Исследование Bromium CISO может больше касаться маркетинга, чем безопасности
Баланс между безопасностью и доступностью для пользователей является постоянной проблемой для ИТ-сообщества. Специалисты по безопасности, такие как я, хотят защитить данные и обеспечить безопасность пользователей превыше всего. В то же время высшее руководство постоянно напоминает нам, что протоколы кибербезопасности не могут быть слишком строгими, поскольку это снижает производительность. Если верить недавнему опросу высокопоставленных директоров по информационной безопасности (CISO), кажется, что сообщество кибербезопасности создает среду стагнации. Однако это исследование и последующий отчет могут быть чем-то большим, чем некоторые новостные статьи, сообщающие об этом. Исследование, проведенное компанией-разработчиком программного обеспечения Bromium, было направлено на то, чтобы выяснить, каково общее мнение директоров по информационной безопасности в отношении современных усилий по обеспечению кибербезопасности. Результаты опроса показали, что 81 процент из 500 опрошенных директоров по информационной безопасности (из США, Великобритании и Германии) отрицательно относятся к указанным усилиям. Их конкретная проблема заключалась в том, что опрос назвал «запретительным подходом» к безопасности. Директора по информационной безопасности используют эту терминологию на основе следующих статистических данных о соответствующих компаниях, в которых они работают, которые рассматриваются в исследовании Bromium CISO:
- В общей сложности службы поддержки тратят 572 часа в год на помощь пользователям в получении доступа.
- 88 процентов опрошенных компаний имеют политику, запрещающую пользователям выполнять определенные операции.
- «Каждую неделю пользователи жалуются, что законная работа блокируется или отклоняется чрезмерно усердными системами безопасности».
В результате этих пунктов 77% опрошенных директоров по информационной безопасности считают, что они «застряли, пытаясь обеспечить безопасность организации, одновременно обеспечивая инновации». Далее в отчете приводится подозрительное, на мой взгляд, решение, которое, кажется, указывает на использование их собственных продуктов: «Чтобы решить дилемму между безопасностью и производительностью, организациям необходимо рассмотреть новый подход… Это именно то, что делает Bromium. ”
Кроме того, в конце отдельной инфографики, выпущенной вместе с отчетом, Bromium заявляет следующее:
Сдерживая активность внутри микро-виртуальной машины, защита становится бесшовной, практически невидимой для конечных пользователей… Изоляция приложений позволяет пользователям без страха загружать вложения, просматривать веб-сайты и переходить по ссылкам; каждое действие содержится внутри микро-VM.
«Без страха», да? Сейчас это звучит немного абсурдно для меня. Как я понял, у моего цинизма есть веская причина.
Не волшебная пуля
Удобно то, что Bromium, как вы уже догадались, является компанией, которая продвинула свое программное обеспечение для микро-ВМ в сферу безопасности и попыталась получить широкое распространение того, что до сих пор считается экспериментальной опцией безопасности. Создание опроса и исследования, основной целью которых может быть маркетинг собственных продуктов, независимо от того, насколько правдивой может быть статистика, на мой взгляд, довольно раздражает. Микро-VM от Bromium не является волшебным решением, как они предполагают. На мой взгляд, со стороны компании безрассудно вмешиваться в дебаты между пользователями и безопасностью, не только продвигая продукт, но и рекомендуя действия, которые могут оказаться безрассудными, потому что они почему-то считают, что микро-ВМ непробиваема.
У виртуализации есть некоторые преимущества, но проблема контроля доступа (которая часто поднимается в этом опросе) ею вовсе не решается. Вам все равно придется определять, кто и к чему имеет доступ, и неизбежно будут люди, жалующиеся на то, что им «мешают» «чрезмерно усердные» протоколы безопасности. Кроме того, виртуализацию можно обойти, чтобы добраться до хоста — это просто немного удлиняет процесс обхода. Не говоря уже о том, что, я обещаю, у Bromium есть уязвимые места, о которых они просто еще не знают, как и любое программное обеспечение для обеспечения безопасности. Более того, помимо всего прочего, хакеры любят вызовы, и если микро-ВМ внушают пользователям ложное чувство безопасности, потому что якобы все, что они делают, не имеет никакого значения, я уверен, что эксперты по вредоносным программам и социальной инженерии получат полевой день..
Реальность такова, что в отношении вопроса «пользователь против безопасности» нет единого ответа или решения. Мы, как эксперты по кибербезопасности, не хотим подавлять творческий потенциал и продуктивность сотрудников. Реальность такова, особенно в зависимости от того, где вы реализуете политику, это неизбежно. Те, кто отвечает за протоколы безопасности, как при их создании, так и при их применении, хотели бы иметь возможность предоставить пользователям больше свободы действий. Нам не нравится быть копами, которые портят вам удовольствие, но, к сожалению, это совершенно необходимо.
Основная проблема по-прежнему остается человеческим фактором
Человеческая ошибка больше, чем любой другой фактор, является основной причиной инцидентов кибербезопасности во всем мире. Хакеры знают, что одной константой любого протокола безопасности является то, что где-то есть кто-то, кого можно обмануть. Это происходит по разным причинам, но я считаю, что исследование, проведенное в прошлом году Национальным институтом стандартов и технологий, выявило основную причину.
Ссылаясь на то, что они назвали «усталостью от кибербезопасности», NIST отметил следующее:
Рядовые пользователи компьютеров чувствовали себя перегруженными и бомбардированными, они устали постоянно быть начеку, придерживаться безопасного поведения и пытаться понять нюансы вопросов онлайн-безопасности… Исследователи обнаружили, что результат усталости приводит к чувству покорности и потере контроля. Эти реакции могут привести к избеганию решений, выбору самого простого варианта среди альтернатив, принятию решений под влиянием непосредственных мотивов, импульсивному поведению и несоблюдению правил безопасности.
Это может показаться бессердечным, но мой вывод заключается в том, что пользователи тоже хотят получить свой пирог и съесть его. Они хотят большего контроля над своей средой, но когда их просят внести свой вклад в безопасность, они жалуются на необходимость лучше понимать сложность, которой обладает кибербезопасность. И наоборот, если мы, как специалисты по безопасности, отменим этот контроль, пользователи будут жаловаться на то, что, как говорится в исследовании Bromium, они не могут работать из-за «чрезмерно усердных систем безопасности».
Когда я впервые увидел это исследование Bromium CISO, оно было в новостной статье на веб-сайте журнала Infosecurity Magazine. Были и другие публикации, в которых сообщалось об этом же опросе, и, как и в статье, которую я читал, они сообщали только о данных, полученных Bromium, или, что еще хуже, о том, что они были причастны к маркетингу.
Конфликт между производительностью и безопасностью — такая тонкая и изменчивая тема в ИТ, что моим коллегам-журналистам было бы лучше не выбирать информацию, которую они представляют. Вместо того, чтобы просто показать, что директора по информационной безопасности недовольны, мы должны также показать ошибки пользователей и (в данном конкретном случае) то, что выглядит как маркетинговая уловка, приведенная в действие теми, кто стоит за исследованием информационной службы Bromium.