Trace Id is missing
Przejdź do głównej zawartości
Security Insider

CISO Insider: numer 1

Pobierz
Udostępnij
Mężczyzna patrzący na tablet w magazynie.

Poruszaj się po współczesnym krajobrazie zagrożeń, poznając ekskluzywne analizy i rekomendacje kierowników ds. zabezpieczeń

Nazywam się Rob Lefferts i kieruję zespołem inżynierów ds. rozwiązań Zabezpieczenia platformy Microsoft 365. Mój zespół — oraz współpracujące zespoły badań nad rozwiązaniami zabezpieczającymi firmy Microsoft — bezwzględnie skupia się na odkrywaniu i zwalczaniu najnowszych trendów w zagrożeniach, z którymi mierzy się nasza firma, nasi klienci oraz cała społeczność globalna.

Dotychczas nasze podsumowania dotyczące zagrożeń udostępnialiśmy tylko wewnętrznie, ale zdecydowaliśmy się zacząć je rozpowszechniać publicznie w formie biuletynu CISO Insider. Naszym celem jest zwiększenie możliwości organizacji na całym świecie poprzez udostępnianie najbardziej aktualnych analiz zabezpieczeń oraz wskazówek, które pozwalają im skuteczniej chronić siebie i swoich klientów przed cyberprzestępstwem.

Numer 1 rozpoczyna się od trzech tematów, które są dla wielu z nas najważniejsze:

  • Trendy w atakach: ataki się zmieniają, ale podstawowe zasady nadal zapewniają cenną ochronę
  • Ryzyko prowadzenia działalności: zarządzanie zagrożeniami dla łańcucha dostaw
  • Nowoczesne podejścia do ułatwiania reagowania na braki talentów w dziedzinie zabezpieczeń

W związku COVID-19 organizacje były zmuszone do zwiększenia polegania na elastyczności miejsca pracy oraz przyspieszenia transformacji cyfrowej — a z tymi zmianami naturalnie wiązała się również konieczność wprowadzenia pewnych modyfikacji w taktyce zabezpieczeń. Granica obwodu rozszerzyła się i jest coraz bardziej hybrydowa oraz obejmuje wiele chmur i platform. Nowe technologie okazały się dobrodziejstwem dla wielu organizacji, ponieważ umożliwiły zapewnienie produktywności i wzrostu nawet w trudnych czasach, jednak zmiany stały się także szansą dla cyberprzestępców, którzy opracowują metody wykorzystywania luk znajdowanych w coraz bardziej złożonych środowiskach cyfrowych.

Wzrost liczby ataków mających na celu wyłudzanie informacji związanych z pracą zdalną jest głównym zmartwieniem profesjonalistów ds. zabezpieczeń, z którymi rozmawiam — znalazło to także odzwierciedlenie w naszych badaniach. W ankiecie firmy Microsoft przeprowadzonej w roku 2020 wśród kierowników ds. zabezpieczeń 55% z nich powiedziało, że ich organizacje wykryły wzrost liczby ataków mających na celu wyłudzanie informacji od momentu rozpoczęcia pandemii, a 88% stwierdziło, że te ataki wpłynęły na ich organizacje. Ja też regularnie słyszę o gwałtownie rosnącej liczbie ataków z użyciem oprogramowania wymuszającego okup, o tym, że złośliwe oprogramowanie wciąż stanowi zagrożenie, oraz że naruszenie bezpieczeństwa tożsamości nadal stanowi poważne wyzwanie będące zmorą zespołów ds. zabezpieczeń.

Ponadto wiemy, że ataki państw narodowych stają się coraz bardziej agresywne i powszechne. Atak na łańcuch dostaw NOBELIUM, wykorzystujący platformę SolarWinds, był jednym z nowatorskich ataków, które dostały się na czołówki wszystkich gazet w ubiegłym roku. Efekciarskie nowe techniki często przyciągają nagłówki prasowe, jednak dyrektorzy ds. bezpieczeństwa informacji ciągle zwracają moją uwagę na fakt, że nawet te zaawansowane źródła zagrożeń, takie jak większość cyberprzestępców, mają tendencje do skupiania się na atakach o niskich kosztach i wysokiej wartości wykorzystujących sposobną okazję.

