Насколько вы уязвимы? Количественная оценка системного риска в ваших ИТ-операциях
Насколько вероятно, что ваша организация столкнется с нарушением безопасности в ближайшем будущем? Есть ли способ количественно оценить уязвимость вашей ИТ-инфраструктуры? Или это сплошные догадки? Было бы неплохо иметь возможность назначать вероятность различным видам угроз, с которыми могут столкнуться ваши информационные системы и сети, но будет ли это полезно на практике — другой вопрос. Келли Шортридж кое-что знает об этом, потому что она работала на разных должностях, связанных с кибербезопасностью и аналитикой. Келли в настоящее время является менеджером по продукту в группе аналитики SecurityScorecard. Она выступала на международных конференциях, посвященных применению поведенческой экономики и теории игр к информационной безопасности, в том числе на Black Hat USA, AusCERT, Countermeasure, Hacktivity, Troopers, USENIX и ZeroNights. Недавно я разговаривал с ней о количественной оценке системных рисков в ИТ-операциях, и ее ответы были весьма показательными, поэтому я решил поделиться ими с нашими читателями TechGenix. См. также мои собственные наблюдения в конце этого интервью и не забудьте подписаться на Келли в Твиттере.
МИТЧ: Келли, насколько сложно для предприятий количественно оценить уровень системного риска в их ИТ-операциях, который может привести к нарушению безопасности?
КЕЛЛИ: На сегодняшний день предприятиям сложно даже измерить уровень индивидуального риска, создаваемого определенными системами или активами, не говоря уже о борьбе с системным риском. Мы видели это и в других отраслях, например, во время финансового кризиса 2008 года. Больше внимания уделялось индивидуальному риску неплатежа домовладельца по ипотечному кредиту, чем анализу системного риска, связанного с разнообразной группой домовладельцев, столкнувшихся с подобное экономическое давление сразу.
Чтобы предприятие могло количественно оценить системный риск, оно должно определить и понять взаимосвязь и взаимозависимость в своей экосистеме, а это непростая задача. Кроме того, большинству предприятий запрещается нанимать специалистов по обработке и анализу данных для поддержания усилий, направленных на достижение этой цели, в то время как большинству групп корпоративной безопасности уже не хватает ресурсов.
МИТЧ: Каковы, по вашему опыту, наиболее распространенные проблемы в корпоративной экосистеме, которые могут привести к взлому?
КЕЛЛИ: Проблемы, которые обычно приводят к компрометации, обычно недооцениваются: фишинг, незакрытые уязвимости и отсутствие сегментации между сетями или данными. Практики безопасности иногда романтизируют представление о том, что злоумышленники будут использовать уязвимости нулевого дня в своих системах, в то время как реальность такова, что злоумышленники будут использовать самый дешевый метод атаки, который поможет им достичь своей цели — метафорически низко висящие плоды.
Понятие технологии или людей, ведущих к компрометации, постоянно обсуждается, но гораздо меньше внимания уделяется тому факту, что слабые процессы в программе безопасности также могут привести к компрометации. Если программа безопасности имеет повторяющиеся процессы с непрерывными петлями обратной связи, которые позволяют адаптироваться с течением времени, можно применить более стратегический подход к снижению потенциального воздействия нарушения. Без этого программы безопасности останутся реактивными по своей сути, что является смертным приговором для активного противника.
МИТЧ: Как предприятия традиционно пытались смягчить последствия таких проблем?
КЕЛЛИ: Предприятия, как правило, тяготеют к точечным решениям и сосредотачиваются на надежности, пытаясь предотвратить атаки, а не на адаптивности и минимизации последствий в случае атаки. Слишком многие организации пренебрегают важностью повторяющихся, повторяющихся процессов и относятся к безопасности как к конечному состоянию, а не как к путешествию, поэтому тяготеют к тому, чтобы полагаться исключительно на технологии для укрепления своей безопасности. К сожалению, когда так много решений безопасности привязано к чему-то, что приводит не к повышению безопасности, а к увеличению сложности, что приводит к большей взаимосвязанности и, следовательно, к более высокому системному риску.
