- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 194 zobrazení
Někteří z nejúspěšnějších odborníků a profesionálů v oblasti kybernetické bezpečnosti přijali „Umění války“ vojenského poradce Sun Tzu pro její témata a pokyny, jak se připravit a zvládat konflikty. Velká část se zaměřuje na to, jak přelstít protivníky, aniž by se zapojili do bitvy. Nyní je to aktuálnější než kdy jindy, protože hlavní kybernetické útoky za poslední rok ukazují, že protivníci mají pravděpodobně navrch.
Většina organizací je náchylnější ke kompromisům, protože nechápou, co vlastně chrání. Pokud nastoupí na funkci vrchního důstojníka pro bezpečnost informací (CISO) do společnosti, dědí její zavedené bezpečnostní programy a koncepty. Mnoho CISO váhá s provedením významných změn, aby se vyhnuli narušení práce ostatních. To je problematické, protože bezpečnostní program postavený na nestabilním základě v konečném důsledku vede k erozi a nechává společnost špatně připravenou na konflikt.
Ačkoli tato kniha byla publikována téměř před 3 000 lety, lekce nalezené v „The Art of War“ mohou dnešním lídrům v oblasti bezpečnosti pomoci vytvořit základní zásady zabezpečení, aby se minimalizovala příležitost ke kompromisu. Aplikace přístupu Sun Tzu na kybernetickou bezpečnost dává organizacím povědomí o tom, co hledat, jaké zranitelnosti představují největší riziko a jak implementovat příslušné postupy reakce na incidenty.
Zatímco téměř všechny zásady pojednání se vztahují na kybernetickou bezpečnost, zaměření na následující tři bude mít významný dopad na vyrovnání bitevního pole.
"Poznej sám sebe, poznej svého nepřítele."
Tato zásada se vztahuje k důležitosti přípravy, která začíná identifikací kriticky důležitých aktiv a pochopením a stanovením priorit rizik.
Nový CISO musí strávit prvních 3–6 měsíců rozvíjením podrobného porozumění podnikání a pokládáním obtížných introspektivních otázek. To znamená auditovat všechny funkce společnosti, jako jsou prodejní a výrobní procesy, operace a jak různé skupiny a organizace komunikují, aby jasně porozuměly datům „korunního klenotu“, které jsou pro podnikání nejdůležitější.
Důsledná analýza podniku odhalí potenciální mezery a slepá místa v architektuře zabezpečení, které vyžadují další pozornost a rozšíření. To také odhalí, zda přístup společnosti k zabezpečení spočíval v tom, že vytvořil bezpečný základ a stavěl na něm, nebo pouze zaškrtl políčka z hlediska dodržování předpisů.
Jakmile CISO porozumí mezerám v bezpečnostní architektuře, další složkou „poznej své já“ je spolupráce s představenstvem a výkonným týmem, aby dospěli ke společnému pochopení toho, jaká rizika se jich nejvíce týkají. Zabezpečení měří riziko s ohledem na kontinuitu podnikání. Zjistit, co udržuje vedení společnosti v noci vzhůru, pomáhá CISO upřednostňovat jejich úsilí na základě úrovně tolerance organizace vůči riziku.
Univerzální přístup k toleranci rizika neexistuje, protože každé podnikání má řadu jedinečných okolností a jiné poslání. Díky tomu je sladění mezi vedoucími a bezpečnostními týmy zásadní, protože priority exekutivy a představenstva se budou lišit v závislosti na poslání společnosti, stejně jako aktiva, kterými je CISO pověřen ochraňovat.
Díky základu „poznej sám sebe“ mají vedoucí představitelé bezpečnosti lepší pozici k „poznej svého nepřítele“. Poskytuje společnostem základ pro klasifikaci protivníků, kteří je nejpravděpodobněji zaměří. Například vládní entita zajišťující utajované informace o citlivých aktivech, která se chystají zprovoznit zpravodajskou komunitu, se pravděpodobně nejvíce zabývá státem sponzorovanými útočníky, jejichž motivy jsou pravděpodobně špionáž nebo narušení provozu. Kyberzločinci jsou obecně zaměřeni na peněžní prostředky a primárně by je zajímali poskytovatelé finančních služeb, maloobchodníci nebo jiní, kteří se zabývají velkým počtem finančních transakcí. Pak je tu vždy nízko visící ovoce, každá organizace s nezralým bezpečnostním postojem může být náchylná k těm, kteří příležitostně zneužívají jakoukoli zranitelnost, kterou mohou najít.
