Узнайте, как создать эффективный стек безопасности для вашей команды

Опубликовано: 2020-05-05

Создание технологического стека — одна из самых сложных задач, с которой сталкиваются ИТ-администраторы, специалисты по кибербезопасности и владельцы бизнеса.

Это связано с тем, что создание набора инструментов для повышения производительности и кибербезопасности требует тщательного балансирования.

В принципе, чем больше инструментов кибербезопасности вы развернете, тем безопаснее будут ваши системы, но только до определенного момента: если вы сделаете свой стек слишком сложным, им может стать трудно управлять, что приведет к появлению уязвимостей, а также к увеличению предварительные инвестиции в технические системы.

В отчете Aberdeen и Cyber ​​adAPT говорится, что типичный шестиуровневый технологический стек предприятия, состоящий из сети, хранилища, физических серверов, а также уровней виртуализации, управления и приложений, требует от директоров по информационной безопасности работы с не менее чем 1,6 млрд версий технические установки для 336 продуктов, предоставленных 57 вендорами.

Эта проблема усугубляется все более динамичным характером большинства корпоративных сред. Рост числа программных решений для удаленной работы, возобновление интереса к управлению виртуальными командами и постепенное увеличение использования VPN за последние десять лет свидетельствует о том, что многие компании в настоящее время стремятся разработать стеки кибербезопасности, которые можно было бы эффективно развертывать вне офиса. с дополнительными сложностями, которые это приносит.

В этой статье мы вернемся к основам. Создание эффективного стека инструментов кибербезопасности базируется на фундаментальном уровне на ряде ключевых принципов. Имейте это в виду, создавая и развивая свой собственный стек, и вы сможете достичь баланса простоты и функциональности, который является признаком отличного стека инструментов.

Как правильно построить стек безопасности

Первым и наиболее важным шагом в создании стека инструментов кибербезопасности является разработка стратегии кибербезопасности и управления информацией. Это может показаться очевидным, но многие организации до сих пор упускают из виду этот шаг: 44% из 9500 руководителей, опрошенных PwC в 2018 году, заявили, что у них нет общей стратегии информационной безопасности.

Без тщательной и строгой стратегии кибербезопасности практически невозможно создать набор инструментов, который действительно снижает угрозы, с которыми вы сталкиваетесь. Любой стек инструментов, разработанный без стратегического надзора, скорее всего, будет страдать от ряда взаимосвязанных проблем. Он будет либо недостаточно широким, чтобы справиться с широтой вашего профиля угроз, либо быстро устареет из-за растущего числа угроз, либо не позволит вам контролировать ваши данные в достаточной степени, чтобы соответствовать законодательству об управлении и соблюдении нормативных требований.

Можно привести два примера этого. Стремительный рост криптоджекинга за последние несколько лет застал многие компании врасплох, потому что они привыкли защищать данные, а не свои вычислительные ресурсы, и без регулярных проверок угроз многим было трудно реагировать. Точно так же растущие масштабы интернет-цензуры за последнее десятилетие сделали многие устаревшие решения для удаленной работы почти бесполезными, потому что компании считают само собой разумеющимся, что удаленные работники имеют полный доступ ко всем онлайн-ресурсам и системам, в которых они нуждаются.

Однако это не все плохие новости. Разработка структуры кибербезопасности — это не только снижение рисков: она также может повысить производительность. В опросе, проведенном Tenable в 2016 году, 95 % респондентов, использующих структуру, увидели преимущества, в том числе более высокую эффективность операций по обеспечению безопасности, соблюдение договорных обязательств, зрелость и возможность более эффективно презентовать готовность к обеспечению безопасности для бизнес-руководителей.

Узнайте, каковы зоны вашего бизнеса

Когда у вас есть эффективная система управления рисками, пришло время честно оценить наиболее опасные уязвимости кибербезопасности, с которыми сталкивается ваш бизнес, и определить приоритетность тех рисков, которые окажут наибольшее влияние на устойчивость вашего бизнеса.

