ha a legjobb szakemberek egyike távozik, akkor vagy új kiemelkedő szakembert kell találniuk, vagy magasabb szintre kell emelniük a megmaradt munkatársak képességeit. A hatékonyabb, integrált és automatizált technológia segíthet ugyan, de közel sem elegendő.

A biztonsággal kapcsolatos felkapott szakkifejezések a mindennapi köznyelv részévé váltak, hiszen a hírek rendszeresen kibertámadásokról szólnak – és ezek a támadások, illetve a róluk szóló hírek jelentős hatást gyakorolhatnak egy vállalatra. De tudja mit? Ez nem feltétlenül rossz hír. Minthogy a kiberbiztonság a szervezetek minden területén ismerős témakörré vált, sokszor azt halljuk, hogy „a biztonság mindenkinek a feladata” alapelv egyre több visszhangot vált ki a szervezetek különböző részeiben. Különös tekintettel az új hibrid munkavégzési modellekre és arra, hogy a biztonsági szegélyeket egyre újszerűbb módokon feszegetik, a biztonsági vezetők egyre nagyobb mértékben támaszkodnak innovatív módszerekre ahhoz, hogy mindenkit biztonságban tartsanak a szakemberek és képességek terén mutatkozó hiányosságok ellenére is. Az innovatív biztonsági vezetők napjainkban nem arra törekednek, hogy „tegyünk többet kevesebbért”, hanem hogy „tegyünk többet másképpen”.

„Ez egy olyan kihívás, amellyel mindenki szembesül: nehéz megtalálni a megfelelő szakembereket, és nehéz megtartani őket. És van itt egy kétélű kard is: ha fejlesztjük a szakembereket, túl drágává válhatnak ahhoz, hogy megtartsuk őket, ez is hozzájárul a kihíváshoz.”
Jogi szolgáltató információbiztonsági vezetője

Bár a szakemberek és képességek terén mutatkozó hiányosságok határozott hátrányt jelentenek, észrevehetünk egy halvány fénysugarat: a biztonság kultúrájának kialakítása kezd valósággá válni. Sok információbiztonsági vezető arról számol be, hogy a személyzeti kihívások közepette úgy tud a leghatékonyabban megfelelni a biztonsági kihívásoknak, hogy olyan biztonsági kultúrát alakít ki, amelyben a biztonság mindenkinek a feladata. Az információbiztonsági vezetők egyre többször hangoztatják, hogy a teljes szervezet felelősséget vállalhat a biztonságért, különösképpen azért, mert mind a szakemberhiány, mind a források szűkössége kihívások elé állítja őket.

A fejlesztői csapatoknak, a rendszergazdáknak és igen, a végfelhasználóknak is meg kell érteniük a rájuk vonatkozó biztonsági házirendeket. Az információmegosztás alapvető fontosságú, és a biztonsági csapatok egyre újabb módokat találnak a fejlesztőkkel, adminisztrátorokkal és az üzleti folyamatok tulajdonosaival való együttműködésre, hogy megértsék a kockázatokat, és a teljes szervezet előnyére váló szabályzatokat és eljárásokat dolgozhassanak ki.

A szakemberhiány és a képességek terén mutatkozó hiányosságok (különösképpen a folyamatosan változó kiberbiztonsági szakmában) együtt arra sarkallják az információbiztonsági vezetőket, hogy új és innovatív módszereket keressenek, amelyekkel megőrizhetik az előnyüket. Az egyik stratégia, amelyről rendszeresen hallunk, az a biztonsági csapaton kívüli alkalmazottak bevonása a munkába „helyettesként”. Az információbiztonsági vezetők arra törekednek, hogy a teljes szervezetet kihasználják, különös tekintettel a végfelhasználók képzésére – hogy ők is a megoldás részét képezzék –, valamint az egymás mellett működő csapatok által nyújtott támogatás kialakítására.

A végfelhasználók biztonsági fenyegetésekkel kapcsolatos ismereteinek bővítése és elmélyítése – például annak biztosítása, hogy felismerjék az adathalászatot és a körmönfont támadások jeleit – sokat segíthet abban, hogy a biztonsági csoport több szemmel és füllel rendelkezzen, különösképpen egy „lándzsahegyszerű” stratégia részeként, hiszen a végfelhasználók gyakran a támadások behatolási pontjai. Nem azt állítom, hogy a végfelhasználók varázsütésre kiképezhetők az összes támadás kivédésére, de a felkészült és éber felhasználók drasztikusan csökkenthetik a biztonsági csapatok leterheltségét.

