По мере того, как очередной год подходит к концу, лидеры в области кибербезопасности оглядываются назад и пересматривают главные тенденции 2023 года. Темы вверху для многих в отрасли удаленных работников, кибер-страхование, генеративных AI, обучений и многое другое. Здесь, лидеров кибербезопасности поделиться некоторыми своими мыслями.
Удаленная рабочая сила
Пиюш Пандей, генеральный директор Pathlock:
Учитывая реалии современной гибридной рабочей силы, организациям необходимо оценить, насколько хорошо их технологии управления доступом и обнаружения угроз и реагирования на них работают вместе. Аномалии удаленного доступа, особенно в контексте браузера, которые в прошлом было легче обнаружить, теперь гораздо сложнее идентифицировать последовательно, оказывая большее давление как на ИТ—отдел (для выявления потенциальных и реальных рисков), так и на самих сотрудников, ожидающих предоставления доступа для продолжения их рабочих процессов.
Есть несколько ключевых дополнений к стратегии, которые организациям необходимо учитывать при решении проблемы гибридной рабочей силы. Во-первых, при работе на основе принципа “наименьших привилегий” или “нулевых привилегий” эффективная обработка запросов на доступ становится критически важной — как с точки зрения поддержания бизнеса в рабочем состоянии, так и с точки зрения удовлетворенности сотрудников (и партнеров, потенциально). Задержка с одобрением надлежащих запросов замедлит бизнес и расстроит конечных пользователей. Таким образом, автоматизированный рабочий процесс является ключевым в этом отношении. Искусственный интеллект также может сыграть важную роль в ускоренной маршрутизации запросов и даже в согласовании через прокси.
Еще одна стратегия, на которую организациям следует обратить внимание, – это внедрение политик динамического доступа. При обнаружении потенциально опасной учетной записи, получающей доступ к информации из нестандартного местоположения, организации должны иметь возможность динамически корректировать меры безопасности данных, такие как маскировка данных, для более эффективного управления рисками в рамках данного приложения или бизнес-процесса. Автоматизированное выполнение этого дает ИТ-подразделениям и службам безопасности больше времени для оценки риска и принятия надлежащих ответных мер, в отличие от не полностью осознанной реакции.
Дэйв Джерри, генеральный директор Bugcrowd:
Сегодняшняя рабочая сила не похожа ни на одну из тех, что мы видели ранее. Быстрый переход на дистанционное управление позволил признать, что команды могут сотрудничать из любого места. Это требует повышения скорости ведения бизнеса в глобальном масштабе и создает новые риски, с которыми приходится сталкиваться CISO.
Коммуникации сотрудников в гибридной или удаленной среде становятся все более подверженными атакам социальной инженерии, а личные или незащищенные корпоративные устройства становятся объектами атак программ-вымогателей. Хотя это не новая тактика, уровень, на котором выросли атаки, указывает на сохраняющуюся угрозу.
Предоставление сотрудникам возможности по-другому думать о безопасности и быть защитниками безопасности будет иметь большое значение для обеспечения безопасности этого нового периметра. Традиционные подходы к обеспечению безопасности никуда не денутся — защита устройств, приложений, сетей, инфраструктуры и бизнес-систем в целом остаются важными элементами любой программы обеспечения безопасности.
В отличие от повседневной работы в офисе, сотрудникам сложнее получать помощь или информацию об инструментах и процессах безопасности в режиме реального времени. Предоставление сотрудникам возможности продолжать выполнять свою работу, оставаясь при этом в безопасности, – это уравновешивающий фактор, который современный CISO должен преодолеть.
Тренинги по повышению осведомленности в области безопасности по-прежнему остаются наилучшим подходом к обеспечению безопасности разрозненных трудовых ресурсов. Крайне важно обеспечить надежные программы обучения безопасности, специально ориентированные на социальную инженерию и программы-вымогатели.
Киберстрахование
Марк Миллендер, старший советник по взаимодействию с глобальными руководителями Tanium:
По мере развития индустрии киберстрахования и увеличения объема данных по историческим претензиям требования к страхованию продолжают меняться. Как правило, это приводит к повышению требований к средствам защиты в области кибербезопасности и увеличению количества ”обязательных элементов” для приобретения политики, например, многофакторной аутентификации (MFA) и защиты конечных точек (EPP). Учитывая, что отрасль управляется массовым анализом данных и обнаружением корреляции, единичная претензия может не оказать большого влияния. Но если она указывает на тенденцию, она приведет к изменениям.
