Devenind rezistent prin intelegerea riscurilor de securitate cibernetica: Partea 3 – perspectiva unui profesionist in securitate – Microsoft Security

In partea a doua a acestei serii de bloguri privind alinierea securitatii cu obiectivele si riscurile de afaceri, am explorat importanta gandirii si a actiunii holistice, folosind exemplul de ransomware operat de om, care ameninta fiecare organizatie din fiecare industrie. La iesirea din 2020, atacul Solorigate a evidentiat modul in care atacatorii evolueaza continuu. Acesti actori de amenintare a statului national au folosit lantul de aprovizionare cu software al unei organizatii impotriva lor, atacatorii compromitand software-ul legitim si aplicatiile cu malware instalate in organizatiile tinta.

In partea a treia a acestei serii, vom explora in continuare ceea ce este necesar pentru ca liderii de securitate sa isi pivoteze programul, de la a privi misiunea lor ca aparare pura impotriva atacurilor tehnice, la una care se concentreaza pe protejarea activelor, datelor si aplicatiilor valoroase ale afacerii. Acest pivot va permite liderilor de afaceri si de securitate cibernetica sa ramana mai bine aliniati si mai rezistenti la un spectru mai larg de vectori de atac si motivatii ale atacatorilor.

Cu ce ​​problema ne confruntam?

In primul rand, sa stabilim o linie de baza rapida asupra caracteristicilor atacurilor cibernetice operate de oameni.

Aceasta diagrama ilustreaza punctele comune si diferentele dintre campaniile ransomware cu scop lucrativ si campaniile de spionaj:

Figura 1: Compararea campaniilor de atac operate de oameni.

De obicei, atacatorii sunt:

• Flexibil: utilizati mai multe vectori de atac pentru a obtine intrarea in retea.
• Obiectiv determinat : atingeti un scop definit din accesarea mediului dvs. Acest lucru ar putea fi specific persoanelor, datelor sau aplicatiilor dvs., dar s-ar putea, de asemenea, sa se potriveasca doar unei clase de tinte, cum ar fi „o companie profitabila, care este probabil sa plateasca pentru a restabili accesul la datele si sistemele lor”.
• Stealthy: Luati masuri de precautie pentru a elimina dovezile sau pentru a le ofensa urmele (desi la diferite niveluri de investitii si prioritati, a se vedea figura unu)
• Pacient: luati timp pentru a efectua recunoasterea pentru a intelege infrastructura si mediul de afaceri.
• Bine dotate cu resurse si calificate in tehnologiile pe care le vizeaza (desi profunzimea abilitatii poate varia).
• Experimentati: utilizeaza tehnici si instrumente stabilite pentru a obtine privilegii ridicate pentru a accesa sau controla diferite aspecte ale mosiei (ceea ce le acorda privilegiile de care au nevoie pentru a-si indeplini obiectivul).

Exista variatii ale stilului de atac in functie de motivatie si obiectiv, dar metodologia de baza este aceeasi. In anumite privinte, acest lucru este similar cu diferenta dintre o masina electrica moderna si un vehicul in stil „Mad Max” asamblat din orice piese de schimb disponibile usor si ieftin.

Ce sa faci in legatura cu asta?

Deoarece atacatorii umani sunt adaptabili, o strategie statica axata pe tehnologie nu va oferi flexibilitatea si agilitatea de care aveti nevoie pentru a tine pasul cu (si a avansa) acestor atacuri. Din punct de vedere istoric, securitatea cibernetica a avut tendinta de a se concentra asupra infrastructurii, retelelor si dispozitivelor – fara a intelege neaparat modul in care aceste elemente tehnice se coreleaza cu obiectivele si riscul afacerii.

Intelegand valoarea informatiilor ca un activ comercial, putem lua masuri concertate pentru a preveni compromisul si a limita expunerea la risc. Luati e-mail, de exemplu, fiecare angajat al companiei il foloseste de obicei, iar majoritatea comunicarilor au valoare limitata pentru atacatori. Cu toate acestea, contine si informatii potential extrem de sensibile si privilegiate din punct de vedere juridic (motiv pentru care e-mailul este adesea tinta finala a multor atacuri sofisticate). Clasificarea e-mailurilor numai prin lentile tehnice ar clasifica incorect e-mailul fie ca un activ de mare valoare (corect pentru acele cateva elemente foarte importante, dar imposibil de scalat), fie ca un activ de valoare mica (corect pentru majoritatea articolelor, dar rateaza „coroana”) bijuterii in e-mail).

Figura 2: Securitate centrata pe afaceri.

