เรียนรู้วิธีสร้างกองความปลอดภัยที่มีประสิทธิภาพสำหรับทีมของคุณ

เผยแพร่แล้ว: 2020-05-05

การสร้างกองเทคโนโลยีเป็นหนึ่งในงานที่ยากที่สุดที่ผู้ดูแลระบบไอที ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ และเจ้าของธุรกิจต้องเผชิญ

ทั้งนี้เนื่องจากการสร้างชุดเครื่องมือเพิ่มประสิทธิภาพการทำงานและความปลอดภัยทางไซเบอร์นั้นจำเป็นต้องมีการปรับสมดุลอย่างรอบคอบ

โดยหลักการแล้ว ยิ่งคุณปรับใช้เครื่องมือความปลอดภัยทางไซเบอร์มากเท่าใด ระบบของคุณก็จะยิ่งมีความปลอดภัยมากขึ้นเท่านั้น แต่จนถึงจุดใดจุดหนึ่งเท่านั้น: หากคุณทำให้สแต็กของคุณซับซ้อนเกินไป การจัดการอาจเป็นเรื่องยาก ดังนั้นจึงทำให้เกิดช่องโหว่ รวมถึงเพิ่ม การลงทุนล่วงหน้าในระบบเทคนิค

รายงานโดย Aberdeen และ Cyber ​​adAPT พบว่าสแต็คเทคโนโลยีระดับองค์กรหกชั้นทั่วไป ซึ่งประกอบด้วยเครือข่าย การจัดเก็บข้อมูล เซิร์ฟเวอร์จริง ตลอดจนเวอร์ชวลไลเซชัน การจัดการ และเลเยอร์แอปพลิเคชัน กำหนดให้ CISO ต้องต่อสู้กับเวอร์ชันไม่น้อยกว่า 1.6 พันล้าน การติดตั้งเทคโนโลยีสำหรับผลิตภัณฑ์ 336 รายการ โดยผู้ขาย 57 ราย

ปัญหานี้ทวีความรุนแรงขึ้นจากลักษณะแบบไดนามิกที่เพิ่มขึ้นของสภาพแวดล้อมองค์กรส่วนใหญ่ การเพิ่มขึ้นของโซลูชันซอฟต์แวร์สำหรับการทำงานระยะไกล ความสนใจครั้งใหม่ในการจัดการทีมเสมือน และการใช้งาน VPN ที่เพิ่มขึ้นทีละน้อยในช่วงสิบปีที่ผ่านมาเป็นเครื่องบ่งชี้ว่าขณะนี้หลายบริษัทกำลังมองหาการพัฒนากองความปลอดภัยทางไซเบอร์ที่สามารถติดตั้งใช้งานนอกสถานที่ได้อย่างมีประสิทธิภาพ ด้วยความซับซ้อนที่เพิ่มเข้ามา

ในบทความนี้ เราจะกลับไปที่พื้นฐาน การสร้างสแต็กเครื่องมือความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพนั้นอยู่ที่ระดับพื้นฐานบนหลักการสำคัญหลายประการ คำนึงถึงสิ่งเหล่านี้เมื่อคุณสร้างและพัฒนาสแต็กของคุณเอง และคุณจะสามารถบรรลุความสมดุลของความเรียบง่ายและการทำงานที่เป็นเครื่องหมายของสแต็คเครื่องมือที่ยอดเยี่ยม

วิธีสร้างกองความปลอดภัยอย่างถูกต้อง

ขั้นตอนแรกและสำคัญที่สุดในการสร้างชุดเครื่องมือความปลอดภัยทางไซเบอร์คือการมีกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์และการกำกับดูแลข้อมูล นั่นอาจฟังดูชัดเจน แต่เป็นขั้นตอนที่หลายองค์กรยังคงมองข้าม: 44% ของผู้บริหาร 9,500 คนที่สำรวจในแบบสำรวจความปลอดภัยของข้อมูลทั่วโลกประจำปี 2561 ของ PwC กล่าวว่าพวกเขาไม่มีกลยุทธ์ด้านความปลอดภัยของข้อมูลโดยรวม

หากไม่มีกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ที่ละเอียดถี่ถ้วนและเข้มงวด แทบจะเป็นไปไม่ได้เลยที่จะสร้างชุดเครื่องมือที่ช่วยบรรเทาภัยคุกคามที่คุณเผชิญได้อย่างแท้จริง ชุดเครื่องมือใด ๆ ที่พัฒนาขึ้นโดยไม่มีการกำกับดูแลเชิงกลยุทธ์อาจประสบปัญหาที่เชื่อมโยงกันจำนวนหนึ่ง มันอาจจะกว้างไม่เพียงพอในการจัดการกับความกว้างของโปรไฟล์ภัยคุกคามของคุณ ล้าสมัยอย่างรวดเร็วเนื่องจากมีภัยคุกคามจำนวนมากขึ้น หรือจะไม่อนุญาตให้คุณดูแลข้อมูลของคุณอย่างเพียงพอเพื่อให้เป็นไปตามกฎหมายกำกับดูแลและการปฏิบัติตาม