„Talán hallotta már azt a kifejezést, hogy »a biztonság mindenkinek a felelőssége«. Ez nagyon szép, de csak addig igaz, amíg nem történik semmi. Az informatika terén azt az utat követtük, hogy helyettesként bevontuk a munkába az informatikai csapat tagjait, mintegy a biztonsági csapat képviselőjeként. Kijelöltük különböző csapatok – fejlesztői csapatok, architektúratervező csapatok, infrastruktúrával foglalkozó csapatok – egyes tagjait, és ők további biztonsági képzést kaptak. Beülnek a biztonsági értekezleteim némelyikére, és ők lesznek a csoportjuk képviselői a biztonsági csapatban, valamint a biztonsági csapat képviselői a saját csoportjukban.”
Jogi szolgáltató információbiztonsági vezetője

Egy másik stratégia az informatikusok „helyettesként” való bevonása a munkába a biztonsági csapat részeként. Azáltal, hogy szoros kapcsolatot tart fenn az informatikai és a biztonsági csapat között, és biztosítja, hogy az informatikai csapat tájékoztatást kapjon a biztonsági stratégiákról, sok biztonsági vezető ki tudja terjeszteni a küldetését a szervezet minden részére.

Az automatizálással és egyéb proaktív munkafolyamat- és feladatkezelési stratégiákkal kapcsolatos útmutatás és segítség nyújtása az egyik alapvető módszer, amellyel az információbiztonsági vezetők kiterjesztik a csapatukat, és az informatikai csapatokra támaszkodnak a szilárd alapokon álló biztonsági állapot eléréséhez.

„A biztonság világát és a biztonsági személyzetet nézve nem mondhatjuk, hogy ők túl sok támadást hiúsítanak meg – az informatikai munkatársak teszik ezt. A biztonságiak például nem telepítenek javításokat. Az informatikai térfélen dolgozók telepítik a javításokat. A biztonságiak nem kezelik az eszközkezelési nyilvántartást, ezt is az informatikusok csinálják.   Rengeteg egyéb ilyen dolog van, szervezettől függően például a tűzfalakat is többnyire egy hálózatkezelési csapat kezeli, nem feltétlenül egy biztonsági csapat. Így sok minden, amit csinálunk, tulajdonképpen azoknak a munkáját segíti, akiknek a védelmi jellegű feladatok tényleges elvégzése a munkája, és további képességeket is biztosítunk számukra, mi adjuk a kezükbe azokat az eszközöket, amelyekkel automatizálhatják a munkájuk egy részét.
  Nemcsak a tényeket, hanem az okokat is megmutatjuk nekik, és az okok megértése néha befolyásolja és inspirálja azt, hogy mit kell kezdeni a tényekkel.”
Jogi szolgáltató információbiztonsági vezetője

Mi a lényeg?

Az erőforrások kreatív felhasználása nem újdonság. De egy szélesebb körű csapat kialakítása szisztematikus képzéssel és a biztonsági csapat mellett működő más csapatok bevonásával olyan innovatív módszert kínál, amellyel a biztonsági vezetők enyhíteni tudják a szakemberhiány és a kulcsfontosságú képességek terén mutatkozó hiányosságok okozta kellemetlenségeket.
  • Ha szinergiát teremt más csapatokkal, és a biztonsági csapaton kívüli alkalmazottakat is bevon a munkába „helyettesként”, azzal kiterjesztheti a befolyási kört, és megőrizheti a cég biztonságát.
  • A felhasználóknak az adathalászat és a gyakori biztonsági problémák felismerésére való képzése a legtöbb biztonsági vezető szerint olyan stratégia, amely megéri a befektetett időt és erőfeszítést.

Az idézett Microsoft-kutatások mindegyikében független kutatócégek keresték meg a biztonsági szakembereket mind a kvantitatív, mind a kvalitatív kutatásokhoz, biztosítva az adatvédelmi szabályok érvényesülését és az elemzés hitelességét. Az ebben a dokumentumban szereplő idézetek és megállapítások – hacsak másként nem jelöljük – a Microsoft kutatási tanulmányainak eredményei.

Kapcsolódó cikkek

Cyber Signals: 1. szám

A legújabb csatát az identitásokért vívják. Betekintést nyerhet a legújabb kiberfenyegetésekbe, és megtudhatja, milyen lépéseket kell tennie a szervezete hatékonyabb védelme érdekében.
További információ

CISO Insider 2. szám

A CISO Insider jelen számában információbiztonsági vezetők mondják el, hogy mit látnak a frontvonalakon – a célpontoktól a taktikákig –, és milyen lépéseket tesznek a támadások megelőzése és az azokra való reagálás érdekében. Azt is megtudjuk, hogy a vezetők hogyan használják ki a kiterjesztett észlelés és válasz és az automatizálás előnyeit a kifinomult fenyegetések elleni védekezés fokozására.
További információ

Cyber Signals, 2. szám: Extortion Economics (A zsarolási iparág)

Élvonalbeli szakértőktől tájékozódhat a szolgáltatott zsarolóvírusok fejlődéséről. A programokkal és kártékony kódokkal, illetve hozzáférés-közvetítőkkel és partnerekkel is foglalkozó jelentésben megismerheti a kiberbűnözők által előnyben részesített eszközöket, taktikákat és célpontokat, és a szervezete védelmét segítő útmutatást is kaphat.
További információ