Смещение фокуса внимания на безопасность – проблема людей (часть 2)

Опубликовано: 6 Апреля, 2023

В первой части этой серии мы рассмотрели, как люди составляют значительную часть организации и впоследствии создают брешь в безопасности, которая часто упускается из виду или не получает должного внимания, необходимого для достаточно эффективного ее преодоления, чтобы улучшение состояния безопасности организации было реализовано наилучшим образом..

Введение

Быстро меняющаяся среда ИТ и кибербезопасности легко допускает образование пробелов в безопасности, которые часто остаются незамеченными. Одним из пробелов в безопасности является то, что проблема в значительной степени зависит от людей, от того, как люди ведут себя и как отслеживаются и управляются их личности и деятельность. Эти люди включают в себя сотрудников, а также лиц, не являющихся сотрудниками, и третьих лиц, лиц со злым умыслом и тех, кто делает организацию уязвимой по ошибке и не знает о последствиях, вызванных их случайными действиями.

Выявление брешей в безопасности становится неотъемлемой частью повседневных задач специалиста по безопасности. Время тратится на оценку рисков, планирование и внедрение политик, развертывание защитных стратегий и технологий, а также на исследования и попытки быть готовыми к любым будущим атакам, пытаясь предотвратить и уничтожить их по их следам.

Это все хорошо, однако, постоянно направляя наше внимание на одни и те же области, мы часто упускаем существенные пробелы в нашей безопасности. На эти пробелы не обращают внимания, хотя мы считаем, что все области эффективно прикрыты, и наша позиция в области безопасности остается практически неизменной.

Люди, представляющие брешь в безопасности, вызывают у многих растущую озабоченность, и эту проблему необходимо решать должным образом.

Напомним, что риск, связанный с людьми, и возникающие проблемы безопасности (рассмотренные в первой части серии статей) заключаются в следующем:

Угроза безопасности, создаваемая людьми

Угроза

Обычный мотив

Метод

Политика безопасности должна учитывать

  • Сотрудники (внутренняя угроза-злонамеренный умысел)
  • Сотрудники (внутренняя угроза — незлонамеренные)
  • Невежество и недостаток знаний
  • Не сотрудники (посторонняя угроза-злонамеренный)
  • Третьи стороны

 

  • Отказать в обслуживании
  • украсть информацию
  • изменить данные
  • удалить или повредить данные
  • саботаж
  •  Социальная инженерия
  • IP-спуфинг
  • Взлом
  • Кража пароля
  • Вредоносное ПО, вирусы и т.д.
  • Злоупотребление пакетами
  • Перехват электронной почты и шпионаж
  • олицетворение
  • Ресурсы
  • Данные
  • Аппаратное обеспечение
  • Люди
  • Уязвимости
  • Бизнес-функция

Таблица 1

Преодоление разрыва, созданного людьми, области для рассмотрения

В первой части этой серии мы сосредоточились на причинах проблем. Проблемы включали непонимание, растущее число удостоверений и проблему гарантии пользователя, стоящего за этими удостоверениями. Кроме того, персональные устройства и несколько устройств, являющихся частью бизнес-функций, внутренних, внешних и сторонних угроз. Все эти области усугубляют проблему, которую люди привносят в обеспечение безопасности. Это области, которые необходимо тщательно рассмотреть и решить, чтобы обеспечить эффективное преодоление бреши в безопасности «людей».

Личности, поведение и модели

Идентичность составляет большой компонент проблемы. Очень важно, чтобы организации были способны распознавать модели поведения и понимать личности (лица за устройствами). Организации должны иметь возможность идентифицировать изменяющееся поведение, чтобы различать нормальное и ненормальное поведение и иметь возможность идентифицировать злоумышленника, а не сотрудника, выполняющего повседневные обязанности.

Крайне важно иметь подробное описание роли каждого сотрудника в организации и знать, как ведет себя каждый сотрудник. Знание того, как ведут себя ваши сотрудники, позволит организации уловить любые изменения и установить ценные связи с подозрительным поведением. Это стало возможным благодаря отслеживанию активности пользователей. Конечный пользователь может представлять значительный риск.

Важно иметь возможность выявлять подозрительное поведение и понимать, свидетельствуют ли отслеживаемые инциденты о злонамеренной деятельности и подтверждают ли они возражение, чтобы предотвратить нарушение.

Устройства

Ведущий аналитик предположил, что к 2020 году будет 25 миллионов подключенных устройств, а это означает, что каждый человек, вероятно, будет иметь до трех устройств, связанных с ним, что значительно увеличит поверхность угроз в организациях, которые разрешают использование этих устройств (сейчас это обычное дело). Это чрезвычайно сложно в бизнес-среде, где большинство организаций изо всех сил пытаются использовать комплексный и надежный подход к обеспечению безопасности. Это необходимо решить, если у организаций есть шанс улучшить безопасность и устранить связанные с этим пробелы.

Необходимы правильные инструменты, технологии и процессы. Аналитика и информация об угрозах необходимы для комплексного и быстрого выявления, обнаружения и мониторинга угроз.

Знание того, какой пользователь находится за данным устройством, и изучение того, что является нормальным поведением для конкретного пользователя, необходимо для эффективного мониторинга безопасности.