อาจยกตัวอย่างสองตัวอย่างนี้ การเพิ่มขึ้นอย่างรวดเร็วของ cryptojacking ในช่วงไม่กี่ปีที่ผ่านมาทำให้หลายบริษัทต้องประหลาดใจ เพราะพวกเขาคุ้นเคยกับการปกป้องข้อมูลมากกว่าการใช้ทรัพยากรในการประมวลผล และหากไม่มีการตรวจสอบภัยคุกคามเป็นประจำ หลายๆ บริษัทพบว่ามันยากที่จะตอบสนอง ในทำนองเดียวกัน การเซ็นเซอร์อินเทอร์เน็ตที่เพิ่มขึ้นในช่วงทศวรรษที่ผ่านมาทำให้โซลูชันการทำงานระยะไกลแบบเดิมจำนวนมากแทบไร้ประโยชน์ เนื่องจากบริษัทต่างๆ ยอมรับว่าพนักงานนอกสถานที่สามารถเข้าถึงทรัพยากรและระบบออนไลน์ทั้งหมดที่พวกเขาต้องการได้อย่างสมบูรณ์

มันไม่ใช่ข่าวร้ายทั้งหมดอย่างไรก็ตาม การพัฒนาเฟรมเวิร์กการรักษาความปลอดภัยทางไซเบอร์ไม่ได้เป็นเพียงการลดความเสี่ยงเท่านั้น แต่ยังช่วยปรับปรุงประสิทธิภาพการทำงานได้อีกด้วย ในการสำรวจของ Tenable ในปี 2016 พบว่า 95% ของผู้ตอบแบบสำรวจที่มีกรอบการทำงานอยู่แล้วเห็นถึงประโยชน์ ซึ่งรวมถึงประสิทธิภาพที่มากขึ้นของการดำเนินการด้านความปลอดภัย การปฏิบัติตามสัญญา วุฒิภาวะ และความสามารถในการนำเสนอความพร้อมด้านความปลอดภัยสำหรับผู้นำทางธุรกิจอย่างมีประสิทธิภาพมากขึ้น

ค้นพบว่าพื้นที่เสี่ยงของธุรกิจของคุณคืออะไร

เมื่อคุณมีกรอบการจัดการความเสี่ยงที่มีประสิทธิภาพแล้ว ก็ถึงเวลาที่จะประเมินช่องโหว่ด้านความปลอดภัยในโลกไซเบอร์ที่อันตรายที่สุดที่ธุรกิจของคุณต้องเผชิญอย่างตรงไปตรงมา และจัดลำดับความสำคัญของความเสี่ยงที่จะมีผลกระทบมากที่สุดต่อความยั่งยืนของธุรกิจของคุณ

บริษัทวิเคราะห์ความปลอดภัยทางไซเบอร์ส่วนใหญ่จะแบ่งประเภทของภัยคุกคามที่ธุรกิจโดยเฉลี่ยต้องเผชิญเป็นห้าองค์ประกอบ:

  • การรักษาความปลอดภัยทางกายภาพของระบบและฮาร์ดแวร์ของคุณ ซึ่งรวมถึงการควบคุมการเข้าถึงและเฟรมเวิร์ก Zero Trust
  • ความปลอดภัยในขอบเขตของเครือข่าย ซึ่งรวมการตรวจจับการบุกรุก การบรรเทาปัญหานี้ และการแข็งตัวของจุดสิ้นสุด
  • ความปลอดภัยของการสื่อสารภายใน นี่เป็นขอบเขตกว้างๆ ซึ่งรวมถึงกลวิธีในการจำกัดการรั่วไหลของข้อมูลและการสูญหาย ตลอดจนระบบเพื่อต่อสู้กับภัยคุกคามภายใน ซึ่งยังคงเป็นช่องโหว่ที่อันตรายที่สุดที่บริษัทต่างๆ ต้องเผชิญ
  • การตอบสนองต่อเหตุการณ์ ควรเป็นส่วนสำคัญของกลยุทธ์ความปลอดภัยทางไซเบอร์ แม้แต่ชุดเครื่องมือความปลอดภัยทางไซเบอร์ที่ปลอดภัยที่สุดก็ไม่สามารถป้องกันภัยคุกคามทุกอย่างได้ 100% และวิธีที่คุณตอบสนองต่อการโจมตีที่ประสบความสำเร็จมักเป็นองค์ประกอบที่สำคัญที่สุดในความยั่งยืนของธุรกิจอย่างต่อเนื่อง
  • สุดท้าย กลยุทธ์ของคุณควรมีการ ตอบสนองระยะยาวต่อการโจมตีที่ประสบความสำเร็จ ซึ่งรวมถึงกระบวนการสำหรับนิติไซเบอร์ การสืบสวน และกลยุทธ์การดำเนินคดีภายหลังการโจมตี

