Jak můžete snížit riziko vaší organizace?

  • Článek
  • 3 min ke čtení

Podobně jako u fyzické bezpečnosti se úspěch v zabezpečení informací definuje spíše jako průběžný úkol uplatňovat osvědčené postupy zabezpečení a principy a hygienu, nikoli statický absolutní stav. Snížení rizika pro program zabezpečení by mělo být v souladu s posláním vaší organizace a mělo by být formované třemi klíčovými strategickými směry:

  • Zasaování odolnosti do strategie kybernetické bezpečnosti

  • Strategické zvýšení nákladů na útočníka

  • Takticky obsahující přístup útočníka.

Odolnost

Zajištění odolnosti kyberbezpečnosti ve vaší organizaci vyžaduje vyvážení investic v rámci životního cyklu zabezpečení, pečlivé používání údržby, ostražité reakce na anomálie a výstrahy, aby se zabránilo záplavě bezpečnostních záruk, a návrh na hloubkovou a nejnižší úroveň oprávnění.

Vyvážení investic vám pomůže zabránit útokům na kybernetickou bezpečnost a rychle obnovit normální provoz v případě úspěšného útoku. Investicemi do obou těchto investic snížíte riziko, se kterou vaše organizace čelí. Funkce NIST mapovat dobře na tyto dva cíle:

  • Identifikace/ochrana – Pochopení postoje a útočníků a investice do vytváření a vylepšování kontrol, aby se zabránilo útokům na data a systémy v průběhu času Přístup hloubkové ochrany může dále zmírnit riziko, včetně doplňkových kontrol navržených pro zvládnuní potenciálního selhání primární kontroly (například za předpokladu, že síťové ovládací prvky selžou a implementují ochranu koncového bodu a zabezpečení dat).

  • Zjistit, reagovat nebo obnovit – Zůstaňte ostražití, aby útočníci měli přístup k systémům a datům a mohli je rychle detekovat a obnovit normální provoz a záruky zabezpečení.

Zvýšení nákladů na útočníka

Útoky na kyberbezpečnost jsou naplánované a prováděné lidskými útočníky, kteří musí řídit návratnost investic do útoků (návrat může zahrnovat zisk nebo dosažení přiřazeného cíle). Při investicích do zabezpečení byste měli pečlivě zvážit, jak můžete poškodit návratnost investic útočníka pomocí vašich obranných investic.

Nejlepším způsobem, jak poškozovat schopnost útočníka úspěšně napadnout vaši organizaci, je zvýšit náklady tím, že zabráníte jednoduchým a levným metodám útoku a zjistíte je. Tím se rychle zvýší minimální náklady na útočníka a celkový cíl bude méně atraktivní (zejména pro útočníky řízené ziskem). Někteří útočníci, jako jsou útočníci, mají značné prostředky pro výzkum a provádění útoků, ale zvýšení jejich nákladů stále ovlivňuje počet úspěšných útoků, které mohou soucít s (velkým, ale) konečným množstvím talentů a času. Dobře vynalézaní útočníci často investovali do vytvoření knihovny pokročilých útoků, ale obvykle je drží zpět, dokud je nepotřebují, protože použití těchto metod riskuje jejich "vypalování", které je vystaví zjišťování a omezení rizik dodavatelů a cílových organizací. Odebrání levných a jednoduchých útoků má vliv na efektivitu všech útočníků a snižuje celkové riziko.

Toto je obecné myšlení s mnoha možnými aplikacemi, ale existují dva konkrétní způsoby použití:

  • Kritéria investic – při zvažování různých investic do zabezpečení vyhodnoťte, jestli potenciální investice útočníka celkově snižují náklady (například nutí tato investice do zabezpečení vytvořit nebo koupit dražší možnost? Eliminuje to v nabídce útočníka jednu z mnoha levných možností? Nebo pouze eliminuje nákladnou nebo vzácnou metodu útoku?)

  • Cíle simulace útoků – Při testování průniku nebo aktivit červeného sesouvání byste měli tyto týmy zaměřit na identifikaci a katalogizaci metod s nejnižšími náklady, abyste se mohli dostat k důležitým obchodním datům, abyste je mohli nejprve eliminovat.

Obsahující přístup útočníka

Strategie omezení by se měla pokusit o omezení času a úrovní oprávnění útočníka získaných v rámci prostředí. Obsahovat je důležitou součástí odolnosti a obnovení. Pokud je útočník schopen eskalovat oprávnění a/nebo zůstat nezjáznaný po neomezenou dobu, jeho rozsah poškození se zvýší.

Skutečné bezpečnostní riziko pro organizaci je silně ovlivňované tím, jak velký přístup může nebo získá nežádoucí osobu k cenným systémům a datům. Vaše investice by se měly zaměřovat na zajištění, aby bezpečnostní opatření omezovala, jak velký přístup má k prostředí během operace útoku, a omezení množství oprávnění nebo oprávnění, která získá adversary:

Time – omezte, jak dlouho může mít adversary během operace útoku přístup k vašemu prostředí. Toho se dosahuje primárně prostřednictvím operací zabezpečení, které rychle detekují potenciální útoky, upřednostní potenciální detekce, takže se váš tým zaměřuje na rychlé prošetřování skutečných útoků (vs. falešně pozitivních) a zkrácení střední doby pro nápravu těchto skutečných incidentů.
Další informace o těchto cílech a metrikách najdete v části Operace zabezpečení.

Oprávnění – Omezte oprávnění a oprávnění, která může adverze získat během operace útoku (oprávněními a časovým omezením přiřazených oprávnění). S tím, jak útočníci získají více oprávnění, získají přístup k více cílovým systémům a datům (nebo získají tyto systémy k další pivoti v rámci vašeho prostředí). Vaše strategie zabezpečení by se měla zaměřit na to, aby tato oprávnění měla:

  • Preventivní kontroly
  • Detekce, reakce a obnovení, které mají prioritu a zaměřují se na důležité obchodní prostředky a velké množství oprávnění k prostředkům, obvykle rolím IT provozu.