Мой лучший совет – относиться к страховой компании по киберстрахованию как к партнеру. Развитие прочных отношений и участие в регулярном диалоге улучшат как процессы продления, так и процессы подачи претензий. Руководители служб безопасности должны проявлять инициативу и открытость в отношениях и рассказывать полную историю своего подхода к кибербезопасности, помимо заполнения заявления и анкет. Помните: ни у кого нет больше данных о рисках и потерях в области кибербезопасности, чем у компании по киберстрахованию — имеет смысл прислушаться к их советам.
Джозеф Карсон, главный специалист по безопасности и консультант CISO в Delinea:
Компании по киберстрахованию в значительной степени подвержены росту числа успешных киберинцидентов, таких как программы-вымогатели, и теряют деньги. Чтобы гарантировать, что они смогут покрыть риски, им необходимо повысить цену. В ходе нашего исследования по киберстрахованию мы обнаружили, что цены на страхование значительно выросли и что большинство компаний, получающих киберстрахование, в конечном итоге используют его, причем многие используют многократно.
Зависимость от сторонних поставщиков может существенно повлиять на киберриски и, как следствие, на страховые взносы. Поэтому руководителям служб безопасности необходимо обеспечить получение хорошей премии, чтобы они могли управлять киберрисками третьих лиц. Если они будут управлять рисками, то смогут значительно сократить расходы и снизить премии. Применение прагматичного подхода, основанного на оценке рисков, и снижение рисков путем внедрения надежных решений может показать страхователю, что у него меньше шансов стать жертвой и он получит более низкую премию.
В результате внедрения большего количества полисов киберстрахования и, в конечном счете, необходимости их использования многими предприятиями, стоимость киберстрахования продолжает расти тревожными темпами. Я ожидаю, что это продолжится и в 2024 году.
Бад Брумхед, генеральный директор Viakoo:
Три ключевых тренда стимулируют рост рынка киберстрахования. Это включает в себя растущую ответственность за кибератаки, советы директоров и высшее руководство, несущие большую ответственность за нарушения, и “принудительную функцию”, которую обеспечивает киберстрахование для поддержания их позиции в области кибербезопасности.
Эти факторы менялись и будут меняться со временем и сохранятся еще в течение нескольких лет, потому что, в отличие от любой другой формы страхования, способность предсказать размер ущерба от киберинцидента очень ограничена; по сравнению со страхованием автомобилей или домовладельцев, где имеется много данных, позволяющих предположить возможные суммы выплат, киберстрахование все еще пытается определить, какими могут быть потенциальные выплаты. Например, страховщики только начинают проводить оценку рисков в системах Интернета вещей / ОТ, которые потенциально могут привести к гибели людей, физическому ущербу и гораздо большему ущербу репутации, чем потери от утечки данных.
Оценка рисков и киберстрахование всегда будут развиваться так же, как эволюционируют сами векторы угроз. Недавние изменения, такие как смена участников угроз, использующих уязвимые устройства Интернета Вещей / OT, и увеличение числа уязвимостей с открытым исходным кодом, вынуждают страховщиков адаптировать свои модели рисков, а также предъявлять условия застрахованным, например, требовать автоматизированной кибергигиены для устройств и систем, не связанных с ИТ.
Самое важное для организации – провести собственную оценку рисков и убедиться, что ее внутренняя политика учитывает все возможности атаки. Слишком часто организации разрабатывают хорошо продуманные внутренние политики, но затем применяют их только к традиционным ИТ-ресурсам; все активы, подключенные к цифровым технологиям (например, IoT / OT), должны подпадать под действие этих политик, если только не предоставлено конкретное исключение.
Генеративный искусственный интеллект
Джон Аллен, вице-президент по киберрискам и комплаенсу Darktrace:
Из-за текущих и будущих рисков, связанных с генеративным ИИ, я ожидаю, что в ближайшем будущем мы увидим ужесточение правил защиты данных. Люди заботятся о конфиденциальности и будут ожидать, что их представители примут законы и подзаконные акты для ее защиты. Для того, чтобы отрасль смогла реализовать ожидаемую ценность искусственного интеллекта, нам необходимо сотрудничать с руководящими органами, чтобы обеспечить уровень согласованности и разумности в потенциальных законах и нормативных актах.
Использование инструментов искусственного интеллекта, в конечном счете, все еще находится в зачаточном состоянии, и по-прежнему остается много вопросов, которые необходимо решить, чтобы обеспечить соблюдение конфиденциальности данных и соблюдение требований организаций. Мы все должны сыграть свою роль в лучшем понимании потенциальных рисков и обеспечении принятия правильных мер и политик для защиты конфиденциальности и сохранности данных.
