Przewodnik po skutecznym zarządzaniu ryzykiem cyberbezpieczeństwa

Wyobraź sobie średniej wielkości firmę, która być może uważała, że jest zbyt mała, by stać się celem cyberprzestępców. Pewnego dnia jej cała sieć zostaje zablokowana przez ransomware, paraliżując działalność na kilka dni i powodując znaczące szkody wizerunkowe oraz utratę przychodów z powodu zakłóceń w działalności. Jak można było tego uniknąć?

Zrozumienie wartości Twojej organizacji wykracza poza wartość jej aktywów – obejmuje również wewnętrzne relacje i zależności od zewnętrznych partnerów, dostawców i usługodawców. Aby zbudować silną strategię zarządzania ryzykiem, musisz najpierw zrozumieć pełen zakres zagrożeń, przed którymi stoi Twoja organizacja.

Niniejszy dokument poprowadzi Cię przez skuteczne zarządzanie ryzykiem, zaczynając od identyfikacji, obliczania i priorytetyzacji ryzyk. Pokazuje, jak skuteczne strategie łagodzenia ryzyka, reagowania na incydenty (wspieranego przez rozwiązania Bitdefender) oraz ciągłości działania mogą chronić Twoje aktywa i interesariuszy. Dowiesz się, jak wykazać wartość cyberbezpieczeństwa w sposób zrozumiały dla liderów biznesowych, zapewniając, że będzie ono postrzegane jako inwestycja, a nie koszt.

Zrozumienie ryzyka cybernetycznego

Ryzyko cybernetyczne to połączenie prawdopodobieństwa i wpływu wystąpienia incydentu bezpieczeństwa prowadzącego do utraty danych lub szkód operacyjnych w Twojej organizacji. Skala ryzyka cybernetycznego może się różnić w zależności od wielkości organizacji i branży, w której działa.

Większe organizacje zazwyczaj stoją przed większym ryzykiem cybernetycznym ze względu na skalę i złożoność ich infrastruktury IT oraz wyższą wartość ich danych i operacji. Mniejsze organizacje mogą mieć mniej zasobów na cyberbezpieczeństwo, ale często działają w błędnym przekonaniu, że są mniej narażone na ataki – co może uczynić je początkowym punktem ataków łańcucha dostaw, narażając ich partnerów biznesowych.

Cybernetyczne ryzyka zwykle dzielą się na 5 obszarów:

1. Ryzyko strategiczne: Dotyczy ryzyk mogących wpłynąć na długoterminowe cele, takie jak pozycja marki lub działalność biznesowa, szczególnie te związane z sojuszami strategicznymi. Na przykład firma planująca sojusz strategiczny w celu wspólnego rozwoju nowego produktu może stanąć przed znacznym ryzykiem strategicznym. Atak cybernetyczny na któregokolwiek z partnerów podczas fazy tworzenia sojuszu mógłby narazić poufne informacje udostępniane podczas negocjacji, takie jak własność intelektualna lub dane klientów.

2. Ryzyko operacyjne: Obejmuje ryzyka często zakłócające normalne operacje, takie jak ataki ransomware.

3. Ryzyko finansowe: Obejmuje bezpośrednie koszty, takie jak płatności okupu lub opłaty prawne, a także koszty pośrednie, takie jak utrata przychodów.

4. Ryzyko reputacyjne: Incydent bezpieczeństwa mógłby zaszkodzić reputacji organizacji i spowodować utratę zaufania klientów, prowadząc do spadku lojalności klientów lub udziału w rynku.

5. Ryzyko regulacyjne: Wiele organizacji musi przestrzegać przepisów, a brak zgodności lub doświadczenie naruszenia może skutkować karami, takimi jak te nakładane przez RODO.

Pomiar ryzyka

Ryzyko cybernetyczne jest często obliczane przy użyciu wzoru:

Ryzyko = Prawdopodobieństwo × Wpływ

gdzie:

1. Prawdopodobieństwo to szansa, że podatność zostanie wykorzystana przez podmiot zagrożenia. Można je dalej rozbić na:

• Podatność – Słabość lub błędna konfiguracja w systemie lub procesie, która mogłaby zostać wykorzystana. Minimalizując podatności (jak omówiono w sekcji Strategie łagodzenia ryzyka), można znacząco zmniejszyć prawdopodobieństwo skutecznego ataku.
• Podmiot zagrożenia – Odnosi się do napastnika wykorzystującego podatność. Podmioty zagrożenia mogą obejmować cyberprzestępców dążących do zysku finansowego, państwa prowadzące szpiegostwo lub sabotaż, hakerów o motywacjach politycznych lub ideologicznych lub pracowników (lub kontrahentów) mających dostęp do wrażliwych systemów. Każdy typ podmiotu zagrożenia ma różne motywacje i metody, więc ryzyko, które stwarzają, różni się w zależności od charakteru Twojej organizacji.

2. Wpływ – Potencjalne szkody lub straty, które mogłyby wystąpić, jeśli podatność zostanie wykorzystana. Chociaż wpływ może być znaczący, można go złagodzić za pomocą różnych strategii. Na przykład wdrożenie Planu Reagowania na Incydenty (jak omówiono w sekcji Reagowanie na Incydenty i Ciągłość Biznesowa) i zapewnienie, że interesariusze są poinformowani i przygotowani, może zmniejszyć ogólny wpływ ataku.

Identyfikacja i ocena ryzyk

Kluczowym krokiem do skutecznego zarządzania ryzykiem cybernetycznym jest zidentyfikowanie i udokumentowanie wszystkich aktywów w inwentarzu aktywów. Jako aktywa należy rozważyć:

• Pracowników: Osoby mające dostęp do systemów lub danych organizacji.
• IT (Technologie Informacyjne): Serwery, bazy danych, stacje robocze, oprogramowanie i więcej.
• IoT (Internet Rzeczy): Inteligentne urządzenia, czujniki, podłączone kamery itp.
• OT (Technologie Operacyjne): Systemy sterowania przemysłowego, SCADA, krytyczna infrastruktura.
• Chmura: Środowiska chmurowe, platformy, aplikacje, przechowywanie danych.
• Ryzyka związane z podmiotami trzecimi:
  • Dostawcy, dostawcy usług (np. dostawcy SaaS, procesorzy danych).
  • Kontrahenci i inne niezależne osoby (np. stażyści, wolontariusze) mające dostęp do systemów lub danych organizacji.