В целом, предприятия, как правило, сосредотачиваются на попытках либо устранить, либо точно предсказать потенциальные угрозы, а не признать, что компромиссы будут иметь место, и принять стратегию, основанную на подготовке.
Вы никогда не сможете предсказать нарушение — кто именно, что, когда, где, как и почему — но вы можете спрогнозировать риск компрометации в вашей экосистеме, чтобы убедиться, что вы готовы.
МИТЧ: Распространяется ли риск взлома, с которым сталкивается предприятие, на его отношения с поставщиками, партнерами и прочими третьими и четвертыми сторонами?
КЕЛЛИ: Абсолютно. Например, компании могут быть сосредоточены исключительно на предотвращении на своем периметре, пренебрегая мониторингом или защитой своего API, соединяющего данные клиентов со сторонним партнером. Если сторонний партнер скомпрометирован, то их защита периметра будет бесплодной.
Вообще говоря, если третье лицо — будь то поставщик, партнер, поставщик услуг или дочерняя компания — скомпрометировано, любые данные, переданные им, должны считаться взломанными. Даже если вы не делитесь данными, третья сторона все равно потенциально может быть использована злоумышленниками в качестве опорной точки для проникновения в вашу систему, выдавая себя за «доверенную» третью сторону.
МИТЧ: Что SecurityScorecard предлагает предприятиям, что может помочь им лучше справляться со своими системными рисками и как уменьшить их воздействие?
КЕЛЛИ: Недавно мы выпустили Breach Insights, который помогает компаниям прогнозировать риск компрометации среди избранной группы их поставщиков, поставщиков услуг, партнеров или других третьих лиц. Мы раскрываем системный риск, определяя распространенность проблем безопасности внутри группы, поскольку это усугубляет потенциальное воздействие. В рамках этого мы рассматриваем корреляцию между текущими проблемами безопасности в группе и проблемами, имевшими место во время взлома в недавно скомпрометированных компаниях. Общая проблема в группе организаций означает, что злоумышленник потенциально может повторить свою атаку, используя эту проблему для широкого круга целей, что увеличивает риск множественных компрометаций в этой группе.
В дополнение к визуализации прогноза риска мы автоматически определяем, какие конкретные проблемы и организации в наибольшей степени способствуют системному риску взлома. Это позволяет нашим клиентам активно адаптировать свои средства защиты к этим рискам, а также расставлять приоритеты в работе со своими третьими сторонами для снижения рисков.
МИТЧ: Что еще вы хотели бы добавить для предприятий, обеспокоенных их растущей уязвимостью к нарушениям безопасности ИТ?
КЕЛЛИ: Вы никогда не сможете предсказать взлом — кто именно, что, когда, где, как и почему — но вы можете спрогнозировать риск компрометации в вашей экосистеме, чтобы убедиться, что вы готовы. Как и в случае с финансовыми системами, вам необходимо уделить первоочередное внимание устойчивости, чтобы гарантировать, что ваша организация не поддастся каскадным сбоям и комплексным последствиям из-за неконтролируемого системного риска.
МИТЧ: Келли, большое спасибо, что уделили нам немного своего драгоценного времени!
КЕЛЛИ: Спасибо, Митч, было приятно.
Заключительная мысль: закрыть дыры в нашем плане глубокоэшелонированной безопасности.
Замечание Келли о возможных рисках, которым может подвергнуться ваш бизнес в результате взлома, произошедшего у партнера или поставщика, с которым работает ваша компания, — это то, о чем мы, ИТ-специалисты, часто не задумываемся. Мы пытаемся разработать план глубокоэшелонированной защиты для ИТ-инфраструктуры нашей собственной организации, а затем слепо предполагаем, что сторонние компании, с которыми мы ведем дела, уделяют такое же внимание обеспечению безопасности своих собственных сетей. Breach Insights от SecurityScorecard, безусловно, заслуживает внимания, и я планирую порекомендовать компаниям, с которыми я работаю, рассмотреть возможность ее проверки.
Что вы думаете? Поделитесь своими комментариями ниже.