Hur håller du organisationens risk nere?

  • Artikel
  • 3 minuter för att läsa

Precis som fysisk säkerhet definieras framgång inom informationssäkerhet mer som en pågående uppgift att tillämpa bra säkerhetsmetoder och principer och kvalitet i stället för ett statiskt absolut tillstånd. Att minska risken för ditt säkerhetsprogram bör anpassas efter organisationens uppdrag och utformas av tre viktiga strategiska riktningar:

  • Bygga in motståndskraft i din cybersäkerhetsstrategi

  • Strategiskt ökande kostnader för angripare

  • Taktiskt med angriparens åtkomst.

Motståndskraft

Att bygga in motståndskraft mot cybersäkerhet i din organisation kräver balans mellan investeringar under säkerhetslivscykeln, noggrann tillämpning av underhåll, noggrann hantering av avvikelser och aviseringar för att förhindra att säkerhetsgarantin sviktar och utformning för att skydd på djupet och minsta behörighet.

Om du balanserar dina investeringar kan du både förhindra cybersäkerhetsattacker och snabbt återställa normal drift i händelse av en lyckad attack. Genom att investera i båda dessa minskar du risken för organisationens ansikten. Nist-funktionerna mappar bra till dessa dubbla mål:

  • Identifiera/skydda: Förstå din position, dina angripare och investera i att upprätta och förbättra kontroller för att förhindra attacker på data och system över tid. En djupskyddsmetod kan ytterligare minska riskerna, inklusive kompletterande kontroller som utformats för att hantera potentiella fel i primär kontroll (till exempel förutsatt att nätverkskontroller kommer att misslyckas och implementera slutpunkts- och dataskydd)

  • Identifiera/svara/återställa: Var uppmärksam så att när angripare får åtkomst till system och data kan du snabbt identifiera dem och återställa normal drift och säkerhetsgaranti

Ökande kostnader för angripare

Cybersäkerhetsattacker planeras och utförs av mänskliga angripare som måste hantera sin avkastning på investeringar i attacker (avkastning kan omfatta vinst eller uppnå ett tilldelat mål). När du investerar i säkerhet bör du noga överväga hur du kan skada angriparens avkastning på investeringar med dina försvarsinvesteringar.

Det bästa sättet att skada en angripares förmåga att angripa din organisation är att öka deras kostnader genom att förhindra och upptäcka enkla och billiga attackmetoder. Detta ökar snabbt den minsta angriparens kostnad och gör dig till ett mindre attraktivt övergripande mål (särskilt för vinstdrivna angripare). Vissa angripare, t.ex. stater, har betydande resurser för forskning och utförande av attacker, men ökade kostnader påverkar fortfarande hur många lyckade attacker de kan utföra med den (stora men) begränsade mängden tillgänglig kompetens och tid. Angripare med bra resurser har ofta investerat i att skapa ett bibliotek med avancerade attacker, men håller dem vanligtvis tillbaka tills de behövs eftersom användning av dessa metoder riskerar att "göra dem" "begränsande" och exponera dem för identifiering och minskning av leverantörer och målorganisationer. Att ta bort billiga och enkla attacker påverkar effektiviteten hos alla angripare och minskar risken överlag.

Det här är ett allmänt tänkesätt med många möjliga tillämpningar, men två konkreta tillämpningar av detta är:

  • Investeringskriterier: När du överväger olika säkerhetsinvesteringar bör du utvärdera om de potentiella investeringar som kan sänka angriparens kostnad totalt (t.ex. tvingar den här säkerhetsinvesteringen en angripare att bygga eller köpa ett dyrare alternativ? Eliminerar det ett av många billiga alternativ på angriparmenyn? Eller eliminerar det bara en dyr/sällsynt attackmetod?)

  • Mål för attacksimulering: När du utför intrångstester eller red teamindelingsaktiviteter som ska testas bör du fokusera dessa team på att identifiera och katalogisera de metoder som har lägst kostnad för att komma åt affärskritiska data så att du kan eliminera dem först.

Innehåller angriparens åtkomst

En inneslutningsstrategi bör försöka begränsa en angripares tid och behörighetsnivåer som inhämtas i en miljö. Inneslutning är en viktig del av återhämtning och återställning. Om en angripare kan eskalera privilegier och/eller förbli oupptäckta på obestämd tid, ökar deras omfattning av skada.

Den faktiska säkerhetsrisken för en organisation påverkas kraftigt av hur mycket åtkomst en angripare kan eller får till värdefulla system och data. Dina investeringar bör fokusera på att se till att dina säkerhetsåtgärder begränsar hur mycket åtkomst en angripare får till miljön under en attackåtgärd och begränsar de privilegier eller behörigheter som en angripare får:

  • Tid: Begränsa hur länge angriparen kan ha åtkomst till din miljö under en attackåtgärd. Detta uppnås främst genom säkerhetsåtgärder som snabbt identifierar potentiella attacker, prioriterar potentiella identifieringar så att ditt team fokuserar på att snabbt undersöka verkliga attacker (kontra falska positiva identifieringar) och att minska din genomsnittliga tid för att åtgärda de verkliga incidenterna.

    Mer information om dessa mål och mått finns i avsnittet säkerhetsåtgärder.

Privilegium: Begränsa de privilegier och behörigheter som en angripare kan få under en attackåtgärd (av behörigheter och efter hur lång tid som privilegier tilldelas). När angripare får fler privilegier kan de komma åt fler målsystem och data (eller använda dessa system för att fortsätta att pivotera i din miljö). Din säkerhetsstrategi bör fokusera på att innehålla dessa behörigheter med:

  • Förebyggande kontroller
  • Identifiering/svar/återställning som prioriteras för att fokusera på affärskritiska tillgångar och stora mängder behörigheter till tillgångar, vanligtvis IT-driftroller.