Почему даже компании, инвестирующие огромные средства в кибербезопасность, остаются уязвимыми? Наверное, это один из главных вопросов, волнующих общество, подвергшееся массовым кибератакам в последние годы. Тем не менее есть формула, которая принята во всем мире, которая может ответить на этот вопрос.
Как человеческое тело держится на скелете, так и кибербезопасность в компании держится на трех основных китах: Люди, Процессы, Технологии. От этой связки исходят все угрозы, вернее от прорех и недостатков в ней, а главное ― от дисбаланса во взаимодействии ее элементов. Более того, если дают сбой технологии и процессы, то чаще всего в корне проблемы все равно ― люди, самое уязвимое и самое ненадежное звено системы.
Но в чем же фокус этого треугольника с точки зрения кибербезопасности?
Подписывайтесь на Telegram-канал delo.ua"Арифметика" простая: допустим, компания набирает опытных профессионалов, покупает технологии, но система политик и инструкций (главной матрицы процессов) не налажена; или, например, руководство принимает решение инвестировать в самое передовое оборудование, а на профильных специалистов денег уже не хватает… И в первом, и во втором, и в потенциально третьем-четвертом случае задуманный механизм работать не будет. Стоит выпасть хоть одному звену ― и это неминуемо приводит к тому, что образуется черная дыра в системе безопасности. А это ни что иное, как прямая угроза для компании.
Вывод: не стоит ждать нападений извне. Они в любом случае были, есть и будут. Предотвратить массовые кибератаки, которые совершенствуются каждую минуту, невозможно.
Изъяны стоит искать у себя, на своей территории.
Люди
Человеческий капитал ― самый ценный ресурс любой компании, но с ним и сопряжены главные опасности: так называемые инсайдерские угрозы.
Классический сценарий угроз не претерпевает радикальных изменений с течением времени. Трансформируется только его структура. В 2016 году американское агентство Spiceworks провело исследование среди пользователей разработанной ими программы, специализирующейся на аудите сети. Результат был показательный: ключевую угрозу безопасности представляют сами пользователи внутри предприятия. При том что традиционно основная масса компаний бросает усилия на возведение баррикад по периметру, ожидая главных угроз извне, картина диверсификации угроз получилась следующая:
- 36% — инсайдеры
- 25% — организованные группировки злоумышленников
- 12% — террористические группировки
- 12% — хакеры
Удельный вес внутренних угроз указывает на то, что основное внимание нужно направлять на предотвращение утечек конфиденциальной информации внутри компании, на повышение уровня сознательности и осведомленности сотрудников, так как довольно часто инциденты происходят не умышленно, а по причине незнания и неосторожности.
Люди ― главные ворота для входа и выхода информации компании.
- Именно HR-менеджер открывает фишинговые письма с "якобы резюме" от соискателей (самый распространенный инструмент проникновения зловредного ПО)
- Именно бухгалтер загружает вредоносный вирус-вымогатель через бухгалтерское приложение (как это было в случае с M.E.Doc ― NotPetya) и через макросы в счетах-фактурах, которые он получает каждый день пачками
- Именно юрист получает огромное множество Word и Excel-документации, которая легко маскируется под государственные документы. Когда человек, находящийся вне ИБ индустрии, видит письмо от "Генеральной прокуратуры", его сознание сразу включает "alarm" и он на автомате и слепом доверии открывает письмо (так было в случае с самой громкой атакой на украинскую критическую инфраструктуру BlackEnergy в 2015 году, когда штатный юрист открыл электронное письмо и загрузил знаменитое "Судовое постановление" от имени Генпрокуратуры Украины).
- Именно PR-специалисту на почту приходят десятки писем от журналистов с вордовскими вложениями (самый популярный метод проникновения зловреда).
Очевидно, что одна из важнейших угроз кроется НЕ на территории врага, а в ТЫЛУ.