UWAGA!

Pamiętaj, że zarządzanie aktywami nie jest procesem jednorazowym, wymaga ciągłego przeglądu i aktualizacji, aby pozostać skutecznym, co musi być wbudowane w każdy odpowiedni proces, od zamówień, przez przyjmowanie nowych pracowników, ich przemieszczanie się i odejścia, i więcej. Automatyzację należy wykorzystywać wszędzie tam, gdzie jest to możliwe, aby usprawnić te procesy i zwiększyć ich dokładność.

Gdy masz już jasny inwentarz wszystkich aktywów, następnym krokiem jest rozpoczęcie identyfikacji ryzyk. Obejmuje to wskazanie aktywów przechowujących lub przetwarzających wrażliwe dane, określenie krytycznych aktywów niezbędnych do operacji, zrozumienie, jak aktywa współdziałają ze sobą, oraz ustanowienie procedur zarządzania zewnętrznymi, przestarzałymi lub nieobsługiwanymi aktywami.

Aby zidentyfikować podatności w systemach i sieciach, takie jak niezałatane systemy, możesz przejrzeć i monitorować NIST National Vulnerability Database, repozytorium znanych luk w zabezpieczeniach. Wymaga to jednak ręcznej weryfikacji, aby potwierdzić, że konkretne wersje oprogramowania i konfiguracje używane w Twojej organizacji są faktycznie wymienione i odnotowane w bazie danych NIST. Alternatywnie, zautomatyzowane narzędzia, takie jak Bitdefender Risk Management i External Attack Surface Management (EASM), mogą usprawnić ten proces.

Aby zidentyfikować podatności w aplikacjach, ludziach i procesach, takie jak wykorzystywalne luki w zabezpieczeniach lub nieadekwatne plany reagowania na incydenty, możesz przeprowadzić Testy penetracyjne lub ćwiczenia Red Teaming. Te metody symulują ataki i pozwalają ocenić Twoją postawę bezpieczeństwa i procesy z perspektywy napastnika.

Ocena ryzyka

Ocena ryzyka może obejmować różne kroki i macierze w zależności od wybranej metodologii lub frameworka. W tym dokumencie, dla uproszczenia, skupimy się na podejściu, w którym ocena ryzyka obejmuje rozważenie prawdopodobieństwa wystąpienia zagrożenia i jego potencjalnego wpływu. Można to przedstawić w prostej macierzy z czterema ćwiartkami:

• Niskie prawdopodobieństwo, niski wpływ: Monitoruj i przeglądaj.

• Niskie prawdopodobieństwo, wysoki wpływ: Planowanie awaryjne.

• Wysokie prawdopodobieństwo, niski wpływ: Rutynowe postępowanie i środki zaradcze.

• Wysokie prawdopodobieństwo, wysoki wpływ: Natychmiastowe środki zaradcze i naprawcze.

Rozważmy, jak atak łańcucha dostaw, w zależności od różnych scenariuszy użycia, może znaleźć się w dwóch różnych ćwiartkach. W pierwszym scenariuszu możemy wyobrazić sobie typowy atak na łańcuch dostaw oprogramowania, w którym napastnik uzyskał dostęp do oprogramowania do zarządzania usługami IT. Poprzez to skompromitowane oprogramowanie mogliby potencjalnie narazić każdą firmę korzystającą z tego oprogramowania. Takie zdarzenia mają niskie prawdopodobieństwo, ale wysoki wpływ. Z drugiej strony mamy Business Email Compromise (BEC), gdzie podmioty zagrożenia próbują manipulować pracownikami, aby przelać środki lub ujawnić wrażliwe informacje. Ten rodzaj ataku na łańcuch dostaw ma wysokie prawdopodobieństwo i wysoki wpływ.

Często trudno jest dokładnie ocenić ryzyko bez zrozumienia, jak różne ryzyka są ze sobą powiązane. Wyobraź sobie zarządzanie podatnością wyłącznie na podstawie Common Vulnerability Scoring System (CVSS). Jeśli masz do czynienia z podatnościami o wysokiej punktacji, możesz przeoczyć te o niższych punktach, które mogłyby prowadzić do bardziej krytycznych konsekwencji. Na przykład podatność w systemie zarządzania treścią (CMS), która pozwala na zdalne wykonanie kodu (RCE), może mieć CVSS 9.8. Napastnik może mieć początkowy dostęp do systemu, ale nadal potrzebuje kolejnej podatności, aby eskalować uprawnienia i uzyskać dostęp do wrażliwych danych lub kontroli systemu. Natomiast podatność w bibliotece kryptograficznej, która pozwala na odczyt zaszyfrowanych danych, może mieć CVSS 5.9, ale może prowadzić do znaczących wycieków danych.

Framework zarządzania ryzykiem

Framework zarządzania ryzykiem dostarcza ustrukturyzowanych metodologii identyfikacji, oceny i łagodzenia ryzyk, umożliwiając priorytetyzację inicjatyw bezpieczeństwa i efektywną alokację zasobów.

Umożliwiają one lepszą komunikację i podejmowanie decyzji dotyczących priorytetów cyberbezpieczeństwa. Kluczowe frameworki obejmują:

• NIST Risk Management Framework (RMF): Ten framework dostarcza ustrukturyzowany proces integracji działań związanych z bezpieczeństwem, prywatnością i zarządzaniem ryzykiem w cykl życia rozwoju systemu.
• ISO 27005: Międzynarodowy standard skupiający się na zarządzaniu ryzykiem bezpieczeństwa informacji, dostarczający frameworka do oceny, leczenia i monitorowania ryzyk bezpieczeństwa informacji.
• CIS Critical Security Controls (CISv8): Ten framework przedstawia zestaw najlepszych praktyk zabezpieczania systemów IT i danych, koncentrując się na kluczowych działaniach minimalizujących ryzyka.
• MITRE ATT&CK: Baza wiedzy o taktykach i technikach przeciwników oparta na rzeczywistych obserwacjach, przydatna w modelowaniu zagrożeń i strategiach obrony.

