Sistemų ir duomenų saugumo pasaulis keičiasi, o kartu su tuo turi keistis ir kai kurios pagrindinės prielaidos. Nebėra saugu manyti, kad jūsų tinklas yra apsaugotas ir kad kibernetiniai nusikaltėliai negali patekti į perimetrą. Turėdami tinkamus išteklius ir galimybes, jie gali ir norės. Tiesą sakant, jie jau galėjo tai padaryti. Užuot sutelkusios dėmesį tik į tinklo apsaugą, IT ir saugos komandos turi suplanuoti įvykį, kai jis bus pažeistas. Įmonės turi ne tik tikėtis geriausio – kad į sistemas ir infrastruktūrą neįsiskverbs jokios atakos, bet ir planuoti blogiausią.
Tai labai svarbu suprasti. Daugelis kibernetinių atakų dabar yra skirtos kenkėjiškoms programoms, leidžiančioms įsilaužėliams išgauti duomenis arba pradėti didesnę ataką vėliau. Ši kenkėjiška programa gali būti nepastebėta mėnesius ar net metus, o įsilaužėliai laukia savo akimirkos arba nepastebimai vagia duomenis. 2016 m. gruodžio mėn. „Yahoo“ išsiaiškino, kad buvo pavogti maždaug 500 mln. vartotojų duomenys. Dar labiau apmaudu buvo tai, kad pažeidimas iš tikrųjų įvyko prieš dvejus metus.
Tai nėra taip neįprasta, kaip galite tikėtis. Ponemon instituto 2017 m. duomenų pažeidimų kainos tyrimas parodė, kad organizacijoms vidutiniškai prireikė daugiau nei šešių mėnesių, kad nustatytų pažeidimą, o kenkėjiškų ar nusikalstamų išpuolių atveju šis laikotarpis išauga iki 214 dienų. Štai kodėl daugelis saugumo ekspertų keičia mąstymą nuo tos, kuri prisiima jų organizacijos sistemas yra visiškai apsaugotas tokiam, kuris veikia remiantis teiginiu, kad tos sistemos jau galėjo būti susikompromitavo.
Žiūrėti susijusius
Simono Shiu, Saugumo laboratorijos ir „HP Labs Bristol“ direktoriaus bei Boriso Balacheffo, vyriausiojo sistemų saugumo technologo, žodžiais. „HP Labs“ moksliniai tyrimai ir inovacijos, saugos profesija pagaliau pripažįsta, kad „turint pakankamai išteklių, galiausiai ataka bus sėkmingas. Tai reiškia, kad reikia sukurti ne tik apsaugos priemones, bet ir mechanizmus, kurie nustato, kada apsauga sugenda, ir padeda atkurti įrenginius arba infrastruktūra yra geros būklės tiek mašinos greičiu, tiek dideliu mastu. SureStart, kuri ne tik aptinka neteisėtus kompiuterio ar spausdintuvo programinės aparatinės įrangos pakeitimus, bet ir įgalina automatinį atkūrimą prieš rimtai sugadinant. būti padaryta. Atsparumas yra raktas.
Šią viltį geriausio, blogiausio planą verta priimti. Pasaulyje, kuriame įsilaužėliai gali kelti tikslinę, nuolatinę grėsmę, kiekviena organizacija turi būti pasirengusi.
Pasiruoškite būti pažeistam
Gali atrodyti keista ruoštis tam, ko sunkiai dirbi, kad taip nenutiktų, tačiau tai niekuo nesiskiria nuo to, ko imasi būsto turto draudimas, net jei imsitės tinkamų priemonių apsaugoti savo turtą nuo potvynio, gaisro ir vagystės.
Lygiai taip pat, kaip nepaliksite neužrakintų durų, taip ir vis tiek turite pasirūpinti tinkama apsauga. Valdoma prieiga prie neskelbtinų duomenų ir aiški saugumo politika išlieka itin svarbios, kaip ir darbuotojų mokymas, kodėl. Dviejų veiksnių autentifikavimo sistemų pritaikymas taip pat yra protinga idėja, kai slaptažodis palaikomas pirštų atspaudų ar veido atpažinimo būdu arba autentifikavimas naudojant išmaniojo telefono programą. Naujausi HP ProBook ir EliteBook nešiojamieji kompiuteriai palaiko vieną arba abi biometrinio prisijungimo formas kartu su Microsoft Windows Hello autentifikavimo sistema. Tai labai padės užtikrinti galutinių taškų saugumą.
Saugi aparatinė įranga taip pat gali padidinti jūsų atsparumą. HP spausdintuvai su įsibrovimo aptikimo ir SureStart technologija negali būti paimti įkaitais kenkėjiškų programų ir naudoti kaip sustojimo postas tolimesnėms atakoms. HP kompiuteriai ir nešiojamieji kompiuteriai su naujos kartos SureStart negali būti užkrėsti programinės aparatinės įrangos lygiu ir naudojami kredencialams ieškoti arba infekcijai paskleisti tinkle. Kai „SureStart“ aptinka, kad programinė įranga buvo pakeista, ji tiesiog susitraukia pečiais ir grįžta į paskutinę žinomą gerą būseną. Kuo daugiau įdiegsite galimo pažeidimo sustabdymo technologijų, tuo mažiau žalos toks pažeidimas gali padaryti ir tuo greičiau pažeidimas bus pašalintas. Tai yra atsparumas darbe.
