Австралийският модел за зрялост Essential Eight все още не обхваща ключовите фактори, необходими за защита на днешните среди за облачни услуги и SaaS.

През последните години Австралия направи някои ключови стъпки за подобряване на сигурността на страната. През 2020 г. страната инвестира 1,67 млрд. австралийски долара (1,1 млрд. щатски долара) като част от Стратегията за киберсигурност 2020.

Въпреки тези усилия в „Доклад за киберзаплахите 2022-2023 г.“ на австралийското правителство се съобщава за 58 инцидента, които се класифицират като обширни компрометирания, и 195 инцидента, които се класифицират като изолирани компрометирания. Пристанищният оператор DP World Australia преустанови дейността си поради кибератака през ноември. SA Health, Services Australia и NT Health са само някои от доставчиците на здравни услуги, които са били пробити през миналата година, след пробива в Medibank през ноември 2022 г., който засегна близо 10 милиона души.

В отговор на това Австралия актуализира нивата в своя Essential Eight Maturity Model – всеобхватното ръководство на страната за предприятията, които се опитват да се защитят от кибератаки. Рамка, създадена през 2010 г., за да помогне на предприятията да устоят на заплахите за киберсигурността, Essential Eight е актуализирана няколко пъти, най-вече когато добавя модела си за зрялост, за да помогне на компаниите с различни размери да определят подходящите действия за сигурност, които да предприемат, и за последен път през ноември 2023 г.

Въпреки това, при положение че киберпрестъпността в Австралия е в разгара си, е време да се запитаме дали Осмицата дава правилната насока за австралийските организации и дали трябва да се използва като модел за други държави.

 Essential Eight

От публикуването си през 2010 г. „Основната осмица“ остава непроменена. Тя дава насоки за кръпките, резервните копия и контрола на приложенията. Наред с други неща, актуализацията от 2023 г. препоръчва ограничаване на макросите на Microsoft и включва указания за укрепване на потребителските приложения.

Въпреки че всички тези въпроси са важни, те не отчитат прехода към облака и по-специално използването на приложения тип „софтуер като услуга“ (SaaS). Essential Eight включва раздел за ограничаване на административните привилегии – ключов принцип за сигурност на SaaS.

Въпреки това, като се прочетат нивата на зрялост, става ясно, че насоките в нея остават пригодени за локални мрежи. Ниво на зрялост 2 включва насоки като „Заявките за привилегирован достъп до системи, приложения и хранилища на данни се валидират при първото им поискване“ и „Привилегированите потребители използват отделни привилегировани и непривилегировани операционни среди“.

От 29-те препоръки за администраторски привилегии в трите нива на зрялост, свързани с администраторските привилегии, само една се отнася до онлайн акаунти („Привилегированите акаунти, изрично оторизирани за достъп до онлайн услуги, са строго ограничени само до това, което е необходимо на потребителите и услугите за изпълнение на техните задължения“).

Основната осмица включва многофакторно удостоверяване (MFA). Това е критична стъпка в осигуряването на онлайн услуги. Въпреки това MFA е само една част от сигурността на облака и SaaS. Ограничаването на насоките само до MFA прави лоша услуга на предприятията и правителствените организации, които разчитат на Основната осмица за насока при осигуряването на целия си цифров отпечатък.

Основната осмица не отчита спецификата на  днешната работна среда

За съжаление, „Основната осмица“ и нейните модели на зрялост пропускат днешната компютърна среда. В нея не се съдържат думите „облак“ или „SaaS приложение“. С този пропуск не се признава ролята, която SaaS приложенията играят в днешния бизнес свят, и данните, които се съхраняват в облака.

Днес приложенията SaaS съставляват 70% от целия софтуер, използван от предприятията. Всяко от тези приложения съдържа критични за бизнеса данни или играе роля в операции, които трябва да бъдат защитени. MFA е важен инструмент, използван за ограничаване на достъпа до оторизирани потребители, но той далеч не отговаря на мерките, необходими за защита на SaaS и облачните инстанции.

Актуализиране на основните осем за съвременното работно място

В „Основната осмица“ липсват четири ключови директиви за сигурност, ориентирани към облака: управление на конфигурацията, сигурност на идентичността, управление на интеграцията на приложения на трети страни и контрол на ресурсите.

• Управление на конфигурацията: Рамка за сигурност, която не се занимава с неправилните конфигурации, не съдържа ключова част от насоките за сигурност. В доклад на Tenable Research се установява, че през 2022 г. 800 милиона записа са били изложени на риск поради неправилни конфигурации. Това е сериозен проблем, който изисква автоматизирано наблюдение, за да се гарантира, че администраторите на приложения и облаци не коригират случайно настройка, която разкрива данни на обществеността.
• Сигурност на самоличността: Управлението на позициите за сигурност на идентичността (ISPM) е друг ярък пропуск в основната осмица. SaaS и облакът заличиха традиционния периметър на мрежата. На негово място стои идентичността, която е единствената бариера между приложението и  заплахите. Макар че MFA се занимава с удостоверяването на потребителите, то не успява да реши въпросите, свързани с депровизирани потребители, външни потребители, потребителски разрешения, риск за администратора и други рискове, свързани с потребителите.
• Управление на интеграцията на приложения от трети страни: Приложенията на трети страни спомагат за подобряване на основните функционалности на приложенията и за опростяване на работните процеси. Те също така въвеждат нови възможности за риск. Обикновената OAuth интеграция често изисква натрапчиви обхвати, които дават на приложението права за запис, включващи възможност за изтриване на папки, файлове и цели дискове и управление на правата за електронна поща.
• Контрол на ресурсите: SaaS и облачните приложения съхраняват милиони фирмени активи и ресурси. Те включват файлове, папки, планови табла, патентован софтуерен код и продуктови планове. Тези активи трябва да бъдат защитени зад надеждни мерки за сигурност, а не да са достъпни за всеки, който има връзка, или да могат да се търсят чрез интернет браузър.

Подготовка на предприятията за съвременните заплахи

Австралия, както и организациите за киберсигурност в Близкия изток и Африка, които търсят насоки от Австралия, трябва да актуализират своята рамка за сигурност, за да се справят със съвременните мрежови инфраструктури.

Въвеждането на мерки за сигурност, свързани с управлението на неправилната конфигурация, ISPM, приложенията на трети страни и защитата на фирмените активи, съхранявани в SaaS приложения, трябва да бъде следващата стъпка за Essential Eight.