Istnieją obecnie dwa kluczowe trendy, na jakie kierownictwo najwyższego szczebla musi baczyć pilną uwagę. Pierwszy z nich to fakt, iż zespoły informatyczne usiłują dotrzymać tempa potrzebom cyfrowych transformacji, włączając w to przeniesienie do infrastruktur wielochmurowych i usługowych, gwałtowne przystosowywanie się sieci internetu przedmiotów i urządzeń, tendencji do korzystania z własnych urządzeń w pracy (BYOD), jak również dużą mobilność pracowników oraz rosnącą liczbę usług informatycznych świadczonych w szarej strefie, pojawiających się w ich sieciach. Drugim z nich jest alarmujący wzrost coraz bardziej zautomatyzowanych ataków, które stale i efektywnie obierają sobie za cel znane urządzenia, aplikacje i luki istniejące w sieci.
W rzeczywistości trendy te są ze sobą powiązane. Niespotykane dotąd tempo transformacji cyfrowej, która pochłania zasoby informatyczne doprowadziło również do tego, że podstawowy porządek w sieci i urządzenia stały się najbardziej zaniedbywanymi elementami budowania bezpieczeństwa. Znajduje to swoje odzwierciedlenie. Największe ataki roku 2017, począwszy od Petyi do naruszenia z Equifax, wszystkie obrały sobie za cel luki w zabezpieczeniach, dla których poprawki dostępne były tygodnie a nawet miesiące wcześniej. W rzeczywistości, całe 90% organizacji odnotowało wykorzystanie luk, które miały przynajmniej trzy lata. Oznacza to, że odpowiedni porządek cybernetyczny musi nadal uważany być za podstawową i najlepszą możliwą praktykę i pozostaje kluczowy dla zapewnienia bezpieczeństwa sieci działającej w ramach danej organizacji.
Jednakże ciężkie może być tutaj ustalenie priorytetów. Przyjrzyjmy się temu, gdzie zacząć i jakie są najważniejsze kroki jakie należy podjąć.
Ustal priorytety odnośnie luk w zabezpieczeniach
Jedną z metod hierarchizacji jest zrozumienie jakie luki w zabezpieczeniach są najbardziej podatne na atak. Posiadanie wiedzy na temat słabych punktów, jakie hakerzy obierają sobie za cel najczęściej, może pomóc w określeniu które z zasobów wymagają poprawy w pierwszej kolejności. Efektywne zespoły informatyczne korzystają z raportów dotyczących cyber-bezpieczeństwa a następnie zadają sobie stanowcze i istotne pytania, takie jak: "Czy dostrzegliśmy wcześniej te sygnały alarmowe?" i "Czy nasze skany wykrywają te luki w zabezpieczeniach?". Następnie należy objąć te luki najwyższym priorytetem na każdym urządzeniu jakie jest w użyciu, celem ochrony swoich zasobów w sieci.
Pomaga to również w zrozumieniu, że istnieje duże prawdopodobieństwo iż skuteczne ataki ponowią się. Oznacza to, że w jakiejkolwiek sytuacji kiedy naruszenie ma miejsce, należy przyjrzeć się kierunkom ataku i sprawdzić czy taka sama ekspozycja występuje również w naszym środowisku. Jeśli tak, należy uznać za priorytet zredukowanie tej ekspozycji lub całościowe jej wyeliminowanie.
Dokonaj oceny ryzyka
Aby rzeczywiście stawić czoła lukom w zabezpieczeniach, należy rozpoznać wcześniej w którym punkcie trzeba wzmocnić ochronę, co możliwe jest po przeprowadzeniu oceny ryzyka. Celem tego procesu jest, według ISACA, zrozumienie swojego aktualnego systemu i środowiska, jak również identyfikacja ryzyka poprzez analizę zebranych informacji i danych.
Ostatni Model Procesu Analizy Krytyczności sporządzony przez Narodowy Instytut Standaryzacji i Technologii (NIST) opisuje: strukturalną metodę hierarchizacji programów, systemów i elementów składowych opartą na poziomie ich istotności w stosunku do celów organizacji i wpływu jaki ich nieadekwatne użytkowanie lub utrata mogą na te cele mieć.
Rozpocząć należy od zebrania wszelkich istotnych informacji. Spisać należy wszystkie swoje fizyczne aktywa, włączając infrastrukturę sieci, laptopy, komputery stacjonarne, urządzenia wykorzystujące internet rzeczy, systemy zarządzania danymi i inne urządzenia połączone. Spis ten powinien również obejmować wdrożone rozwiązania służące zachowaniu bezpieczeństwa, takie jak zapory sieciowe, systemy wykrywania nieautoryzowanego dostępu oraz narzędzia służące monitorowaniu sieci.
Następnie dokonać należy spisu wszelkich aplikacji i usług działających w sieci, włączając w to szarą strefę informatyczną. Należy zdać sobie również sprawę z tego, jakie informacje są dostępne publicznie na temat komponentów sieci, jednostek i ich ról, aplikacji i usług.
Większość z tych informacji może być zebrana automatycznie za pomocą różnorakich narzędzi, takich jak System do Zarządzania Informacją i Zdarzeniami Bezpieczeństwa (SIEM).
W końcu, niezbędnym jest odniesienie się do wszystkich tych informacji w stosunku do wymogów zgodności, które określają minimalne wymogi bezpieczeństwa, jak również jakiekolwiek udokumentowane lub nawet nieformalne zasady, procedury i wytyczne.
Po zebranie wszystkich tych informacji, muszą być przeprowadzone określone działania. Są to między innymi:
Jedynie po wykonaniu wszystkich tych czynności, można rozpocząć proces rozwoju i ulepszania swoich dotychczasowych technologii i strategii dotyczących zarządzania ryzykiem i bezpieczeństwem.
Walka z Nową Rzeczywistością
Istnieje niezwykle pilna potrzeba aby organizacje, zwłaszcza te, które podlegają cyfrowym transformacjom, dokonały ponownej hierarchizacji porządku w sektorze bezpieczeństwa i zidentyfikowały nowopowstałe ryzyka. Jednakże, w związku z tym, że zakres, szybkość oraz automatyzacja ataków będą nadal wykazywać tendencję rosnącą, niezwykle ważnym stanie się potrzeba wyrównania hierarchizacji wprowadzanych ulepszeń w stosunku do tego, co ma miejsce w środowisku naturalnym, tak aby skupić swoje ograniczone zasoby na rodzajach ryzyka, które są najbardziej krytyczne i nowopowstałe. Ocena ryzyka środowiska pomoże w walce z dzisiejszą nową rzeczywistością. Proces ten należy rozpocząć od wprowadzenia najlepszych możliwych rozwiązań zebranych powyżej, celem stworzenia elastycznej strategii bezpieczeństwa, która to jest w stanie się przystosowywać i chronić, nawet w sytuacji kiedy środowisko stale ewoluuje.
Źródło: https://blog.fortinet.com/2018/01/17/prioritizing-your-security-where-do-you-begin