Trace Id is missing
Перейти до основного
Security Insider

CISO Insider: випуск 1

Завантажити
Поділитися
Чоловік дивиться на планшет на складі.

Оцініть поточну ситуацію з безпекою за допомогою ексклюзивної аналітики й рекомендацій від керівників команд безпеки

Мене звати Роб Леффертс і я керую командою розробників безпекових рішень Microsoft 365. Моя команда спільно з дослідницькими групами Захисного комплексу Microsoft невтомно працює над виявленням останніх тенденцій загроз, з якими стикається наша компанія, клієнти й уся світова спільнота.

Раніше ці брифінги були доступні лише для внутрішнього використання, однак тепер ми вирішили публікувати їх для широкого загалу у формі CISO Insider. Наша мета – надати організаціям у всьому світі актуальні рекомендації і аналітику для ефективнішого захисту від кіберзлочинів.

У першому випуску розглядаються три теми, які є пріоритетними для багатьох фахівців.

  • Тенденції у світі атак: ситуація з атаками змінюється, однак базові заходи безпеки все ще забезпечують надійний захист.
  • Ризики для бізнесу: керування загрозами на ланцюги постачання
  • Нові способи вирішення проблеми дефіциту кваліфікованих кадрів.

Через COVID-19 організаціям довелося створювати гнучкі робочі умови й прискорити цифрову трансформацію. Ці зміни також вимагали дещо іншого підходу до стратегій безпеки. Периметр безпеки розширився й став гібридним, і тепер захисту потребує велика кількість хмар та платформ. Разом із новими технологіями, які приносять значну користь організаціям, забезпечуючи продуктивність і розвиток навіть у складні часи, з’явилися й нові можливості для кіберзлочинців, котрі намагаються експлуатувати вразливості таких складних цифрових середовищ.

Збільшення кількості фішингових атак, пов’язаних із віддаленою роботою, – одна з пріоритетних проблем для фахівців із безпеки, з якими я спілкуюся. Ми також спостерігаємо цю тенденцію у своєму дослідженні. В опитуванні керівників команд безпеки, проведеному корпорацією Майкрософт у 2020 році, 55% респондентів відзначили збільшення кількості фішингових атак на свої організації з початку пандемії, 88% повідомили, що такі атаки вплинули на їхні організації. Також мені часто повідомляють про те, що збільшується кількість зловмисних програм із вимогою викупу, зберігається загроза шкідливого програмного забезпечення, а порушення безпеки ідентичностей залишається серйозною проблемою для фахівців із захисту.

На додаток до цього ми знаємо, що зберігається загроза атак на рівні держав, які є дуже агресивними. Атака на ланцюг постачання NOBELIUM, під час якої використовувалася платформа SolarWinds, привернула чимало уваги рік тому. Хоча в новинах часто згадують нові методики атак, керівники відділів IT-безпеки постійно говорять мені, що навіть ці досвідчені зловмисники, як і більшість кіберзлочинців, за можливості вдаються саме до низьковартісних перевірених атак.

"Коли держави хочуть атакувати тебе й твою компанію, це схоже на удар блискавки. Це може статися, і я переймаюся через таку загрозу, однак не більше ніж через щоденні турботи й базову безпеку".
Керівник відділу IT-безпеки у сфері фінансових послуг

Цю точку зору можна додатково підтвердити тим, що ми спостерігаємо частіше здійснення національними державами розпорошувальних атак. Керівники команд безпеки мають визначати ризики і їх пріоритетність. Багато з них повідомляють, що основний пріоритет – це покращення кібергігієни для запобігання найпоширенішим типам атак у цифровому середовищі, що розширюється. Наші дані й дослідження підтверджують цю думку. За нашими оцінками, дотримання навіть базових принципів кібергігієни допомагає захиститися від 98% атак (див. сторінку 124 Звіту про цифровий захист Microsoft за жовтень 2021 року).

