Каковы три столпа кибербезопасности? — CloudSavvy ИТ

Женщина проверяет планшет.
Shutterstock / Gorodenkoff

Кибербезопасность — это проблема бизнеса, а не ИТ. Организации должны развивать культуру кибербезопасности, поддерживаемую руководством и поддерживаемую технологиями, управлением и осведомленностью персонала.

Кто придет за мной?

Как ни странно, громкие кибератаки, подобные недавней Нарушение данных Blackbaud и Взлом Twitter может заставить высшее руководство и руководителей высшего звена чувствовать себя в безопасности и невосприимчивыми к киберугрозам. Если есть более крупные и лучшие цели, почему хакеры вообще обратят внимание на их организацию?

Но так же, как и у преступников в физическом мире, существуют различные слои киберпреступников. Есть преступники, которые грабят алмазы, и есть преступники, которые крадут сумочки. Понятно, что это разные люди. Киберпреступники, нацеленные на высокопоставленных и ценных жертв, вряд ли обратят свой взор на средний малый и средний бизнес (МСП).

Но это не значит, что малым и средним предприятиям нечего бояться. Наоборот. Высшие эшелоны киберпреступного мира могут не считать вас потенциальной жертвой, но все остальные киберпреступники считают. Это похоже на круглосуточный магазин, который чувствует себя в безопасности, потому что команда из 11 друзей Оушена никогда их не задержат. Просто потому, что это правда, это не значит, что вы можете игнорировать всех остальных хулиганов.

В киберпреступности самые распространенные угрозы — с которыми предприятия малого и среднего бизнеса сталкиваются каждый день — не зависят от жертв и не имеют целевого объекта. Если кибератаки автоматизированы и могут поразить достаточно малых и средних предприятий, киберпреступники все равно совершат убийства.

Есть 30 миллионов малых и средних предприятий В Соединенных Штатах. В Соединенном Королевстве эта цифра 5,9 миллиона, представляющих более 99 процентов предприятий. Таким образом, киберпреступники могут не нацеливаться на вас целенаправленно, но каждое SME и SMM находятся в своем сладком месте для жертв, и они поражают как можно больше из них. Кем бы они ни были.

Самая большая угроза для малых и средних предприятий — это вредоносные программы. Вредоносное ПО — это программное обеспечение, предназначенное для выполнения определенных действий в интересах киберпреступников или субъекты угрозы, Вредоносное ПО может извлекать данные, перехватывать нажатия клавиш для кражи учетных данных для входа или данных кредитной карты, либо это может быть программа-вымогатель. Программа-вымогатель шифрует ваши данные и требует оплаты, обычно в биткойнах, для их расшифровки.

Лучшим инструментом для распространения вредоносных программ является электронная почта. Испорченное электронное письмо может содержать вредоносное вложение или может содержать ссылку на мошеннический веб-сайт подражания, маскирующийся под настоящий веб-сайт. Любой из них заразит жертву.

Организации необходимо рассматривать свою кибербезопасность целостным образом. Он состоит из трех столпов. Каждый из них должен быть таким же надежным, как и два других, и вместе они должны поддерживать корпоративную культуру безопасности, ориентированную на безопасность. И общая нить, проходящая через все, — это люди.

Первый столп: технологии

Технология включает в себя аппаратные и программные средства и системы, которые вы развертываете для улучшения защиты и устранения брешей в безопасности. Но технология также включает общие ИТ-проблемы, такие как топология вашей сети. Ваша сеть сегрегирована или полностью плоская? Смогут ли вредоносные программы беспрепятственно проходить через него или его сдержит сегментация? Базовая надежная сетевая инженерия — это первый элемент вашей технологической опоры. Разумное размещение правильно настроенных маршрутизаторов, коммутаторов и брандмауэров обеспечивает основу для надстроек кибербезопасности.

Все операционные системы и прикладное программное обеспечение должны находиться в пределах периода поддержки производителей. Все они должны быть обновлены, включая прошивки на таких устройствах, как маршрутизаторы и межсетевые экраны.

Использование шифрования для электронной почты и шифрование жестких дисков портативных и мобильных устройств является обычным делом и, в зависимости от вашего географического положения, может быть предписано местным законодательством, например европейским. Общие правила защиты данных (GDPR). Управление устройствами USB должно быть реализовано в соответствии с вашими потребностями.