Liderii de securitate trebuie sa faca un pas inapoi de la obiectivul tehnic, sa afle ce active si date sunt importante pentru liderii de afaceri si sa acorde prioritate modului in care echipele isi petrec timpul, atentia si bugetul prin obiectivul importantei afacerii. Obiectivul tehnic va fi re-aplicat ca securitate, iar echipele IT lucreaza prin solutii, dar analizand acest lucru doar ca o problema tehnologica exista un risc ridicat de a rezolva problemele gresite.

Este o calatorie pentru a intelege pe deplin modul in care valoarea afacerii se traduce prin active tehnice, dar este esential sa incepeti si sa faceti din aceasta o prioritate absoluta pentru a pune capat eternului joc de „whack-a-mole” pe care il joaca astazi securitatea.

Liderii de securitate ar trebui sa se concentreze pe facilitarea acestei transformari prin:

1. Alinierea companiei intr-o relatie bidirectionala:

• Comunicati in limba lor : explicati amenintarile la adresa securitatii intr-un limbaj si o terminologie prietenoase pentru afaceri, care ajuta la cuantificarea riscului si a impactului asupra strategiei si misiunii generale de afaceri.
• Participati la ascultare si invatare activa : discutati cu oameni din intreaga companie pentru a intelege serviciile si informatiile importante pentru afaceri si impactul daca acestea ar fi fost compromise sau incalcate. Acest lucru va oferi o perspectiva clara asupra prioritizarii investitiilor in politici, standarde, instruire si controale de securitate.

1. Traducerea invatarilor despre prioritatile si riscurile de afaceri in actiuni concrete si durabile:

• Concentrarea pe termen scurt pe abordarea prioritatilor arzatoare:
  • Protejarea activelor critice si a informatiilor de mare valoare cu controale de securitate adecvate (care creste securitatea, permitand in acelasi timp productivitatea afacerii)
  • Concentrati-va asupra amenintarilor imediate si emergente care sunt cel mai susceptibile de a provoca impactul afacerii
  • Monitorizarea schimbarilor in strategiile si initiativele de afaceri pentru a ramane aliniat.

• Stabiliti pe termen lung directia si prioritatile pentru a face progrese constante in timp, pentru a imbunatati pozitia generala de securitate:
  • Zero Trust: Creati o viziune clara, strategie, plan si arhitectura pentru reducerea riscurilor in organizatia dvs., aliniata la principiile zero trust de presupunere a incalcarii, privilegii minime si verificare explicita. Adoptarea acestor principii trece de la controale statice la decizii mai dinamice bazate pe riscuri, care se bazeaza pe detectari in timp real ale comportamentului anormal, indiferent de unde a rezultat amenintarea.
  • B urndown datorii tehnice ca o strategie coerenta de operare de securitate cele mai bune practici in intreaga organizatie , cum ar fi inlocuirea de autentificare bazata pe parola cu passwordless si multi-factor de autentificare (AMF), aplicarea patch – uri de securitate, si care iese la pensie (sau izolarea) sistemele vechi. La fel ca si plata unei ipoteci, trebuie sa efectuati plati constante pentru a realiza intregul beneficiu si valoarea investitiilor dvs.
  • Aplicati clasificari de date , etichete de sensibilitate si controale de acces bazate pe roluri pentru a proteja datele de pierderi sau compromisuri pe tot parcursul ciclului sau de viata. Desi acestea nu pot surprinde complet natura dinamica si bogatia contextului si a perspectivelor de afaceri, ele sunt elemente cheie pentru ghidarea protectiei si guvernarii informatiilor, limitand impactul potential al unui atac.

1. Stabilirea unei culturi de securitate sanatoase prin practicarea explicita, comunicarea si modelarea publica a comportamentului potrivit. Cultura ar trebui sa se concentreze pe colaborarea deschisa intre colegi de afaceri, IT si securitate si aplicarea unei „mentalitati de crestere” a invatarii continue. Schimbarile culturale ar trebui sa se concentreze pe indepartarea silozurilor din securitate, IT si organizatia de afaceri mai mare pentru a atinge niveluri mai mari de schimb de cunostinte si de rezistenta.

Puteti citi mai multe despre recomandarile Microsoft pentru strategia si cultura de securitate aici.

In urmatorul blog al seriei, vom explora cei mai frecventi vectori de atac, cum si de ce functioneaza atat de eficient si strategiile de atenuare a amenintarilor in materie de securitate cibernetica.

Pentru a afla mai multe despre solutiile de securitate Microsoft vizitati site-ul nostru web. Marcati blogul Security pentru a tine pasul cu acoperirea noastra de experti in probleme de securitate. De asemenea, urmati-ne la @MSFTSecurity pentru cele mai recente stiri si actualizari privind securitatea cibernetica.