Більшість керівників команд безпеки, з якими я спілкуюся, погоджуються з такими базовими заходами в межах стратегії безпеки:

  • упровадження багатофакторної автентифікації (БФА) і політики реєстрації;
  • видимість усього середовища;
  • навчання користувачів;
  • наявність актуальних виправлень і керування вразливостями;
  • захист усіх пристроїв і керування ними;
  • убезпечення конфігурацій локальних і хмарних ресурсів та робочих процесів;
  • резервне копіювання для відновлення в найскладніших умовах.
"Зрештою, у більшості випадків причиною є ненадійний пароль у привілейованому обліковому записі або не застосування сертифікату до обов’язкової кінцевої точки."
Керівник відділу IT-безпеки в галузі охорони здоров’я

Ви можете подумати, що говорити про базові заходи безпеки легко, однак значно складніше реалізувати їх у реальному житті, особливо для перевантажених команд із дефіцитом працівників. Однак хочу зазначити, що зобов’язання керівника команди безпеки полягають в управлінні ризиками й пріоритетами, тому зосереджуватися на базових принципах – це надійний і прагматичний підхід. Проте дуже часто інциденти безпеки пов’язані з питанням КОЛИ, а не – ЯКЩО. Можна навести сотні  прикладів зі статистики з кібербезпеки, наприклад про 4000 атак, які щодня здійснюють у США, а також про більше ніж 30 000 веб‑сайтів, які щодня зламують у всьому світі.

На мою думку, найкращий захист полягає в збалансованому підході й інвестиціях у виявлення інцидентів, запобігання їм і реагування на них.

Вам може видаватися, що інвестувати в нові рівні захисту й водночас дотримуватися суворіших вимог щодо виявлення й реагування – це складно, однак важливо знайти баланс між цими двома аспектами. Згідно з результатами дослідження інституту Ponemon і IBM Security, проведеного у 2021 році, організації без команд реагування на інциденти втрачають на 55% коштів більше в разі порушення безпеки даних. Команди безпеки, яким удається збалансувати надійні заходи із запобігання зі стратегією, що включає реагування на інциденти, та інвестиціями в інструментами виявлення й виправлення, будуть краще готові до неминучих атак.

Кінцевий підсумок

Розробіть збалансований підхід, що включатиме як базові заходи безпеки, так і план дій у разі її порушення.
  • Інвестувати в базові заходи кібергієни й упроваджувати їх у своєму цифровому середовищі вкрай важливо для захисту від атак.
  • Навіть якщо масштабні атаки не трапляються щодня, потрібно бути готовими до них. Важливо дотримуватися базових принципів захисту, однак перспективні організації також створюють добре задокументовані й перевірені плани дій у разі порушення безпеки.

Ще одна важлива тема для керівників відділів IT‑безпеки – ланцюги постачання й загрози, пов’язані з ними. Розширення периметра безпеки за межі організації та IT-інфраструктури через надскладний і тісно взаємопов’язаний ланцюг постачання – це реалії сьогодення. За даними звіту від Sonatype за вересень 2021 року, кількість атак на ланцюги постачання збільшилася на 650% із 2020 року.

Ви не помилилися – 650%!

Крім того, нові бізнес-реалії (наприклад, гібридна робота й порушення всіх типів ланцюгів постачання, що вплинуло на всі галузі) розширили межі безпеки й ідентичностей іще більше.
1013

Середня кількість постачальників у ланцюгу постачання

Джерело: BlueVoyant,

дослідження CISO Supply Chain, 2020 р.

64%

Кількість компаній, які повідомляють, що передають більше ніж чверть своїх повсякденних бізнес-завдань постачальникам, які потребують доступу до їх корпоративних даних

Джерело: звіт Securing the Partner Ecosystem від (ISC)2, 2019 р.

Не дивно, що керівники команд безпеки приділяють усе більше уваги ризикам для ланцюгів постачання. Це відбувається не лише через те, що всі зв’язки в такому ланцюгу вкрай важливі для робочих процесів у компанії, а й тому, що будь-яке порушення в ньому може призвести до чималої кількості негативних наслідків для бізнесу.

