Генеральный директор и сооснователь компании Fortanix, глобального лидера в области безопасности данных и пионера конфиденциальных вычислений.
Основой успешной стратегии кибербезопасности являются три равнозначных компонента: обнаружение, оценка и устранение. Предыдущий материал этой серии рассматривал раздел обнаружения, который использует принципы управления экспозицией данных для разработки полного представления о ключах шифрования и службах данных организации.
Сейчас фокус смещается на оценку, где организации стремятся выявить риски и пробелы в области безопасности данных и дать им приоритет с учетом установленных внутренних политик, правительственных регуляций и стандартов и передовых практик отрасли.
Урок здесь заключается в том, что никто не защищен, пока не произведет достаточную оценку, где находятся самые крупные безопасностные риски. Например, платформа безопасности нулевого доверия Cisco Duo использует двухфакторную аутентификацию для защиты конфиденциальных данных. Это звучит прекрасно на бумаге, однако поставщик сторонних услуг, обслуживающий телефонию для службы многофакторной аутентификации Cisco Duo, был взломан в апреле злоумышленниками, которые скомпрометировали учетные данные сотрудников для доступа к конфиденциальным данным.
Одной из самых больших проблем при оценке уровня риска организации является определение, с чего начать. Сложность современных технологических стеков создает беспорядок, расширяющий потенциальные поверхности атаки, что означает, что организации должны быть бдительны на нескольких фронтах, включая:
• Аутентификация: Кажется очевидным, но это происходит: слабые методы аутентификации, такие как использование стандартных паролей или легко угадываемых учетных данных, могут привести к тому, что злоумышленники получат доступ к чувствительным данным.
• Шифрование: Нешифрование данных в покое, в транзите и в использовании делает их уязвимыми для несанкционированного доступа или перехвата, особенно когда они передаются по незащищенным сетям.
• Потенциальные уязвимости: Злоумышленники могут использовать уязвимости приложений, чтобы получить несанкционированный доступ или выполнить зловредный код, который может иметь разрушительные и долгосрочные последствия.
• Внутренние угрозы: Действия сотрудников, подрядчиков или других внутренних заинтересованных лиц, будь то преднамеренно враждебные или непреднамеренно небрежные, создают значительный риск и могут привести к тяжелым последствиям.
• Регуляторное соблюдение: Особенно когда появляются новые регуляции и существующие изменяются, организации должны оценить, соблюдают ли они регулирования конфиденциальности, такие как GDPR (Европа) или CCPA (Калифорния) и регуляции безопасности, такие как SOC2 или PCI DSS.
• Фишинговые атаки: Как видно в недавнем случае с Cisco Duo, фишинговые атаки могут приманивать ничего не подозревающих пользователей через обманчивые электронные письма, сообщения или веб-сайты и подталкивать их к разглашению чувствительной информации, такой как учетные данные для входа.
• Устаревшие и необновленные системы: Неустойчивая реализация защитных патчей и обновлений оставляет системы открытыми для уязвимостей и эксплойтов, которые могут быть широко известны в отрасли.
• Привлекание к безопасности и образование: Постоянное обучение членов команды крайне важно; недостаточная подготовка и осведомленность сотрудников о кибербезопасности и передовых практиках могут увеличить риск нарушений безопасности.
• Ошибки конфигурации систем: Системы, сети или облачные услуги, неправильно настроенные, могут случайно раскрывать чувствительные данные или предоставлять злоумышленникам несанкционированный доступ.
• Риски от сторонних поставщиков: Поскольку организации все больше зависят от сторонних поставщиков, поставщиков или услугодателей, они также вводят дополнительные риски безопасности, особенно если эти сторонние лица имеют доступ к чувствительным данным или системам.
• Потенциальные утечки данных: Неправильная конфигурация хранилища в облаке, небезопасные передачи файлов или несанкционированное разделение могут привести к утечкам данных и компрометации. Это может быть как преднамеренно враждебное, так и совершенно ненамеренное, но последствия могут быть одинаково катастрофичны.
Как видите, список областей, которые организации должны оценить, чтобы поддерживать высокий уровень безопасности, довольно длинный. Однако несоблюдение этого требования является опасным и позволяет хакерам атаковать и наносить ущерб. Ведущие аналитики отрасли заявили, что раннее вовлечение в управление экспозицией данных, включая оценку уязвимостей, является ключевым фактором успеха.
Оценка вышеупомянутых аспектов помогает организациям оставаться безопасными и соблюдать требования сегодня, но также необходима подготовка к завтрашнему дню, поскольку технологии быстро развиваются. Это особенно важно для организаций, которые рассматривают возможность перехода от существующих стандартов криптографии к постантумной криптографии (PQC). Фундаментальной частью обязанности ассессора здесь является определение риска экспозиции данных перед квантовыми адверсарами и хакерами, а также совместимости зависимых систем и пользователей данных с алгоритмами PQC.
Существует несколько концепций и методологий, разработанных для помощи организациям в совершении перехода, включая маршрутную карту PQC Департамента национальной защиты США (DHS). Один из часто используемых стартовых пунктов среди технических специалистов — теорема Моски, предупреждающая, что организации должны начать принимать во внимание влияние квантовых компьютеров. Глобальный институт рисков использовал теорему для разработки своего подхода к оценке риска постантумной криптографии, который включает пять фаз:
Квантовые компьютеры имеют потенциал компрометировать существующие системы кибербезопасности. Злоумышленники сегодня крадут зашифрованные данные в надежде вскоре взломать уязвимые алгоритмы, что означает, что организации не могут ждать, чтобы действовать.
В конечном итоге организации, которые правильно оценивают уровень рисков безопасности данных, создают возможность более эффективной защиты себя как сегодня, так и завтра. Это момент, когда организации могут обратиться к теме следующего выпуска этой серии: устранение, где команды проактивно устраняют выявленные пробелы в политике и соответствии для снижения рисков и достижения полной “крипто гибкости”. Статья рассмотрит, как организации могут разработать стратегию мониторинга и отчетности, которая свидетельствует о непрерывных улучшениях с течением времени.