Проблемы информационной безопасности и синдром перегрузки безопасности: симптомы и лечение
Не знаю, как вас, но постоянный поток уязвимостей, постоянно обнаруживаемых в программном обеспечении, которое я использую для своего бизнеса, выбивает меня из колеи. И новые виды угроз, которые возникают все время, меня нервируют. Мои колени трясутся, а голова кружится, пока я пытаюсь понять, как обеспечить безопасность своей бизнес-среды. Я знаю, что не одинок в своих мыслях, так как один человек, который чувствует то же, что и я, и помогает тем из нас, кто работает в сфере ИТ, добиваться большего прогресса в поиске решения этой проблемы, — это Брэндон Хоффман, директор по информационной безопасности в Netenrich. Компания Netenrich использует динамическое сочетание машинного и экспертного анализа для широкого спектра продуктов и предложений на основе SaaS, чтобы обеспечить полную аналитику разрешения для преобразования цифровых операций в более разумные бизнес-результаты. Их решения интегрируются с более чем 140 ведущими на рынке ИТ-приложениями и приложениями для обеспечения безопасности, чтобы стимулировать цифровую трансформацию, смягчить влияние бренда, повысить эффективность и восполнить пробелы в навыках. Более 6000 клиентов и организаций по всему миру полагаются на Netenrich, чтобы повысить прозрачность и действенную аналитику в своих ИТ-сетях и облачных сетях. Далее следует обсуждение, которое я недавно провел с Брэндоном о проблемах информационной безопасности, с которыми сегодня сталкиваются организации из-за этой перегрузки по безопасности, и о том, как с ними справиться.
БРЭНДОН: У безопасности нет недостатка в проблемах. Категорически проблемы, с которыми сталкиваются специалисты по безопасности, охватывают диапазон от деловых до глубоко технических. Если бы мне пришлось выбрать три проблемы, это были бы пробелы в навыках, совместимость инструментов и отношение сигнал/шум. Хотя эти проблемы, безусловно, являются широкими, они могут существовать и в очень узкой форме. Примите вызов отношения сигнал-шум. Это может быть широко применено к рынку безопасности, где обмен сообщениями перекрывается, термины используются повторно, а функциональность и результат становятся запутанными (в основном непреднамеренно). Та же проблема существует и в техническом формате при просмотре данных, выводимых инструментами и процессами безопасности. Ярким примером этого является разведка угроз. Существует много данных, но выяснить, какие данные важны и почему, — огромная проблема.
У безопасности нет недостатка в проблемах. Категорически проблемы, с которыми сталкиваются специалисты по безопасности, охватывают диапазон от деловых до глубоко технических. Если бы мне пришлось выбрать три проблемы, это были бы пробелы в навыках, функциональная совместимость инструментов и отношение сигнал/шум.
БРЭНДОН: Лучший совет, который я могу дать, — использовать подход, основанный на оценке рисков. Просто потому, что тема горячая или интригующая, не означает, что это проблема, которую нужно решать сейчас. Эта проблема может даже не относиться к вашей организации. Крайне важно, чтобы люди оставались объективными в отношении тенденций в области безопасности и субъективными в отношении того, что к ним относится. Проверка здесь не только экономит ваше время, но и деньги, а также людей. Возвращаясь к подходу, основанному на оценке рисков, существует множество отличных схем и руководств для оценки рисков, классификации активов и данных и средств контроля для их защиты. Убедитесь, что вы нашли время, чтобы понять наиболее важные элементы бизнеса, которые нуждаются в защите, определить приоритеты активов/данных и построить свой план на основе приоритета и вероятности выполнения. Я имею в виду, что если есть новое решение для защиты приложения, но у вас нет внутренних навыков для реализации или работы с этим инструментом, лучше использовать инструмент, который поможет вам в этом, если вы действительно можете добиться успеха. с этим.
