Уровень развития систем ИТ-безопасности не связан с размером организации

Уровень развития систем ИТ-безопасности не связан с размером организации

Компания RSA, опубликовала первые результаты исследования Cybersecurity Poverty Index, который объединяет результаты опроса более чем 400 специалистов по ИТ-безопасности из 61 страны. Участники исследования самостоятельно оценивали зрелость систем ИТ-безопасности своих организаций в соответствии с набором стандартов NIST Cybersecurity Framework (CSF).

Хотя обычно считается, что крупные организации располагают необходимыми ресурсами для создания более надежной системы киберзащиты, результаты исследования показывают, что размер организации не коррелирует с уровнем организации системы ИТ-безопасности: почти 75% всех респондентов оценили свой уровень безопасности как недостаточный. 

Недостаточное развитие систем ИТ-защиты, в целом, не вызывает удивления, так как многие опрошенные организации сообщили о том, что в течение последних 12 месяцев сталкивались с инцидентами, приведшими к потере данных или нарушению работы.  Исследование показало, что самые высокие уровни развития ИТ-систем наблюдаются в области «Защита». Результаты исследования показывают, что для организаций основной стратегией обеспечения ИТ-безопасности являются превентивные решения, несмотря на широко распространенное понимание того, что одних превентивных мер недостаточно для защиты от сложных современных атак.  Кроме того, самым слабым местом организаций, участвовавших в опросе, оказалась способность измерять и оценивать риски ИТ-безопасности и смягчать их последствия: 45% опрошенных организаций говорят о недостатке собственных возможностей в этой сфере, и только 21%  считают, что имеют системный подход к обеспечению безопасности. Такое положение усложняет приоритезацию при выборе решений по безопасности. А ведь именно эту основополагающую задачу должна решить любая организация, стремящаяся улучшить свою ИТ-безопасность.

Вопреки ожиданиям, исследование показало, что уровень развития системы безопасности не связан напрямую с размером организации.  Оказалось, что 83% опрошенных организаций со штатом более 10 тысяч сотрудников оценили свои возможности ниже уровня «Развитые». Понимание невысокого уровня развития ИТ-систем должно стимулировать переход от стратегий реагирования на уже существующие угрозы к стратегиям создания более надежной и зрелой системы безопасности в целом.

Также неожиданными оказались результаты для организаций из сектора финансовых услуг, который часто лидирует среди отраслей по уровню организации ИТ-систем. Вопреки расхожим представлениям, опрошенные финансовые организации не продемонстрировали высокого уровня организации ИТ, так как всего треть из них оказались достаточно подготовленными к обеспечению безопасности. Операторы критически важных инфраструктур, целевая аудитория CSF, должны совершить важные шаги, чтобы повысить текущий уровень ИТ-организации. Телекоммуникационные компании сообщили о самом высоком уровне ИТ-развития — 50% респондентов имеют «Развитые» или «Выдающиеся» возможности, в то время как государственные учреждения имеют самую низкую оценку по отраслям в данном случае — только 18% респондентов соответствуют уровню «Развитые» или «Выдающиеся».

Стандарт CSF первоначально был разработан в США, результаты исследования показывают, что по уровню развития этих систем Северная и Южная Америка уступают регионам APJ и EMEA.  Организации в регионе APJ сообщают о самых совершенных стратегиях безопасности: 39% оценивают их в целом как «Развитые» или «Выдающиеся», в то время как такую оценку дали своим возможностям в регионе EMEA 26% организаций, а в Северной и Южной Америке — только 24% организаций.

Методология

Чтобы оценить совершенство средств кибербезопасности своих организаций, респонденты сравнивали ее со стандартом NIST Cybersecurity Framework (CSF). CSF предоставляет рекомендации по снижению ИТ-рисков, которые базируются на существующих стандартах, инструкциях и практиках. Эти рекомендации стали результатом совместной работы представителей отрасли и государственных органов. Хотя стандарт CSF первоначально был разработан в США с целью снижения рисков для критически важной инфраструктуры, организации во всем мире оценили его какприоритетный, гибкий, воспроизводимый и экономичный подход к управлению ИТ-рисками. Таким образом, CSF служит отличным базовым средством для оценки совершенства основных средств обеспечении кибербезопасности и управления ИТ-рисками в организации.

Специалисты по ИТ-безопасности оценивали возможности своих организаций в отношении пяти основных функций, выделенных в стандарте CSF: идентификация, защита, обнаружение, реагирование и восстановление. Оценки проставлялись по пятибалльной шкале, где оценка «1» указывала, что  организация не имеет возможностей в данной области, а оценка «5» — что в организации достигла зрелого уровня в данной области.