Оснастите устройства необходимым программным обеспечением и протоколами, чтобы сделать их безопасными (шифрование, удаленная очистка и т. д.). Имейте соответствующие планы для BYOD и следите за их выполнением

Внутренняя угроза и внешняя угроза

Мы заметили организации, которые, по-видимому, предпочитают защищаться от внешних угроз, а не внутренних угроз, и считают, что это угроза, которая должна вызывать больше беспокойства. И внутренние, и внешние угрозы должны быть в равной степени защищены. После того, как посторонний получит доступ, угрозы могут проявиться так же, как и внутренняя угроза. Мы не можем полагаться исключительно на физическую защиту, угроза, исходящая от людей, часто связана с уязвимостью человека, и с ней необходимо бороться как таковую.

Большую часть времени наибольший риск представляют те сотрудники или личности с наиболее привилегированными правами доступа. Этот риск является внутренним риском. Этот риск можно уменьшить несколькими способами.

  • Использование процедур управления идентификацией и доступом — это отличный способ управления, но многие организации по-прежнему находят это сложным, хотя важно правильно понять эти основы.
  • Придерживайтесь подхода с наименьшими привилегиями и предоставляйте пользователям только те привилегии, которые им необходимы для выполнения своих бизнес-функций (этот подход постоянно выделяется как лучший, и к нему нельзя относиться легкомысленно)
  • Ограничьте количество привилегированных пользователей/идентификаций, чем меньше у вас пользователей с привилегиями, тем меньше областей потенциального риска для внутренней угрозы.
  • Отслеживайте личность привилегированного пользователя, чтобы выявлять любые изменения в поведении и, таким образом, иметь возможность обнаруживать любое подозрительное поведение, которое может указывать на происходящее нарушение.
  • Инструменты мониторинга безопасности должны учитывать комбинацию инцидентов в течение длительного периода времени, чтобы предложить поведение, выходящее за рамки нормы.
  • Идентификация должна занимать центральное место в управлении безопасностью, чтобы можно было достичь всестороннего понимания безопасности. Понимание личности и поведения пользователя значительно облегчит мониторинг и понимание событий.
  • Используйте инструменты и услуги, направленные на снижение подверженности организации человеческим ошибкам, эти средства защиты должны быть в состоянии работать внутри и за пределами организации из-за все более мобильной бизнес-среды.

Изменяющийся способ работы бизнеса усложняет выявление несоответствий в поведении, поскольку сотрудники все чаще работают мобильно, вне бизнес-ограничений и вне рабочего времени. Таким образом, местоположение и время больше не всегда являются гарантированной причиной для беспокойства. Кроме того, доступ к нескольким документам и учетным записям также становится нормой для сотрудников при выполнении своих обязанностей.

Технологии

Имейте соответствующие меры безопасности для мониторинга и контроля доступа к спотовым действиям, выходящим за рамки нормы. У многих организаций есть решения, предназначенные для обнаружения определенных активаций. Проблема в том, что большую часть времени с кибербезопасностью вы подвергаетесь атаке чем-то или способом, о котором вы не знаете, поэтому у организации нет соответствующего обнаружения. Постоянный мониторинг и обнаружение аномалий, поддерживаемые аналитикой данных, имеют основополагающее значение для выявления развивающихся угроз. Внимательность является жизненно важной превентивной мерой, все, что выходит за рамки нормы, должно быть отмечено, а для этого норма должна быть разъяснена и понята всеми участниками.

Процедура и политика

Разрабатывайте и применяйте политики и процедуры, чтобы все сотрудники понимали свои роли и ожидания. Политика передового опыта в отношении инсайдерских угроз является важной политикой. Привлекайте все отделы к разработке политик и процедур, каждый отдел будет иметь определенные области знаний, и важно иметь всестороннее представление о работе организации в целом, а не только ИТ-отдела.

Образование, знания и осведомленность

Обучайте и информируйте сотрудников, это очень важно. Поддерживайте связь между отделами, обеспечивая всестороннюю осведомленность, что очень важно для уменьшения уязвимости, создаваемой людьми. Непрерывный мониторинг и не отставание от обучения и новых или изменяющихся векторов угроз также важны. Недостаток знаний является серьезной проблемой в отношении угрозы, исходящей от сотрудников.

Чрезвычайно важно уточнить готовность безопасности, наличие текущих средств защиты и то, как организация будет реагировать. Снижение риска должно быть приоритетом.

Третьи лица и партнеры по бизнесу

Надежные партнеры очень важны. Организациям требуются не только самые лучшие и современные технологии безопасности, но и партнеры, обеспечивающие надежную защиту. Партнеры должны быть надежными и прозрачными в отношении потребностей, процедур и политик безопасности и должны разделять ценности безопасности организаций. Уважаемые партнеры и третьи лица всегда необходимы.

Вывод

Люди по-прежнему будут подвергаться наибольшему риску, и организация должна сосредоточиться на поведении пользователей и их личности, чтобы решать эту проблему более эффективно, поскольку правильное решение этой проблемы позволит организациям лучше различать реальную угрозу и отсутствие угрозы своевременным и эффективным образом, уменьшая возникновение нарушения безопасности.

При правильном устранении риска, создаваемого людьми, взломщику будет сложнее проникнуть в организацию незамеченным, а технологии обнаружения станут более эффективной практикой, если будет устранена проблема «человеческого разрыва».