Дальнейшее прогнозирование
Несмотря на спортивную аналогию, важно подчеркнуть, что кибербезопасность — это не то, с чем можно просто поэкспериментировать. Здесь нет непрофессиональной кибербезопасности. Это не игра, и поражения в реальной жизни приводят к реальным и иногда катастрофическим потерям. Даже победа — это лишь мимолетный момент, который уходит так же быстро, как и появился. Кибербезопасность сложна, потому что мы не знаем всех возможных уязвимостей и угроз. Даже если бы мы знали, они меняются слишком часто, чтобы поддерживать конкретные защиты. Это происходит из-за постоянного изменения окружающей среды: новые технологии, бизнес-модели, услуги и каналы связи усложняют задачу полной защиты. Кроме того, конкуренция с атакующими будет продолжаться бесконечно. Это означает, что ваша общая стратегия должна быть успешной не только в этом сезоне, но и в последующих. Для этого необходимо поддерживать вашу команду в форме, постепенно улучшать оборудование, поддерживать здоровую среду и применять правильные тактики, чтобы оставаться в игре. В этом разделе мы рассмотрим, как это сделать.
Стратегия кибербезопасности — это, по сути, рамочная структура, которая определяет общие цели и задачи для защиты информационных ресурсов организации. Однако, как показано выше, сам по себе стратегический план может быть недостаточен, если он не подкреплён конкретными тактиками, которые действительно реализуют цели стратегии на практике.
Стратегия, как правило, представляет собой широкую концепцию, которая может описывать идеальные условия и общие принципы, но не всегда содержит конкретные указания по действиям в реальных условиях. Поэтому, важно понимать, что ключевую роль играют тактики, которые обеспечивают реализацию стратегии и фактически защищают вашу инфраструктуру от угроз.
Обучение
Все сотрудники должны понимать, как кибербезопасность влияет на их личную повседневную роль в компании и должны быть обучены ситуационной осведомленности как в интернете, так и вне его.
Научите всех сотрудников, как их могут манипулировать и обмануть как в личных встречах, так и в интернете. Хотя количество вариаций атак бесконечно, количество способов, через которые человек может стать жертвой мошенничества и манипуляций, ограничено. Вместо того чтобы ожидать от сотрудников способности выявлять все постоянно меняющиеся угрозы, обучите их правильно реагировать, когда кто-то пытается использовать их уязвимости (например, когда от них требуют конфиденциальную информацию).
Обеспечьте легкость в обсуждении проблем безопасности или конфиденциальности. Сотрудники — это лучшие детекторы аномалий компании. Убедитесь, что они смогут выразить свои сомнения и необычную активность до того, как эти проблемы перерастут в серьезные проблемы.
Хорошо изучите свои системы. Каждый, кто работает в ИТ или кибербезопасности, должен быть хорошо осведомлен о том, как все текущие программное обеспечение и системы работают внутри организации. Недостаточно просто иметь сертификаты или опыт работы с определенной технологией; необходимо знать, как она работает в вашей организации. Невозможно обеспечить безопасность, если не понимать, как работает система в вашем окружении. Пригласите наставника, который научит вас и других аспектам безопасности в контексте вашей работы.
Понимание применения основ. Все сотрудники кибербезопасности должны быть хорошо осведомлены о фундаментальных принципах оперативной безопасности, описанных в OSSTMM, которые они могут применять в любых областях — от физической до кибербезопасности. Недостаточно просто сказать, что вы прочитали OSSTMM, нужно отобразить бизнес-процессы вашей компании в его контрольно-ограничительных механизмах, чтобы точно увидеть, насколько велика ваша поверхность атаки.
Проектирование сетевой инфраструктуры
Первым шагом в применении тактик к вашей стратегии является создание подробной карты взаимодействий и разделений между системами в вашей сети. Эта карта должна быть основана на реальной активности пакетов, которую вы наблюдаете в своей сети. Подумайте о создании гибридной физической и логической карты сети. На ней должны быть отображены все взаимодействия между системами, а также определены зоны, которые должны быть изолированы или контролированы.
Например, если у вас есть несколько серверов, которые обрабатывают чувствительную информацию, эти серверы должны быть изолированы от общего трафика. Примените концепцию «белого списка» или сегментации сети, чтобы гарантировать, что только авторизованные устройства и пользователи могут взаимодействовать с этими системами. Анализируйте и отслеживайте протоколы, используемые в этих взаимодействиях, чтобы убедиться, что они соответствуют вашим политикам безопасности.
Упражнения
Знание того, как плавать, ничего не значит, когда наступает цунами. Чтобы оставаться на плаву в условиях враждебных действий, нужно регулярно тренироваться на случай непредвиденных ситуаций. Только через упражнения можно гарантировать, что, несмотря на страх, замешательство или усталость, реакция будет безопасной.