„Jeśli państwa narodowe zamierzają zaatakować mnie i moją firmę, to niemal jak uderzenie pioruna. Może się wydarzyć, przejmuję się tym, ale nie tak bardzo jak codziennymi działaniami i podstawowymi zabezpieczeniami”.
Dyrektor ds. bezpieczeństwa informacji, usługi finansowe

Jeszcze lepiej tę kwestię ilustruje fakt, że zaobserwowaliśmy wzrost wykorzystywania ataków rozproszonych na hasła przez atakujące państwa narodowe. Rola kierownika ds. zabezpieczeń polega na zarządzaniu ryzykiem i określaniu priorytetów — wielu kierowników mówi mi, że ich głównym priorytetem jest wzmacnianie higieny cybernetycznej w celu zapobiegania większości typowych linii ataków, zwłaszcza w kontekście korzystania z zasobów cyfrowych na coraz większą skalę. Nasze dane i badanie odzwierciedlają to przekonanie — szacujemy, że podstawowa higiena zabezpieczeń nadal chroni przed 98% ataków (patrz strona 124 dokumentu Raport firmy Microsoft na temat ochrony zasobów cyfrowych, październik 2021 r.).

Większość kierowników ds. zabezpieczeń, z którymi rozmawiam, zgadza się z podstawowymi krokami strategii zabezpieczeń:

  • Wdrażanie uwierzytelniania wieloskładnikowego (MFA) oraz zasad rejestracji
  • Uzyskiwanie wglądu w środowisko
  • Edukowanie użytkowników
  • Stosowanie na bieżąco poprawek i zarządzania lukami w zabezpieczeniach
  • Zarządzanie wszystkimi urządzeniami i chronienie ich
  • Zabezpieczanie konfiguracji zasobów i obciążeń lokalnych oraz w chmurze
  • Zapewnianie kopii zapasowej na wypadek najbardziej pesymistycznych scenariuszy odzyskiwania
„Pod koniec, w większości przypadków, jest to… głupie hasło na koncie z uprawnieniami albo to, że ktoś nie zaimplementował certyfikatu w wymaganym konkretnym punkcie końcowym”.
Dyrektor ds. bezpieczeństwa informacji, opieka zdrowotna

Pewnie myślisz, że łatwo jest mówić o podstawowych krokach zabezpieczeń, ale znacznie trudniej jest wdrażać je w praktyce, zwłaszcza gdy zespół jest przeciążony i ma za mało pracowników. Jednak bycie kierownikiem ds. zabezpieczeń polega na zarządzaniu zarówno ryzykiem, jak i ustalaniem priorytetów, przez co skupienie się na podstawowych zasadach stanowi solidne, pragmatyczne podejście. Zdarzenia związane z bezpieczeństwem nader często nie są kwestią JEŚLI, tylko KIEDY. Dysponujemy setkami alarmujących statystyk dotyczących cyberbezpieczeństwa, takimi jak około 4000 ataków cyberprzestępców popełnianych każdego dnia w samych Stanach Zjednoczonych oraz ponad 30 000 witryn internetowych padających codziennie ofiarami hakerów.

Moim zdaniem najlepszą linią obrony jest przyjęcie zrównoważonego podejścia i inwestowanie w wykrywanie zdarzeń oraz reagowanie na nie równolegle do zapobiegania im.

Inwestowanie w nowe poziomy zapobiegania przy jednoczesnej próbie zaspokojenia rosnącego zapotrzebowania na wykrywanie i reagowanie może wydawać się trudne, jednak znalezienie odpowiedniej równowagi między tymi dwoma wysiłkami ma zarówno kluczowe, jak i korzystne znaczenie. W badaniu organizacji Ponemon Institute i IBM Security z roku 2021 wykazano, że organizacje bez zespołu reagowania na zdarzenia lub gotowego planu odnotowały wzrost średniego kosztu naruszeń bezpieczeństwa danych o 55%. Zespoły ds. zabezpieczeń, które mogą równoważyć solidne zapobieganie ze strategią obejmującą reagowanie na zdarzenia oraz inwestycje w narzędzia do wykrywania i korygowania, będą lepiej przygotowane na przetrwanie tego, co nieuniknione.

