7 уроков взлома Equifax: мнение бывшего царя кибербезопасности США

Последствия недавнего взлома Equifax, в результате которого хакеры украли 143 миллиона записей, были быстрыми и серьезными. Директор по информационным технологиям (CIO), директор по безопасности и главный исполнительный директор (CEO) все «ушли в отставку» через несколько дней после публичного раскрытия нарушения в крупном рейтинговом агентстве.

Затем Конгресс допросил бывшего генерального директора Ричарда Ф. Смита по поводу нарушения, которое, по его словам, произошло из-за того, что один сотрудник не смог установить исправление для уязвимости в программном обеспечении. Никто не спросил Смита, почему безопасность стольких записей, включая номера социального страхования, номера водительских прав и другую конфиденциальную информацию, зависит от одного человека.

«Как это происходит, когда на карту поставлено так много?» спросил член палаты представителей Грег Уолден (R-Ore.) во время слушания со Смитом. «Я не думаю, что мы можем принять закон, который, извините меня за это, исправляет глупости. Я не могу исправить глупость», — писала .

Кларк взвешивает взлом Equifax

Ричард А. Кларк, председатель и главный исполнительный директор Good Harbour Security Risk Management и бывший царь кибербезопасности при президенте Джордже Буше-младшем, поделился своей оценкой того, что можно извлечь из недавнего взлома Equifax с точки зрения корпоративной безопасности.

Выступая на ежегодной конференции Advanced Cyber Security Center (ACSC), состоявшейся 2 ноября в Федеральном резервном банке Бостона, Кларк сказал, что основной урок, извлеченный из взлома, заключается в том, что компании могут быть в безопасности, если они сделают безопасность приоритетом и инвестируют средства. необходимые ресурсы в инфраструктуре безопасности. В обоих случаях Equifax потерпел неудачу.

«Обезопасить крупные предприятия можно. То, что многие из них этого не сделали, не означает, что это невозможно сделать. Это не значит, что люди не делают этого сегодня», — сказал он.

Хакеры могут проникнуть в сети крупных предприятий, которые уделяют первостепенное внимание безопасности, но они быстро идентифицируются, как только они входят. Когда эти хакеры пытаются украсть данные, они не могут, потому что в сети есть хорошая микросегментация. Кларк заметил, что данные зашифрованы, и это связано с жестким управлением доступом к привилегиям.

Equifax ошиблась в управлении

Во-вторых, Equifax «неправильно понял управление». Надлежащее управление киберрисками предполагает наличие «уполномоченного» директора по информационной безопасности (CISO), который не подавляется цепочкой отчетности.

Если директор по информационной безопасности отчитывается перед ИТ-директором, это «ошибка», потому что у них разные «интересы», — сказал Кларк. Вместо этого директор по информационной безопасности должен отчитываться перед главным юрисконсультом, директором по управлению рисками или главным операционным директором. «Вы не можете добиться успеха в организации в качестве директора по информационной безопасности, если у вас нет поддерживающей структуры управления», — добавил он.

В-третьих, взлом Equifax демонстрирует, что американские компании неправильно оценили безопасность. «Список вещей, которые вам сегодня нужны для защиты сети, очень длинный, — сказал Кларк. Многие компании не знают, какой процент своего ИТ-бюджета они тратят на безопасность. Он рекомендовал компаниям тратить около 10 процентов своего ИТ-бюджета на безопасность.

В-четвертых, необходимы более квалифицированные специалисты по кибербезопасности и национальная сертификация этих специалистов. Он сказал, что в среднем компания имеет 22 продукта ИТ-безопасности, и существует огромная потребность в их интеграции и обслуживании, для чего требуются квалифицированные специалисты по кибербезопасности. Equifax пришлось признать, что у ее начальника службы безопасности есть степень магистра музыки.

В-пятых, необходимо «футуризировать» предприятия. В течение последних 20 лет новая технология разрабатывалась, быстро выводилась на рынок, а затем закреплялась только позже, как запоздалая мысль. Так было с облачными и мобильными технологиями, а теперь так и с контейнерами и Интернетом вещей, считает Кларк.

Безопасность: отсутствует компонент IoT

«Почти ничего в IoT не имеет встроенной защиты. Итак, мы собираемся подключить кокаиновые машины, автомобили, железные дороги и самолеты, а также всевозможные SCADA [диспетчерское управление и сбор данных], системы управления и производство, и очень немногие из этих вещей имеют встроенную безопасность. На самом деле многие из них спроектированы таким образом, что их невозможно обезопасить», — сказал он.

В-шестых, большинство организаций и учреждений полагаются для идентификации на данные, доступные любому желающему. «Я могу узнать номер социального страхования и дату рождения любого в этой комнате за несколько минут… Мы используем методы идентификации, которые не работают. Мы знаем, что они не работают, но продолжаем использовать их в наших организациях», — сказал он.