Керівники команд безпеки все частіше залучають постачальників до керування своїми програмами, інфраструктурою і людським капіталом, тому потребують ефективніших платформ та інструментів для оцінювання таких постачальників і зменшення ризиків, пов’язаних із ними. Через це показник у 650% неабияк лякає, адже ми всі під загрозою.

Керівники відділів IT-безпеки повідомляють, що традиційні заходи розгляду можуть бути ефективними для зменшення ризиків під час вибору й перевірки постачальників, однак їх команди продовжують стикатися з характерними недоліками перевірок на певний момент часу. Приклади таких заходів наведено нижче.

  • Зазвичай під час перевірки постачальників їм надають лише анкету або контрольний список, що не охоплює всі ризики для сучасних ланцюгів постачання.
  • Після підключення постачальника його перевіряють лише на певний момент часу, наприклад раз на рік або під час поновлення контракту.
  • Часто в різних відділах тої самої компанії застосовуються різні процедури й для них не визначено конкретний спосіб обміну інформацією.
"Ключовими постачальниками є ті, від яких ми значною мірою залежимо, або ті, які найбільше підтримують нас у досягненні мети. Будь-яке порушення роботи в когось із них призведе до згубних наслідків для нашої організації".
Директор з інформаційних технологій у сфері наукових досліджень

Ці заходи означають, що організації не можуть відповідати вимогам і зменшувати ризики в реальному часі. Як наслідок, командам безпеки набагато складніше реагувати на аномальну поведінку, наприклад, відправляти вражене зовнішнє ПЗ в карантин або блокувати доступ уражених облікових даних адміністратора в мережі організації. Нещодавні атаки навчили нас, що навіть найкращі заходи кібербезпеки й дотримання базових принципів захисту ідентичностей, а також оцінювання й зменшення ризиків не можуть повністю вбезпечити ланцюги постачання від загроз.

"Щороку ми перевіряли ключових постачальників і залежно від їх рівня поверталися кожні два-три роки й повторювали оцінювання. Однак його результати відображають лише інформацію на певний момент часу. Воно не допомагає відстежувати показники протягом усього року".
Член консультативної ради клієнтів корпорації Майкрософт у сфері керування ланцюгами постачання

Тож як керувати ризиками для ланцюгів постачання й водночас залишатися гнучкими й продуктивними? Виявляється, що багато керівників команд безпеки застосовують до загроз для ланцюгів постачання той самий підхід, що й до кібератак. Він передбачає покращення базових заходів безпеки й видимості.

Через величезну кількість ризиків, пов’язаних з екосистемою кожного постачальника, неможливо розробити конкретні рекомендації, стандарти або навіть технології для керування ними. Однак багато керівників команд безпеки використовує модель нульової довіри, щоб зменшити ризики й захищатися від уразливостей, пов’язаних із загрозами для ланцюгів постачання. Це, наприклад, уражені облікові дані сторонніх користувачів, пристрої, заражені шкідливим програмним забезпеченням, шкідливий код тощо.

Нульова довіра – це випереджувальний інтегрований підхід до безпеки на всіх рівнях цифрового комплексу, що передбачає явну й постійну перевірку всіх транзакцій, використання принципу найменших привілеїв, і покладається на інтелектуальний аналіз, розширене виявлення загроз і реагування на них у реальному часі.