Шон Сурб, старший директор по управлению техническими учетными записями Tanium:
В отличие от большинства факторов риска, генеративный ИИ становится универсальным. ИИ быстро встраивается во все виды инструментов, и всякий раз, когда разработка идет быстрыми темпами, это создает потенциал для неожиданных уязвимостей. Кроме того, поскольку бесплатный и платный доступ к генеративному ИИ доступен каждому, риск непреднамеренной утечки данных в стиле инсайдерских угроз растет экспоненциально.
Генеративный ИИ потенциально может вывести концепцию вредоносного ПО как сервиса и действия по созданию сценариев на совершенно новый уровень, поскольку новички в этой области используют генераторы кода для создания своего кода. Как правило, это не самый эффективный или наиболее скрытый код, однако это означает, что больше людей смогут еще быстрее создавать вредоносный код, что повышает общий уровень угрозы по всем направлениям. Это потенциально может увеличить число небольших организаций и потребителей, на которые нацелен этот тип вредоносного ПО. Компрометация справочных ботов остается одной из моих самых больших проблем при атаках с использованием искусственного интеллекта.
Патрик Харр, генеральный директор SlashNext:
Генеративный ИИ изменил правила игры для киберпреступников, которые могут с его помощью очень быстро разрабатывать, распространять и модифицировать атаки. Он также повысил эффективность безопасности в организациях. С ростом сложности и объема угроз, атакующих организации на всех устройствах, генеративная защита на основе искусственного интеллекта дает организациям реальный шанс остановить эти взломы.
Тренинг по повышению осведомленности в области безопасности
Мика Аалто, соучредитель и генеральный директор Hoxhunt:
В 2023 году мы еще раз увидели, насколько важно для команд безопасности сосредоточиться на поведении сотрудников, а не просто на осведомленности, в наш век изощренных онлайн-атак. Устаревшая модель обучения осведомленности о безопасности была разработана для соответствия вчерашним угрозам. Для сегодняшних и завтрашних атак необходима динамичная платформа для изменения поведения в области безопасности, которая соответствует постоянно меняющемуся ландшафту угроз. И помните, что информация о человеческих угрозах – ужасная вещь, которую стоит тратить впустую. Вполне вероятно, что в вашей организации есть сторонники безопасности, которые сообщают о новых атаках, подобных этой. Убедитесь, что у вас есть хороший процесс SOC, который подчеркивает скорость сообщения об угрозах и реагирования на них, чтобы опасность могла быть устранена как можно эффективнее.
Том Корн, директор по продуктам Ontinue:
2023 год в очередной раз продемонстрировал, что высокая осведомленность организации в области информационной безопасности имеет решающее значение для предотвращения кибератак. Организация должна развивать культуру “отчетности без последствий”, чтобы сотрудники чувствовали себя в безопасности и чувствовали себя комфортно, сообщая о подозрительных действиях. В дополнение к формированию этой культуры среди сотрудников, организации также должны осуществлять постоянный мониторинг всех потенциальных поверхностей атаки.
Безопасность мобильных устройств
Джей Ти Китинг, старший вице-президент по стратегическим инициативам Zimperium:
Сегодня мобильная безопасность и обучение на предприятиях важны как никогда. В большинстве случаев мобильные устройства представляют собой значительное, безадресное поле атаки для предприятий. Независимо от того, принадлежат ли они корпорации или являются частью стратегии BYOD, необходимость внедрения соответствующих средств контроля безопасности и информирования конечных пользователей о потенциальных угрозах имеет решающее значение.
По мере развития технологий для решения новых бизнес-задач и потребностей современная мобильная эра открыла новую категорию безопасности, помогающую бороться с текущими угрозами.
Безопасность API
Скотт Герлах, соучредитель и CSO в StackHawk:
Безопасность API заняла центральное место в 2023 году. Она продолжает оставаться сложной из-за быстрых темпов разработки, опережающих доступные ресурсы безопасности, что приводит к упущенным уязвимостям. Ограниченная видимость команд безопасности во время разработки и игры в догонялки с новыми и существующими API еще больше подчеркивает риски. Организации могут сделать безопасность API более достижимой, укрепляя сотрудничество между командами безопасности и инженерами, используя сгенерированную в коде документацию API для точного тестирования, интегрируя тесты безопасности на ранних стадиях разработки, предоставляя разработчикам контекстуальную информацию об уязвимостях и автоматизируя рутинные задачи безопасности. Такой подход обеспечивает проактивную стратегию безопасности, минимизирует уязвимости и позволяет командам безопасности сосредоточиться на комплексном тестировании, повышая общую безопасность API организации.
