Правило кибербезопасности 80/20: 5 шагов, которые отразят большинство атак

Принцип Парето, или правило 80/20, утверждает, что около 80 процентов следствий вызываются 20 процентами причин. Главный вывод из этого правила для ИТ-директоров, директоров по информационной безопасности, технических директоров и ОГО заключается в том, что не все риски кибербезопасности одинаковы. Поэтому ресурсы безопасности должны быть направлены на риски, которые могут нанести наибольший ущерб вашей организации. К сожалению, слишком многие предприятия используют универсальный подход, в результате чего ресурсы почти поровну распределяются между низкими и высокими рисками. Масштабы и изощренность кибератак растут с каждым годом, и такая неэффективная стратегия безопасности больше не является жизнеспособной. Вот взгляд на пять элементов управления, первоначально описанных Центром интернет-безопасности, которые могут предотвратить более 80 процентов атак и, таким образом, подтвердить правило кибербезопасности 80/20.

1. Создайте инвентаризацию всех устройств (авторизованных и неавторизованных)

Трудно эффективно защитить технологическую инфраструктуру вашей организации, если вы не знаете, какие устройства в ней находятся. Разрабатывайте и управляйте инвентаризацией всех устройств, включая настольные компьютеры, ноутбуки, планшеты, смартфоны, серверы, маршрутизаторы, коммутаторы, сканеры, принтеры, телефоны VoIP и гаджеты IoT.

К счастью, вам не нужно выполнять этот процесс вручную. Существует множество инструментов, которые могут автоматически захватывать и перечислять устройства. Инструменты различаются по сложности. Они варьируются от бесплатных с базовой функциональностью до дорогих инструментов с множеством функций. Для малого бизнеса приобретение системы управления запасами может не понадобиться. Бесплатные инструменты сделают работу, а полученные данные будут сохранены в электронной таблице.

Соберите как можно больше информации для каждого устройства, но со стандартным набором столбцов, которые облегчат поиск и организацию данных по определенному полю (например, производителю, типу, модели, операционной системе или местоположению).

2. Создайте инвентаризацию всего программного обеспечения (авторизованного или неавторизованного)

Большинство киберпреступлений происходит в результате эксплуатации уязвимостей программного обеспечения. Поставщики приложений будут регулярно выпускать обновления безопасности, предназначенные для устранения этих уязвимостей и снижения вероятности успешной атаки. Однако частота исправлений сильно различается между поставщиками. Это означает, что организации не могут полностью полагаться на каждого поставщика приложений для быстрого выявления и устранения проблем безопасности. Инвентаризация программного обеспечения может помочь вам отслеживать все программное обеспечение, используемое на предприятии, обеспечивать актуальность исправлений и установку только авторизованных приложений.

Если инвентаризацию устройств создать сложно, то программная инвентаризация представляет собой еще более сложный процесс, поскольку вам необходимо зафиксировать список приложений на каждом устройстве. Однако, как и в случае инвентаризации устройств, существуют сложные инструменты инвентаризации программного обеспечения, которые можно развернуть для довольно быстрого извлечения информации с каждого устройства. После завершения инвентаризации неавторизованные приложения должны быть идентифицированы и удалены со всех устройств. Затем очищенный инвентарь становится эталоном для приложений, разрешенных бизнесом. Любое приложение, не вошедшее в список, должно быть удалено.

3. Определите безопасную конфигурацию для серверов, настольных компьютеров, ноутбуков и мобильных устройств.

Есть уязвимости, присущие программному обеспечению. Однако некоторые пробелы в безопасности приложений сводятся к выбранным параметрам конфигурации. Определенные параметры могут создавать возможности, которые злоумышленники могут использовать для проникновения не только в приложение, но и в сеть компании в целом. Например, настройки операционных систем по умолчанию предназначены для облегчения быстрой установки и простоты использования при первом использовании. Безопасность является второстепенным соображением. Несмотря на то, что исправления в системе могут быть актуальными, конфигурация может сделать ее уязвимой для атак.

Поэтому конфигурация корпоративного программного и аппаратного обеспечения должна быть усилена на всех устройствах. Определите базовый уровень мер безопасности для всей организации для каждого типа оборудования и программного обеспечения, а затем примените его ко всем. Базовые образы должны храниться в безопасном месте за пределами сети, чтобы гарантировать, что они не будут заражены или заменены без разрешения. Базовый уровень не является статичным, а должен развиваться по мере обнаружения новых уязвимостей и выпуска новых версий приложений.

4. Непрерывная оценка рисков и устранение уязвимостей

Хакеры и киберпреступники не останавливаются на достигнутом. Они постоянно ищут слабые места в системе безопасности, которыми можно воспользоваться. По этой причине организации должны постоянно следить за новыми угрозами кибербезопасности и активно устранять их.

Иногда поставщик узнает об уязвимости до того, как информация станет общедоступной. Это дает им время для разработки и распространения патча для него. Однако бывают случаи, когда уязвимости становятся общедоступными за недели или месяцы до выпуска исправления. Эта задержка создает окно возможностей, которое хакеры, не колеблясь, используют в полной мере.

Непрерывное сканирование уязвимостей создает механизм для регулярной проверки соответствия ваших систем политикам установки исправлений и конфигурации. Инструменты, запускающие сканирование, должны иметь права администратора, чтобы сделать процесс максимально тщательным. Каждое сканирование необходимо сравнивать с предыдущими сканированиями, чтобы выявить любые несоответствия.

5. Ограниченное использование прав администратора

Представьте себе две организации с одинаковым количеством сотрудников. В одном из них только два сотрудника имеют права администратора в сети предприятия. В другом случае все сотрудники имеют учетные записи администратора. Нетрудно понять, почему вторая организация подвергается гораздо большей опасности взлома или злоупотребления правами администратора.

Хотя предоставление прав администратора большому количеству пользователей может иметь краткосрочные выгоды, такие как ускорение обслуживания системы и устранения неполадок, риски значительно перевешивают преимущества. Административные привилегии должны предоставляться строго по необходимости. Некоторые предприятия идут еще дальше и обеспечивают разделение паролей администраторов на две части. Это означает, что для входа в систему необходимы два человека (обычно один из ИТ-отдела и один из бизнеса).

Пароли администратора должны быть чрезвычайно сложными для подбора или взлома с помощью грубой силы. Рекомендуется, чтобы пароль содержал более 15 символов, сочетающих строчные буквы, прописные буквы, цифры и символы. Это может быть дополнительно дополнено внедрением двухфакторной аутентификации. Оповещения должны автоматически рассылаться руководству ИТ и соответствующим бизнес-менеджерам всякий раз, когда административная учетная запись создается, изменяется или удаляется. То же самое должно происходить при двух или более неудачных попытках входа в систему.

Эффективный контроль с правилом кибербезопасности 80/20

Не существует единой формулы победы в битве с киберпреступностью. Тем не менее, правило кибербезопасности 80/20 дает практическое руководство о том, как ИТ-руководители могут эффективно решать эту проблему. Они должны перенаправить усилия и ресурсы на наиболее серьезные угрозы, прежде чем заняться теми, которые оказывают меньшее влияние на бизнес. Вы все еще должны установить соответствующие меры для оставшихся рисков. Но на 80% правило кибербезопасности 80/20 означает, что вы закроете все ключевые базы.