Wnioski?

Przyjmij zrównoważone podejście — stosuj podstawowe zasady i opracuj plan na wypadek ewentualnych naruszeń zabezpieczeń.
  • Inwestowanie w podstawową higienę cybernetyczną i rozszerzanie jej na rosnące środowisko cyfrowe to krytyczna strategia pomagająca przede wszystkim chronić firmę przed atakiem.
  • Chociaż poważne ataki nie zdarzają się na co dzień, ważne jest przygotowanie się na nie i utrzymywanie stanu gotowości. Te podstawowe działania są kluczowe, jednak organizacje myślące z wyprzedzeniem koncentrują się na dobrze udokumentowanym i przetestowanym planie dotyczącym tego, co robić po naruszeniu zabezpieczeń.

Przejdźmy do kolejnego obecnie najważniejszego tematu, którym zajmują się dyrektorzy ds. bezpieczeństwa informacji: łańcuchy dostaw i nieodłącznie z nimi związane narażanie na zagrożenia. Rozszerzenie obwodu zabezpieczeń poza infrastrukturę IT i organizację zabezpieczeń w wyniku coraz bardziej połączonego i złożonego łańcucha dostaw jest rzeczywistością współczesnego środowiska biznesowego. W raporcie Sonatype z września 2021 roku odnotowano 650% wzrost rok do roku liczby ataków na łańcuch dostaw w porównaniu z rokiem 2020.

Tak, zgadza się: 650%!

Ponadto nowe realia biznesowe — takie jak praca hybrydowa i wszelkiego rodzaju zakłócenia łańcucha dostaw dotykające wszystkich branż — jeszcze bardziej rozszerzyły granice zabezpieczeń i tożsamości.
1013

Średnia liczba dostawców w łańcuchu dostaw firmy

Źródło: BlueVoyant,

„Łańcuch dostaw CISO”, 2020

64%

firm twierdzi, że zleca ponad jedną czwartą swoich codziennych zadań biznesowych dostawcom, którzy wymagają dostępu do ich danych biznesowych

Źródło: (ISC)2, „Zabezpieczanie ekosystemu partnerów”, 2019

Nie ma nic dziwnego w tym, że kierownicy ds. zabezpieczeń zwracają większą uwagę na ryzyka związane z łańcuchem dostaw — nie tylko wszelkie połączenia w łańcuchu dostaw są kluczowe dla działalności operacyjnej firmy, ale zakłócenia gdziekolwiek w łańcuchu mogą być szkodliwe na mnóstwo sposobów.

Gdy kierownicy ds. zabezpieczeń coraz częściej zwracają się do dostawców o aplikacje, infrastrukturę i kapitał ludzki, szukają bardziej efektywnych struktur i narzędzi ułatwiających ocenianie i korygowanie zagrożeń w warstwach dostawców. Ponieważ te 650% jest przerażające i wszyscy jesteśmy potencjalnie zagrożeni.

Dyrektorzy ds. bezpieczeństwa informacji mówią mi, że chociaż tradycyjne metody weryfikacji mogą być skuteczne w zmniejszaniu ryzyka podczas procesu selekcji lub ocen, to ich zespoły zmagają się z nieuniknionymi wadami ocen w danym momencie, takimi jak:

  • Procesy oceniania dostawców często obejmują tylko kwestionariusz lub „listę kontrolną”, która nie dotyczy wszystkich czynników ryzyka nieodłącznie związanych ze współczesnymi łańcuchami dostaw.
  • Gdy dostawca zostanie już dodany, przeprowadzany jest tylko cykl oceny w określonym momencie, często co rok lub podczas odnawiania umowy.
  • Często różne działy w tej samej firmie mają wdrożone różne procesy i funkcje bez jasnego sposobu udostępniania informacji zespołom wewnętrznym.
„Kluczowi dostawcy to tacy, od których jesteśmy uzależnieni na dużą skalę, lub którzy najbardziej nas wspierają w realizowaniu naszej wizji. Wszelkie zakłócenie dobrego samopoczucia u dowolnego z tych typów dostawców będzie mieć istotny, niekorzystny wpływ na naszą organizację”.
Dyrektor ds. informatyki, badania naukowe