Большинство фирм, занимающихся анализом кибербезопасности, разбивают виды угроз, с которыми сталкивается средний бизнес, на пять элементов:

  • Физическая безопасность ваших систем и оборудования , включая системы контроля доступа и нулевого доверия.
  • Безопасность сетевого периметра , которая включает в себя обнаружение вторжений, смягчение их последствий и защиту конечных точек.
  • Безопасность внутренних коммуникаций. Это широкая область, включающая тактику ограничения утечек и потерь данных, а также системы борьбы с внутренними угрозами, которые остаются одними из самых опасных уязвимостей, с которыми сталкиваются компании.
  • Реагирование на инциденты также должно быть неотъемлемой частью любой стратегии кибербезопасности. Даже самый безопасный стек инструментов кибербезопасности не может обеспечить вам 100% защиту от всех угроз, и то, как вы реагируете на успешные атаки, часто является наиболее важным элементом постоянной устойчивости бизнеса.
  • Наконец, ваша стратегия должна включать долгосрочный ответ на успешные атаки , который включает в себя процесс киберкриминалистики, расследования и стратегии судебного разбирательства после атаки.

Эти пять элементов также содержатся в наиболее тщательной структуре планирования стратегии кибербезопасности: структуре NIST. Эта структура включает пять принципов (выявление, обнаружение, защита, реагирование и восстановление после угроз), которые отражают описанные выше и представляют собой комплексный подход к борьбе с киберугрозами.

Используйте многоуровневый подход к безопасности

Имея стратегию кибербезопасности, вы можете начать инвестировать в инструменты, необходимые для защиты ваших данных (и вашего персонала) от киберугроз. Ценность понимания ваших систем как набора элементов и одновременного следования структуре NIST заключается в том, что этот подход подчеркивает, что ваша сеть не является монолитным целым. Каждый уровень вашей системы должен быть защищен, и каждый из этих защитных инструментов должен основываться на последнем.

Из анализа, который мы объяснили выше, можно извлечь два основных урока. Во-первых, компании должны сбалансировать свои расходы на кибербезопасность по всем пяти элементам своей сетевой безопасности, потому что в конечном итоге безопасность ваших систем настолько хороша, насколько хороша безопасность самой слабой части. Во-вторых, это указывает на защитную парадигму, которая была впервые популяризирована АНБ, но теперь является фундаментальной частью стратегии кибербезопасности большинства предприятий: «глубокоэшелонированная защита».

Балансировка вашего стека

Давайте рассмотрим эти две идеи по очереди. Основная ценность оценки рисков в соответствии с приведенной выше рубрикой заключается в том, что она позволяет компаниям сбалансировать свои инвестиции в инструменты стека кибербезопасности в зависимости от типа данных, которые они хранят, и где их уязвимости наиболее серьезны.

Например, для компаний, которым необходимо защитить значительные объемы интеллектуальной собственности, уязвимости системы резервного копирования, вероятно, будут основным приоритетом и областью, в которой необходимо будет развернуть более совершенные инструменты кибербезопасности. Компании такого типа также должны сосредоточиться на защите от взлома и предотвращении вторжений, поскольку они содержат ценные (и, следовательно, потенциально уязвимые) данные.

Компании другого типа, скажем, те, которые сосредоточены на предоставлении инструментов SaaS, должны будут расставить приоритеты в другой части своего стека. Компания, предоставляющая большую часть своих услуг через Интернет, должна будет уделять больше внимания защите от DDoS-атак и целостности серверов. Вместо того, чтобы хранить ценность в данных, в такого рода компаниях устойчивость представлена ​​​​время безотказной работы, и это должно влиять на решения о покупке, когда речь идет о создании стека инструментов кибербезопасности.

Глубокая защита

Концепция «глубокоэшелонированной защиты» неотъемлемо содержится в идее «стека» кибербезопасности. На практике это означает, что ваша оборона должна быть организована в виде ряда защитных слоев, каждое здание следует за последним. Это также означает, что методы, используемые этими защитными механизмами, должны быть хорошо диверсифицированы.