Усе частіше керівники команд безпеки повідомляють, що їм удалося зменшити вплив основних атак на ланцюги постачання й підвищити загальну ефективність операцій у ланцюгах постачання за допомогою моделі нульової довіри. Згідно з  нещодавнім дослідженням від інституту Ponemon та IBM Security, організації з упровадженим підходом на основі моделі нульової довіри зазнавали на 40% менше збитків у разі порушення вимог безпеки, ніж компанії без такої моделі.
"На основі моделі нульової довіри ми розробили систему стандартів і умови доступу, які дають змогу захищати всі критичні ресурси в організації."
Фахівець, відповідальний за прийняття рішень щодо безпеки в галузі охорони здоров’я
"Ми переглянули свою заповітну мету, і з погляду керування більше схиляємося до підходу на основі моделі нульової довіри. Замість того, щоб ставити всі ці запитання й потім намагатися усунути проблему «як керувати всім у визначеній області», ми застосували протилежний підхід, і тепер надаємо доступ лише до потрібних ресурсів. Тож, на мою думку, модель нульової довіри стає нормою в галузі".
Керівник відділу IT-безпеки у сфері виробництва упакованих товарів для споживачів

Розгляд кожного запиту як порушення безпеки

Хоча перші два принципи зменшують імовірність появи інцидентів, розгляд кожного запиту як порушення безпеки дає змогу організаціям підготуватися до швидкого виявлення й реагування на такі інциденти. Для цього потрібно, щоб процеси й системи працювали так, ніби порушення вже відбулося. На практиці це означає, що за допомогою додаткових механізмів безпеки й збору телеметричних даних системи можна виявляти аномалії. Потім (за можливості) ця інформація потраплятиме в систему автоматизації, яка дає змогу запобігати загрозам, реагувати на них і виправляти їх у реальному часі. За словами керівників відділів IT-безпеки, вони інвестують у надійні системи відстеження, які допомагають виявляти зміни в середовищі, наприклад уражений пристрій IoT, що намагається встановити непотрібне підключення до інших пристроїв, щоб швидко розпізнавати й усувати атаки.

Керівники, з якими я обговорюю модель нульової довіри, погоджуються, що вона чудово підходить для створення базових принципів кібергігієни, які передбачають керування ланцюгами постачання.

Розгляньмо, як керівники команд безпеки застосовують принципи нульової довіри для захисту своїх ланцюгів постачання.

Відкрите підтвердження

Відкрите підтвердження означає, що потрібно перевірити всі аспекти запиту на доступ, а не надавати довіру на основі лише, наприклад, мережевого розташування. Під час атак на ланцюги постачання зловмисники зазвичай користуються прогалинами у відкритому підтвердженні, наприклад, знаходять облікові записи постачальників із розширеними правами, які не захищено багатофакторною автентифікацією, або додають шкідливий код у довірену програму. Команди безпеки вдосконалюють способи перевірки й поширюють політики безпеки на сторонніх користувачів.

Використання найменш привілейованого доступу

Після реалізації першого принципу найменш привілейований доступ допомагає забезпечити, щоб дозволи на доступ надавалися лише для виконання конкретних бізнес-завдань із відповідних середовищ і на відповідних пристроях. Це дає змогу мінімізувати можливості бокового зміщення за допомогою обмеження доступу будь-якого ураженого ресурсу (користувач, кінцева точка, програма або мережа) до інших об’єктів у мережі. Керівники команд безпеки розповідають нам, що вони надають постачальникам і третім сторонам доступ лише до потрібних ресурсів, коли їм це необхідно, а також постійно перевіряють і оцінюють запити на доступ та політики в ланцюгу постачання, щоб звести до мінімуму контакт із важливими мережами й ресурсами.

"Наша мета – покращити загальну захищеність, однак також потрібно подбати про задоволеність користувачів і зручність наших рішень".
Фахівець, відповідальний за прийняття рішень щодо безпеки в галузі готельного бізнесу

Кінцевий підсумок

Велика кількість постачальників і низка проблем, притаманних розподіленим ланцюгам постачання, додатково підвищує важливість профілактичних заходів. З огляду на нещодавні порушення безпеки глобальних даних керівники команд безпеки прагнуть знайти способи зменшення ризиків, пов’язаних із постачальниками. При цьому принципи нульової довіри слугують надійною стратегією для керування екосистемою постачальників.
  • Підхід на основі нульової довіри допомагає гарантувати, що лише потрібні люди отримують відповідний рівень доступу в організації, а також покращити захист і продуктивність кінцевих користувачів.
  • Рекомендуємо почати роботу з нульовою довірою саме з упровадження багатофакторної автентифікації в процедурах, пов’язаних із постачальниками й керуванням ризиками.
  • Оцініть, наскільки ваша організація готова до переходу на модель нульової довіри, і отримайте спеціалізовані рекомендації щодо проміжних етапів, а також запропонований список ресурсів та рішень, які допоможуть застосовувати принцип нульової довіри.