БРЭНДОН: Решение для анализа угроз будет означать совершенно разные вещи для разных людей. Генезис разведки угроз действительно происходит из военного применения и ничем не отличается от концепций разведки. В контексте информационной безопасности концепция заключается просто в том, чтобы иметь больше данных о внешних факторах, чтобы лучше контекстуализировать захваченную телеметрию. Изначально эта телеметрия была внутренней, но может включать и внешнюю. Решением для анализа угроз в его самой простой форме будет любое решение, которое помогает реализовать эту концепцию. В отрасли было несколько итераций или вариаций инструментов анализа угроз, и многие из них относятся к отдельной категории. Как правило, мы видим инструменты, которые помогают собирать данные, инструменты, которые сопоставляют эти данные с другими сведениями об угрозах для выполнения дедупликации или аналитики, а также инструменты, которые автоматически сопоставляют эти данные с телеметрией, чтобы помочь контекстуализировать события или инциденты.
БРЭНДОН: Две самые важные вещи в разведке угроз — это контекст и действенность. То, что предлагает Netenrich, — это портал, который предоставляет традиционную информацию об угрозах, коррелированную с новостями и информацией из СМИ для контекста. Это важная часть информации, когда вы пытаетесь понять, имеет ли значение конкретная угроза в целом и конкретно для вашей организации. Более важно то, что эта информация об угрозах изначально интегрирована в наш портфель решений и услуг, что делает ее немедленно применимой к действиям и вводу в действие. Это одна из самых больших проблем, с которыми сталкиваются компании при работе с информацией об угрозах. Это вызов, который породил целый сегмент продуктов в области безопасности.
Поверхностный интеллект атаки — это именно то, на что это похоже. У нас есть решение, которое автоматически определяет ваши общедоступные цифровые активы и определяет, уязвимы ли они для атак и создают ли риск для вашей организации. Под атакой мы просто подразумеваем вектор вторжения противника. В сегодняшнем ландшафте с развивающейся архитектурой, цифровой трансформацией и необходимостью работать на дому компании быстро развиваются, и следить за всем становится все труднее. Именно для решения такой задачи и была предназначена технология. Непрерывное обнаружение и оценка общедоступных активов организации — это работа для машин. Кроме того, автоматическая приоритизация этих проблем на основе риска и быстрая проверка с помощью нашей аналитики угроз позволяют людям сделать следующий шаг по исправлению. Это позволяет людям выполнять задачи быстрее и эффективнее, используя машины для автоматизации подходящих задач. Конкретные примеры таких проблем включают сообщения электронной почты, появляющиеся в общедоступных нарушениях, раскрытие данных компании в облачном хранилище или репозиториях кода, использование инфраструктуры компании в злонамеренных целях (например, установка вредоносных программ или фишинг) и многое другое.
Нам нужно умерить ожидания, что ИИ решит все наши проблемы. Его следует рассматривать как инструмент, который можно использовать для решения определенного набора проблем, с которыми сталкиваются технологи.
БРЭНДОН: Я думаю, у ИИ большое будущее в решении технологических задач в информационной безопасности и за ее пределами. Нам нужно умерить ожидания, что ИИ решит все наши проблемы. Его следует рассматривать как инструмент, который можно использовать для решения определенного набора проблем, с которыми сталкиваются технологи. В частности, в сфере безопасности ИИ может помочь там, где есть много разрозненных наборов данных, которые не были структурированы или нормализованы. Прислушиваться к нахождению сигнала в шуме — важнейший вклад ИИ в обеспечение безопасности.
Последняя мысль заключается в том, что нам нужно напомнить себе, что самым важным активом в продолжающейся киберпроблеме являются люди. Это обоюдоострый подход в том смысле, что люди являются ключом к преодолению проблем, но также представляют собой один из самых больших векторов атак. Машины выполняют важную часть задач и автоматизируют многие вещи, с которыми люди плохо справляются. Так что пусть машины работают, а ваши люди счастливы, учатся и знают.