"Taktika bez strategie je hluk před porážkou."
V dnešní době je bohužel kompromis nevyhnutelný. To jak bude firma reagovat na incidenty, bude určovat její kybernetickou odolnost. Podle Sun Tzu je pokus o implementaci řešení bez akčního plánu receptem na katastrofu. Většina lídrů v oblasti kybernetické bezpečnosti rozděluje svou pozornost mezi vývoj základní strategie pro jejich organizaci a nasazení nejnovějších řešení detekce a prevence, která tvrdí, že poskytují úplnou ochranu. To vede k mezerám v postoji zabezpečení a případnému kompromisu z něčeho jednoduchého nebo jednoduše přehlédnutelného, jako je slabé a opakovaně používané heslo bez vícefaktorové autentizace.
Žádné množství technologií nemůže překonat absenci dobře vyvinutého plánu reakce na incidenty. Vyšetřování kybernetické bezpečnosti je nejkritičtější součástí, protože poskytuje nezbytný kontext a informace pro nápravu. Pronásledování nejnovějšího lesklého objektu vede k přefukování nástrojů, což má za následek neefektivní vyšetřování, delší průměrnou dobu reakce a více času pro protivníky, aby pobývali v prostředí a pohybovali se laterálně k agregaci a exfiltraci dat.
CISO by se měli zaměřit na end-to-end pozorovatelnost svých bezpečnostních pozic a zabudovat do svých vyšetřování účinnost. To umožňuje organizacím rychle identifikovat rozsah a dopad porušení a generovat výsledek s vysokou spolehlivostí, který potvrzuje, že incident je benigní, minimální nebo závažný - a rychleji začít přijímat příslušná reakční opatření, aby zamezila dalšímu přístupu hackerů a identifikovala jeho původ . Průměrná doba detekce a omezení úniku dat způsobeného škodlivým aktérem je 315 dní. Organizace, které detekují a ukončí porušení za méně než 200 dní, však ušetří v průměru 1,12 milionu dolarů ve srovnání s těmi, které tak nečiní.
"Podmanit si nepřítele bez boje."
Sun Tzu tvrdí, že nejlepšími taktiky jsou ti, kteří mohou pomocí inteligence ovládat situace a využívat informace k diktování rozhodnutí svých protivníků. Jakmile organizace dosáhne úplného porozumění své útočné ploše, může nasadit ovládací prvky zabezpečení, které chrání kritická aktiva.
Bezpečnostní týmy musí používat správné protokoly k nastavení základní úrovně aktivity, což zajišťuje, že analytici mohou určit odlehlé hodnoty a identifikovat kritickou infiltraci přístupu. To také umožňuje týmům SOC vylepšit procesy detekce a monitorování rychlou identifikací případů, kdy je něco v nepořádku, aby se zmírnily další útoky a metody útoků.
Pokud vedoucí bezpečnosti již „znají svého nepřítele“, umožní jim tyto procesy naučit se schopnosti svých protivníků a techniky, které nepřátelé použijí k proniknutí do jejich prostředí. Jakmile bezpečnostní tým zjistí tyto informace, může tyto scénáře spustit na vlastní útočné ploše a připravit se. Odtud mohou organizace posílit svá preventivní opatření a vymýtit spící aktiva ze svých ekosystémů, které by mohly oslabit bezpečnostní pozici. Ohroženým aktérům stačí, aby byli úspěšní pouze jednou, když se pokusí způsobit významné narušení, a proto je povinností CISO zůstat pilný při shromažďování a využívání těchto informací.
Kybernetická bezpečnost je životní cyklus, který se neustále vyvíjí, a neexistuje jediný přístup, který by vyhovoval všem. Organizace musí vzít to, co se naučí z každého incidentu, vyšetřování a praxe, aby posílily svůj základ. Nejedná se o jednorázovou operaci, ale spíše o kontinuální přípravnou smyčku, která pomáhá minimalizovat šanci na budoucí kompromisy. Vezmeme -li si lekce z „The Art of War“, čím více může CISO a bezpečnostní tým zajistit, aby nepřehlédli celou strategii programu, tím bezpečnější bude organizace.
Autor původního článku: Andrew Maloney
Překlad: Ondřej Strachota