Wdrożenie frameworka pomaga uporządkować programy bezpieczeństwa poprzez definiowanie ról, ustanawianie procesów zarządzania ryzykiem i opracowywanie planów reagowania na incydenty. Dodatkowo, korzystanie z frameworków pozwala na porównanie swojego stanu bezpieczeństwa ze standardami branżowymi, promując holistyczne podejście uwzględniające ludzi, procesy i technologie.

Należy przyjąć framework zarządzania ryzykiem, który odpowiada Twoim potrzebom. Obejmuje to:

• Ocenę obecnych praktyk: Przeanalizuj istniejące środki bezpieczeństwa i zidentyfikuj luki.

• Wybór frameworka: Wybierz framework zgodny z celami organizacji i wymaganiami compliance, który również pasuje do metodologii Enterprise Risk Management (ERM).

• Integrację z procesami: Włącz framework w istniejące procesy bezpieczeństwa i biznesowe dla spójności i efektywności.

• Regularne przeglądy i aktualizacje: Ciągle przeglądaj i aktualizuj praktyki zarządzania ryzykiem, aby dostosować się do nowych zagrożeń i zmian w środowisku organizacyjnym.

Na przykład, jeśli potrzebujesz kompleksowego podejścia do integracji bezpieczeństwa i prywatności w cykl życia rozwoju systemu, idealny będzie NIST Risk Management Framework (RMF). Jeśli skupiasz się na zrozumieniu zachowań przeciwników i poprawie wykrywania zagrożeń, framework MITRE ATT&CK lepiej nadaje się do opracowywania zaawansowanych strategii obrony opartych na rzeczywistych technikach ataku.

Leczenie ryzyka

Po zidentyfikowaniu ryzyk należy zdecydować, jak je potraktować. Istnieje kilka opcji w zależności od ich prawdopodobieństwa i wpływu:

• Łagodzenie ryzyka (redukcja): Wdrożenie kontroli zmniejszających prawdopodobieństwo lub wpływ zagrożenia.

• Akceptacja ryzyka: Uznanie i zaakceptowanie ryzyka, jeśli jest ono wystarczająco niskie lub nieuniknione, bez podejmowania działań łagodzących, gdy mieści się w zdefiniowanych przez organizację granicach tolerancji ryzyka. Decyzja ta opiera się na świadomej ocenie potencjalnych konsekwencji ryzyka w kontekście ustalonych kryteriów organizacyjnych.

• Dzielenie/przeniesienie ryzyka: Podzielenie ryzyka poprzez outsourcing usług bezpieczeństwa do wyspecjalizowanych dostawców, takich jak usługi MDR, lub poprzez mechanizmy takie jak ubezpieczenie cybernetyczne. Należy pamiętać, że ostateczna odpowiedzialność za naruszenie nadal spoczywa na organizacji. Chociaż outsourcing i ubezpieczenie mogą pomóc w zarządzaniu ryzykiem i dostępie do specjalistycznej wiedzy, nie eliminują one potencjalnych konsekwencji finansowych i operacyjnych incydentu bezpieczeństwa.

• Unikanie ryzyka: Całkowite wyeliminowanie ryzyka poprzez rezygnację z ryzykownych działań, takich jak nowe partnerstwa, przyjmowanie nowych dostawców lub korzystanie z nowych technologii.

Łagodzenie ryzyka

W tym dokumencie skupimy się na łagodzeniu ryzyka, szczególnie w kontekście rozwiązań Bitdefender, ponieważ oferuje ono najbardziej proaktywne podejście. Chociaż akceptacja, dzielenie i unikanie ryzyka są ważnymi strategiami, skuteczne łagodzenie ryzyka poprzez kontrole pozwala adresować zarówno prawdopodobieństwo, jak i wpływ potencjalnych zagrożeń.

Łagodzenie ryzyka polega na wdrażaniu środków redukujących te czynniki, zgodnie ze wzorem:

Ryzyko = Prawdopodobieństwo × Wpływ

Przykładowo, w przypadku ryzyka naruszenia danych z powodu ataku ransomware, wdrożenie programu zarządzania poprawkami zmniejsza prawdopodobieństwo ataku poprzez minimalizację luk, które ransomware mógłby wykorzystać. Korzystanie z usługi Managed Detection and Response (MDR) zmniejsza wpływ poprzez szybkie wykrywanie i reagowanie, minimalizując czas, w którym napastnicy mogą działać w Twoim środowisku i szyfrować dane.

Redukcja prawdopodobieństwa

Aby zmniejszyć prawdopodobieństwo, możesz zacząć od użytkowników. Poprzez szkolenia i świadomość możesz nauczyć pracowników rozpoznawania i unikania prób phishingu i ataków inżynierii społecznej. Jednak nawet najlepiej przeszkoleni ludzie mogą popełnić błąd w obliczu wyrafinowanych ataków, zwłaszcza gdy LLM utrudniają ich identyfikację. Dlatego dodatkowe warstwy ochrony, które potrafią rozpoznać tego typu ataki, są kluczowe. Możesz pomóc użytkownikom, wdrażając Ochronę poczty e-mail, aby zapobiegać atakom phishingowym, spamowi i innym zagrożeniom związanym z pocztą przed dotarciem do ich skrzynek. Rozwiązanie to potrafi rozpoznać ataki phishingowe z użyciem LLM, ataki podszywania się i złośliwe linki, nawet w załącznikach e-mail.