Нулевое доверие
Даррен Гуччионе, генеральный директор и соучредитель Keeper Security:
Кибератаки, подобные тем, что произошли ранее в этом году на MGM и Caesars, подчеркивают важность приоритизации кибербезопасности организациями любого размера до того, как киберпреступник нанесет удар. В случае атаки, независимо от того, каким образом субъект угрозы получает доступ к сети, следующий шаг – убедиться, что он не сможет продвинуться дальше. Большие и малые организации должны внедрить архитектуру безопасности с нулевым доверием и доступом с наименьшими привилегиями, чтобы гарантировать сотрудникам доступ только к тому, что им необходимо для выполнения своей работы.
Нулевое доверие – это современная система безопасности, которая устраняет неявное доверие. Она требует, чтобы все пользователи и устройства постоянно и явно проверялись, и строго ограничивает доступ к сетевым системам и данным. Вместо того, чтобы фокусироваться на том, откуда пользователи входят в систему, zero trust концентрируется на том, кто они такие. Внедряя систему нулевого доверия в своей инфраструктуре, руководители будут в более выгодном положении не только для выявления атак на свою организацию и реагирования на них, но и для смягчения любого потенциального ущерба.
Ник Раго, технический директор Salt Security:
В 2023 году резко возросло использование API. В результате разрастания API возросли риски раскрытия данных, и большинству организаций не хватает стратегий управления своими API. Тем не менее, API сейчас обеспечивают подавляющее большинство приложений и сервисов, на которые компании и потребители полагаются ежедневно. Эта стремительная эскалация API также создала гораздо большую поверхность атаки для злоумышленников – и злоумышленники полностью осознают огромную ценность данных, передаваемых с помощью API. Поскольку они обычно передают персональные данные (PII) и другие важные финансовые данные, API представляют собой весьма прибыльную цель. Киберпреступники могут использовать информацию в неблаговидных целях, таких как получение выкупа или перепродажа на черном рынке.
Организации должны иметь возможность постоянно открывать для себя API, существующие в их среде. Они должны понимать назначение каждого API, чтобы оценить, соответствует ли он требованиям безопасности, и убедиться, что он предоставляет правильный уровень данных в соответствии со своим назначением. Кроме того, организациям необходима надлежащая защита API во время выполнения. Защита во время выполнения необходима для выявления потенциальных угроз и защиты от утечек данных. Наблюдая и понимая поведение API во время их использования, организации могут выявлять аномалии, чтобы быстро идентифицировать и пресекать любое неправильное использование API, когда злоумышленник пытается воспользоваться плохо спроектированным или неправильно сконфигурированным API.
Управление поведением
Клод Мэнди, главный евангелист по безопасности данных в Symmetry Systems:
Управление состоянием – это эквивалент проверки работоспособности цифрового актива или коллекции цифровых активов, даже всей организации. Подобно проверке работоспособности, цель состоит в том, чтобы активно выявлять симптомы и устранять их до того, как они станут более серьезными проблемами. Постоянно оценивая, собирая доказательства и внося исправления в ожидаемые конфигурации и средства контроля, защищающие активы, организация может гарантировать, что безопасность своих активов находится в идеальном состоянии. К сожалению, большинству организаций трудно даже идентифицировать свои активы, поэтому управление состоянием должно начинаться с обнаружения и инвентаризации самих активов.
Проверка состояния устройств, вероятно, была первым основным методом управления состоянием, который использовался для проверки безопасности пользовательских устройств перед предоставлением доступа к сети. С тех пор технология управления состоянием облачной безопасности (CSPM) стала популярной в 2014 году, когда Netflix открыла Security Monkey с открытым исходным кодом. Как и многие проекты Netflix с открытым исходным кодом, этот проект быстро превратился в значительное количество коммерческих продуктов CSPM. Использование CSPM стало неотъемлемой частью инструментария каждой команды по облачной безопасности, но имеет ограничения из-за отсутствия бизнес-контекста в отношении данных и идентификационных данных в облачной инфраструктуре.
Ключевым моментом в управлении состоянием безопасности в любой форме является то, что оно должно быть действенным. Подобно проверкам работоспособности, вы не можете постоянно указывать на то, что невозможно исправить или в чем не нуждается. К сожалению, многие из этих инструментов создают много шума, который требует тщательного расследования, чтобы определить, нужно ли исправлять полученные результаты или их можно исправить без влияния на бизнес. Предприятиям следует искать инструменты, которые привели к заметному улучшению состояния безопасности и поддерживали его в течение первых 12 месяцев. Обычно для этого требуется инструмент для сбора дополнительной информации о бизнес-данных и бизнес-логике о том, кто должен иметь доступ, а также способ оценки влияния на текущие операции.