Конечно, у вас будет хотя бы один брандмауэр, Современные устройства поддерживают дополнения безопасности, такие как шлюз комплекты безопасности. Они предназначены для улавливания вирусов и вредоносных программ на входе в вашу сеть. Напротив, оконечный пакеты защиты, содержащие антивирусные и антивирусные пакеты, пытаются перехватывать угрозы на компьютерах в вашей сети. Ни один из них не заменяет другой, но если у вас может быть только один, разверните защиту конечных точек.

Фильтрация электронной почты и меры по борьбе со спамом значительно снизит шансы проникновения угроз, передаваемых по электронной почте, но они никогда не будут эффективны на 100%. Очень сложно обнаружить и отловить хорошо написанное мошенническое письмо, особенно если оно не содержит вложения. Дни, когда мошеннические электронные письма были плохо написаны и приправлены плохой грамматикой, не совсем остались позади, но они определенно уходят. Современные примеры хороши и очень убедительны.

Системы обнаружения вторжений (IDS) используют такие методы, как автоматический сбор и сопоставление системных журналов с серверов и сетевых устройств и их анализ на предмет подозрительного поведения или аномалий. Это можно настроить так, чтобы оно происходило периодически или, если система достаточно сложна, почти в реальном времени. IDS может также отслеживать ключевые системные файлы на серверах, любые изменения которых могут указывать на компрометацию.

Как узнать, оптимально ли выполняются все эти шаги? Используя тесты на проникновение и сканирование уязвимостей, Тест на проникновение попытается исследовать вашу защиту извне вашей организации. Они могут включать до тысячи отдельных тестов, каждый из которых предназначен для выявления конкретной потенциальной уязвимости. Сканирование уязвимостей похоже, но оно выполняется в вашей сети за брандмауэром. Он сканирует все устройства, подключенные к вашей сети, в поисках уязвимостей, таких как устаревшее или неустановленное программное обеспечение и операционные системы.

Тесты на проникновение и сканирование уязвимостей следует запускать с запланированной периодичностью, а результаты использовать для определения объема работ по исправлению положения, которым следует уделить внимание. Когда злоумышленник — или один из его автоматических сканеров — обнаруживает уязвимость и применяет эксплойт, у вас есть компромисс. Найдите их и устраните до того, как это сделают злоумышленники.

И не забывайте резервные копии. Резервное копирование на различные носители и включает внешнее резервное копирование в вашем режиме. Резервное копирование в локальное хранилище Network Attached Storage устройства позволяют восстанавливать данные быстрее, чем из резервных копий за пределами площадки, но резервные копии за пределами площадки обеспечивают наиболее надежные решения для восстановления. Итак, сделайте и то, и другое. Пожар или наводнение могут сделать ваше помещение недоступным. Без внешней резервной копии вы не можете работать и торговать.

Постоянно обновляемые резервные копии серверов на основе образов позволяют быстро восстановить сервер, поскольку выполняется резервное копирование не только данных, но и операционной системы. Некоторое программное обеспечение для резервного копирования может преобразовывать образ резервной копии в виртуальную машину, чтобы резервная копия могла быть развернута на другом оборудовании или в качестве другого экземпляра сервера в облаке, восстанавливая доступ к вашему отключенному серверу за минуты, а не часы.

Репликация сервера поддерживает клонированный сервер в актуальном состоянии, который может обеспечить почти мгновенное переключение в случае смерти ведущего сервера. С облачной инфраструктурой это легко сделать.

Какой бы режим резервного копирования вы ни использовали, проверьте его. Отрепетируйте сценарии аварийного восстановления.

Когда ИТ-оборудование подходит к концу, убедитесь, что безопасное уничтожение данных выполняется на устройствах для предотвращения потери информации и данных из-за недосмотра.

Второй столп: управление ИТ

Управление ИТ — это всеобъемлющий набор средств контроля, которые вы устанавливаете и применяете для управления использованием всех ваших ИТ-активов. Они принимают форму политик и процедур, которые гарантируют, что ваши сотрудники знают и соблюдают передовые методы ведения бизнеса в отношении ИТ и безопасности. Кроме того, политики и процедуры, относящиеся к защита данных становятся обычным явлением — если не обязательным.

