Оглавление:
Предприятия подвергаются кибератакам с угрожающей скоростью. Серьезные нарушения в Target в декабре 2013 года и Neiman Marcus в январе 2014 года привлекли большое внимание к недостаткам, которые есть у многих торговых точек в их инфраструктуре безопасности. В результате все больше и больше компаний, как крупных, так и небольших, ощущают необходимость наращивать свои усилия и имеют специальную группу безопасности.
Согласно отчету Reuters, опубликованному в мае 2014 года, ряд крупных корпораций, таких как Pepsi и JPMorgan Chase & Co., охотятся за новыми главными сотрудниками по информационной безопасности (CISO), стремясь укрепить практику обеспечения безопасности. Это отражает большую осведомленность о безопасности и ее важности на уровне бизнеса.
CISO и главные сотрудники по кибербезопасности погружены в безопасность своих технологий, как для работодателя, так и для клиента, но их роли и обязанности становятся более выраженными и необходимыми в глазах широкой общественности, а не только среди сообщества безопасности.
«Пять лет назад информационная безопасность едва взяла верх над 10 проблемами, связанными с платами. Год назад это был № 2. Интересно, что теперь это безопасность данных, а не просто информационная безопасность», - говорит Дэвид Бемер, региональный управляющий партнер в компании по подбору персонала Heidrick & Борется, в видео на YouTube, выпущенном компанией.)
Что делает CISO
Роль CISO может быть довольно широкой, и они часто носят много разных шляп. Работа включает в себя все, от внутренней безопасности, такой как управление защитой интеллектуальной собственности, до ответственности за безопасность клиентов.
«Я также работаю с нашей командой разработчиков и командой разработчиков над реализацией в продукте функций, которые могут быть интересны покупателям средств безопасности», - говорит Джоан Пепин (Joan Pepin) из CISO из Sumo Logic.
В то время как нарушение цели в прошлом году, безусловно, вызвало много разговоров, Пепин объясняет, что она была не так уж удивлена, как и большинство представителей безопасности. Это не значит, что у сообщества безопасности не было своих «переломных моментов», где всем нужно было укреплять свою работу, продвигаясь вперед.
Нарушение RSA в 2011 году, когда хакеры взломали серверы компании, занимающейся информационной безопасностью, и украли токены аутентификации, которые обеспечивали доступ к конфиденциальным правительственным и корпоративным данным, вызвали недоумение у многих специалистов по безопасности. Как охранная компания может стать жертвой таких хакеров? Лишь через два года это беспокойство сменится на цель, которая ранее находилась в поле зрения: розничные клиенты. Атаки, подобные тем, что наблюдались в Target и Neiman Marcus, переключили внимание на безопасность для повседневного клиента.
«Очевидно, что когда у вас есть массовая розничная торговля с тысячами и тысячами сотрудников, все эти разные сайты, торговые точки, это очень бедная система и тот факт, что такие типы атак не происходили на этом тип шкалы раньше, на самом деле, для меня немного удивляет, - сказал Пепин.
Проблема возникает из-за того, что безопасность рассматривается просто как флажок для компаний, а не постоянно контролируемый аспект их бизнеса. Это не означает, что киберпреступники слабы и могут просто зайти. На самом деле, киберпреступники становятся все более опытными.
«Это было довольно изощренное нарушение, способное выдавать себя за агента BMC и подобные скрытые вещи. Заниматься боковыми движениями по всей сети Target было довольно умно», - сказал Пепин.
«Я не хочу отказываться от этого, но с точки зрения сложности цели, без каламбура, я бы никогда не включил какую-либо розничную сеть в список жестких целей. Охранные компании - жесткие цели, правительство - жесткая цель». Некоторые розничные сети, занимающиеся продажей носков, я бы не ожидал, что они станут супер защищенным магазином ».
Пейзаж для специалистов по безопасности
В июне 2014 года Target наняла своего первого CISO, Брэда Майорино, бывшего руководителя General Motors, который будет следить за пересмотром практики безопасности компании.
Компании, независимо от их области или размера, должны будут принять к сведению и усилить свою игру в области безопасности в ответ на постоянно растущие угрозы с большей осведомленностью и большей властью действовать в отношении потенциальных нарушений.
«Было ясно … в целевом случае генерировались оповещения, на которые никто не реагировал, и что, по моему опыту, исходя из управляемой безопасности, является чрезвычайно типичным, - сказал Пепин.
«Лучшая в мире система обнаружения вторжений по-прежнему имеет очень высокий уровень ложных срабатываний, и поэтому реагирующие системы в основном обучаются своими системами игнорировать свои системы. Там есть разрыв в технологическом взаимодействии с человеком, когда первые реагирующие оцепенелиют тысячи оповещения, которые они получают, являются мусором. В случае с Target были некоторые признаки, которые не были приняты во внимание, что могло бы помочь минимизировать воздействие гораздо быстрее ».
Как это часто бывает, специалист по безопасности не может незамедлительно принять решение по вопросу, потому что он нуждается в разрешении или одобрении кого-то еще выше в иерархии. Это должно измениться, говорит Пепин, объясняя, что команда безопасности компании должна иметь больше автономии и полномочий, чтобы проявить инициативу.
«Я чувствую, что по-прежнему проблема управления заключается в том, что руководители информационной безопасности не должны отчитываться перед ИТ-директорами», - говорит Том Келлерманн, директор по кибербезопасности в Trend Micro. «Они должны отчитываться перед директором по рискам или непосредственно перед генеральным директором». Это исключает многих посредников и обеспечивает более быстрое время реагирования на возможные чрезвычайные ситуации.
Пепин соглашается с тем, что профессионалы в области безопасности должны «сообщать о себе» в своей компании. «Мне повезло, что я отчитываюсь перед нашим генеральным директором. Это работает очень хорошо, и это то, что я действительно рекомендую для любой организации, которая серьезно относится к своей безопасности».
Другие бюджеты и безопасность для МСП
Наем CISO и расширение вашей команды безопасности - это хорошо, если у вас есть бюджет, но как насчет небольших компаний? Хотя атака на небольшую сеть или на ваш локальный магазин оборудования не принесет хакерам такой же выгоды, как попадание в цель или Neiman Marcus, все равно неразумно оставлять себя уязвимым в любом случае. Итак, что вы можете сделать, чтобы уменьшить риск атаки? Пепин настоятельно рекомендует нанять услуги подрядчика или консультанта по реагированию на инциденты.
«В случае, если вас атакуют, у вас есть кто-то, кому вы сможете позвонить, поэтому вам не нужно открывать Google и начинать поиск», - сказала она.
По ее словам, это будет более экономически выгодно для небольшой компании, так как бизнес будет пользоваться услугами только тогда, когда они необходимы. Эти услуги также чрезвычайно специализируются на подборе места, где остановился ваш персонал.
«У вас может быть фантастическая команда для сортировки, понимая, что вы находитесь под атакой, но это не совсем тот набор навыков, который необходим для реагирования на эту атаку, для направления их из вашей сети и сбора доказательств таким образом, чтобы быть использованы в суде ".
Компании имеют много ресурсов для борьбы с киберпреступностью. Недавняя история предполагает, что еще одна крупная атака не за горами.