Te wskaźniki oznaczają, że organizacje po prostu nie są w stanie wymusić zapewnienia zgodności i korygować ryzyka w czasie rzeczywistym. Znacznie utrudnia to zespołom ds. zabezpieczeń reagowanie na nietypowe zachowania, takie jak przenoszenie do kwarantanny oprogramowania zewnętrznego z naruszonymi zabezpieczeniami lub blokowanie dostępu do sieci dla ujawnionych poświadczeń administratora. Jeśli niedawne ataki czegokolwiek nas nauczyły, to tego, że nawet najlepsza higiena cyberbezpieczeństwa i przestrzeganie podstawowych zasad polegających na identyfikowaniu, mierzeniu i korygowaniu ryzyka, nie może całkowicie wyeliminować ewentualnego przedostania się zagrożeń do łańcuchów dostaw.

„Mamy coroczne odprawy z kluczowymi dostawcami i w zależności od przynależności dostawców do warstw możemy je przeprowadzać co dwa, trzy lata i wykonać ponownie ocenę. Jednak ocena zapewnia tylko informacje na dany punkt w czasie. Nie weryfikuje ona środowiska kontroli na przestrzeni całego roku”.
Członek rady doradczej klienta ds. zarządzania łańcuchem dostaw firmy Microsoft

Jak więc można zarządzać zagrożeniami dla łańcucha dostaw, jednocześnie zachowując elastyczność i produktywność? Okazało się, że wielu kierowników ds. zabezpieczeń podchodzi do zagrożeń dla łańcucha dostaw bardzo podobnie jak do cyberataków — skupiając się na silnych zasadach podstawowych i poprawianiu widoczności.

Z ekosystemem dostawców jest skojarzonych tak wiele różnych typów ryzyka, że nie ma oczywistej standardyzacji, „najlepszych rozwiązań” ani nawet technologii do zarządzania nimi. Wielu kierowników ds. zabezpieczeń skłania się jednak ku stosowaniu modelu Zero Trust jako podejścia do ograniczania narażenia na ryzyko oraz ułatwienia ochrony przed lukami w zabezpieczeniach, które stale kryją się za zagrożeniami dla łańcucha dostaw — takich jak poświadczenia użytkowników z innych firm z naruszonymi zabezpieczeniami, urządzenia zainfekowane złośliwym oprogramowaniem, złośliwy kod i inne.

Model Zero Trust to proaktywne, zintegrowane podejście do zabezpieczeń we wszystkich warstwach infrastruktury cyfrowej, które jawnie i stale weryfikuje każdą transakcję, zapewnia dostęp o najmniejszych uprawnieniach oraz polega na analizie, wykrywaniu z wyprzedzeniem i reagowaniu w czasie rzeczywistym na zagrożenia.

Kierownicy ds. zabezpieczeń spójnie zgłaszali nam, że byli w stanie zmniejszyć wpływ poważnych ataków na łańcuch dostaw i zwiększyć ogólną efektywność operacji w łańcuchu dostaw przez zaimplementowanie wydajnych strategii opartych na modelu Zero Trust. W rzeczywistości według niedawnego badania przeprowadzonego przez Ponemon Institute i IBM Security organizacje z dojrzałymi wdrożeniami modelu Zero Trust odnotowały o około 40% niższy średni koszt naruszeń zabezpieczeń w porównaniu z tymi, gdzie nie wdrożono tego modelu.
„Model Zero Trust pozwolił nam utworzyć strukturę i opracować zasady dostępu w celu chronienia wszystkich krytycznych zasobów w naszej organizacji”.
Osoba podejmująca decyzje w zakresie zabezpieczeń opieki zdrowotnej
„Spojrzeliśmy na nasz kompas i, przynajmniej z perspektywy zapewnienia kontroli, wskazuje on bardziej kierunek modelu Zero Trust. Zamiast potencjalnie zadawać wszystkie te pytania, a następnie próbować zająć się kwestią „jak kontrolować wszystko wyłącznie pod kątem tego konkretnego zakresu”, po prostu robimy coś zupełnie innego: zaczynamy od niczego i otwieramy tylko dokładnie to, co jest potrzebne. Sądzę więc, że… model Zero Trust przeżywa renesans w branży”.
Dyrektor ds. bezpieczeństwa informacji, produkcja towarów szybkozbywalnych

