Работа руководителем по ИТ-безопасности в копании совсем не простая. Приходится заниматься не только в целом защитой корпоративной информационной безопасности. Необходимо заботиться о том, чтобы компания была кибер-устойчивой, следить за новыми методами атак, формировать команду для превентивной обороны, создавать планы действий на случай уязвимости, а также следить за тем, чтобы все сотрудники компании действовали в рамках данных целей внутри компании.
Впрочем, одновременное выполнение слишком большого количества задач может свести на нет цели этих задач и привести к обратному эффекту: реально угрозы перестают эффективно устраняться.
Предупреждения игнорируются из-за усталости
По крайней мере, это показывает недавний опрос, выполненный компанией Imperva. Согласно данному опросу, анализ оповещений системы безопасности занимает слишком большой процент рабочего времени, что иногда может оказаться контрпродуктивным для компании.
Как показывает Imperva, большинство опрошенных менеджеров по информационной безопасности заявили, что данная рабочая нагрузка часто приводит к большой усталости, подвергая риску безопасность компании. Фактически, 66% признались, что игнорировали оповещение в силу того, что ранее эти оповещения приводили к ложным срабатываниям.
Но и это еще не все. 63% менеджеров признают наличие серьезных сложностей при анализе и принятии решений о том, какие инциденты информационной безопасности являются критическими, а какие имеют заметно меньший риск, а потому могут не требовать к себе повышенного внимания. Все это означает, что в конечном итоге компании становятся неэффективны в управлении собственными рисками.
Как обнаруживать критические инциденты?
Существует несколько способов, как можно определить, столкнулась ли компания с критическим инцидентом безопасности. Более того, с помощью этих мер также можно оценить масштабы и актуальность этого инцидента.
1. Аномалии в трафике. Серверы и соединения, которые особенно конфиденциальны, имеют достаточно стабильный объем трафика. Если компания обнаруживает необычное увеличение объема такого трафика, то нужно проявить внимание и проверить данный трафик.
2. Несанкционированный доступ учетных записей. Учетные записи сотрудников и руководства компании имеют, как правило, четкую иерархию в соответствии с тем, к какой информации им разрешен доступ. Т.к. рядовые сотрудники обычно являются наиболее легкой точкой проникновения для кибер-преступников, то если права доступа одной из учетных записей неожиданно расширились, то это может стать причиной риска для корпоративной информационной безопасности.
3. Чрезмерное потребление и подозрительные файлы. Если компания обнаруживает рост потребления памяти или использования жестких дисков на конечных устройствах, то вполне возможно, что кто-то к ним обращается незаконно или даже происходит утечка данных. Аналогично заслуживает внимания и такая ситуация, когда вы обнаружили подозрительный файл, который пытается оставаться скрытым.
Как избежать новых инцидентов
Это не просто случаи обнаружения инцидентов. Их необходимо предотвращать и избегать. Для этого могут быть применены следующие меры:
1. Контекстуализируйте опасность. Как показывает опрос Imperva, многие руководители по информационной безопасности испытывают трудности с расстановкой приоритета уровня опасности при срабатывании системы оповещений. По этой причине компании необходимо иметь четкую иерархическую структуру для повышения эффективности своей системы управления рисками.
2. Исключите ложные срабатывания. Ложные срабатывания зачастую являются причиной того, что руководители по информационной безопасности позволяют себе игнорировать ряд новых оповещений. Таким образом, компаниям необходимо иметь соответствующие инструменты, которые позволят им избегать роста ложных срабатываний.
3. Технологические решения. Менеджерам по информационной безопасности не требуется выделять слишком много времени для ручного обнаружения возможных инцидентов. Скорее, они должны подкреплять свои усилия технологическими решениями, которые самостоятельно будут справляться с этой задачей. Например, Panda Adaptive Defense не только проводит мониторинг всей ИТ-активности компании в реальном времени. Благодаря контекстуальному анализу он способен самостоятельно расставлять приоритеты инцидентам, минимизировать риски для компаний, и, следовательно, помогать им в управлении рисками.
В настоящее время наличие традиционного антивируса уже недостаточно. Угрозы стали намного более сложными, чем ранее, и решение безопасности в компании также должно быть усилено. Это единственный способ, который позволит компаниям эффективно бороться с бумом безфайловых атак или новых типов APT, которые стали очень изощренными. Именно это было продемонстрировано угрозой LoJax, которая способна выживать даже при переустановке операционной системы.
4. Будьте кибер-устойчивы. Усталость или рост числа оповещений никогда не должны быть оправданиями для компании. Каждая компания должна быть кибер-устойчива, а также быть в курсе новых методов атак, которые используют кибер-преступники.