Bitdefender Security for Email

Silne uwierzytelnianie jest kluczowe dla nowoczesnego bezpieczeństwa. Chociaż uwierzytelnianie bezhasłowe (np. FIDO2) to przyszłość, może nie być obecnie możliwe do wdrożenia we wszystkich organizacjach. Aby zwiększyć bezpieczeństwo, wdróż uwierzytelnianie wieloskładnikowe (MFA). Dla organizacji z wieloma aplikacjami Single Sign-On (SSO) mogą usprawnić proces logowania przy zachowaniu bezpieczeństwa. Nawet przy silnym uwierzytelnianiu warto korzystać z renomowanego menedżera haseł do bezpiecznego przechowywania i zarządzania złożonymi hasłami.

Urządzenia mobilne często są pomijanym ryzykiem. Ciągle podłączone do internetu i używane zarówno do celów prywatnych, jak i zawodowych, stają się podatne na naruszenia danych, nieautoryzowany dostęp i ataki cybernetyczne, stanowiąc zagrożenie dla wrażliwych informacji. Bezpieczeństwo mobilne koncentruje się na identyfikacji ryzyka, wykrywaniu zagrożeń, remediacji i raportowaniu. Wykorzystując Mobile Threat Detection (MTD), wykrywa zarówno znane, jak i nieznane zagrożenia, w tym ataki zero-day, phishing i ataki sieciowe, nawet gdy urządzenie nie jest podłączone do sieci korporacyjnej, chroniąc przed różnymi przewidywanymi i nieoczekiwanymi zagrożeniami.

Mobile Security Dashboard

Możesz zmniejszyć prawdopodobieństwo incydentów bezpieczeństwa, przeprowadzając regularne skanowanie luk i stosując poprawki za pomocą zarządzania poprawkami. W zależności od strategii możesz wykorzystać ręczne lub automatyczne wdrażanie poprawek poprzez predefiniowane polityki okien serwisowych. Dla systemów, których nie można załatać, rozważ wdrożenie dodatkowych kontroli bezpieczeństwa, takich jak segmentacja sieci lub zwiększony monitoring, aby zminimalizować ryzyko.

GravityZone Risk Management

Chociaż skupiliśmy się na środkach skierowanych do użytkowników, należy pamiętać, że nadal mogą występować ataki wynikające z błędnych konfiguracji systemu operacyjnego, ustawień komputera i luk w aplikacjach. Na przykład publicznie dostępna aplikacja z luką umożliwiającą zdalne wykonanie kodu (RCE) może stać się punktem wejścia dla napastników. Zarządzanie ryzykiem punktów końcowych jest niezbędne do identyfikacji i naprawy tych błędnych konfiguracji poprzez automatyczne lub ręczne działania zaradcze.

Gdy podmioty zagrożeń stosują taktyki „Living off the Land” (LOTL), wykorzystując legalne narzędzia systemowe i procesy, ich złośliwe działania mieszają się z normalną aktywnością operacyjną. Proactive Hardening and Attack Surface Reduction (PHASR) proaktywnie analizuje zachowania użytkowników i aplikacji, tworząc profile behawioralne dla każdej kombinacji użytkownik-maszyna i porównując je ze znanymi playbookami podmiotów zagrożeń, aby zapobiegać złośliwym działaniom. Zamiast blokować całe aplikacje, co mogłoby zakłócić legitną działalność biznesową, PHASR może wdrożyć szczegółowe blokowanie na poziomie akcji. Na przykład, chociaż PowerShell może być potrzebny do zadań administracyjnych, PHASR może zidentyfikować i zablokować konkretne, wysokiego ryzyka polecenia PowerShell, takie jak te używane do pobierania zdalnych plików, często kojarzone z playbookami napastników. Zmniejsza to powierzchnię ataku i minimalizuje ryzyko skutecznych ataków LOTL, zanim jeszcze się rozpoczną. Poprzez ciągły cykl uczenia analizuje działania użytkowników, dostosowując się do nowych zachowań poprzez modyfikację istniejących monitorowanych reguł lub dostarczając nowe rekomendacje.

Bitdefender PHASR dashboard

Nie można całkowicie wyeliminować ryzyka, nawet przy najlepszej strategii zarządzania ryzykiem; można je jedynie zmniejszyć. Skompromitowane urządzenia mogą stanowić punkty wejścia do dalszych ataków, dlatego ich ochrona jest kluczowa. Można zabezpieczyć urządzenia wewnętrzne, wdrażając platformy ochrony punktów końcowych (EPP). EPP oferuje wielowarstwowe zabezpieczenia, w tym ochronę przed złośliwym oprogramowaniem, ochronę sieci, ochronę przed exploitami, ochronę przed ransomware oraz zaawansowane funkcje, takie jak technologie zaawansowanego uczenia maszynowego. Zabezpieczy je przed szerokim zakresem zagrożeń, w tym złośliwym oprogramowaniem, ransomware i innymi złośliwymi atakami.

Konfiguracja polityki Bitdefender GravityZone

Bitdefender EDR wykorzystuje wykrywanie anomalii do identyfikacji nietypowych lub podejrzanych działań odbiegających od normalnych wzorców zachowań w środowisku IT. To, co jest wyjątkowe i ważne, to fakt, że nasze niestandardowe modele uczenia maszynowego wykorzystywane w wykrywaniu anomalii są trenowane indywidualnie dla każdego systemu klienta. To nie jest pomyłka – Twoje środowisko ma swój własny, unikalny model uczenia maszynowego, tak samo charakterystyczny jak samo środowisko IT. Modele te wykorzystują dane z czujników punktów końcowych, korelują zdarzenia, ekstrahują i przetwarzają cechy, takie jak czasy logowania użytkowników, czas trwania połączeń sieciowych, wzorce tworzenia procesów i inne istotne dane, aby stworzyć podstawę behawioralną. Każde odchylenie od tej podstawy może być uznane za potencjalnie złośliwe. Na przykład, jeśli użytkownik, który nigdy wcześniej nie korzystał z PowerShell, nagle próbuje wykonać polecenie PowerShell, może to zostać oznaczone jako anomalia. Wszystkie zidentyfikowane anomalie są przekazywane do dalszego zbadania i reakcji.