Создайте план реагирования на инциденты и проводите регулярные тренировки. Создайте аварийный чек-лист, который сотрудники могут использовать, и продолжайте тренироваться, пока все не станут четко понимать, как им следует реагировать. Включайте всех новых сотрудников в тренировки с первого дня.
Привыкайте к тому, что сотрудники должны иметь дело с атаками. Планируйте регулярные упражнения по безопасности, направленные на манипулирование сотрудниками, такие как имитационные фишинговые атаки, социальная инженерия вживую и по телефону, а также поддельная активность вредоносного ПО.
Предоставляйте обязательные задачи и головоломки по безопасности. Они не должны занимать более пары минут и предназначены для выполнения без необходимости отвлекаться от повседневных задач. Это обучает сотрудников думать о безопасности в ходе обычной работы, поскольку никто не может позволить себе остановиться во время реальных атак.
Оборудование
Во многих видах спорта, даже если вы лучший атлет, это не гарантирует победу само по себе. Разница между первым и вторым местом часто зависит от оборудования. Новые материалы, технологии и конструкции могут дать критическое преимущество.
Используйте преимущества своей техники. В кибербезопасности улучшенные маршрутизаторы увеличивают время отклика, лучшие процессоры позволяют применять более мощные протоколы шифрования, а более эластичные решения мониторинга уменьшают необходимость распределения ресурсов.
Рассмотрите облачные технологии. Облачные сервисы могут предоставить дополнительную функциональность, которую вам не нужно строить или управлять самостоятельно. Конечно, есть компромисс по контролю и самостоятельности, но добавленные возможности могут позволить вам делать больше с меньшими затратами.
Даже если вы не можете выделить ресурсы на новое оборудование, нужно поддерживать старое в рабочем состоянии. Иногда просто обновление компонентов, таких как оперативная память и жесткие диски, может существенно повлиять на производительность.
Содержите ваши системы в рабочем состоянии. Старайтесь использовать только необходимое программное обеспечение, минимизируя использование памяти и ресурсоемкого ПО, которое может постепенно замедлять систему.
Среда
Некоторые спортсмены соревнуются на глине, некоторые на земле, некоторые на траве, а другие на искусственных покрытиях, таких как искусственный газон или асфальт. Что их объединяет, так это то, что они адаптировали свою игру к этой среде и создали домашнее преимущество, изучив, как обыгрывать других в этих условиях. Вам нужно делать то же самое, активно поддерживая вашу среду и понимая даже самые мелкие изменения.
Знайте, что такое «нормально». Регулярно проверяйте протоколы сети, системы, взаимодействующие друг с другом, способы использования сотрудниками рабочих станций и работу мобильных устройств в этой среде. Запустите снифер пакетов и наблюдайте за живым трафиком в различных сегментах. Убедитесь, что вы понимаете, что происходит, и что это должно быть здесь. Если у вас есть профессиональный инструмент для постоянного мониторинга трафика, например SIEM, это еще лучше. Затем отслеживайте аномалии.
Помните: не все программное обеспечение требует обновления. Обновляйтесь, если требуется установка патча безопасности и у вас нет другого способа контролировать уязвимость. Однако это требует наличия времени и людей для анализа. Если обновления касаются только новой функциональности, подумайте, действительно ли вам нужно это новое функциональное улучшение. Часто процессы ломаются, а файлы теряются из-за того, что обновления программного обеспечения изменяют то, что вам не нужно или не предусматривали. Как и любой тренер скажет вам, если что-то не сломано, не чините это. Поэтому разработайте процесс выбора и установки обновлений.
Проходите проверки и общайтесь с сотрудниками. Узнайте, что им нужно для выполнения их работы, как они взаимодействуют с услугами сторонних поставщиков и какое ПО они используют регулярно. Люди развивают привычки и рутинные действия на работе. Они ваши лучшие источники для выявления, когда что-то, что выходит за пределы вашего основного контроля, как облачные сервисы и внешние сети поставщиков, работает ненормально.
Забудьте о стратегии, выберите тактику
Стратегия является неотъемлемой частью любого современного бизнес-плана. Итак, что же такое стратегия кибербезопасности? Это план с набором целей и задач, направленных на достижение кибербезопасности. Люди, занимающиеся продажей стратегий кибербезопасности, любят утверждать, что она также включает в себя детали по инструментам и метрикам. Но это больше похоже на трюк, добавляющий тактики к стратегии, чтобы она не казалась бесполезной.
Да, бесполезной. Забавный факт: стратегия кибербезопасности бесполезна. Правда в том, что если у вас её нет, значит, у вас уже есть стратегия по умолчанию. Вы никогда не документировали её формально, потому что это очевидно. Как у вас нет формальной стратегии не умирать. Если бы у вас была формальная стратегия кибербезопасности, она, вероятно, просто указала бы, что вы не хотите, чтобы угрозы какого-либо рода затрагивали ваши активы сейчас или в будущем. Это очевидно. Так почему же так много внимания уделяется стратегии кибербезопасности? Потому что тактика сложна. Проще (и безопаснее) сделать стратегию кибербезопасности важной, хотя на самом деле она ничего не значит, чем выбрать и реализовать работающие тактики. Долго можно выглядеть лучше, потому что в то время как стратегия может долго оставаться бесполезной, тактики, которые ничего не значат, быстро замечаются. Тактика кибербезопасности — это то, где на самом деле происходит действие. Это как удар по мячу битой. Это буквально пакеты, бьющие по серверу. Это способ «делать то, что нужно делать с вещами, которые у вас есть» для достижения кибербезопасности. И это сложно спланировать. Тем не менее, вот несколько шагов, которые помогут вам двигаться в правильном направлении:
Нарисуйте взаимодействия и разделения между вашими системами. Это должно основываться на активности пакетов, которую вы наблюдаете в сети. Это похоже на создание гибридной физической и логической карты сети с стрелками взаимодействия на основе активности протоколов. Определите, что должно быть разделено или контролироваться. Вот и всё — это применение тактики!
Перечислите все сетевые процессы. Это включает резервное копирование серверов, администрирование серверов, удаленную поддержку и т.д. Точно знайте, с какими системами и людьми они могут взаимодействовать, а затем определите, с чем им следует взаимодействовать. Как вы контролируете эту авторизацию — это применение тактики.
То же самое сделайте для беспроводных, физических доступов в комнаты и к активам, а также для телефонных систем. Определите, какие тактики вам нужно применить, чтобы обеспечить контроль.
Теперь сделайте шаг назад. Убедитесь, что все выбранные вами тактики соответствуют общей стратегии компании и ресурсам и что рабочие процессы не нарушаются.
Составление перечня всех сетевых процессов и понимание того, с какими системами и пользователями они могут взаимодействовать. Это включает в себя резервное копирование серверов, администрирование серверов и услуги удаленной поддержки. Определите, какие из этих процессов должны иметь доступ к каким системам, и установите четкие правила и политики для авторизации доступа.
Создайте и поддерживайте списки авторизованных пользователей и систем для каждого процесса. Например, если у вас есть процесс резервного копирования, убедитесь, что только авторизованные пользователи и системные компоненты могут инициировать или получать доступ к этим резервным копиям. Используйте такие технологии, как управление доступом на основе ролей (RBAC) или управление доступом на основе атрибутов (ABAC), чтобы усилить контроль.
Работа с не техническими коллегами
Люди — социальные существа. Большинство из нас любят быть любимыми, быть частью группы или команды, защищать дело и быть частью сообщества. Даже если мы не «любим» это, это не означает, что мы хотим быть исключенными. Проблема в том, что только потому, что нам это нравится, не значит, что мы в этом хороши. Недостаток коммуникации с теми, кто управляет ресурсами, сильно повлияет на вашу способность построить необходимую безопасность. Вот несколько советов, как улучшить коммуникацию:
Не предполагайте, что, если что-то имеет смысл для вас, это имеет смысл для всех. Люди обычно не любят изменения. Поэтому вам нужно учитывать этот барьер каждый раз, когда вы предлагаете изменения, и подготовиться к этому, показывая, что изменения — это новая норма. В конце концов, преступные хакеры, проникающие в организации, такие как ваша, имеют много успехов и постоянно меняют инструменты и методы.
Общайтесь с коллегами или начальством в зависимости от их уровня подготовки. Если они разбираются в технике, не говорите с ними свысока. Если они не технически подкованы, не приходите к ним с перегруженными техническими объяснениями.
Думайте о деньгах, прежде чем говорить. Ваша компания занимается бизнесом, чтобы зарабатывать деньги. Покажите ценность. Предложите способы показать, что дополнительная безопасность может заменить некоторые текущие действия. Или, если это невозможно, покажите, как различные решения могут сократить время простоя, повысить качество или улучшить эффективность.
Не тратьте их время. Не дайте им даже почувствовать, что вы тратите их время. Это означает быть подготовленным и четким.
Никогда не говорите: «Я же говорил». Не упоминайте тот случай, когда ваше предложение было проигнорировано, а что-то плохое произошло. Не делайте вид, что вы сделали им одолжение или что вы ожидаете чего-то взамен за свою гениальность и проницательность. Начинайте с нуля каждый раз.