Podejście „zakładanego naruszenia bezpieczeństwa”

Dwie pierwsze reguły pomagają zmniejszyć prawdopodobieństwo naruszenia zabezpieczeń, a założenie że do niego doszło, pomaga organizacjom przygotować się na szybkie wykrywanie naruszenia oraz reagowanie na nie przez tworzenie procesów i systemów z założeniem, że już się ono wydarzyło. W praktyce oznacza to stosowanie nadmiarowych mechanizmów zabezpieczeń, zbieranie telemetrii systemu, używanie jej do wykrywania nieprawidłowości oraz, gdy tylko jest to możliwe, łączenie tych szczegółowych informacji z automatyzacją, co pozwala zapobiegać, reagować i korygować niemal w czasie rzeczywistym. Dyrektorzy ds. bezpieczeństwa informacji zgłaszają, że inwestują we wdrażanie niezawodnych systemów monitorowania, które pomagają im wykrywać zmiany w środowisku — takie jak urządzenie IoT z naruszonymi zabezpieczeniami usiłujące otworzyć niechciane połączenia z innymi urządzeniami — w celu szybkiego identyfikowania i ograniczania ataku.

Kierownicy, z którymi rozmawiam o modelu Zero Trust, zgadzają się, że to świetna struktura do tworzenia podstawowej higieny cybernetycznej — obejmująca zarządzanie łańcuchem dostaw.

Przyjrzyjmy się temu, jak kierownicy ds. zabezpieczeń wdrażają reguły modelu Zero Trust w celu chronienia swoich łańcuchów dostaw.

Jawna weryfikacja

Jawne weryfikowanie oznacza, że powinniśmy zbadać wszystkie stosowne aspekty żądań dostępu zamiast zakładać zaufanie na podstawie niewystarczająco silnego zapewnienia, takiego jak lokalizacja sieciowa. W przypadku łańcuchów dostaw atakujący zwykle wykorzystują luki w jawnej weryfikacji — na przykład przez znajdowanie kont dostawców o wysokim uprzywilejowaniu, które nie są chronione uwierzytelnianiem wieloskładnikowym, lub wstrzykiwanie złośliwego kodu do aplikacji zaufanej. Zespoły ds. zabezpieczeń wzmacniają swoje metody weryfikacji i rozszerzają wymagania dotyczące zasad zabezpieczeń na swoich użytkowników z innych firm.

Korzystanie z dostępu z najniższym poziomem uprawnień

Po wdrożeniu pierwszej reguły dostęp z najniższym poziomem uprawnień pomaga zapewnić, że uprawnienia są udzielane wyłącznie w celu zrealizowania konkretnych celów biznesowych z odpowiedniego środowiska i na odpowiednich urządzeniach. To pomaga ograniczyć okazje do wykonywania ruchu bocznego przez ograniczenie zakresu, do jakiego każdy zasób (użytkownik, punkt końcowy, aplikacja lub sieć) z naruszonymi zabezpieczeniami może uzyskiwać dostęp w środowisku. Kierownicy ds. zabezpieczeń twierdzą, że nadają priorytet zapewnianiu dostawcom i innym firmom dostępu tylko takiego, który jest potrzebny, wtedy, gdy jest potrzebny oraz ciągłemu weryfikowaniu i ocenianiu zasad i żądań dostępu w łańcuchu dostaw organizacji w celu zminimalizowania kontaktu z ważnymi systemami i zasobami.