Głównym powodem ewolucji od wykrywania i reagowania na punktach końcowych (EDR) do rozszerzonego wykrywania i reagowania (XDR) była potrzeba uzyskania widoczności wykraczającej poza same punkty końcowe. Dzięki czujnikom w GravityZone XDR można aktywnie monitorować infrastrukturę IT, w tym urządzenia, sieci, środowiska chmurowe, tożsamości i aplikacje produktywnościowe, pod kątem potencjalnych zagrożeń, takich jak ataki ransomware. Czujniki zwiększają widoczność w całym cyklu życia ataku, od początkowego punktu naruszenia po wszystkie dotknięte zasoby. Na przykład XDR może zapewnić kompleksowy widok ataku, zaczynając od wiadomości phishingowej wykorzystanej do kradzieży poświadczeń użytkownika. Może śledzić działania napastnika, który wykorzystuje te poświadczenia do uzyskania uprzywilejowanego dostępu, przemieszcza się lateralnie w sieci i ostatecznie szyfruje wrażliwe dane lub eksfiltruje je do systemów zewnętrznych.

Analiza głównej przyczyny w Bitdefender GravityZone Extender

W miarę jak organizacje coraz częściej działają w środowiskach hybrydowych, łącząc infrastrukturę lokalną z usługami chmurowymi, kluczowe jest rozwiązanie unikalnych wyzwań związanych z bezpieczeństwem wynikających z tej zmiany. Adopcja chmury obliczeniowej oferuje organizacjom liczne korzyści, takie jak skalowalność, elastyczność i opłacalność, jednak migracja do chmury wprowadza również nowe ryzyka bezpieczeństwa, takie jak błędne konfiguracje lub nadmierne uprawnienia, które mogą prowadzić do ujawnienia danych lub nieautoryzowanych działań. Na przykład częstą błędną konfiguracją w środowiskach chmurowych jest pozostawianie publicznie dostępnych zasobów pamięci masowej. Może to narazić wrażliwe dane na dostęp nieuprawnionych osób. Zarządzanie stanem bezpieczeństwa chmury (CSPM+) odgrywa kluczową rolę w rozwiązywaniu tych wyzwań poprzez ciągłe monitorowanie konfiguracji w celu identyfikacji i naprawy błędnych konfiguracji oraz uprawnień w środowisku chmurowym.

Zarządzanie stanem bezpieczeństwa chmury Bitdefender

Chociaż wewnętrzne środki bezpieczeństwa są niezbędne, równie ważne jest zadbanie o bezpieczeństwo publicznie wystawionych zasobów. Zasoby te mogą mieć słabości, takie jak otwarte porty, udostępnione usługi i luki w zabezpieczeniach. To jak pozostawienie tylnej furtki niezamkniętej, co czyni je głównym celem dla napastników, którzy stale skanują w poszukiwaniu wystawionych systemów, aby wykorzystać publicznie dostępne informacje do identyfikacji luk i uzyskania początkowego dostępu do systemów. Na przykład napastnik może odkryć wystawiony serwer bazy danych w sieci i wykorzystać znaną lukę, aby uzyskać nieautoryzowany dostęp do wrażliwych danych. Aby zmniejszyć zewnętrzną powierzchnię ataku, potrzebna jest kompleksowa widoczność wszystkich zewnętrznych zasobów, zanim napastnicy będą mogli je wykorzystać. Zarządzanie zewnętrzną powierzchnią ataku (EASM) ciągle monitoruje zasoby skierowane na zewnątrz, takie jak aplikacje internetowe, infrastruktura sieciowa i usługi chmurowe, aby identyfikować i usuwać luki, zanim zostaną wykorzystane.

Zarządzanie zewnętrzną powierzchnią ataku Bitdefender

Analiza ryzyka zapewnia holistyczny widok ryzyka organizacyjnego poprzez agregację i analizę danych z różnych źródeł. Umożliwia to identyfikację wzorców, trendów i potencjalnych zagrożeń, w tym ścieżek ataku. Poprzez korelację wyników z zarządzania ryzykiem użytkowników, zarządzania ryzykiem punktów końcowych i bezpieczeństwa chmurowego, wskazuje główne przyczyny incydentów i ujawnia powiązane ryzyka bezpieczeństwa. Na przykład, jeśli incydent wynikał z użycia poświadczeń użytkownika w niezaszyfrowanej komunikacji, analiza ryzyka zgłosi to wraz z innymi zidentyfikowanymi przyczynami i pięcioma najpoważniejszymi ryzykami. Informacje te można wykorzystać do zmniejszenia prawdopodobieństwa podobnych incydentów poprzez wdrożenie środków takich jak obowiązkowe uwierzytelnianie wieloskładnikowe i zabezpieczenie metod komunikacji poprzez szyfrowanie.

Naszym celem jest korelacja większej liczby wyników, na przykład luk i EASM, aby śledzić sekwencję od początkowego odkrycia do ruchu lateralnego i eksfiltracji danych. Ponadto, korelując tożsamości na podstawie ich atrybutów, możemy stworzyć kompleksowy profil ryzyka dla całego środowiska. Wykrywanie anomalii sieciowych umożliwi nam identyfikację i zapobieganie atakom sieciowym, a analiza uwzględnia również zaangażowanych użytkowników i odpowiednie pliki.

Jeśli korzystasz z naszej usługi Managed Detection & Response (MDR), zespół Cyber Threat Intelligence (CTI), który jest jej częścią, również pomaga zmniejszyć ryzyko. Zespół CTI ocenia informacje zebrane z szerokiego zakresu źródeł, w tym różnych narzędzi do zbierania informacji wywiadowczych, przeszukuje dark i deep web, zbiera dane od różnych organizacji ścigania na całym świecie, gromadzi informacje o zagrożeniach od zespołu Bitdefender Labs i przegląda informacje z różnych wiarygodnych źródeł informacyjnych. Ponadto zespół CTI aktywnie wykorzystuje Threat Intelligence do monitorowania wycieków poświadczeń/narażenia e-maili lub monitorowania nadużyć domen lub niezabezpieczonych repozytoriów kodu. Ich ustalenia są omawiane z analitykami SOC MDR, a plany działań są dostosowywane do środowiska, dziedziny działalności firmy i szczegółów zidentyfikowanego potencjalnego zagrożenia.