Усі ми чули про тенденцію до звільнення. Більше ніж 40% працівників у всьому світі збираються звільнитися цього року, і керівники команд безпеки вже відчувають ці наслідки. Я часто спілкуюся з керівниками відділів IT-безпеки, і пошук та утримування (зокрема фінансовий аспект таких заходів) найкращих кадрів – одна з найпоширеніших проблем для них. Якщо найкращі кадри звільняються, керівники можуть або найняти нових фахівців, або покращити навички наявних. У цьому допомагають ефективніші, інтегровані й автоматизовані технології, однак їх зовсім недостатньо.

Жаргон зі сфери безпеки перетворився на повсякденну лексику через постійне висвітлення кібератак у новинах. Ці атаки (і новини про них) можуть сильно вплинути на компанію. Однак це ще не все. З огляду на те, що кібербезпека стала популярною темою на рівні всієї організації, дедалі частіше починають лунати твердження "за кібербезпеку відповідають усі". У межах переходу на модель гібридної роботи й розширення периметра безпеки керівники відповідних команд усе частіше покладаються на інноваційні способи захисту користувачів, навіть якщо мають недостатньо кваліфікованих кадрів і навичок для їх реалізації. Девізом керівників команд безпеки стає не "робити більше з меншими ресурсами", а "робити більше й інакше".

"Усі ми стикаємося з проблемою пошуку й утримання кваліфікованих кадрів. Це палиця з двома кінцями: коли ви підвищуєте кваліфікацію працівника, вам стає дорого утримувати його. Саме тому це спричиняє деякі проблеми".
Керівник відділу IT-безпеки у сфері юридичних послуг

Хоча дефіцит кваліфікованих кадрів і навичок не є чимось позитивним, є надія, що створення культури підтримання безпеки стає реальністю. Багато керівників відділів IT-безпеки говорять, що один із найефективніших способів вирішення проблем із безпекою і кадрами – створити культуру, де за безпеку відповідатимуть усі. Керівники відділів IT-безпеки активно підтримують думку про те, що вся організація може взяти на себе відповідальність за безпеку, особливо в умовах дефіциту працівників або фінансування.

Розробники, системні адміністратори й навіть кінцеві користувачі – усі мають розуміти застосовні до них політики безпеки. Значну роль у захисті організації відіграє обмін відомостями, тому команди безпеки шукають нові способи взаємодіяти з розробниками, адміністраторами й відповідальними за бізнес‑процеси, щоб зрозуміти ризики й розробити необхідні політики та процедури.

Через дефіцит кваліфікованих кадрів і достатніх навичок (особливо в умовах постійних змін у кібербезпеці) керівники відділів IT-безпеки вимушені шукати нові інноваційні способи не відставати від розвитку галузі. Однією із стратегій, про яку ми постійно чуємо, є "наділення повноваженнями" фахівців з інших команд. Керівники відділів IT-безпеки намагаються реалізувати весь кадровий потенціал організації і приділяють особливу увагу навчанню кінцевих користувачів та формуванню підтримки від суміжних команд.

Коли кінцеві користувачі знають про загрози для безпеки, такі як фішинг і ознаки атак, це приносить набагато більше результатів, ніж збільшення кількості учасників команди безпеки, особливо в межах стратегії, коли саме користувачі стають точкою входу для атаки. Я не стверджую, що кінцеві користувачі мають розпізнавати всі загрози, та якщо розповісти їм про них, це може значно зменшити навантаження на команди безпеки.