Ваши процедуры должны документировать и подробно описывать действия, необходимые для обслуживания, исправления и мониторинга всех элементов в разделе технологий. Как вы собираетесь гарантировать, что все исправления безопасности установлены? Каков график тестирования резервного копирования и когда он последний раз тестировался? Каков ваш процесс открытия порта на брандмауэре? Есть ли задокументированное экономическое обоснование открытия этого порта и было ли оно рассмотрено? Где хранятся эти записи?

Все действия, связанные с компонентами технологической опоры, должны быть закреплены в процедурах, и эти процедуры должны создавать контрольный журнал или записи.

Наиболее распространенной формой аутентификации по-прежнему является пароль. У вас есть политика паролей с инструкциями по созданию безопасных паролей? Указывает ли он персоналу не использовать имена членов семьи, дни рождения и другие личные данные, которые можно получить с помощью исследований или социальной инженерии? Применяется ли сложность, где это возможно, или двухфакторная аутентификация обязательна, если она доступна?

В Политике добросовестного использования будет перечислено, что является допустимым, а что — недопустимым использованием ваших ИТ и телекоммуникационных активов. Нельзя оправдывать людей: «Никто не сказал, что я не могу». Документируйте, что разрешено, а что нет.

Вам может потребоваться, чтобы управление соответствовало закону, постановлению или стандартам, таким как GDPR, ISO 27001, Защита конфиденциальности, или Закон Калифорнии о конфиденциальности потребителей,

У вас должна быть процедура утечки данных и процедура ИТ-инцидента, и их следует отрепетировать.

Помните, если это не записано, это не процедура. Сказать «Все знают, что делать» — это не процедура, это знание племени. Это означает, что в этой деятельности нет ни управления, ни контроля, и, конечно же, не будет контрольного следа.

Очевидно, что процедуры совершенно неэффективны, если их не соблюдать.

Третий столп: осведомленность персонала

Ваш персонал — самый важный элемент в безопасности ваших систем и сохранности ваших данных. Кибер-трение — это реакция, которую вы можете получить против изменений и любых дополнительных шагов, необходимых для обеспечения надлежащей практики безопасности. Изменения, политики и процедуры должны внедряться информированным и всеобъемлющим образом, чтобы вы получали поддержку и поддержку персонала. Вам нужно, чтобы они осознали — и приветствовали тот факт, — что меры безопасности призваны защитить их так же, как и организацию.

Разумно ли ожидать, что ваши сотрудники будут знать, как определять мошеннические электронные письма и другие формы атак без соответствующего обучения? Конечно нет. Они требуют обучения осведомленности о кибербезопасности, и его следует пополнять не реже одного раза в год. Чем лучше они обнаруживают угрозы, тем лучше они могут защитить организацию. Многие атаки программ-вымогателей закрывают предприятия. Ваши сотрудники кровно заинтересованы в том, чтобы ваша организация не подвергалась киберрискам.

Культура, ориентированная на безопасность, — это культура, в которой ваши сотрудники имеют право запрашивать все подозрительные, просто для уверенности. И сделать это без критики. Каждая ложная тревога или «Я подумал, что проверю на всякий случай» является признаком того, что они понимают угрозы, и они не выбирают кратчайшие пути или слепо надеются на лучшее.

Подобные ценности на рабочем месте должны внедряться в организацию сверху вниз. Слишком окаменевший, чтобы выполнять свою работу, никому не идет на пользу. Но готовность проявить должную осмотрительность, чувство вовлеченности и удобство разумного управления являются показателями подлинной заинтересованности сотрудников.

Это люди, весь путь вниз

Все начинается сверху. Высшее руководство должно понимать, что каждый является целью. Они должны понимать требования к технологической защите и выделять на нее средства. Кибербезопасность лежит в основе непрерывности бизнеса и способности поддерживать торговлю.

Отказ не вариант. Кибербюджет будет дешевле, чем хаос, вызванный единственной успешной атакой программы-вымогателя. Помните, что есть ущерб репутации, а также финансовый ущерб.

Защитные технологии должны быть установлены, настроены, поддержаны и исправлены. Люди, руководствуясь управлением.

Персонал должен использовать разумное поведение и надежные пароли. Руководство предоставит руководство и контроль, но кто-то должен написать политику и процедуры.

Наделить полномочиями сотрудников, работающих с заботой о безопасности, можно, но этого невозможно добиться без плана управления, чтобы это произошло.

Это действительно люди до самого низа.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.