Bitdefender MDR

Chociaż powyższe kontrole bezpieczeństwa stanowią solidną podstawę do łagodzenia ryzyk, proaktywne podejście do bezpieczeństwa obejmuje również aktywne poszukiwanie potencjalnych zagrożeń. Usługi ofensywne są zaprojektowane do proaktywnej oceny luk w zabezpieczeniach środowiska, zarówno lokalnego, chmurowego, jak i hybrydowego. Usługi bezpieczeństwa ofensywnego, prowadzone przez etycznych hakerów naśladujących rzeczywiste ataki, wykraczają poza zwykłe testowanie zapobiegania. Testują całą postawę bezpieczeństwa, mechanizmy zapobiegania, ochrony, wykrywania i reagowania. Testy penetracyjne identyfikują luki i ryzyka poprzez symulację rzeczywistych ataków, pomagając zrozumieć stan bezpieczeństwa określonych zasobów. Red Teaming idzie o krok dalej, symulując zachowania rzeczywistych napastników na połączonych zasobach, umożliwiając testowanie zdolności wykrywania i reagowania na zaawansowane zagrożenia, takie jak ransomware.

Zmniejszanie wpływu

Nawet przy najbardziej solidnych środkach bezpieczeństwa nieuniknione jest, że napastnicy w końcu znajdą sposób na naruszenie zabezpieczeń. Chociaż możemy dążyć do minimalizacji prawdopodobieństwa skutecznego naruszenia, musimy założyć, że incydent wystąpi i skupić się na szybkim wykrywaniu i reagowaniu na zagrożenia.

Jednym z najskuteczniejszych sposobów zmniejszenia wpływu naruszenia danych jest szyfrowanie wrażliwych danych w spoczynku. Bez szyfrowania wrażliwe dane są narażone na kradzież. Na przykład, jeśli laptop zawierający wrażliwe dane zostanie skradziony, złodziej mógłby potencjalnie uzyskać dostęp do informacji. Pełne szyfrowanie dysków twardych, dysków zewnętrznych i innych systemów przechowywania zapewnia solidną obronę przed naruszeniami danych, znacząco zmniejszając potencjalny wpływ nieautoryzowanego dostępu do wrażliwych informacji. Pomaga również spełnić niektóre wymogi regulacyjne, takie jak GDPR i HIPAA.

Konsola Bitdefender GravityZone

Gdy napastnicy uzyskają dostęp do systemu, mogą uruchomić oprogramowanie szyfrujące, aby zablokować dane i zażądać okupu. Moduł łagodzenia ransomware monitoruje punkty końcowe i blokuje procesy próbujące zmienić dane. Technologia ta obejmuje trzy główne obszary: poziom systemu operacyjnego, pliki i wsparcie chmurowe. Na przykład analizuje określone części pliku w użyciu i stosuje formuły statystyczne, w tym testy entropii i chi-kwadrat, aby wykryć oznaki szyfrowania plików. Gdy atak ransomware zostanie wykryty i zablokowany, zgłosi informacje o sesji użytkownika na punkcie końcowym i plikach, które zostały naruszone, z możliwością przywrócenia plików ręcznie lub automatycznie. Proces tworzenia kopii zapasowej odbywa się w czasie rzeczywistym i jest uruchamiany tylko w razie potrzeby. Technologia łagodzenia ransomware nie opiera się na mechanizmie kopii shadow do tworzenia kopii zapasowych; zamiast tego opracowaliśmy własne wewnętrzne mechanizmy. To podejście chroni dane, ponieważ złośliwi aktorzy często celują w kopie shadow i kopie zapasowe przed szyfrowaniem, i zapewnia minimalny wpływ na ogólną wydajność systemu.

Gdy zagrożenie zostanie wykryte, incydent jest automatycznie tworzony w celu przeprowadzenia dochodzenia kryminalistycznego. Zrozumienie, jak doszło do ataku, jest kluczowe dla powstrzymania zagrożenia i zapobieżenia dalszym szkodom. Dzięki Incident Advisor można znacząco skrócić czas potrzebny na zbadanie i powstrzymanie zagrożeń. Poprzez korelację danych z wielu źródeł i przedstawienie ich w przejrzystej formie, Incident Advisor usprawnia proces dochodzenia, umożliwiając skupienie się na identyfikacji głównej przyczyny incydentu i podjęcie odpowiednich działań naprawczych. Ten kompleksowy przegląd incydentu, w tym jego przyczyny, skutki i potencjalne ryzyka, pozwala na podejmowanie świadomych decyzji i wdrażanie skutecznych działań reagowania na incydenty, na przykład można zablokować podejrzanych użytkowników AD i odizolować hosta, na którym rozpoczął się incydent.

Doradca ds. incydentów Bitdefender GravityZone

Dodatkowo można uzyskać cenne informacje, wykorzystując Threat Intelligence, gdy wykryty zostanie podejrzany plik lub połączenie lub zidentyfikowane zagrożenie. Wszystkie pliki można przeanalizować pod kątem ich reputacji, a jeśli plik jest nieznany, można go przesłać do sandboxa w celu dalszej analizy. Korzystając z IOCs, można wyszukać podmiot zagrożenia i, znając jego TTPs, stworzyć niestandardowe reguły wykrywania, aby izolować punkty końcowe, gdy wykryte zostaną określone pliki, procesy lub połączenia. Threat intelligence można również wykorzystać do wyszukiwania podmiotów zagrożeń kierujących się na branżę. To proaktywne podejście pozwala wcześniej tworzyć niestandardowe reguły wykrywania na podstawie IOCs przypisanych do podmiotów zagrożeń. Można również użyć funkcji wyszukiwania na żywo opartej na OSquery, aby tworzyć precyzyjnie dostrojone i specyficzne dla organizacji wzorce wykrywania. Na przykład, jeśli reguła YARA ma na celu wykrycie określonego podpisu złośliwego oprogramowania w plikach, skanowanie przy dostępie wyzwalałoby alert za każdym razem, gdy plik z pasującym podpisem byłby dostępny lub wykonywany w czasie rzeczywistym przez dowolnego użytkownika lub proces.

