Поиск по сайту:

Каковы три столпа кибербезопасности?

Кибербезопасность — это вопрос бизнеса, а не ИТ. Организации должны развивать культуру кибербезопасности, поддерживаемую руководством и поддерживаемую технологиями, управлением и осведомленностью персонала.

Кто придет за мной?

Вопреки интуиции, получившие широкое распространение кибератаки, такие как недавняя утечка данных Blackbaud и взлом Twitter, могут заставить высшее руководство и высшее руководство чувствовать себя в безопасности и невосприимчивыми к киберугрозам. Если есть более крупные и лучшие цели, почему хакеры когда-либо обращают внимание на их организацию?

Но так же, как преступники в физическом мире, существуют различные слои киберпреступников. Есть преступники, которые крадут бриллианты, и есть преступники, которые крадут сумки. Очевидно, это не одни и те же лица. Киберпреступники, которые нацеливаются на высокопоставленных жертв с высокой ценностью, вряд ли обратят свое внимание на средний малый и средний бизнес (МСП).

Но это не значит, что МСП нечего бояться. Наоборот. Высшие эшелоны киберпреступного мира могут не считать вас потенциальной жертвой, но любой другой киберпреступник так считает. Это как круглосуточный магазин, который чувствует себя в безопасности, потому что команда  Ocean’s 11 никогда их не задержит. То, что это правда, не означает, что вы можете игнорировать любого другого хулигана.

В киберпреступности наиболее распространенные угрозы — те, с которыми МСП сталкиваются каждый день — не зависят от жертвы и совершенно не нацелены. Если кибератаки будут автоматизированы и смогут поразить достаточное количество предприятий малого и среднего бизнеса, киберпреступники все равно будут наживаться.

В США 30 миллионов малых и средних предприятий. В Соединенном Королевстве этот показатель составляет 5,9 миллиона, что составляет более 99 процентов предприятий. Таким образом, киберпреступники могут не специально нацеливаться на вас, но каждый SME и SMM находится в их любимом месте для жертв, и они атакуют как можно больше из них. Кто бы они ни были.

Самой большой угрозой для малого и среднего бизнеса является вредоносное ПО. Вредоносное ПО – это программное обеспечение, предназначенное для выполнения определенных действий в интересах киберпреступников или злоумышленников. Вредоносное ПО может эксфильтровать данные, перехватывать нажатия клавиш для кражи учетных данных для входа или данных кредитной карты, или это может быть программа-вымогатель. Программы-вымогатели шифруют ваши данные и требуют оплаты, обычно в биткойнах, за их расшифровку.

Предпочтительным инструментом для распространения вредоносных программ является электронная почта. Испорченное электронное письмо может содержать вредоносное вложение или ссылку на мошеннический веб-сайт-подражатель, маскирующийся под настоящий веб-сайт. Любой из них заразит жертву.

Организации необходимо рассматривать свою кибербезопасность целостно. Он состоит из трех столпов. Каждая из них должна быть такой же надежной, как две другие, и они должны объединяться, чтобы поддерживать корпоративную культуру безопасности. И общая нить, пронизывающая все, — это люди.

Первый столп: технология

Технологии включают аппаратные и программные меры и системы, которые вы развертываете для улучшения своей защиты и устранения брешей в безопасности. Но технология также включает в себя общие проблемы ИТ, такие как топология вашей сети. Ваша сеть изолирована или полностью плоская? Сможет ли вредоносное ПО проходить через него без ограничений или сегментация будет его сдерживать? Базовая надежная сетевая инженерия — это первый элемент вашей технологической опоры. Разумное размещение правильно настроенных маршрутизаторов, коммутаторов и брандмауэров обеспечивает основу для надстроек кибербезопасности.

Все операционные системы и прикладное программное обеспечение должны находиться в пределах периодов поддержки производителей. Все они должны быть обновлены до последней версии, включая прошивку на таких устройствах, как маршрутизаторы и брандмауэры.

Использование шифрования для электронной почты и шифрование жестких дисков портативных и мобильных устройств является здравым смыслом и, в зависимости от вашего географического положения, может быть предписано местным законодательством, например Европейским общим регламентом по защите данных (GDPR). Управление USB-устройствами должно быть реализовано в соответствии с вашими потребностями.

