Людська вразливість у безпеці

Класичні кібератаки часто починаються з електронної пошти. Користувач відкриває його і невинно натискає на посилання всередині і... в компанії гасне світло. Не дивно, що багато хто намагається визначити причину проблеми з уразливістю «користувача». Аналіз Trend Micro.

Усвідомлення того, що проблемою є користувачі, заявили більше половини респондентів двох вебінарів німецькою та англійською мовами (для Європи), які відбулися в липні 2021 року загалом понад 1000 учасників. У кожному випадку ставилося запитання, яка з наведених нижче проблем є «найбільшою» в ІТ-безпеці вашої компанії: що «співробітники роблять помилки, які призводять до зараження», «брак бюджету», «дефектні інструменти безпеки» або «перевантаження відділу ІТ безпеки. Звичайно, у компаніях, які фактично постраждали від кібератак, застосовуються деякі з цих факторів. Але найбільше головного болю завдавали «недосвідчені» працівники, у кожного понад 50%. Безсумнівно, багато проблем в ІТ-безпеці пов’язані з людським фактором, але одностороння увага до недбалого працівника може призвести до неправильних висновків і серйозних наслідків.

вразливість співробітників

Ця теза стверджує, що співробітник, який клацає посилання або відкриває підозріле вкладення, несвідомо допомагає влаштувати атаку. Насправді, «недбалий працівник» насправді є досить незначною проблемою по відношенню до інших «слабких людей», але це один із небагатьох регулювальних гвинтів, за допомогою яких можна досягти відповідних покращень без великих зусиль для всіх учасників. Тому співробітників обов'язково потрібно інформувати про останні хитрощі. Їм також слід надати можливість перевіряти підозрілі електронні листи — і дякувати щоразу, коли співробітник бачить електронний лист з нападом, оскільки це допомагає зупинити атаки.

До речі, співробітники можуть ідентифікувати таку атаку лише тому, що кіберзлочинці все ще достатньо успішно використовують згенеровані електронні листи для досягнення своїх цілей. Їх черговий трюк давно в наборі. Emotet вже використовував відповіді на раніше надіслані листи. І навіть це не кінець того, що технічно можливо. Але кіберзлочинці уникають непотрібних зусиль. Але це означає, що будь-яке навчання лише ускладнює роботу зловмисника. Це не вирішить проблему.

Слабке місце IT-фахівець/безпека

Якщо співробітник отримує електронний лист, він уже пройшов кілька технічних рівнів. Методи пісочниці, штучний інтелект та інші технології були розроблені для безпосереднього виявлення атак. Якщо ні, існують інші рішення безпеки на системному рівні та в мережі, які також повинні виявляти підозрілу активність. Це професійні інструменти, створені з усім досвідом і впроваджені спеціально для цієї мети, щоб зрештою люди могли працювати безпечно. Якщо всі ці технічні засоби не можуть запобігти атаці або принаймні ідентифікувати її, виникає питання, чому «звичайний» користувач може нести відповідальність за щось. Інженерні інструменти та команда, яка їх обслуговує та відточує, купуються та оплачуються, щоб прийняти рішення про те, чи є щось добре чи ні для працівників, менших за них!

Інструменти повинні приймати рішення

Але саме тут криється проблема, про яку часто не звертають уваги: ​​технології безпеки ІТ постійно змінюються. Як нападники гострять зброю, так і захисники. Це призводить до постійних оновлень, функціональних або стратегічних змін. Крім того, компанії створюють дедалі складніші ІТ-середовища та обробляють все більше даних. У той же час функціонування ІТ стає все більш критичним для операційних можливостей компанії.

Працівники служби безпеки ІТ часто перевантажені

Співробітники ІТ-безпеки, якщо вони взагалі можуть зосередитися на ІТ-безпеці, приголомшені великою кількістю систем і різних варіантів конфігурації. Якщо компанія також вирішує тактично купувати рішення безпеки, робоче навантаження зростає експоненціально. (Тактичне придбання — це спроба придбати новий продукт безпеки лише тоді, коли проблема виникла або її більше не можна ігнорувати.) Цей підхід гарантує, серед іншого, що системи не діють узгоджено, а лише виконують певні завдання. Це створює прогалини в знаннях і помилки через надмірні вимоги. Перевтома часто призводить до розчарування в роботі.

Розробка програмного забезпечення для інформаційних технологій

Подібні проблеми також можна знайти в розробці програмного забезпечення. У зв’язку зі збільшенням потреб споживачів у додатках розробляється та збирається все більше програмних компонентів. У практиках DevOps розробка — це практично нескінченний цикл, і люди, які тут працюють, звичайно, підковані в ІТ. І все ж саме ці експерти часто роблять найбезглуздіші помилки ... з точки зору безпеки. «Весь світ» отримав доступ до бази даних клієнтів, оскільки дозволи забули визначити. Або ви запрограмували дані для входу під час розробки, але забули знову змінити простий обхідний шлях, і тому доступ до кредитних карток клієнтів захищений лише за допомогою імені користувача та пароля «admin».

Усі ці помилки трапляються, і якщо компанія досить важлива, інцидент потрапить у заголовки газет. Знову ж таки, основна причина – стрес. Тому що в розробці програмного забезпечення є тиск. Нова функція має з’явитися сьогодні, а не завтра. При необхідності його можна вдосконалити. Ту чи іншу проблему часто не помічають або навмисно ігнорують. Крім того, дуже мало розробників програмного забезпечення розробляють рішення безпеки. Безпека — це нелюбимий трюк, яким часто доводиться користуватися.

Уразливість CISO - C-Level

Звичайно, керівництво визнає важливість ІТ-безпеки. Однак його часто розглядають як необхідне зло і лише рідко як невід’ємну частину ланцюжка створення вартості. Він повинен коштувати якомога дешевше і в ідеалі бути малопомітним. Фактично, більшість компаній змогли дуже успішно застосувати цю тактику в останні роки, незважаючи на відносно невеликі витрати. Дотримуючись девізу «ніколи не змінюйте діючу систему», концепції десятиліть не ставляться під сумнів, а постійно дотримуються.

Якість кібератак зростає роками

Але світ безпеки також змінився. Як кількість, так і якість кібератак невпинно зростає протягом багатьох років. Лише у 2021 році було багато ажіотажу з «Sunburst», «Hafnium» і «Kaseya», не кажучи вже про окремі інциденти, які викликали всесвітнє відлуння, такі як «Colonia Pipeline» або «JBS Hack». Економічний бум у кіберпідпіллі — це не випадковість, яка знову зникне, а структурна зміна. Таким чином, впровадження криптовалют і політична ворожнеча створили всесвітньо-історичну новинку з неконтрольованим, можливо навіть неконтрольованим, глобальним ринком злочинної діяльності. Унікальність цієї ситуації – це те, про що зараз говорять навіть на найвищому політичному рівні.

Індекс кіберризиків забезпечує ясність

Це відображено, наприклад, у дослідженні Ponemon/Trend Micro’s Cyber ​​​​Risk Index. Варто відзначити явне зниження впевненості в тому, що C-level також серйозно сприймає ситуацію загрози, хоча практично всі респонденти припускають ситуацію підвищеного ризику. Це пов’язано з надто людською слабкістю чи талантом, який не дуже поширений серед персоналу безпеки ІТ. Йдеться про талант правильно «продати» менеджеру необхідність заходів. Тому що особливо в компаніях, де попередня ІТ-безпека успішно відбила все, рідко є додатковий бюджет для збільшення персоналу або більш сучасних рішень. Тут важливо діяти дипломатично, тому що роботу, яка досі була бездоганною, не можна критикувати. І все ж… ситуація змінюється через зовнішні чинники (як описано вище), які фахівцям із ІТ-безпеки часто важко аргументувати, оскільки вони існують за межами їхньої власної експертизи. Зокрема, CISO важко достовірно сформулювати зміну ситуації із загрозами, щоб досягти бюджетних, технічних і кадрових покращень. З Законом про ІТ-безпеку федеральний уряд ще раз підкреслює важливість ІТ та ІТ-безпеки для критичних інфраструктур, щоб забезпечити подальшу підтримку з точки зору аргументації. Тому що навіть якщо це звучить цинічно... часто щось відбувається лише тоді, коли відчуваються очікувані штрафи (на жаль).

Слабке місце ІТ-безпеки - спеціаліст SOC

Тому багато компаній, на які поширюється дія Закону про безпеку ІТ, а також все більше і більше компаній середнього розміру вирішують створити центр безпеки. Тут працюють вузькоспеціалізовані співробітники, які аналізують інциденти безпеки та якнайшвидше їх усувають. Те, що в теорії ефективно бореться з проблемою кібератак, часто стає проблемою на практиці. Проблеми нестачі кваліфікованих працівників та історично виріс зоопарк придбаних індивідуальних рішень також призводять до того, що навантаження на працівників SOC надзвичайно зростає. В опитуванні Trend Micro понад 70 респондентів у всьому світі 2000% заявили, що стрес, пов’язаний з роботою, впливає на їх особисте життя. На роботі перевантаження призводить, серед іншого, до того, що будильники навмисно ігноруються (40% зізналися в цьому), щоб попрацювати над чимось іншим, а 43% залишили своє робоче місце перевантаженими або просто вимкнули будильник. Крім того, їхню роботу рідко оцінюють, коли «нічого не відбувається». Висока плинність кадрів, особливо в компаніях середнього розміру, є результатом і забезпечує подальше загострення кадрової проблеми.