Niestandardowe reguły wykrywania Bitdefender

Kluczową strategią zmniejszania skutków cyberataku jest wykorzystanie usługi Managed Detection and Response (MDR). Jeśli prowadzisz biznes, ale nie posiadasz dedykowanego zespołu bezpieczeństwa, MDR zapewnia nieocenioną pomoc. Współpracując z zespołem MDR, możesz efektywnie wykorzystać ekspercką wiedzę i zasoby bezpieczeństwa, aby wzmocnić swoje zdolności reagowania na incydenty i zminimalizować skutki cyberataków, nawet przy ograniczonych wewnętrznych zasobach bezpieczeństwa. Zespoły MDR aktywnie poszukują zagrożeń, w tym zaawansowanych zagrożeń, exploitów zero-day i zagrożeń wewnętrznych, które mogły ominąć tradycyjne zabezpieczenia. Mogą szybko wykrywać i reagować na incydenty bezpieczeństwa, minimalizując czas przebywania napastnika w systemie i zmniejszając potencjalne szkody. Ponadto zespoły MDR przeprowadzają dogłębne dochodzenia w celu zidentyfikowania głównej przyczyny incydentów i zbierają dowody kryminalistyczne, podczas gdy wysiłki związane z odzyskiwaniem i usuwaniem skutków skupiają się na przywracaniu dotkniętych systemów.

Jasne określenie odpowiedzialności i własności podczas każdej fazy incydentu ma kluczowe znaczenie. Zespół bezpieczeństwa, zazwyczaj kierowany przez CISO, koordynuje działania z IT, działem prawnym i innymi departamentami, aby zapewnić skuteczną reakcję. Dobrze zdefiniowany Plan Reagowania na Incydenty określa jasne procesy i obowiązki, zapewniając, że każdy zna swoją rolę. Kluczowe fazy obejmują:

• Przygotowanie: Wdrożenie narzędzi, szkoleń i systemów niezbędnych do obsługi incydentów. Ustalenie jasnych procesów i przypisanie odpowiedzialności.
• Wykrywanie: Szybka identyfikacja zagrożeń przy użyciu narzędzi monitorujących, takich jak XDR lub MDR, aby wcześnie ograniczyć szkody.
• Powstrzymanie: Po wykryciu natychmiastowe powstrzymanie zagrożenia, aby ograniczyć jego rozprzestrzenianie.
• Eliminacja: Usunięcie zagrożenia z sieci lub systemu.
• Odzyskiwanie/Wzmacnianie: Przywrócenie normalnych operacji przy jednoczesnym usunięciu głównej przyczyny, aby zapobiec ponownemu wystąpieniu.

Na przykład wyobraź sobie scenariusz, w którym wiadomość phishingowa narusza konto pracownika, umożliwiając napastnikom uzyskanie wstępnego dostępu do sieci. Dzięki usłudze MDR można to szybko wykryć, umożliwiając zespołom bezpieczeństwa natychmiastową izolację zagrożonego systemu i zapobieżenie dalszemu przemieszczaniu się w sieci.

Reagowanie na incydenty współpracuje z Planem Ciągłości Działania (BCP), aby zapewnić odporność operacyjną podczas incydentu i po nim. Zminimalizuj przestoje, identyfikując kluczowe funkcje biznesowe i zapewniając gotowość systemów zapasowych. Przypisz jasną odpowiedzialność za zadania ciągłości odpowiednim zespołom. Regularne testowanie i aktualizacja zarówno planu reagowania na incydenty, jak i BCP zwiększają odporność. Zapewnienie, że zespoły są gotowe do szybkiego działania, zmniejsza skutki finansowe i operacyjne. Przeprowadź przegląd pouczający po incydencie, aby zidentyfikować obszary wymagające poprawy. Udokumentuj wnioski, aby zaktualizować istniejący plan reagowania na incydenty i lepiej łagodzić przyszłe ryzyka.

Demonstrowanie wartości cyberbezpieczeństwa

Dla liderów bezpieczeństwa, w tym Chief Information Security Officers (CISO) i Chief Information Officers (CIO), skuteczne wykazanie zwrotu z inwestycji w cyberbezpieczeństwo przed zarządem i interesariuszami jest kluczowe, aby bezpieczeństwo było postrzegane jako inwestycja, a nie koszt.

Na przykład, obliczając koszt przestoju, możesz przedstawić namacalne dowody na to, jak projekty bezpieczeństwa oszczędzają organizacji. Oto jak możesz oszacować koszty:

• Strata przychodów: Możesz oszacować średni przychód generowany w ciągu godziny lub dnia i obliczyć stratę związaną z całkowitym zatrzymaniem działalności z powodu cyberataku.
• Koszt reagowania na incydenty: Możesz uwzględnić koszty zespołów reagowania na incydenty, analizy kryminalistycznej, opłat prawnych i kar regulacyjnych.
• Szkoda wizerunkowa: Możesz oszacować utratę zaufania, biorąc pod uwagę potencjalną utratę klientów i udziału w rynku, chociaż może to być trudne do kwantyfikacji.

Korzystając z tych i podobnych metryk, inwestycje w cyberbezpieczeństwo można przedstawić jako środki oszczędnościowe, które zmniejszają prawdopodobieństwo kosztownych incydentów.

