Безопасность по умолчанию: сокращение поверхности атаки в 2021 году
Технологические достижения продолжают изменять то, как мы работаем и как мы потребляем технологии. Но по мере появления новых сервисов и технологий мы не всегда разрабатываем или используем их с мыслью о «безопасности по умолчанию». Конструктивный взгляд на конкретные области, которые могут расти или сохраняться в будущем, включая облачные технологии, удаленную работу и поставщиков услуг, которые мы потребляем, необходим для того, чтобы быть в курсе вопросов безопасности, особенно по мере того, как технологии продолжают развиваться. Крайне важно помнить о важности трех столпов безопасности: конфиденциальности, целостности и доступности — триады ЦРУ.
Безопасно по умолчанию и в облаке
За последний год, особенно во время пандемии, мы бросились в облако и доверили свой бизнес более крупным корпорациям, предлагающим облачные услуги, иногда не уделяя особого внимания безопасности. Если эти гиперскейлеры — операторы центра обработки данных, предлагающие масштабируемые услуги облачных вычислений, — будут скомпрометированы и в результате клиенты потеряют доступ, будь то временный или постоянный доступ, или приведут к краже цифровых активов клиентов или раскрытию конфиденциальных данных, что тогда? Это страшная мысль, и не многие люди думают или хотят думать о ней.
Дело в том, что любую систему можно взломать, учитывая время и ресурсы и степень мотивации у злоумышленника. Поскольку многие из нас кладут все свои «яйца» в одну «облачную корзину», риски возрастают. Злоумышленники знают об этом, и появление новых облачных угроз — лишь вопрос времени.
Итак, что мы можем сделать, чтобы защитить себя? Один из способов — реализовать уровни безопасности, направленные на замедление атаки злоумышленников, но позволяющие пользователям выполнять свою работу. Безопасность не должна быть обременительной; он должен быть максимально прозрачным для авторизованных пользователей. Кроме того, мы гарантируем, что сможем обнаруживать несанкционированный доступ и компрометацию и реагировать на них, а также гарантируем, что у нас есть надежный и восстанавливаемый план резервного копирования, который позволит нам начать работу в случае необходимости.
Полезно понимать, что гиперскейлеры обеспечивают или за что несут ответственность в отношении безопасности, а что нет. Стандартное мнение выдающихся и опытных специалистов по кибербезопасности заключается в том, чтобы не оставлять восстановление и безопасность на волю случая и в руках других. Ваши данные обрабатываются в чужих системах, и вы и ваша компания должны взять на себя ответственность за безопасность этих данных. Используемые вами инструменты, предоставляемые поставщиком услуг, по сути арендованы. Поэтому вам необходимо убедиться, что данные в безопасности и что все, кто участвует в услуге, используют услугу/инструмент надлежащим образом и максимально безопасно. Этот аспект должен контролироваться компанией, а не оставляться на волю случая.
Не следует предоставлять систему, которая не является безопасной по умолчанию, не говоря уже о небезопасной по умолчанию. Это означает, что безопасность должна быть «включена» по умолчанию, и пользователь должен принять решение «выключить» защиту, если это необходимо для его целей. Однако в большинстве случаев, поскольку поставщик услуг хочет продавать и продавать свои услуги, способ добиться этого — сделать их простыми и удобными в использовании. Но это приведет к тому, что они предоставят систему, которая не настолько безопасна, насколько это возможно — небезопасна по умолчанию прямо из коробки. Некоторые затем продают безопасность как дополнительную, тем самым в конечном итоге «признавая», что услуга небезопасна по умолчанию или может быть лучше защищена.
Важно понимать, что включает в себя безопасность. По сути, безопасность, хотя и состоит из многих частей, на высоком уровне включает в себя обеспечение конфиденциальности, целостности и доступности, а также уровень контроля доступа. Этот надежный контроль доступа означает, что только авторизованный пользователь с многофакторной аутентификацией может получить доступ к системе, чтобы быть уверенным, что это человек, который должен получить доступ к системе. Конфиденциальность предполагает сохранение данных в секрете и обеспечение того, чтобы доступ к ним имели только нужные, уполномоченные лица. Важно отметить, что это не относится к гиперскейлеру, его персоналу или кому-либо, кто скомпрометировал гиперскейлер.