Основная идея здесь заключается в том, что хакерам должен быть предоставлен ряд усиливающихся средств защиты и контрмер. Помимо представления о том, что ваш стек защищает вас на пяти уровнях, которые мы рассмотрели выше, это также означает, что ваши инструменты должны использовать как можно больше из следующих методов:

  • Конечная точка или антивирусное программное обеспечение
  • Облачная безопасность электронной почты или расширенная защита от угроз
  • Аутентификация и безопасность пароля
  • Архивирование
  • Биометрия
  • Безопасность, ориентированная на данные
  • Непрерывность электронной почты и DRP
  • Шифрование
  • Брандмауэры (аппаратные или программные)
  • Хэширование паролей
  • Системы обнаружения вторжений (IDS)
  • Ведение журнала и аудит
  • Многофакторная аутентификация
  • Сканеры уязвимостей
  • Контроль доступа по времени
  • Обучение по безопасности в Интернете
  • Виртуальная частная сеть (VPN)
  • Песочница
  • Системы защиты от вторжений (IPS)

Глубокая защита также означает, что компании не должны рассматривать свою защиту как непроницаемую «стену», которая будет сдерживать всех злоумышленников. Вместо этого вы должны смириться с тем, что в конечном итоге некоторые из ваших защитных механизмов первой линии будут прорваны.

Хорошим примером этого является безопасность электронной почты. Подавляющее большинство фирм будут использовать электронную почту, предоставленную Microsoft или Google. Обе эти системы имеют хорошо известные уязвимости в системе безопасности, а также хорошо известно, что подавляющее большинство кибератак начинается с фишинговой электронной почты.

Попытка остановить все эти атаки на уровне почтовых ящиков сотрудников практически невозможна, при этом обеспечивая гибкость и функциональность, необходимые сотрудникам для продуктивной работы. Вместо этого компаниям следует обратить внимание на следующий уровень безопасности: где хранятся электронные письма, что для большинства фирм будет облачным хранилищем.

Таким образом, шифрование электронной почты и обучение персонала имеют решающее значение для предотвращения кибератак. Обеспечение глубокой защиты также означает внедрение зашифрованных облачных хранилищ для электронной почты и резервное копирование этих зашифрованных архивов.

Совершенствуйте свою сетевую безопасность

При работе с описанной выше структурой вы сразу поймете, что создание безопасного стека кибербезопасности, вероятно, потребует инвестиций в несколько инструментов от разных поставщиков. Это разнообразие, как мы уже отмечали, имеет решающее значение для обеспечения надежной защиты от кибербезопасности, но оно также может вызывать проблемы.

Это связано с тем, что компании склонны заключать субподрядные услуги по обеспечению безопасности для различных уровней своих стеков кибербезопасности, не тщательно продумывая обязанности, которые должны быть возложены на каждого поставщика.

Таким образом, наряду с инвестициями в качественные инструменты ваша стратегия кибербезопасности должна также включать в себя тщательное определение того, кто из ваших поставщиков берет на себя ответственность за какие части вашей системы: как на операционной основе, так и когда дело доходит до возможного судебного разбирательства после кибератаки.

В идеале ваши отношения с поставщиками следует рассматривать как деловое партнерство, а не как простые отношения покупателя и поставщика. Качественных поставщиков можно узнать по времени и усилиям, которые они тратят на то, чтобы понять ваши потребности, и по их реакции на них. Уважаемый поставщик также сможет четко указать свои операционные и юридические обязанности, когда речь идет о защите ваших данных.

Вывод

Когда дело доходит до создания стеков кибербезопасности, многие компании по-прежнему демонстрируют «фиксацию цели». В зависимости от сектора, в котором они работают, может возникнуть соблазн сосредоточиться исключительно на одной части вашей инфраструктуры кибербезопасности: например, на защите данных, если ваша бизнес-модель основана на аналитике и сборе данных, или на попытках сделать ваши информационные платформы на 100 % безопасными. если вы работаете в сфере маркетинга.

Как мы показали выше, такой подход проблематичен, потому что он не в состоянии реализовать центральное понимание модели «стека». Вместо того, чтобы строить якобы непроницаемые стены вокруг вашей сети, вам нужно смириться с тем, что рано или поздно кто-то в нее вторгнется. В этот момент они должны столкнуться с нарастающей серией трудностей.

Применяя более целостный подход, вы можете улучшить безопасность на каждом уровне своего стека — независимо от того, работаете ли вы с маркетинговыми данными или экосистемой IoT — и убедиться, что в вашей броне нет брешей.