Kluczowym aspektem wykazywania wartości cyberbezpieczeństwa jest mierzenie jego skuteczności poprzez śledzenie wydajności i pokazywanie finansowego i operacyjnego wpływu redukcji ryzyka. Możesz na przykład zdefiniować następujące kryteria:

• Średni czas wykrycia (MTTD): Możesz zmierzyć, jak szybko zagrożenia są identyfikowane.
• Średni czas reakcji (MTTR): Możesz zmierzyć czas potrzebny na wykrycie i złagodzenie incydentów bezpieczeństwa.
• Skuteczność zarządzania poprawkami: Możesz śledzić systemy i aplikacje, które zostały załatane w określonym czasie.
• Wsparcie zgodności: Możesz śledzić przestrzeganie przepisów i standardów branżowych, takich jak ISO 27001, NIST czy RODO.

Narzędzia takie jak konsola Bitdefender GravityZone zapewniają scentralizowany pulpit nawigacyjny, który śledzi te kluczowe metryki. Oferuje wgląd w czasie rzeczywistym w wykrywanie zagrożeń, zarządzanie poprawkami i ogólną postawę bezpieczeństwa. Dane te można przedstawić w formie raportu dla kierownictwa, pomagając określić wartość wysiłków związanych z cyberbezpieczeństwem w kategoriach biznesowych. Przedstawiając metryki, takie jak szybszy czas reakcji na incydenty lub wyższe wyniki zgodności, pokazujesz, jak program bezpieczeństwa wspiera cele biznesowe, takie jak zmniejszanie przestojów operacyjnych i ochrona przychodów.

Jeśli nie jesteś pewien, jak skutecznie wykorzystać metryki bezpieczeństwa (Key Performance Indicators lub Objectives and Key Results), współpraca z zewnętrznym dostawcą usług bezpieczeństwa może zapewnić cenne wskazówki.

Zgodność regulacyjna

Zgodność regulacyjna wykracza poza obowiązki prawne; jest to strategiczne podejście do zarządzania ryzykami cybernetycznymi i wykazywania wartości inwestycji w cyberbezpieczeństwo. Możesz wykorzystać te przepisy do identyfikacji, oceny i łagodzenia ryzyk. Kilka kluczowych przepisów i standardów może pomóc w ustaleniu właściwych praktyk cyberbezpieczeństwa. Na przykład:

• Ogólne Rozporządzenie o Ochronie Danych (RODO): RODO to rozporządzenie UE, które wymaga od organizacji ochrony danych osobowych i prywatności obywateli UE. Obejmuje wymagania dotyczące przetwarzania danych, zgody, praw podmiotów danych i powiadamiania o naruszeniach.
• Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA): HIPAA to przepisy USA, które wymagają od organizacji opieki zdrowotnej ochrony informacji o zdrowiu pacjentów. Obejmuje przepisy dotyczące zabezpieczania elektronicznych dokumentacji medycznych, zapewnienia prywatności pacjentów i powiadamiania osób w przypadku naruszenia danych.
• Dyrektywa NIS: NIS i NIS2 to unijna dyrektywa cyberbezpieczeństwa mająca na celu poprawę bezpieczeństwa sieci i systemów informatycznych w kluczowych sektorach. Ustanawia środki zarządzania ryzykiem, zgłaszania incydentów i współpracy między państwami członkowskimi UE w celu zwiększenia ogólnej odporności infrastruktury krytycznej.
• Ustawa o cyfrowej odporności operacyjnej (DORA): DORA to rozporządzenie UE, które ma na celu wzmocnienie odporności operacyjnej instytucji finansowych. Wprowadza wymagania dotyczące identyfikacji i zarządzania ryzykami, testowania odporności i zgłaszania incydentów.

GravityZone Compliance Manager zapewnia ocenę zgodności punktów końcowych w czasie rzeczywistym poprzez wbudowane mapowania, które łączą wymagania standardów zgodności z kontrolami technicznymi na punktach końcowych. Każde odkrycie związane ze standardami lub frameworkami zgodności zawiera jasne, możliwe do wykonania techniki naprawcze, w tym opcje ręczne i automatyczne. Podczas gdy konkretne zagrożenia mogą wymagać interwencji ręcznej, w dedykowanej sekcji Łagodzenie ryzyka znajdziesz szczegółowe, krok po kroku wskazówki dotyczące usunięcia ryzyka. W przypadku problemów, które można rozwiązać automatycznie, za pomocą jednego przycisku Napraw ryzyko, możesz po prostu utworzyć zadanie, aby je złagodzić, zmieniając konfigurację, zapewniając efektywne i terminowe usuwanie luk w zgodności. Gotowe do audytu raporty mogą być wykorzystane do wykazania skuteczności inicjatyw redukcji ryzyka przed zewnętrznymi audytorami lub wewnętrznym kierownictwem.

GravityZone Compliance Manager

Jeśli Twoja organizacja jest zobowiązana do przestrzegania tych lub podobnych przepisów, często wymaga to dodatkowych audytów w celu zapewnienia spełnienia wymogów regulacyjnych. Kluczowe kwestie związane z przygotowaniem do audytu obejmują testy penetracyjne i Red Teaming.

Jeśli potrzebujesz kompleksowego wsparcia w zakresie zgodności – od analizy luk i zaleceń dotyczących poprawy po pomoc w uzyskaniu certyfikacji – rozważ współpracę z zewnętrznym dostawcą usług bezpieczeństwa, aby wykorzystać jego wiedzę i poprawić swoją postawę bezpieczeństwa.

Podsumowanie

Zarządzanie ryzykiem cybernetycznym nie jest jednorazowym projektem, ale ciągłym procesem, który ewoluuje wraz z Twoim biznesem. Poprzez przyjęcie ustrukturyzowanego podejścia – opartego na obliczaniu ryzyka, strategicznym łagodzeniu, reagowaniu na incydenty i frameworkach zgodności – Twoja organizacja może lepiej chronić swoje aktywa i utrzymać odporność operacyjną. Zacznij od oceny obecnej postawy cyberbezpieczeństwa i rozważ współpracę z dostawcami usług bezpieczeństwa, aby zapewnić proaktywną, kompleksową obronę przed zagrożeniami.