Конечно, у вас будет как минимум один брандмауэр. Современные устройства поддерживают дополнительные функции безопасности, такие как наборы безопасности шлюза. Они предназначены для перехвата вирусов и вредоносных программ в точке входа в вашу сеть. Напротив, комплекты защиты конечных точек , содержащие антивирусные и антивредоносные пакеты, пытаются перехватывать угрозы на компьютерах в вашей сети. Ни одно из них не заменяет другое, но если у вас может быть только одно, разверните защиту конечных точек.

Фильтрация электронной почты и меры по борьбе со спамом значительно уменьшат вероятность проникновения угроз, связанных с электронной почтой, но они никогда не будут эффективны на 100%. Может быть очень сложно обнаружить и поймать хорошо написанное мошенническое электронное письмо, особенно если оно не содержит вложений. Дни, когда мошеннические электронные письма были плохо написаны и приправлены плохой грамматикой, не совсем остались в прошлом, но они, безусловно, уходят. Современные примеры изящны и очень убедительны.

Системы обнаружения вторжений (IDS) используют такие методы, как автоматический сбор и сопоставление системных журналов с серверов и сетевых устройств, а также их анализ на наличие подозрительного поведения или аномалий. Это может происходить периодически или, если система достаточно сложна, почти в реальном времени. IDS также может наблюдать за ключевыми системными файлами на серверах, где любые модификации могут указывать на компрометацию.

Как узнать, что все эти шаги выполняются оптимально? С помощью тестов на проникновение и сканирования уязвимостей. Тест на проникновение попытается проверить вашу защиту из-за пределов вашей организации. Они могут включать до тысячи отдельных тестов, каждый из которых предназначен для выявления конкретной потенциальной уязвимости. Сканирование уязвимостей аналогично, но выполняется в вашей сети внутри брандмауэра. Он сканирует все устройства, подключенные к вашей сети, в поисках уязвимостей, таких как устаревшее или неисправленное программное обеспечение и операционные системы.

Тесты на проникновение и сканирование уязвимостей должны выполняться с запланированной периодичностью, а результаты должны использоваться для обеспечения объема исправительных работ, на которые следует обратить внимание. Когда злоумышленник или один из их автоматических сканеров обнаруживает уязвимость и применяет эксплойт, у вас в руках компрометация. Найдите их и устраните до того, как это сделают злоумышленники.

И не забывайте о резервных копиях. Резервное копирование на различные носители и включение резервного копирования за пределами сайта в ваш режим. Резервное копирование на локальные сетевые устройства хранения обеспечивает более быстрое восстановление, чем из удаленных резервных копий, но удаленные резервные копии обеспечивают наиболее надежные решения для восстановления. Итак, сделайте оба. Пожар или наводнение могут сделать ваши помещения недоступными. Без резервной копии за пределами сайта вы не сможете работать и торговать.

Постоянно обновляемые резервные копии серверов на основе образов позволяют быстро восстанавливать сервер, поскольку копируется не только данные, но и операционная система. Некоторое программное обеспечение для резервного копирования может преобразовать образ резервной копии в виртуальную машину, чтобы резервную копию можно было развернуть на другом оборудовании или в качестве другого экземпляра сервера в облаке, восстанавливая доступ к вашему отключенному серверу за считанные минуты, а не часы.

Репликация сервера поддерживает клонированный сервер в актуальном состоянии, который может обеспечить практически мгновенный переход в случае выхода из строя ведущего сервера. С облачной инфраструктурой это легко сделать.

Какой бы режим резервного копирования вы не использовали, протестируйте его. Отрепетируйте сценарии аварийного восстановления.

Когда срок службы ИТ-оборудования подходит к концу, убедитесь, что на устройствах выполняется безопасное уничтожение данных, чтобы предотвратить потерю информации и данных по недосмотру.

Второй столп: управление ИТ

Управление ИТ — это всеобъемлющий набор средств контроля, которые вы устанавливаете и применяете для управления использованием всех ваших ИТ-активов. Они принимают форму политик и процедур, которые гарантируют, что ваши сотрудники знают и соблюдают передовые методы ведения бизнеса в отношении ИТ и безопасности. Кроме того, политики и процедуры, относящиеся к защите данных , становятся все более распространенными, если не обязательными.