องค์ประกอบทั้งห้านี้ยังมีองค์ประกอบอยู่ในกรอบที่ละเอียดถี่ถ้วนที่สุดสำหรับการวางแผนกลยุทธ์ความปลอดภัยทางไซเบอร์: กรอบงาน NIST เฟรมเวิร์กนี้ประกอบด้วยหลักการ 5 ประการ (ระบุ ตรวจจับ ปกป้อง ตอบสนอง และกู้คืนจากภัยคุกคาม) ที่สะท้อนสิ่งที่กล่าวมาข้างต้น และนำเสนอแนวทางตั้งแต่ต้นจนจบเพื่อจัดการกับภัยคุกคามทางไซเบอร์

ใช้วิธีการหลายชั้นในการรักษาความปลอดภัย

ด้วยกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ คุณสามารถเริ่มลงทุนในเครื่องมือที่จำเป็นในการปกป้องข้อมูลของคุณ (และพนักงานของคุณ) จากภัยคุกคามทางไซเบอร์ คุณค่าของการคิดระบบของคุณเป็นชุดขององค์ประกอบ และการปฏิบัติตามกรอบงาน NIST ควบคู่ไปกับสิ่งนี้ ก็คือแนวทางนี้เน้นว่าเครือข่ายของคุณไม่ใช่ทั้งหมดที่มีเสาหิน แต่ละระดับของระบบของคุณควรได้รับการปกป้อง และเครื่องมือป้องกันแต่ละอย่างเหล่านี้ควรสร้างขึ้นจากส่วนสุดท้าย

มีบทเรียนสำคัญสองบทที่จะดึงมาจากประเภทของการวิเคราะห์ที่เราได้อธิบายไว้ข้างต้น หนึ่งคือ บริษัทต่างๆ ควรปรับสมดุลการใช้จ่ายด้านความปลอดภัยในโลกไซเบอร์ในองค์ประกอบทั้ง 5 ประการในการรักษาความปลอดภัยเครือข่าย เพราะท้ายที่สุดแล้ว ความปลอดภัยของระบบของคุณจะดีพอๆ กับส่วนที่อ่อนแอที่สุดเท่านั้น อย่างที่สองคือ มันชี้ไปที่กระบวนทัศน์การป้องกันที่ NSA เผยแพร่ครั้งแรก แต่ตอนนี้ได้กลายเป็นส่วนสำคัญของกลยุทธ์ความปลอดภัยทางไซเบอร์ของธุรกิจส่วนใหญ่ นั่นคือ "การป้องกันในเชิงลึก"

ปรับสมดุลกองของคุณ

ลองมาดูสองแนวคิดนี้กัน มูลค่าหลักของการประเมินความเสี่ยงตามรูบริกด้านบนคือช่วยให้บริษัทต่างๆ สามารถปรับสมดุลการลงทุนในเครื่องมือสแต็คความปลอดภัยทางไซเบอร์ตามประเภทของข้อมูลที่พวกเขาถือครอง และจุดอ่อนที่จุดอ่อนของพวกเขานั้นรุนแรงที่สุด

สำหรับธุรกิจที่ต้องการปกป้องทรัพย์สินทางปัญญาจำนวนมาก เช่น ช่องโหว่ของระบบสำรองข้อมูลมักจะมีความสำคัญเป็นลำดับต้นๆ และส่วนที่ต้องใช้เครื่องมือความปลอดภัยทางไซเบอร์ขั้นสูงกว่านี้ บริษัทประเภทนี้ควรเน้นที่การป้องกันการละเมิดและการบรรเทาการบุกรุก เนื่องจากมีข้อมูลที่มีค่า (และอาจมีความเสี่ยง)