Сегодня есть компании, которые предоставят новые способы обеспечения контроля доступа и управления привилегированным доступом. В то же время у нас никогда не может быть национального удостоверения личности, но мы можем иметь федеративные удостоверения личности в разных организациях, — сказал Кларк.

В-седьмых, для компаний, подвергшихся взлому, мало последствий. Кларк отметил, что хотя генеральный директор Equifax был принудительно отправлен на пенсию (то есть уволен), не все руководители взломанных компаний были уволены. Для некоторых компаний это издержки ведения бизнеса.

Кларк рекомендовал штрафовать компании за утерянные записи, следуя примеру индустрии нефтяных танкеров. Он объяснил, что федеральное правительство разработало постановление, согласно которому компании, эксплуатирующие нефтяные танкеры, оштрафованы на определенную сумму за галлон нефти, просочившейся в океан. Нефтяные компании поняли, что крупный разлив нанесет им финансовый ущерб, поэтому они списали все однокорпусные танкеры и заменили их танкерами с двойным корпусом. В результате разливов нефти стало намного меньше.

«Данные — это новая нефть… Данные — это то, что выливается в эти кибератаки», — сказал Кларк. Он рекомендовал оштрафовать компании на 100 долларов за запись. Таким образом, штраф за взлом Equifax в размере 143 миллионов потерянных записей составит 14,3 миллиарда долларов. «Это может привлечь чье-то внимание… До тех пор, пока не возникнут серьезные последствия неудачи, все еще будут глупые компании, которые не делают достаточно», — заключил он.

ИИ и кибербезопасность

На панельной дискуссии на конференции ACSC обсуждался вопрос о том, как искусственный интеллект (ИИ) и машинное обучение могут помочь в обеспечении кибербезопасности.

Карла Бродли, декан Колледжа компьютерных и информационных наук Северо-восточного университета, рассказала аудитории, что ИИ требует от компаний достаточного количества данных и правильных данных. «Если вы удовлетворены этими двумя вещами и у вас есть люди, которые разбираются в машинном обучении и кибербезопасности, а также в том, как их совместить, то это может быть очень полезно», — сказала она.

По словам Джен Андре, старшего директора по координации и автоматизации в охранной фирме Rapid7, искусственный интеллект и машинное обучение определяют приоритет предупреждений безопасности и выявляют самые высокие риски. Она признала, что трудно заставить компании делиться своими данными о кибербезопасности, чтобы исследователи и эксперты в данной области могли создавать модели ИИ.

Андре сказал, что технологии развиваются быстрее, чем мы можем их защитить. Существует проблема сложности, поскольку ИТ-директора и директора по информационной безопасности пытаются обезопасить все новые технологии, внедряемые на предприятии. По ее словам, понимание того, какие риски представляют эти технологии, является большой проблемой.

«Это не просто облако, мобильная связь или SaaS [программное обеспечение как услуга] — это все вместе. Это создает огромную проблему для службы безопасности, потому что ваши данные хранятся во всех этих местах, и вы должны расставлять приоритеты. Вы должны думать о том, где риски для бизнеса, учитывая, где хранятся данные», — предупредила она.

«Команды будут бороться с управлением всей этой сложностью, вызванной этими технологическими изменениями, и сбалансировать ее с потребностями бизнеса, чтобы убедиться, что они делают правильные инвестиции в технологии, чтобы быть конкурентоспособными», — добавила она.

Отсутствие интереса к безопасности

Ричард Солли, генеральный директор Object Management Group, не согласен с утверждением Андре о том, что технологии появляются быстрее, чем возможность их защиты. «Я не думаю, что они проявляются быстрее, чем наша способность обеспечить их безопасность, они проявляются быстрее, чем наша заинтересованность в их обеспечении», — сказал он.

Корт Джонсон, партнер Reverb Advisors, сказал аудитории, что ИИ должен означать дополненный интеллект, а не искусственный интеллект, когда речь идет о кибербезопасности. Люди должны быть вовлечены в процесс с самого начала. «Вам нужен кто-то, кто проанализирует результаты ИИ. Это очень важно», — сказал он.

Джонсон сказал, что «безопасность — это проблема данных. Мы можем устранить некоторые недостатки безопасности, основываясь на том, насколько качественные данные мы собираем». Он добавил, что успех использования ИИ для решения проблем безопасности будет зависеть от качества собираемых данных и навыков людей, обрабатывающих эти данные.

Хотя ИИ может помочь специалистам по ИТ-безопасности сосредоточиться на угрозах высокого риска, он не может решить проблему, которая привела к взлому Equifax: плохо обученный персонал ИТ-безопасности и плохо продуманное управление безопасностью. Исправление, которое требует от компаний внедрения передовых методов обеспечения безопасности. Как сказал член палаты представителей Уолден, «я не могу исправить глупость».