„Celem jest poprawienie naszego ogólnego stanu zabezpieczeń, ale chodzi też o zminimalizowanie problemów w środowisku użytkownika końcowego oraz ułatwienie mu życia”.
Osoba podejmująca decyzje w zakresie zabezpieczeń hotelarstwa

Wnioski?

Ogromna liczba dostawców i szereg wyzwań nieodłącznie związanych z rozproszonymi łańcuchami dostaw jeszcze bardziej zwiększają wagę proaktywnego zarządzania. Mając na uwadze niedawne naruszenia zabezpieczeń danych globalnych, kierownicy ds. zabezpieczeń chętnie znajdą sposoby na ograniczanie ryzyka związanego z dostawcami, a reguły modelu Zero Trust dostarczają solidnej strategii i struktury do zarządzania ekosystemem dostawców.
  • Podejście Zero Trust pomaga zapewnić, że tylko właściwe osoby otrzymują odpowiedni poziom dostępu w organizacji przy jednoczesnym zwiększeniu zarówno bezpieczeństwa, jak i produktywności użytkownika końcowego.
  • Istnieje wiele sposobów na wprowadzenie modelu Zero Trust, jednak głównym priorytetem z punktu widzenia ekosystemu dostawców i zarządzania ryzykiem powinno być ustanowienie uwierzytelniania wieloskładnikowego.
  • Przeprowadź ocenę stopnia gotowości organizacji na model Zero Trust, aby otrzymać kluczowe wskazówki dostosowane do Twoich potrzeb oraz wyselekcjonowaną listę zasobów i rozwiązań, co przybliży Cię do celu na drodze do modelu Zero Trust.

Wszyscy słyszeliśmy o wielkiej rezygnacji. Ponad 40% pracowników na całym świecie rozważa odejście od swojego pracodawcy w tym roku, a kierownicy ds. zabezpieczeń i ich zespoły już teraz odczuwają braki w personelu. Często rozmawiam z dyrektorami ds. bezpieczeństwa informacji o ogólnej sytuacji, a jednym z ich głównych powodów do zmartwień jest zapewnianie, znajdowanie i utrzymywanie najbardziej utalentowanych pracowników. Jeśli najlepszy talent jednak odejdzie, stają przed wyborem, czy znajdować nowy najlepszy talent, czy podnieść umiejętności tych, które pozostały. Bardziej wydajna, zintegrowana i zautomatyzowana technologia może w tym pomóc, ale o wiele mniej niż wystarczająco.

Wraz z regularnym pojawianiem się w wiadomościach cyberataków do codziennego języka przeszły modne hasła związane z zabezpieczeniami — a te ataki (oraz wiadomości na ich temat) mogą głęboko wpłynąć na firmę. Ale wiecie co? To wcale nie są złe wieści. Ponieważ cyberbezpieczeństwo stało się tematem znanym we wszystkich obszarach organizacji, dowiadujemy się, że koncepcja „bezpieczeństwo to sprawa wszystkich” zaczyna znajdować oddźwięk w wielu organizacjach. Nowe modele pracy hybrydowej oraz obwody zabezpieczeń przesuwają się w różne nowe sposoby, dlatego kierownicy ds. zabezpieczeń coraz bardziej polegają na innowacyjnych metodach zapewniania wszystkim bezpieczeństwa, nawet gdy mierzą się z brakami talentów i umiejętności. Obecnie dewizę „robienie więcej mniejszym wysiłkiem” zastępuje „robienie więcej inną metodą” wśród innowacyjnych kierowników ds. zabezpieczeń.