МНЕНИЯ РУКОВОДИТЕЛЕЙ

Амит Йоран (Amit Yoran), президент RSA, подразделения безопасности EMC

 «Это исследование показывает, что предприятия продолжают вкладывать огромные средства в новые брандмауэры, антивирусные и антишпионские программы следующего поколения, надеясь таким образом справиться с современными угрозами. Однако несмотря на инвестиции в эти области даже самые крупные организации не чувствуют себя готовыми к угрозам, с которыми им приходится сталкиваться. Мы считаем, что это противоречие — результат глубокого несоответствия сегодняшних моделей безопасности, основанных на предотвращении, ландшафту современных угроз. Нам нужно изменить свои представления о безопасности, а первый шаг в этом направлении начинается с признания того, что превентивная стратегия изжила себя и больше внимания нужно уделять стратегии, основанной на обнаружении и реагировании».

Стивен Т. Уитрок (Stephen T. Whitlock), директор по стратегии и технологиям подразделения Information Security Solutions компании Boeing

«Компания Boeing с самого начала поддерживала стандарт NIST Cybersecurity Framework и деятельно участвовала в его создании. Мы используем его как основу оценки общей системы безопасности как наших внутренних подразделений, так и внешних заказчиков.  Стандарт CSF предлагает комплексный гибкий подход на основе оценки рисков, который не предполагает ориентации на конкретные технологии или нормативы. С тех пор как мы используем CSF, мы получаем важные результаты, которые помогают нам понять возникающие проблемы и задать направление развития системы кибербезопасности».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Solar 4RAYS подготовили рекомендации на каникулы

Эксперты центра Solar 4RAYS подготовили рекомендации для киберзащитников компаний, которые помогут наладить инфраструктуру так, чтобы можно было беззаботно встретить новый год.

Как напоминают эксперты, новогодние праздники редко обходятся без инцидентов. Злоумышленники пользуются тем, что ИБ-подразделения уходят на каникулы или переходят на удаленный режим работы.

В результате ИБ-специалисты не всегда могут оперативно распознать признаки инцидента и вовремя отреагировать на него, а злоумышленники почти беспрепятственно проникают в инфраструктуры компаний.

Начать эксперты Solar 4RAYS рекомендуют с инвентаризации. Необходимо убедиться, что известны все сегменты сети и активы, которые там находятся. Очень часто злоумышленники атакуют через уязвимые узлы, которые не контролируют ИТ и ИБ-службы, и их обслуживанием занимаются какие-то другие подразделения.

Полезно также будет просканировать пул публичных адресов компании. Это позволит понять и оценить, как ИТ-инфраструктура выглядит с точки зрения потенциальных злоумышленников и определить потенциально уязвимые компоненты. Часть сервисов и приложений на период каникул лучше вообще сделать недоступными из публичного интернета.

Другой важной мерой является создание резервных копий наиболее важных систем. Это позволит восстановить их работоспособность, если ситуация будет развиваться по самому неблагоприятному сценарию.

При этом хранить резервные копии нужно таким образом, чтобы до них не добрались злоумышленники. Для доступа к ним лучше использовать отдельные учетные записи с минимально необходимым набором привилегий, а лучше хранить резервные копии в том сегменте сети, который изолирован от основного.

Необходимо также установить патчи для всех ключевых приложений, прежде всего для публично доступных сервисов. Причем эту задачу надо решать заранее, не откладывая ее на последний рабочий день перед каникулами.

Другой важной мерой является ревизия и смена паролей. Необходимо найти и удалить неиспользуемые учетные записи, сменить пароли администраторов и удаленных пользователей, установить многофакторную аутентификацию для них. Учетные записи подрядчиков нужно отключить на время каникул.

Полезным будет также аудит парольных политик, что позволит исключить «слабые» пароли, которые очень часто используют злоумышленники для атак. Также нужно убедиться в том, что никакие критичные пароли не хранятся в открытом виде на различных ресурсах. 

Полезной мерой будет проверка компрометации инфраструктуры, хотя бы на базовом уровне. Сюда входят срабатывания средств защиты, появление подозрительных файлов, запуск системных служб, появление новых пользователей, установка нового ПО. Также необходима проверка системных журналов на предмет сомнительных аутентификаций, сетевых соединений и всплесков объемов передачи трафика. Эти меры нужно повторить и сразу после каникул, чтобы убедиться в том, что в инфраструктуру компании никто не проник.

В компании также должны быть назначены ответственные за реагирование на инциденты. Необходимы пошаговые инструкции для каждого из участников команды, которые бы описывали первоочередные меры реагирования. Причем ответственные лица должны быть доступны в режиме 24/7. Данную функцию можно делегировать внешнему поставщику услуг.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru