«Для многих директоров по информационной безопасности BYOD - это просто неприемлемый риск» 18.01.2022 14:45Мори Хабер, технический директор и директор по информационной безопасности в BeyondTrust, рассказывает о трех основных тенденциях в области кибербезопасности, на которые нам следует обратить внимание.
Как изменился ландшафт угроз безопасности за последние несколько месяцев?
Сфера безопасности за последние несколько месяцев эволюционировала от защиты от взлома до наличия надлежащих процедур, политик и раскрытия информации на случай нарушения. Сообщество пришло к пониманию, что даже при использовании лучших инструментов и усердной работы все еще существует риск нарушения. Мы видели, как это происходило даже с некоторыми из самых безопасных компаний и правительств по всему миру.
Атаки могут исходить практически с любого угла, и вопрос не в том, произойдут ли они, а скорее в том, когда они произойдут. В результате анализа ландшафта угроз безопасности можно прийти к болезненному выводу, что надлежащая защита также включает в себя все шаги, необходимые для выявления нарушения и уведомления соответствующих сторон, когда событие происходит. Это включает в себя все: от хорошо отрепетированного плана реагирования на инциденты до привлечения адвокатов на случай, когда это произойдет. Это полностью меняет предыдущие методологии строгой защиты.
На какие 3 основные тенденции в области кибербезопасности нам следует обратить внимание?
Три основных направления кибербезопасности, на которые следует обратить внимание специалистам по безопасности, включают:
- Чрезмерные привилегии учетной записи - подготовка учетных записей с чрезмерными привилегиями или общими секретами, которые могут быть использованы против пользователя или приложения. Все должно следовать модели наименьших привилегий
- Несоответствующий доступ к активам - использование всех активов, приложений и учетных записей должно проверяться на предмет ненадлежащего использования. Это должно включать в себя основные характеристики, такие как доступ к геолокации в первый раз, доступ к зарубежной геолокации и одновременный доступ к геолокации.
- Безопасность API. Все приложения в облаке должны иметь строгий доступ к API независимо от SaaS, PaaS или IaaS. Использование облачных API-интерфейсов должно контролироваться, а любое новое использование API или предоставленные/отклоненные разрешения должны отслеживаться на предмет надлежащего поведения.
С какими проблемами безопасности сталкиваются люди, работая из дома, и как ваша компания оборудована для решения этих проблем?
В то время как большинство планов аварийного восстановления сосредоточены на одном катастрофическом событии, новые угрозы заставляют нас переходить на новый уровень гибридной работой, которая может растянуть модель аварийного восстановления до предела охвата. Имея это в виду, я собрал четыре соображения о том, как расширить удаленную рабочую силу и справиться с этой угрозой в долгосрочной перспективе:
Конфиденциальные данные и конфиденциальность. Предоставляя возможность большому количеству сотрудников работать удаленно, директорам по информационной безопасности необходимо учитывать раскрытие конфиденциальных данных и конфиденциальность информации, поступающей в среду удаленного конечного пользователя. Офисные сотрудники выполняют множество задач и транзакций, и данные никогда не должны покидать традиционный корпоративный периметр. В таких ситуациях подумайте, как вы защищаете данные и саму транзакцию. В качестве простого примера вы разрешаете загрузку данных в локальную электронную таблицу с помощью технологии VPN, визуализацию конфиденциальной электронной таблицы в браузере через документы Office 365 OneDrive или удаленную визуализацию рабочего стола непосредственно через браузер или хост-бастион? Последний является наиболее безопасным, поскольку данные доступны только визуально, не отображаются локально и не загружаются на устройство конечного пользователя. Хотя это может быть небольшим риском для веб-приложений, приложения Win32, работающие через туннелирование протоколов, могут предоставлять данные за пределами любой предварительно авторизованной сетевой зоны. Поэтому нам нужно подумать, как мы включаем удаленных сотрудников и с какими наборами данных они работают.
Shadow IT (Теневые ИТ) с бесплатными инструментами. В некоторых организациях сотрудников просили работать удаленно, но им не были предоставлены необходимые инструменты по разным причинам. К ним относятся стоимость, отсутствие полномочий по географическому региону или просто отсутствие процесса. Это позволяет сотрудникам или даже местному ИТ-персоналу загружать бесплатные решения для удаленного доступа для решения проблемы. В этих бесплатных инструментах отсутствуют мониторинг, аутентификация и моделирование безопасности, необходимые для защиты от инцидентов. Кроме того, если сотрудники выбирают собственные инструменты, вы можете столкнуться с множеством решений для удаленного доступа и множеством теневых ИТ-проблем, которые просто не поддаются управлению. Если для вашей организации требуется удаленный доступ, найдите единый масштабируемый и безопасный инструмент для всей организации. Многие поставщики предлагают несколько месяцев бесплатно, чтобы справиться с кризисом, и, если решение работает хорошо, оно может стать постоянным. Это особенно верно для любого привилегированного доступа, выполняемого удаленными сотрудниками или даже поставщиками.
Принесите своё собственное устройство (BYOD): для многих директоров по информационной безопасности это просто неприемлемый риск. При отсутствии традиционных мер безопасности, таких как антивирус или оценка уязвимости на этих принадлежащих сотрудникам устройствах, нет способа уменьшить риск угрозы, когда они подключены и не управляются. И если эти устройства используются совместно членами семьи, риск заражения вредоносным ПО из простой онлайн-игры возрастает исключительно в том случае, если это же устройство используется для подключения к потенциально конфиденциальным данным. Если BYOD - ваш единственный выход, убедитесь, что ваша технология удаленного доступа не использует VPN или каких-либо локальных клиентов, не выполняет туннелирование протоколов и отображает все удаленные сеансы в браузере. Так должно быть даже для удаленных веб-приложений. Это сводит к минимуму доступ устройства к корпоративной сети и не имеет сетевого пути для компрометации дополнительных активов.
Привилегированный удаленный доступ: есть большая вероятность, что если ваша организация перешла на гибридный вид работы, то некоторым сотрудникам, которым предлагается работать удаленно, потребуется привилегированный доступ к ресурсам. Это означает, что после установки удаленного сеанса учетные данные, необходимые для доступа к ресурсу и управления им, являются либо администратором, либо пользователем root, либо опытным пользователем. Если они вводят данные удаленно, то они становятся доступными для локального компьютера, и любое вредоносное ПО или атака могут их обнаружить. Рассмотрите возможность использования решения для удаленного доступа, которое выполняет ввод учетных данных из безопасного пароля или хранилища паролей. Сам сеанс автоматически обнаруживается решением для удаленного доступа, и доступ на основе атрибутов автоматически вводит правильные привилегированные учетные данные в сеанс удаленно, чтобы пользователь мог продолжить. Никакие учетные данные, особенно пароль, не покидают организацию и не вводятся. Они управляются и потенциально даже меняются после каждого сеанса, поэтому угроза удаленного доступа к привилегированным учетным данным снижается.
Как развивались программы-вымогатели в условиях гибридной работы и что вы делаете для решения этой проблемы?
В условиях гибридной работы программы-вымогатели эволюционировали от угроз для конечных пользователей (в первую очередь посредством фишинговых атак) до сложных атак с использованием расширенных эксплойтов, нацеленных на гипервизоры и почтовые серверы обмена. Злоумышленники полностью осведомлены о векторах атак, которые лучше всего работают с удаленными сотрудниками, но также понимают, что у большинства организаций есть средства защиты, позволяющие блокировать распространение через VPN или к облачным ресурсам.
Таким образом, чтобы продолжить монетизацию угрозы программ-вымогателей, злоумышленники успешно объединили свою полезную нагрузку с уязвимостями, которые нацелены на критические ресурсы, поскольку сотрудники работают из дома. Эта эволюция атак обеспечивает максимальное воздействие на бизнес и создает сценарий высокой видимости, который заставляет бизнес реагировать из-за крупномасштабного сбоя гипервизоров и электронной почты.
Чтобы решить эту проблему, организации приступили к более агрессивным графикам управления исправлениями и внедрению решений с минимальными привилегиями для человеческих и нечеловеческих учетных записей, чтобы минимизировать подверженность этим развивающимся угрозам. Это существенно снижает риск до того, как уязвимость может быть использована и угроза программ-вымогателей нависла над организацией.
Как компании могут преодолеть проблемы цифровой безопасности и конфиденциальности?
Организации могут преодолеть проблемы цифровой безопасности и конфиденциальности, обеспечивая надлежащее разделение обязанностей между ними. В отрасли существует распространенная проблема, состоящая в том, что организации путают требования безопасности и конфиденциальности. Если эти требования правильно поняты, а делегирование ролей и владение распределены соответствующим образом, многие компании смогут преодолеть проблемы цифровой безопасности и конфиденциальности, несмотря на изменения в региональных законах и требованиях к раскрытию информации. Компании должны держать их отдельно и рассказывать членам команды о различиях и о том, как они дополняют друг друга.
Какие ключевые факторы следует учитывать организациям, чтобы обеспечить безопасность современной цифровой экономики?
Есть несколько ключевых факторов, которые организации должны учитывать при защите цифровой экономики, которая движет сегодняшним бизнесом:
- Сопоставление данных - организации должны выполнять электронное и ручное обнаружение всех конфиденциальных наборов данных и обеспечивать надлежащие меры безопасности и конфиденциальности для защиты информации при передаче и хранении. Сюда входят такие концепции, как шифрование и управление привилегированным доступом.
- Сохранение данных - организации должны иметь установленную политику хранения данных и периодически очищать старые или устаревшие данные, чтобы старые наборы данных не стали нарушением конфиденциальности или безопасности.
- Безопасность поставщиков - для поддержки цифровой экономики предприятий большинство организаций полагаются на самых разных поставщиков. Организации должны защитить свои цепочки поставок и развернуть наименее привилегированный доступ, безопасный удаленный доступ поставщиков, мониторинг сеансов и так далее, чтобы гарантировать, что сами поставщики не станут вектором атаки на вашу организацию.