„To wyzwanie, z którym mierzy się każdy: trudno znaleźć talent i go utrzymać. Rozwijanie talentu to miecz obosieczny: sprawiasz, że ich utrzymanie jest zbyt drogie, więc z pewnością wiąże się to z pewnymi wyzwaniami”.
Dyrektor ds. bezpieczeństwa informacji, usługi prawne

Braki talentów i umiejętności na pewno nie są zjawiskiem pozytywnym, jednak jest tu nikły promyk światła — tworzenie kultury zabezpieczeń staje się rzeczywistością. Wielu dyrektorów ds. bezpieczeństwa informacji mówi nam, że jednym z najbardziej skutecznych sposobów na rozwiązanie ich wyzwań dotyczących zabezpieczeń w ramach wyzwań związanych z personelem jest utworzenie kultury zabezpieczeń, gdzie bezpieczeństwo to sprawa wszystkich. Dyrektorzy ds. bezpieczeństwa informacji coraz częściej opowiadają się za ideą, że cała organizacja może przejąć odpowiedzialność za zabezpieczenia, zwłaszcza w obliczu braków pracowników lub niedostatecznych funduszy.

Zespoły ds. rozwoju, administratorzy systemu oraz, także, użytkownicy końcowi muszą zrozumieć związane z nimi zasady zabezpieczeń. Udostępnianie informacji ma kluczowe znaczenie, a zespoły ds. zabezpieczeń coraz częściej znajdują nowe sposoby współpracy z deweloperami, administratorami i właścicielami procesów biznesowych w celu zrozumienia zagrożeń i opracowania zasad oraz procedur korzystnych dla całej organizacji.

Braki talentów i luki w umiejętnościach (zwłaszcza w wiecznie zmieniającej się branży cyberbezpieczeństwa) sprawiają, że dyrektorzy ds. bezpieczeństwa informacji szukają nowych i innowacyjnych sposobów na wyprzedzanie zmian. Jedną ze strategii, o której ciągle słyszymy, jest „wyznaczanie” pracowników spoza zespołu ds. zabezpieczeń. Dyrektorzy ds. bezpieczeństwa informacji próbują wykorzystać całą organizację, skupiając się przede wszystkim na szkoleniu użytkowników końcowych, aby stanowili część rozwiązania, oraz zapewnianiu pomocy technicznej od sąsiednich zespołów.

Pogłębianie i poszerzanie wiedzy użytkownika końcowego o zagrożeniach dla bezpieczeństwa — takie jak zapewnianie, że rozumieją oni wyłudzanie informacji oraz oznaki subtelnych ataków — działa cuda w zwiększaniu liczby par oczu i uszu zespołu ds. zabezpieczeń, zwłaszcza w kontekście strategii „czubek włóczni”, w której użytkownicy końcowi są często punktem wejścia dla ataku. Nie twierdzę, że użytkowników końcowych można magicznie wyszkolić, aby wyłapywali wszystko, ale przygotowani i czujni użytkownicy mogą diametralnie zmniejszyć obciążenie zespołów ds. zabezpieczeń.

„Być może znasz już frazę, że za bezpieczeństwo odpowiadają wszyscy. Brzmi ładnie, ale w praktyce… tylko do czasu, aż coś się stanie. W kwestii infrastruktury IT wyznaczyliśmy członków działu IT na przedstawicieli działu bezpieczeństwa. Wyznaczyliśmy członków różnych zespołów, a konkretnie zespołów ds. rozwoju, architektury i infrastruktury, którzy przeszli dodatkowe szkolenie z zabezpieczeń. Zaczęli oni przychodzić na niektóre z moich spotkań dotyczących zabezpieczeń oraz zostali przedstawicielami swojej grupy w dziale zabezpieczeń, a także przedstawicielami działu zabezpieczeń w swojej grupie”.
Dyrektor ds. bezpieczeństwa informacji, usługi prawne

Kolejną strategią jest wyznaczanie działu IT na element zabezpieczeń. Zapewnienie bliskiej łączności między zespołem IT i zespołem ds. zabezpieczeń oraz dostarczanie zespołowi IT podsumowań dotyczących strategii zabezpieczeń pomaga wielu kierownikom ds. zabezpieczeń rozszerzać swoją misję na wszystkie obszary organizacji.