Tačiau, be to, organizacijoms reikia daug duomenų. Tik maksimaliai išnaudoję savo SIEM (saugumo informacijos ir įvykių valdymo) įrankius ir registruodami kuo daugiau veiklos, galite organizacijos sukuria aiškų pradinį vaizdą, kaip atrodo įprastas elgesys tinkle, kad galėtų pastebėti nukrypimus nuo ta norma. Kuo daugiau veiklos registruojate ir stebite, tuo daugiau jūsų SIEM įrankių gali pateikti ataskaitas ir analizuoti. Tuo didesnė tikimybė, kad pastebėsite pažeidimą ir greitai su juo susidorosite.
Galiausiai ir, ko gero, svarbiausia, kiekvienai organizacijai reikia reagavimo į pažeidimus plano. Tai aiškiai apibūdina, kas turėtų nutikti pažeidimo atveju, aiškiai išdėstant vaidmenis ir atsakomybę, be jokios dviprasmybės, kas ką ir kada turi daryti. Tai padeda apibrėžti gaires, kurias galite naudoti pažeidimo sunkumui įvertinti, o tada – tinkamus ir proporcingus atsakymus kiekvienas, kuriame atsižvelgiama į jūsų verslo saugumą, klientų duomenų saugumą ir visus teisinius ar atitikties reikalavimus sąskaitą. Jūsų planas turi būti realus atsižvelgiant į laiką ir vidines žinias, be to, jam reikia paramos iš vyresniųjų organizacijos vadovų; jei verslo sistemos sistema turi būti išjungta siekiant apsaugoti vertingus duomenis, jums reikia aukščiausio lygio asmens, kuris palaikytų bylą. Taip pat turi būti nurodyta, kas ir kada turi būti nustatytas; Jungtinėje Karalystėje ir Europoje pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) netrukus bus privaloma pranešti valdžios institucijoms ir kai kuriais atvejais klientams.
Pažeidimo nustatymas
Kai turite pradinį įprastos tinklo elgsenos vaizdą, lengviau pastebėti neatitikimus ir atskirti klaidingus įspėjimus nuo tų, kuriuos reikia ištirti. Ar yra neatitikimų tarp naudojamų prievadų ir per juos judančio programų srauto? Ar duomenys pasiekiami iš neįprastų vietų ypatingu laiku?
Ar pasirinktinius tunelius, neteisėtus tarpinius serverius, nuotolinio darbalaukio protokolą, kūrimo įrankius ar failų perdavimo programas naudoja komandos ir darbuotojai, neturintys verslo reikalo tai daryti? Ar vartotojo kredencialus naudoja 9–5 darbuotojai ne darbo valandomis? Dažnai dovanojami pavogti kredencialai, pavyzdžiui, jei vartotojas prisijungia daug daugiau nei įprastai, trumpesnėmis serijomis arba vienu metu iš daugiau nei vieno įrenginio.
Duomenų srautai taip pat gali būti įtartini. Pažiūrėkite, kur ji pasiekiama, kas ją pasiekia, kiek pervedama ir kur. Visas šis registravimas, stebėjimas ir analizė gali būti sunkus darbas – todėl geriausia automatizuoti kaip kiek įmanoma, bet tai daug lengviau nei išgirsti kliento ar trečiojo asmens pažeidimą vakarėlis. Deja, taip aptinkama apie 27 % duomenų pažeidimų.
Sulaikymas ir taisymas
Pagrindinė priežastis turėti planą yra ta, kad pastebėję pažeidimą turite veikti greitai. Galite apriboti prieigą prie rizikos duomenų, registruoti užklausas ir įvertinti pažeidimo mastą. Galite pranešti atitinkamoms institucijoms arba, jei reikia, klientams ir galutiniams naudotojams ir imtis visų būtinų apsaugos priemonių. Svarbiausia, galite patikrinti, ar ataka iš tikrųjų baigėsi. Ar vis dar yra įtartinos veiklos? Ar buvo palikti kokie nors prieigai prie duomenų naudojami mechanizmai? Ar yra požymių, kad įrenginio programinė įranga galėjo būti sugadinta arba tinklo įrenginiai buvo užkrėsti?
Jums taip pat reikės visų tų duomenų, kuriuos registravote. Tai yra įrodymas, kuris gali padėti atsekti veiklą iki pat įėjimo taško, atskirti naudojamas paskyras ar programinės įrangos spragas ir imtis atitinkamų veiksmų. Galima naudoti IP adresus, paskyros duomenis, prisijungimo veiklą, saugos duomenis ir įvairius artefaktus grįžti iš vieno įvykio į ankstesnį įvykį ir išsiaiškinti, kur ir kur įvyko ataka plisti. Tai yra tai, ko jums reikės, kad ištaisytumėte pažeidimą, tada įsitikinkite, kad jis nepasikartos. Taip pat svarbu užregistruoti savo taisomąją veiklą. Juk vėliau gali būti pašauktas parodyti, kad padarėte viską, ką galėjote.
Greitai judėdami, taisydami pažeidžiamumus, valydami ir pataisydami sistemas ir užtikrindami, kad visi, kuriems reikia žinoti pranešama, įmonės, paveiktos pažeidimo, gali sumažinti žalą, apsaugoti savo reputaciją ir išvengti bet kokių reguliavimo baudas. Nebūtinai galite užkirsti kelią pažeidimui, bet galite valdyti, kas atsitiks, jei taip atsitiks. Sukurdami savo sistemų ir saugos politikos atsparumą, būsite pasiruošę blogiausiam ir vis tiek tikėdamiesi geriausio.
Sužinokite, kaip apsaugoti savo verslą nuo įsilaužėlių, tokių kaip The Wolf…