"Можливо, ви чули про те, що за безпеку мають відповідати всі. Це чудово…доки не з’явиться загроза. Ми наділяємо працівників IT-відділу повноваженнями представників команди безпеки. Ми назначили учасників різних команд, зокрема розробки, архітектури й інфраструктури, і залучили їх до заходів із безпеки в навчальних цілях. Вони беруть участь у деяких безпекових нарадах і стають представниками своєї групи в команді безпеки, а також представниками команди безпеки у своїй групі".
Керівник відділу IT-безпеки у сфері юридичних послуг

Інша стратегія полягає в тому, щоб наділити фахівців IT-відділу повноваженнями представників команди безпеки. Якщо забезпечити тісну взаємодію між цими двома командами й інформувати фахівців IT-відділу про стратегії безпеки, це допоможе керівникам відділів безпеки поширити свою місію на всі сфери організації.

Завдяки наданню рекомендацій і допомозі з автоматизацією, а також іншим профілактичним стратегіям керування робочими циклами керівники відділів IT-безпеки зможуть розширити свої команди й покращити захищеність організації.

"Працівники відділів безпеки не виконують багато дій із зупинення атак. Цим займаються IT-фахівці. Наприклад, спеціаліст із безпеки не встановлює виправлення. Це робить IT-фахівець. Відділ безпеки не керує інвентаризацією ресурсів. Це зобов’язання IT-команди.   Це можуть бути й інші команди, наприклад, зазвичай брандмауерами керує мережева команда, а не відділ безпеки. Тому значний обсяг нашої роботи полягає в тому, щоб допомогти людям, які насправді забезпечують захист. Ми розвиваємо їх навички й надаємо їм інструменти для автоматизації деяких наявних завдань.
  Ми не просто вказуємо їм на їхні обов’язки, а допомагаємо зрозуміти, чому слід робити так, а не інакше. Іноді завдяки розумінню причини з’являється мотивація виконувати ці обов’язки".
Керівник відділу IT-безпеки у сфері юридичних послуг

Кінцевий підсумок

Креативний підхід до ресурсів не є чимось новим. Однак розширення своєї команди за допомогою навчання й залучення суміжних відділів – це інноваційний спосіб, у який керівники відділів IT‑безпеки можуть зменшити деякі труднощі, пов’язані з дефіцитом кваліфікованих кадрів і навичок.
  • Злагоджена взаємодія між командами й залучення фахівців з інших відділів допомагає команді безпеки ефективніше захищати компанію.
  • Більшість керівників команд безпеки вважає, що навчання користувачів розпізнавати фішинг та інші поширені проблеми безпеки вартує часу й зусиль.

До всіх указаних тут досліджень корпорації Майкрософт було залучено незалежні організації, які зверталися до фахівців у сфері безпеки для проведення кількісних і якісних досліджень. При цьому було забезпечено конфіденційність учасників і високу якість аналітики. Цитати й факти, включені в цей документ, є результатами досліджень корпорації Майкрософт, якщо не вказано інше.

Пов’язані статті

Cyber Signals: випуск 1

Ідентичності – це нове поле бою. Дізнайтеся про кіберзагрози, які розвиваються, і про кроки для надійного захисту організації.
Дізнайтеся більше

CISO Insider, випуск 2

У цьому випуску CISO Insider ІТ-директори розповідають про ситуацію на передовій – цілі, тактики, а також кроки для запобігання атакам і реагування на них. Ми також дізнаємося, як вони використовують переваги розширеного виявлення і реагування й автоматизації, щоб масштабувати захист від складних загроз.
Дізнайтеся більше

Cyber Signals, випуск 2: економіка шантажу

Дізнайтеся від провідних експертів про тенденцію надання послуги атакування програмами з вимогою викупу. Від програм і корисних відомостей до доступу до брокерів і партнерів — дізнайтеся більше про інструменти, методи й цілі кіберзлочинців і отримайте допомогу із захистом вашої організації.
Дізнайтеся більше