Zapewnienie wskazówek oraz pomocy w zakresie automatyzacji i innych proaktywnych strategii zarządzania zadaniami i przepływem pracy to podstawowy sposób, w jaki dyrektorzy ds. bezpieczeństwa informacji poszerzają swoje zespoły i wykorzystują infrastrukturę IT do ułatwiania zapewniania solidnego stanu zabezpieczeń.

„Patrząc na świat zabezpieczeń, personel ds. zabezpieczeń nie robi zbyt wiele w powstrzymywaniu ataków — robią to pracownicy działu IT. Pracownicy działu zabezpieczeń na przykład nie stosują poprawek. Robią to pracownicy po stronie informatycznej. Dział zabezpieczeń nie zarządza magazynem zarządzania zasobami — robi to dział IT.   Jest tu jeszcze mnóstwo innych aspektów zależących od Twojej organizacji — zaporami zwykle zarządza zespół ds. sieci, niekoniecznie zespół ds. zabezpieczeń. Zatem dużą część naszej pracy stanowi pomaganie osobom, których zadaniem jest faktyczne wykonywanie wszelkich działań ochronnych, oraz podnoszenie ich umiejętności, zapewnianie im narzędzi do automatyzowania części wykonywanej przez nich pracy.
  Dajemy im powody, a nie tylko zadania do wykonania, a czasem zrozumienie powodów wpływa na wykonywanie działań i inspiruje do tego”.
Dyrektor ds. bezpieczeństwa informacji, usługi prawne

Wnioski?

Zwiększanie kreatywności dzięki zasobom nie jest niczym nowym. Jednak opracowanie szerszego zespołu poprzez systematyczne szkolenie i angażowanie zespołów sąsiadujących z zespołem ds. zabezpieczeń to innowacyjny sposób, w który dyrektorzy ds. bezpieczeństwa informacji zmniejszają negatywne skutki braków talentów i luk w kluczowych umiejętnościach.
  • Tworzenie synergii z innymi zespołami i wyznaczanie pracowników spoza zespołu ds. zabezpieczeń pomaga rozszerzyć sferę wpływów i utrzymać bezpieczeństwo firmy.
  • Szkolenie użytkowników w zakresie rozpoznawania wyłudzania informacji i typowych problemów z zabezpieczeniami to strategia, na którą zdaniem większości kierowników ds. zabezpieczeń, warto jest poświęcać czas i wysiłek.

We wszystkich przytaczanych badaniach firmy Microsoft wykorzystano usługi niezależnych firm badawczych do kontaktowania się ze specjalistami ds. zabezpieczeń w celu przeprowadzenia badań ilościowych i jakościowych przy zapewnieniu ochrony prywatności i zachowaniu rygoru analitycznego. O ile nie wskazano inaczej, cytaty i ustalenia podane w tym dokumencie są wynikiem badań naukowych firmy Microsoft.

Artykuły pokrewne

Cyber Signals: Wydanie 1

Tożsamość to nowe pole bitwy. Uzyskaj szczegółowe informacje na temat ewoluujących cyberzagrożeń i tego, jakie kroki należy podjąć, aby lepiej chronić organizację.
Dowiedz się więcej

CISO Insider: numer 2

W tym numerze „CISO Insider” dowiadujemy się od dyrektorów ds. bezpieczeństwa informacji, co obserwują na pierwszej linii działań — od celów po rodzaje taktyki — oraz jakie kroki podejmują, aby zapobiegać atakom i reagować na nie. Omawiane jest też to, jak liderzy wykorzystują rozszerzone możliwości wykrywania zagrożeń i reagowania na nie (tzw. XDR) oraz automatyzację do skalowania obrony przed wyrafinowanymi zagrożeniami.
Dowiedz się więcej

Cyber Signals, wydanie 2: Zarabianie na wymuszeniach

Dowiedz się więcej o tworzeniu oprogramowania ransomware jako usługi od ekspertów pierwszej linii. Od programów i ładunków po brokerów dostępu i powiązane podmioty — zapoznaj się z preferowanymi narzędziami, taktykami i celami cyberprzestępców oraz uzyskaj wskazówki, które ułatwią ochronę Twojej organizacji.
Dowiedz się więcej