Однако еще более пугающий тот факт, что к 2021 году в мире будет существовать дефицит 3.5 млн специалистов по кибербезопасности. https://cybersecurityventures.com/jobs/
Если отсутствие отраслевых знаний у рядового сотрудника можно объяснить сложностью знаний в области кибербезопасности и отсутствием мотивации, то вопрос нехватки целевых специалистов в индустрии — это уже серьезный удар по всем нам.
Технологии
С технологиями все серьезней. Взломать их сложнее, чем "взломать" человека. Именно поэтому атаки чаще всего "заходят" через людей. Но технологии — это всего лишь инструмент, который нуждается в компетентном рулевом, чтобы правильно выполнять все возложенные на него функции. Если у компании есть специально обученные люди, отвечающие за управление ПО, то они проследят, чтобы технологии:
- были лицензированными — без этого невозможно доверять собственной инфраструктуре
- соответствовали современным требованиям
- были правильно настроены и регулярно обновлялись.
Для базовых технологий, таких как антивирус, брандмауэр или строгой аутентификации этого достаточно, и тогда они будут осуществлять свои прямые задачи. Атаки "через технологии" возможны и случаются довольно часто, особенно с учетом того, что исторически уже созданы целые классы "отмычек" для взлома конкретного ПО и отработанных схем проникновения. Но с развитием социальной инженерии, злоумышленники все меньше прибегают к такому дорогостоящему способу (подбору этих отмычек), так как пролезть в систему через рядового сотрудника стало проще.
Процессы
Процессы ― связующее звено между людьми и технологиями. Структурированные и грамотно настроенные Процессы ИБ позволяют минимизировать затраты на Технологии и Людей путем правильной обработки ИБ рисков.
Атаковать компанию, используя бреши в некорректных Процессах ИБ ― все равно что ждать часа "Ч", когда дверь, закрывающаяся автоматически, в один прекрасный день сломается и ее подопрут кирпичом, открыв вход для всех желающих. Этот "портал" рано или поздно обнаружат (что само по себе является элементом хакерских практик). Хакеры предпочитают решать задачу не "в лоб": гораздо проще для них — дождаться обнаружения портала или даже спровоцировать его образование, чем пробовать найти уязвимости нулевого дня в программном обеспечении организации.
Отлаженные процессы — это часть единственно успешной модели, залог того, что технологии будут работать правильно. А правильно они работают под контролем и управлением квалифицированных людей. Так или иначе все дороги ведут к человеку ― ключевому фактору безопасности компании.
Итоги
Каждая из этих сущностей по отдельности является крайне сложной для управления и развития. Когда речь заходит об оркестрировании всеми тремя, как единым организмом, большее количество компаний, как правило, не преуспевают в построении устойчивых методологий управления кибербезопасностью.
Во-первых, это связано с высокой стоимостью каждой составляющей, и как следствие, ― высокой стоимостью удержания всего комплекса мер. Во-вторых, несмотря на простоту концепции, крайне сложно в короткие сроки добиться выдающихся результатов из-за глубокого дефицита высококвалифицированных специалистов и менеджеров ИБ. Именно поэтому растущая популярность Управляемых Сервисов Безопасности (Managed Security Services) продолжает уверенно привлекать в свои ряды новых клиентов. Объясняется это тем, что хорошие специалисты, как и технологии, ― дорогие, а процессы крайне сложны в построении. Подключение к готовому SOC (Security Operations Center) предоставляет практически мгновенный результат, ведь троица "Люди, Процессы и Технологии" уже настроена и ориентирована на оперативное подключение новых клиентов.
Тренд унификации и развитие Управляемых Сервисов в мире будет только ускоряться. Подобно образованию планет и солнечных систем в результате Большого Взрыва, MSS провайдеры объединяют вокруг себя талантливых специалистов и исследователей, могут позволить себе ведущие технологии и безусловно в состоянии построить устойчивые процессы кибербезопасности.
Узнайте, как защитить свой бизнес от кибератак на конференции "CyberSafe.next: защита государства и бизнеса"