BezpieczeństwoSłabe punkty działów bezpieczeństwa w firmach. Czas zmienić zasady gry > redakcja Opublikowane 19 kwietnia 20220 0 422 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Skupianie się wyłącznie na zapobieganiu atakom i pomijanie roli wykrywania, nieodpowiedni dobór narzędzi, brak świadomości zarządów i niedocenianie roli specjalistów ds. zabezpieczeń – to tylko niektóre smutne wnioski płynące z badania przeprowadzonego przez Vectra AI. Rynek cyberprzestępczości, corocznie przynoszący biliony zysków, to atrakcyjne środowisko dla rozwoju i rozpowszechniania nowych TTP. Jak w tej sytuacji branża radzi sobie z wyzwaniem obrony przed tym ciągle poruszającym się celem?Wiele spośród osób biorących udział w badaniu uważa, że branża wciąż pozostaje w tyle. Dziewięć na dziesięć ankietowanych (89%) słusznie przyznało, że starsze podejścia nie chronią przed współczesnymi zagrożeniami i że należy „zmienić sposób działania, by poradzić sobie z napastnikami”. Potwierdza to fakt, że 69% uważa, że cyberprzestępcy omijają obecne narzędzia, a innowacje w zakresie bezpieczeństwa są wiele lat w tyle za hakerami. Kolejne 72% uważa, że wytyczne, zasady i narzędzia dotyczące bezpieczeństwa nie nadążają za technikami i procedurami atakujących.W tym kontekście przestaje być zaskakujące, że ponad trzy czwarte (76%) liderów bezpieczeństwa zgłosiło, iż kupili narzędzia, które nie spełniły swojej roli. Kluczowe powody takiej oceny to kwestie integracji i brak pełnej widoczności.Pomimo tych wyzwań widoczny jest postęp. Spośród 78% respondentów, którzy doświadczyli zdarzenia wymagającego znaczącej reakcji, nieco ponad połowa (57%) informację o problemie otrzymała poprzez stosowane w firmie narzędzia bezpieczeństwa. To pozytywna zmiana. W 2015 roku badania wykazały, że 70% incydentów naruszenia zostało wykryte przez osoby z zewnątrz. Narzędzia do wykrywania i reagowania obecnie radzą sobie lepiej.Ponad jedna czwarta (27%) respondentów stwierdziła, że jest przekonana, że ich portfolio narzędzi może wykryć i chronić je przed rodzajami zagrożeń wykorzystywanych w atakach na Kaseya, SolarWinds i JBS. Kolejne 25% stwierdziło, że jest w pełni przekonana, że widzi wszystkie zagrożenia stojące przed ich organizacją.Skupianie się wyłącznie na zapobieganiu atakom stanowi poważne ryzyko Ostatnie postępy, jakie hakerzy poczynili w metodach ataków, w dość prosty sposób umożliwiają im ominięcie technologii zapobiegawczych, takich jak uwierzytelnianie wieloskładnikowe. Mimo to myślenie „przede wszystkim zapobiegać” wciąż dominuje. Dwie trzecie (65%) respondentów nadal uważa, że zapobieganie atakom cyberprzestępców jest ważniejsze niż ich wykrywanie — ich zdaniem, jeśli hakerowi uda się uzyskać dostęp do sieci firmowej, oznacza to, że firma jest już na straconej pozycji. W rezultacie 46% potwierdziło, że wydaje więcej na zapobieganie niż na wykrywanie ataków, przy czym tylko jedna piąta (23%) wydaje więcej na wykrywanie, a jedna trzecia (31%) mniej więcej po równo. Oczywiście organizacje nie powinny przestać inwestować w narzędzia takie jak uwierzytelnianie wieloskładnikowe – nadal stanowią one cenny sposób na zmniejszenie płaszczyzny ataku – ale nie można na nich polegać w zakresie ochrony przed współczesnymi zagrożeniami.Większość respondentów rozumie, że profilaktyka nie daje pełnej ochrony. Ponad dwie trzecie (69%) respondentów uważa, że mogło dojść do naruszenia, a o tym nie wie – 31% z nich uważa, że jest to prawdopodobne. Co więcej, 50% respondentów stwierdziło, że uważa, iż tradycyjne zabezpieczenia prewencyjne stają się przestarzałe, ponieważ hakerzy mają dostęp do zaawansowanych narzędzi i mogą w związku z tym opracowywać sposoby ich obchodzenia. Sugeruje to, że następuje ważna zmiana w sposobie myślenia.Zarządy firm nie wiedzą, jak skutecznie zwalczać zagrożenia Nie tylko przestarzałe podejście działów bezpieczeństwa wystawia firmy na potencjalne zagrożenia. Przestarzałe podejście osób zarządzających i kultura korporacyjna również mogą mieć negatywny wpływ. 