Целостность включает в себя мониторинг, чтобы системе можно было доверять. Компания, использующая и доверяющая свой бизнес или данные системе, гарантирует, что все в системе поддается проверке, а доступ к ней известен — доступ к тому, что, когда и как. Если этот аспект недоступен, доверие нарушается, и, следовательно, нарушается целостность. Системе нельзя доверять, в результате чего система не является безопасной.
Таким образом, компрометация размещенной платформы (облака) персоналом гиперскейлера, поставщиком или кем-либо (в том числе ботом — это не обязательно должен быть человек), который не должен находиться в системе, кроме людей, которые компания разрешила иметь доступ, будет представлять собой нарушение. Компрометация может быть косвенной и прямой, поэтому, если бот получает доступ к данным и извлекает их, а эти данные продаются для какой-либо цели искусственного интеллекта, ваш актив используется для чьей-то выгоды, и это тоже можно считать проблемой. Так что не всегда всё однозначно.
Доступность, вероятно, является наиболее зрелой опорой безопасности, поскольку упор делается на поддержание всего в рабочем состоянии для обеспечения надежности. Кроме того, это товар, который наиболее заметен для клиентов. Кроме того, если системы провайдеров не работают, они тоже могут быть уязвимы. Технически, если система не работает и недоступна для авторизованного пользователя, когда он в ней нуждается, безопасность будет нарушена.
Проще говоря, мы передаем ценные данные в чужие руки, и через злоумышленника или инсайдера этот ценный актив может быть уничтожен или доступ к нему может быть закрыт. Доступность должна учитываться. Важно, чтобы восстанавливаемая резервная копия хранилась и поддерживалась вне контроля любого гиперскейлера или поставщика услуг, чтобы обеспечить более надежную защиту и обеспечить необходимую переносимость.
Безопасность по умолчанию и удаленная работа
Мы продолжим работать удаленно еще долгое время, и это может нанести ущерб любой политике безопасности по умолчанию. Более того, многие из нас предпочтут это продвижение, поэтому необходимо учитывать вопросы удаленной работы. Самое главное, это соответствует триаде ЦРУ и контролю доступа. Очень важно знать, кто имеет доступ к системам и платформам, как и когда они доступны. Данные и устройства занимают центральное место в нашей безопасности.
Необходимо внедрить системы, чтобы гарантировать, что уполномоченные сотрудники имеют безопасную среду, позволяющую им выполнять свою работу удаленно. Часто говорят, что совместное использование и безопасность не должны использоваться одновременно. Например, что, если ноутбук используется совместно двумя коллегами. У каждого будут разные привилегии и уровни доступа, в зависимости от задач, которые каждый должен выполнять. А теперь представьте, что вы делите ноутбук с незнакомцем — вот что происходит, когда мы делим устройство, которое может получить доступ к корпоративной среде, с членом семьи или другом — они незнакомы компании, неуполномоченные лица.
Более того, предположим, что домашняя сеть скомпрометирована, что вполне возможно в наши дни. В этом случае злоумышленник через домашнюю сеть и домашние устройства может получить доступ к корпоративным данным и системам. Таким образом, необходимо уделить внимание мерам кибербезопасности для защиты удаленных сотрудников, а также корпоративных и домашних сетей. Каждый должен сыграть свою роль в повышении безопасности при удаленной работе.
Безопасность поставщиков
Безопасность поставщика представляет собой реальную угрозу, поскольку все мы участвуем в сети предоставления услуг, и наши услуги носят совместный характер. Легко участвовать в проекте, где все работают удаленно и несколько компаний работают вместе над одним проектом. Это сейчас норма. У нас не всегда есть представление о состоянии безопасности каждого, поэтому проверить поставщиков и их состояние безопасности непросто.
Одна из самых больших угроз по мере нашего продвижения, вероятно, связана с компрометацией поставщиков, что повлияет на организации, пользующиеся их услугами. Нам необходимо усердно работать над тем, чтобы углубленные системы обеспечивали безопасную работу и ограничивали риски. Угроза безопасности, исходящая от поставщиков, по-прежнему остается сложной задачей.