Търсене
Close this search box.

Сигурността е процес, а не инструмент

Индустрията за киберсигурност постоянно повтаря, че се нуждаем от нови инструменти, за да направим организациите си сигурни. BYOD? Нуждаете се от управление на мобилни устройства (MDM) и откриване и реагиране на крайни точки (EDR). Облак? Нуждаете се от мениджъри на конфигурацията на облака, инструменти за хибридно наблюдение и специализирани точкови решения за управление и сканиране на изложени на риск тайни, да не говорим за много повече разпределени защитни стени за уеб приложения. Kubernetes? Нуждаете се от нов набор от инструменти, които да отразяват по-стари инструменти, като линтери, динамично тестване на сигурността на приложенията (DAST), статично тестване на сигурността на приложенията (SAST), скенери и др. Сега има изкуствен интелект (ИИ) – и главните отговорници по информационната сигурност (CISO) и екипите по киберсигурност се нуждаят от инструменти като сканиращи слоеве за кодиране, задвижвани от ИИ, за да се справят с това нововъзникващо пространство. Накратко, инструментите управляват.

Въпреки постоянното натрупване на нови инструменти за решаване на нови проблеми, най-честата основна причина за сериозни инциденти в областта на киберсигурността остават неуспешните процеси. Според проучването „Състояние на управлението на сигурността 2023“ на Gutsy, което събра отговори от повече от 50 главни директори по информационна сигурност на предприятия през август 2023 г., 33% от всички инциденти със сигурността се дължат на грешки в процесите. Общият брой може да е много по-висок, като се има предвид сложността и многоетапните вериги от събития на много инциденти. Ясен знак, че инструментите не решават проблемите ни с киберсигурността, е лошата операционализация на инструментите за сигурност: 55% от всички инструменти за сигурност не са въведени в експлоатация или не се управляват активно. Простото добавяне на инструменти не е решение.

 

От постмортален анализ на сигурността до непрекъснато проучване на процесите

За да отстраните неуспехите в процесите, трябва да се справите с факторите, които са в основата на проблемите. Единственият начин да идентифицирате точно тези фактори е да наблюдавате, записвате и документирате неуспешните процеси, довели до проблемите. Досега това означаваше най-вече преглеждане на дневници и провеждане на анализи след инциденти. Но разглеждането само на провалените процеси е като търсенето на престъпление под уличната лампа – то пренебрегва всички други потенциални провали на процесите, които все още не са се случили.

Необходим е нов подход, който може да бъде по-лесно мащабиран, за да записва и картографира безброй взаимодействия и процеси непрекъснато и в мащаба на предприятието. Навлезте в процеса на извличане на информация за киберсигурността. Процесният добив на информация съществува в редица индустрии от повече от десетилетие. От системите за управление на ресурсите на предприятието (ERP) до автоматизацията на роботизираните процеси (RPA), където картографирането на процеса е първият етап от внедряването, улавянето на взаимодействията на хората с технологиите, докато те изпълняват своите задачи, е позната стратегия.

Този подход обаче не е прилаган към киберсигурността по няколко причини. Първо, анализирането и каталогизирането на процесите е досадна работа, която много екипи по киберсигурност и ИТ предпочитат да оставят на одиторите. Да се иска от екипите по киберсигурност, ИТ или мрежови технологии да добавят това към и без това голямото си натоварване, свързано с наблюдението и защитата на инфраструктурата и софтуера, е неустойчиво.

Второ, макар че екипите по киберсигурност и одиторите отдавна разчитат на данни, събрани от агенти, тези данни до голяма степен са свързани със събития и промени в инструментите за сигурност, а не с процеси. Това превръща традиционния анализ на процесите в ръчна задача, изградена старателно чрез интервюта, четене на вериги от имейли и пресяване на логове. Данните, генерирани от различни инструменти и системи, невинаги са чисти или лесни за нормализиране, което прави анализа на процесите по-сложен, времеемък и скъп.

Защо все повече CISO възприемат Process Mining

Няколко промени принуждават компаниите да преразгледат непрекъснатото, автоматизирано извличане на информация от процесите за работните процеси в областта на киберсигурността и управлението на технологиите. От техническа гледна точка леките, облачни технологии и инфраструктура, съчетани с по-усъвършенствани начини за нормализиране на потоците от данни, направиха изграждането на ефективни продукти за процесен майнинг по-малко ресурсоемко и скъпо. В същото време нарастващото признание, че инструментите не са решение, накара много CISO да наблегнат на човешкия фактор, а не на точковите решения за най-новите заплахи за сигурността.

Забележително е, че топ 10 на OWASP остава до голяма степен статичен през последното десетилетие, дори когато инцидентите и общите уязвимости и експозиции (Common Vulnerabilities and Exposures – CVE) достигат рекордни нива за всяка от последните пет години. Опитните нападатели рециклират и прекомпилират едни и същи пакети за атаки, знаейки, че това, което е работило в миналото, вероятно ще работи и в бъдеще. Това ясно показва, че инструментите не правят компаниите по-сигурни. Трябва да се направи нещо друго.

Друг фактор е нарастващият недостиг на специалисти по киберсигурност, който създава възможности за навлизане на по-млади работници в тази област. За да бъдат успешни, тези по-малко опитни хора се нуждаят от повече образование и подкрепа, включително системи, които да им помогнат да се учат в реално време, и предпазни огради, които да ги предпазят от допускане на катастрофални грешки.

И накрая, въздействието на атаките, които се възползват от грешки в процесите, се е влошило значително. Компанията за казина MGM и компанията за почистващи продукти Clorox наскоро съобщиха, че събитията, свързани с рансъмуер, ще се отразят съществено на приходите им. В случая на MGM щетите са над 100 млн. долара.

Дори и най-съобразителните компании са склонни към публични и силно смущаващи провали в процесите. Неотдавнашното компрометиране на системите за поддръжка на Okta от заплахи, използващи тактики на социално инженерство, е класически пример за провал на процеса. Той доведе до болезнени  блогове от видни клиенти като Cloudflare и 1Password и широко негативно медийно отразяване в техния постоянен архив.

Фокусирайте се върху подпомагането на хората, а не върху новите видове заплахи

Най-добрият начин за поправяне на неуспешни процеси не е като се даде на човешките оператори още един инструмент. По-скоро им дайте процес и рамка, начин на мислене за тяхната работа (или конкретни части от нея), който е повторяем и логичен. Технологичните екипи се нуждаят от видимост на процесите, които се опитват да следват, включително всички вариации, които им пречат да получат желаните резултати. Те се нуждаят от систематичен, мащабируем и по заявка начин за получаване на видимост. Това, което не се измерва, няма значение, включително и в процесите.

Обичаме инструментите си, но за да намалим наистина риска и броя на успешните атаки, трябва да започнем да разглеждаме провалите в сигурността като проблем на процеса, а не на технологията. Това е дълбока промяна, която изисква различен поглед върху сигурността, но е необходима, за да се справим с първопричината за повечето проблеми с киберсигурността. Инструментите могат да се чувстват добре и да проверяват последния квадрант на анализаторите. Но проучването на процеса, обучението на операторите и наблюдението за аномалии в процеса е истинското решение.

 

 

Източник: DARKReading

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
05/04/2024

Как и защо да правите резер...

Защитата на данните продължава да бъде...
29/03/2024

Надпреварата за нулеви дни ...

Според Google напредналите противници все повече...
27/03/2024

Какво представлява защитата...

Киберпрестъпниците все по-често използват нови стратегии...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!