Анотація аналізу

Фактично людські слабкості є проблемою ІТ-безпеки. Але найбільше занепокоєння викликають не «нормальні працівники». Відсутність розпізнавання з постійно зростаючим робочим навантаженням у поєднанні з тиском бути якомога швидкішим і ефективнішим призводить до зростання розчарування та сприйнятливості до помилок, особливо серед ІТ-спеціалістів і особливо спеціалістів з ІТ-безпеки.

Проблема з виправленнями, яка існує понад 20 років, останніми роками почастішала через справжній вибух програмного забезпечення, що означає, що команди ІТ-безпеки навряд чи мають уявлення про те, що насправді використовується, не кажучи вже про стан безпеки багатьох систем. є.

Команди ІТ-безпеки втрачають слід

З іншого боку, підприємства втрачають здатність швидко реагувати на інциденти та не мають достатнього персоналу для справляння реальних надзвичайних ситуацій. З іншого боку, виникає справжня тіньова економіка, яка, перш за все, надихнула спеціалізацію її дійових осіб. У цьому кліматі потрібне термінове переосмислення. Треба переглянути традиційні стратегії ІТ-безпеки. В управлінні впроваджуються та оптимізуються сучасні технології. Чим більше існує автоматизмів для розвантаження працівників, тим краще вони можуть зосередитися на серйозних проблемах. Разом зі своїми партнерами-посередниками Trend Micro пропонує рішення та процеси для підтримки цього.

Люди є люди і такими залишаються. Змінюються рамкові умови, і вони щойно сильно змінилися. А ось ще один закон природи: виживає той, хто найкраще пристосовується до нових умов середовища.

Кілька порад для підвищення безпеки ІТ

• Скоротіть цикли оновлення безпеки ІТ. Вони повинні мати можливість швидше впроваджувати сучасні технології. Завдяки пропозиціям «Програмне забезпечення як послуга» різні постачальники пропонують можливість самостійно виконувати ці цикли. При виборі партнера також звертайте увагу на те, наскільки виробник може розробляти нові технології. Одного разу представити передові технології недостатньо. Крім того, набагато важливіше мати витривалість, щоб не відставати від нових подій.
• Проаналізуйте керованість свого захисту. Складність безпеки не лякає кіберзлочинця. Набагато важливішим є питання про те, чи зможете ви відстежувати незвичайні події в мережі. Співробітники SOC та ІТ-безпеки, зокрема, часто перевантажені роботою та майже ніколи не виконують свою звичайну роботу. Важко правильно відреагувати в екстреній ситуації.
• Згідно з BSI, безпека – це не досягнута мета, а процес, який потрібно адаптувати. У минулому робилися спроби періодично додавати нові функції після закінчення терміну дії ліцензії. Сьогодні цього вже недостатньо. Оскільки кіберзлочинці намагаються атакувати бізнес, бізнес також повинен залишатися на передньому краї технологій, щоб захистити себе. Якщо ваші співробітники не в змозі зробити це, керовані сервісні проекти можуть підтримати вас у всіх питаннях.
• Зовнішнього захисту недостатньо. Зловмисники можуть пробити будь-який захист. Важливо те, як швидко ви зможете знайти їх і потім вирішити проблему. Так звані стратегії XDR є найновішим варіантом тут. Наша стратегія XDR називається Trend Micro Vision One.

Розглянемо стратегію нульової довіри. Перш за все, ви повинні припустити, що технологію вашої компанії було зламано. Тому що якщо навіть і вдається переконати людину зробити щось зло, то зазвичай це набагато складніше, ніж вкрасти паролі та обдурити техніку. Це також є предметом стратегії XDR.

Більше на TrendMicro.com

 

---

Про Trend Micro

Як один із провідних світових постачальників ІТ-безпеки, Trend Micro допомагає створити безпечний світ для обміну цифровими даними. Завдяки більш ніж 30-річному досвіду в галузі безпеки, глобальним дослідженням загроз і постійним інноваціям Trend Micro пропонує захист для компаній, державних установ і споживачів. Завдяки нашій стратегії безпеки XGen™ наші рішення отримують переваги від поєднання методів захисту між поколіннями, оптимізованих для передових середовищ. Інформація про мережеві загрози забезпечує кращий і швидший захист. Оптимізовані для хмарних робочих навантажень, кінцевих точок, електронної пошти, Інтернету речей і мереж, наші підключені рішення забезпечують централізовану видимість у всьому підприємстві для швидшого виявлення загроз і реагування.

---

 

Статті по темі