82% respondentów uważa, że na decyzje dotyczące cyberbezpieczeństwa podejmowane przez ich zarządy mają wpływ istniejące relacje z dostawcami. Ponad połowa (58%) stwierdziła, że uważa, że zarząd jest o dekadę spóźniony, jeśli chodzi o dyskusje na temat bezpieczeństwa.Wskazuje to na pilną potrzebę uświadamiania zarządów przez zespoły ds. bezpieczeństwa o nowych zagrożeniach, przed którymi stoi organizacja, oraz o najskuteczniejszych strategiach obronnych. To jednak może stanowić wyzwanie. Dwie trzecie (68%) respondentów stwierdziło, że trudno jest przekazać zarządowi znaczenie bezpieczeństwa, ponieważ jej wartość bardzo trudno zmierzyć.Chociaż komunikowanie się i mierzenie wartości bezpieczeństwa nie zawsze jest proste, możliwe jest zmierzenie możliwości określonych zabezpieczeń. Aby zrobić to w najbardziej efektywny sposób, liderzy bezpieczeństwa muszą starać się dopasować stosowane metryki do celów biznesowych, obliczonych w odniesieniu do poziomu ryzyka, w sposób który będzie rezonować.Sytuacja zmienia się także, dzięki nagłośnieniu tematyki przez media. Około 89% respondentów stwierdziło, że ostatnie głośne cyberataki sprawiły, że zarząd zaczyna zwracać należytą uwagę na cyberbezpieczeństwo. Na szczęście wiedza ekspercka partnerów handlowych okazuje się nieoceniona w przeciwdziałaniu negatywnemu wpływowi dotychczasowych postaw zarządu. Około 86% respondentów jest wdzięcznych za wskazówki tych organizacji, które pomagają im w sortowaniu niezbyt skutecznych produktów i dostawców. Organizacje dystrybucyjne zapewniają klientom nowe możliwości odkrywania różnych rodzajów technologii, wykorzystując swoje relacje biznesowe do organizowania wczesnych demonstracji i prób koncepcyjnych. Ich zespoły to zazwyczaj dobrze wyszkoleni i wysoce zmotywowani eksperci, wnoszący dodatkową wiedzę, w czasie, gdy korporacyjne zespoły ds. cyberbezpieczeństwa zmagają się z problemami bez koniecznych umiejętności.Realia walki z cyberprzestępcami kontra biurokracjaW zależności od rodzaju organizacji, na rolę specjalisty ds. cyberbezpieczeństwa wpływ może mieć złożony zestaw nakładających się przepisów regulacyjnych i legislacyjnych. Unijne ogólne rozporządzenie o ochronie danych (RODO), znacznie podniosło kary za naruszenia danych. Potencjalne sankcje, z którymi muszą liczyć się firmy, które popełnią błąd i ujawnią wrażliwe dane, mogą sięgać astronomicznych wręcz kwot. Dyrektywa UE dotycząca bezpieczeństwa sieci i informacji (NIS), do której obecnie wprowadzane są poprawki, określa nowe minimalne wymagania dla „operatorów usług kluczowych” w różnych sektorach. Do tego dochodzą różne sektorowe wymogi regulacyjne narzucone przez np. Financial Conduct Authority (FCA) i Prudential Regulation Authority (PRA) Banku Anglii. Istnieją również mandaty zgodności międzysektorowej, takie jak PCI Data Security Standard (DSS), dla organizacji przetwarzających dane kart płatniczych i kredytowych.Większość (58%) respondentów stwierdziła, że prawodawcy nie posiadają wystarczających kompetencji do podejmowania decyzji dotyczących kwestii cyberbezpieczeństwa i wezwali do większego wkładu i współpracy z branżą. Kolejne 43% twierdziło, że organy regulacyjne nie wiedzą, jak wygląda codzienność walki na pierwszej linii frontu z cyberprzestępcami, nie mają więc wystarczającej wiedzy, aby tworzyć prawa dla specjalistów ds. cyberbezpieczeństwa.Może to sugerować, że pracownicy odpowiedzialni za cyberochronę uważają, że osoby odpowiedzialne za tworzenie i egzekwowanie przepisów regulacyjnych i legislacyjnych są zbyt oderwane od codziennych doświadczeń profesjonalistów z branży. Jest to problem w wielu sektorach, ale szczególnie w cyberbezpieczeństwie, gdzie innowacje technologiczne po stronie atakującego i obrońcy postępują tak szybko, że regulujące je zasady mogą szybko stać się nieaktualne, jeżeli nie będą dobrze przygotowane.Zdaniem eksperta Vectra AI, należy wrócić do podstaw i zrozumieć, jakie dane i zasoby posiada firma oraz kto ma do nich dostęp, i dopiero na podstawie tej wiedzy zastosowanie odpowiednich narzędzi kontroli. Skuteczne przepisy, prawa i normy powinny kodyfikować to zdroworozsądkowe podejście i jasno informować o wymogach na każdym poziomie i etapie pracy. Ważne jest, aby pamiętać, że dają one tylko podstawę, nie stanowią całości wymagań. Podmioty zajmujące atakami wprowadzają innowacje szybciej niż większość organów regulacyjnych lub ustawodawców jest w stanie wydawać nowe przepisy, więc strategia bezpieczeństwa powinna aktualizowana w tym samym tempie.