บริษัทประเภทอื่น กล่าวคือ บริษัทที่มุ่งเน้นการส่งมอบเครื่องมือ SaaS จะต้องจัดลำดับความสำคัญของส่วนอื่นของสแตก บริษัทที่ให้บริการส่วนใหญ่ผ่านทางเว็บจะต้องให้ความสำคัญกับการป้องกัน DDoS และความสมบูรณ์ของเซิร์ฟเวอร์มากขึ้น แทนที่จะเก็บมูลค่าไว้ในข้อมูล ความยั่งยืนของบริษัทประเภทนี้จะแสดงด้วยเวลาทำงาน และสิ่งนี้ควรแจ้งการตัดสินใจซื้อเมื่อเป็นเรื่องของการสร้างกลุ่มเครื่องมือความปลอดภัยทางไซเบอร์

การป้องกันในเชิงลึก

แนวคิดของ "การป้องกันในเชิงลึก" เป็นแนวคิดที่มีอยู่ในแนวคิดของ "กองซ้อน" การรักษาความปลอดภัยทางไซเบอร์ ในทางปฏิบัติ นี่หมายความว่าการป้องกันของคุณควรจัดเป็นชุดของชั้นป้องกัน โดยแต่ละอาคารจะอยู่ท้ายสุด นอกจากนี้ยังหมายความว่าวิธีการที่ใช้โดยกลไกการป้องกันเหล่านี้ควรมีความหลากหลาย

แนวคิดหลักที่นี่คือแฮ็กเกอร์ควรนำเสนอชุดการป้องกันและมาตรการรับมือที่ทวีความรุนแรงขึ้น เช่นเดียวกับการคิดว่าสแต็กของคุณปกป้องคุณในห้าระดับที่เราได้กล่าวถึงข้างต้น นี่ก็หมายความว่าเครื่องมือของคุณควรใช้ประโยชน์จากเทคนิคต่อไปนี้ให้ได้มากที่สุด:

  • ซอฟต์แวร์ปลายทางหรือซอฟต์แวร์ป้องกันไวรัส
  • ความปลอดภัยของอีเมลบนคลาวด์หรือการป้องกันภัยคุกคามขั้นสูง
  • การตรวจสอบและความปลอดภัยของรหัสผ่าน
  • การเก็บถาวร
  • ไบโอเมตริกซ์
  • การรักษาความปลอดภัยที่เน้นข้อมูลเป็นหลัก
  • ความต่อเนื่องของอีเมลและ DRP
  • การเข้ารหัส
  • ไฟร์วอลล์ (ฮาร์ดแวร์หรือซอฟต์แวร์)
  • แฮชรหัสผ่าน
  • ระบบตรวจจับการบุกรุก (IDS)
  • การบันทึกและการตรวจสอบ
  • การตรวจสอบสิทธิ์แบบหลายปัจจัย
  • เครื่องสแกนช่องโหว่
  • การควบคุมการเข้าถึงแบบตั้งเวลา
  • การฝึกอบรมการรับรู้ความปลอดภัยทางอินเทอร์เน็ต
  • เครือข่ายส่วนตัวเสมือน (VPN)
  • แซนด์บ็อกซ์
  • ระบบป้องกันการบุกรุก (IPS)

การป้องกันในเชิงลึกยังหมายความว่าบริษัทต่างๆ ไม่ควรมองว่าการป้องกันของพวกเขาเป็น "กำแพง" ที่ทะลุเข้าไปไม่ได้ซึ่งจะขัดขวางผู้บุกรุกทั้งหมด คุณควรยอมรับว่าในที่สุดการป้องกันแนวแรกของคุณบางส่วนจะถูกละเมิด

ตัวอย่างที่ดีคือความปลอดภัยของอีเมล บริษัทส่วนใหญ่จะใช้อีเมลที่ Microsoft หรือ Google ให้มา ทั้งสองระบบนี้มีช่องโหว่ด้านความปลอดภัยที่รู้จักกันดี และเป็นที่ทราบกันดีว่าการโจมตีทางไซเบอร์ส่วนใหญ่เริ่มต้นด้วยอีเมลฟิชชิ่ง

การพยายามหยุดการโจมตีทั้งหมดในระดับกล่องจดหมายของพนักงานนั้นเป็นไปไม่ได้โดยพื้นฐานแล้วในขณะที่ยังคงให้ความยืดหยุ่นและฟังก์ชันการทำงานที่พนักงานต้องการในการทำงานอย่างมีประสิทธิผล แต่บริษัทต่างๆ ควรมองไปที่การรักษาความปลอดภัยในระดับถัดไป: ที่จัดเก็บอีเมล ซึ่งสำหรับบริษัทส่วนใหญ่จะเป็นที่เก็บข้อมูลบนคลาวด์