Ваши процедуры должны документировать и детализировать действия, необходимые для обслуживания, исправления и мониторинга всех элементов в технологическом разделе. Как вы собираетесь обеспечить применение всех исправлений безопасности? Каково расписание тестирования резервного копирования и когда оно тестировалось в последний раз? Каков ваш процесс открытия порта в брандмауэре? Есть ли документированное экономическое обоснование открытия этого порта и было ли оно рассмотрено? Где хранятся эти записи?

Все действия, связанные с компонентами технологического компонента, должны быть закреплены в процедурах, и эти процедуры должны генерировать контрольный журнал или записи.

Наиболее распространенной формой аутентификации по-прежнему является пароль. Есть ли у вас политика паролей с инструкциями по созданию безопасных паролей? Предупреждает ли персонал не использовать имена членов семьи, дни рождения и другие личные данные, которые можно получить с помощью исследований или социальной инженерии? Применяется ли сложность там, где это возможно, или двухфакторная аутентификация обязательна там, где она доступна?

В Политике добросовестного использования будет указано, что является приемлемым, а что нет допустимым использованием ваших ИТ- и телекоммуникационных активов. Вы не можете предоставить людям оправдание «Никто не сказал, что я не могу». Документируйте, что разрешено, а что нет.

Вам может потребоваться, чтобы управление соответствовало закону, постановлению или стандартам, таким как GDPR, ISO 27001, Privacy Shield или Закону штата Калифорния о конфиденциальности потребителей.

У вас должна быть процедура утечки данных и процедура инцидента с ИТ, и обе они должны быть отрепетированы.

Помните, если это не записано, это не процедура. Высказывание «Все знают, что делать» — это не процедура, это родовое знание. Это означает, что в отношении этой деятельности нет ни управления, ни контроля, и, конечно же, не будет контрольного следа.

И очевидно, что процедуры совершенно неэффективны, если их не соблюдать.

Третий столп: осведомленность персонала

Ваш персонал является наиболее важным элементом безопасности ваших систем и безопасности ваших данных. Кибер-трение — это название противодействия изменениям и любым дополнительным шагам, которые необходимы для обеспечения надлежащей практики безопасности. Изменения, политики и процедуры должны внедряться информированным и инклюзивным образом, чтобы вы могли заручиться поддержкой и поддержкой персонала. Вам нужно, чтобы они осознали — и приветствовали тот факт, — что меры безопасности предназначены для их защиты так же, как и для организации.

Разумно ли ожидать, что ваши сотрудники будут знать, как идентифицировать мошеннические электронные письма и другие формы атак без соответствующего обучения? Конечно, нет. Им требуется обучение по вопросам кибербезопасности, и его следует повышать не реже одного раза в год. Чем лучше они могут обнаруживать угрозы, тем лучше они могут защитить организацию. Многие атаки программ-вымогателей закрывают предприятия. Ваши сотрудники заинтересованы в том, чтобы ваша организация не подвергалась кибер-рискам.

Культура, ориентированная на безопасность, — это та, в которой ваши сотрудники имеют право запрашивать что-либо подозрительное, просто чтобы быть уверенным. И сделать это без критики. Каждая ложная тревога или «я подумал, что проверю, на всякий случай» — это показатель того, что они понимают угрозы, и они не идут короткими путями или слепо надеются на лучшее.

Подобные ценности на рабочем месте должны внедряться в организацию сверху вниз. Быть слишком окаменевшим, чтобы выполнять свою работу, никому не идет на пользу. Но готовность проявить должную осмотрительность, чувство вовлеченности и удобство разумного управления являются показателями подлинной заинтересованности персонала.

Это люди, весь путь вниз

Он начинается сверху. Высшее руководство должно понимать, что каждый является мишенью. Они должны понимать потребности и бюджет технологической защиты. Кибербезопасность лежит в основе непрерывности бизнеса и способности поддерживать торговлю.

Отказ не вариант. Кибербюджет будет дешевле, чем хаос, вызванный одной успешной атакой программы-вымогателя. Помните, что есть репутационный ущерб, а также финансовый ущерб.

Защитная технология должна быть установлена, настроена, сопровождена и исправлена. Людьми, руководствуясь управлением.

Персонал должен вести себя разумно и использовать надежные пароли. Управление обеспечит руководство и контроль, но кто-то должен написать политики и процедуры.

Уполномоченная рабочая сила, работающая в духе безопасности, достижима, но это невозможно без плана управления, чтобы это произошло.

Это действительно люди на всем пути вниз.