ดังนั้นการเข้ารหัสอีเมลและการฝึกอบรมพนักงานจึงมีความสำคัญในการป้องกันการโจมตีทางไซเบอร์ การรับรองการป้องกันในเชิงลึกยังหมายถึงการวางโซลูชันการจัดเก็บข้อมูลบนคลาวด์ที่เข้ารหัสสำหรับอีเมล และการสำรองไฟล์เก็บถาวรที่เข้ารหัสเหล่านี้

ควบคุมความปลอดภัยเครือข่ายของคุณ

เมื่อทำงานผ่านเฟรมเวิร์กข้างต้น คุณจะทราบได้ทันทีว่าการสร้างสแต็กการรักษาความปลอดภัยทางไซเบอร์ที่ปลอดภัยนั้นน่าจะเกี่ยวข้องกับการลงทุนในเครื่องมือหลายตัวจากผู้ขายหลายราย ความหลากหลายนี้ ดังที่เราได้ชี้ให้เห็นแล้ว เป็นสิ่งสำคัญสำหรับการป้องกันความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง แต่ก็อาจทำให้เกิดปัญหาได้เช่นกัน

เนื่องจากมีแนวโน้มที่บริษัทต่างๆ จะจ้างช่วงบริการรักษาความปลอดภัยสำหรับกองความปลอดภัยทางไซเบอร์ในระดับต่างๆ โดยไม่ต้องคิดอย่างรอบคอบถึงความรับผิดชอบที่ผู้ขายแต่ละรายควรได้รับ

ควบคู่ไปกับการลงทุนในเครื่องมือที่มีคุณภาพ ดังนั้น กลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ของคุณควรเกี่ยวข้องกับการทำแผนที่อย่างรอบคอบว่าผู้ขายรายใดรับผิดชอบส่วนใดของระบบของคุณ: ทั้งบนพื้นฐานการปฏิบัติงาน และเมื่อมีการดำเนินคดีที่อาจเกิดขึ้นหลังการโจมตีทางไซเบอร์

ตามหลักการแล้ว ความสัมพันธ์ของคุณกับผู้ขายควรถูกมองว่าเป็นหุ้นส่วนทางธุรกิจ แทนที่จะเป็นความสัมพันธ์ระหว่างผู้ซื้อกับซัพพลายเออร์ ผู้ขายที่มีคุณภาพสามารถรับรู้ได้จากเวลาและความพยายามที่พวกเขาใช้เพื่อทำความเข้าใจความต้องการของคุณและการตอบสนองของพวกเขา ผู้ขายที่มีเกียรติจะสามารถร่างโครงร่างความรับผิดชอบในการปฏิบัติงานและทางกฎหมายได้อย่างแม่นยำในการปกป้องข้อมูลของคุณ

บทสรุป

เมื่อพูดถึงการสร้างกองความปลอดภัยทางไซเบอร์ ธุรกิจจำนวนมากยังคงแสดง "การตรึงเป้าหมาย" ขึ้นอยู่กับภาคส่วนที่พวกเขาทำงานอยู่ภายใน การมุ่งเน้นเพียงส่วนหนึ่งของโครงสร้างพื้นฐานการรักษาความปลอดภัยทางไซเบอร์ของคุณเพียงอย่างเดียวอาจเป็นเรื่องที่น่าสนใจ: การปกป้องข้อมูลหากรูปแบบธุรกิจของคุณขึ้นอยู่กับการวิเคราะห์และการได้มาซึ่งข้อมูล หรือการพยายามทำให้แพลตฟอร์มการเข้าถึงของคุณปลอดภัย 100% ถ้าคุณทำงานด้านการตลาด

ดังที่เราได้แสดงไว้ข้างต้น แนวทางประเภทนี้มีปัญหาเนื่องจากไม่สามารถเข้าใจถึงศูนย์กลางของโมเดล "สแต็ก" ได้ แทนที่จะสร้างกำแพงล้อมรอบเครือข่ายของคุณอย่างคาดไม่ถึง คุณต้องยอมรับว่าในที่สุดจะมีใครบางคนบุกรุกเข้ามา เมื่อถึงจุดนั้น พวกเขาควรจะเผชิญกับปัญหาที่ทวีความรุนแรงขึ้นเรื่อยๆ

เมื่อใช้แนวทางแบบองค์รวมมากขึ้น คุณจะสามารถปรับปรุงความปลอดภัยในทุกระดับของสแต็กของคุณ ไม่ว่าคุณจะทำงานกับข้อมูลการตลาดหรือระบบนิเวศ IoT และทำให้แน่ใจว่าจะไม่มีปัญหาใดๆ ในชุดเกราะของคุณ