bet36体育在线_点击进入~

图片

Сигурност

Проблемът с неизползваните продукти за киберсигурност

bet36体育在线 Media

Понякога недостатъчното използване на софтуер и услуги за сигурност е умишлен стратегически избор

Мери К. Прат, CSO

Инструментите за сигурност могат да намерят своя път до арсенала на предприятието по интересни начини: информационен директор, който настоява да се купи конкретна технология, след като е видял реклама, ръководители, които купуват специфична опция, необходима, за да се изпълнят задължителните стандарти за бизнес партньор, за да се работи с него, екипи, които пренасят всички съществуващи продуктови лицензи по време на сливане, вместо да изхвърлят излишния софтуер.

Алън Брил, който е старши управляващ директор по киберриск в консултантската фирма Kroll, е виждал всички тези сценарии. "Често има комплекти инструменти, които са закупени, но понякога не са използвани изобщо или са използвани, но не в пълната им функционалност", казва той.

Проучване подкрепя оценката на Брил. Според собствено проучване на CSO за приоритетите на сигурността от 2020 г. 50% от ръководителите по сигурност казват, че не използват всички функции, включени в техните технологии/услуги за сигурност. В същото време 26% съобщават, че закупените от тях технологии и/или услуги за сигурност нямат достатъчно ресурси по отношение на хора, поддържащи услуги или разполагане. Освен това участниците в проучването съобщават, че те използват само 72% от продуктите или услугите за сигурност, които са закупени или се използват по договор.

Функцията на сигурността очевидно има проблем с недостатъчното използване, казват експерти, и ситуацията идва с последствия. Прекомерното запасяване с инструменти и технологии и тяхното недостатъчно използване е не само скъпо и разточително, но и добавя ненужна сложност, затруднява допълнително и без това заетия персонал и пречи на по-продуктивните дейности за сигурност.

"Може да има различни причини за това, казва Брил, но се свежда до загубени алтернативни разходи: Какво можеше да бъде направено с тези средства, вместо действително да се помогне за подобряване на сигурността?"

По-добро използване за пълна стойност
Тези данни не изненадват Нийл Дазвани, ветеран в ръководството на киберсигурността и съавтор на Big Breaches: Cybersecurity Lessons for Everyone ("Големите пробиви: уроци по киберсигурност за всички"), който казва, че също е виждал екипи по сигурност, които купуват решения и след това не ги използват напълно. "Мисля, че има някои основателни причини за част от възприетото недостатъчно използвано, но също така има и някои основателни притеснения", казва той.

Наистина в някои случаи екипи по сигурност могат да изберат решения, знаейки, че планират да използват само някои от специфичните способности на инструментите, и решават да активират само онези функции, които се съчетават със стратегическите нужди на тяхната организация. Това е напълно приемливо, казва Дазвани. Други отбелязват, че екипите по сигурност могат да закупят умишлено продукти с еднакви функции, за да си гарантират, че имат нужните способности, когато е необходимо. Например един директор по информационна сигурност може да има два или повече доставчика на услуги на повикване, които да съдействат, когато има пробив, така те си гарантират, че ще получат достатъчно помощ дори в случай на мащабна атака, която засяга много компании.

Но експерти по сигурността казват, че има много повече случаи, когато недостатъчното използване на инструменти за сигурност не е стратегическо, а реакционно. Екипът по сигурност може да е наследил колекция от инструменти с еднакви функции в резултат на сливания и придобивания. Или те може да са насъбрали еднакви способности от няколко решения, тъй като персоналът и ръководството използват техните собствени предпочитани опции. Други пък може да са избрали технологии, без да имат ресурсите да обучат наличните работници, или да наемат нови, които да разберат, инсталират и използват правилно целия комплект от способности, който са закупили.

Джон Кроник, регионален директор по мениджмънт и управление на риска във фирмата за консултации по сигурност NCC Group и бивш CISO, казва, че е работил с една компания със софтуер за превенция на загуба на данни (DLP) и управление на информация и събития за сигурност (SIEM), но не е имал ресурсите да ги настрои към уникалните нужди на организацията, което означава, че нито единият от двата инструмента не е работил на максималната си стойност.

В същото време директорите по информационна сигурност нямат място за никакви грешки както по отношение на техните стратегии за сигурност, така и във връзка с дейностите на техните екипи. Броят и сложността на заплахите продължават да растат, цената на грешката също се покачва, а финансирането за програми ще остане трудно. В резултат на това има растящ натиск върху директорите по информационна сигурност да използват максимално стойността на инвестициите.

Одит, оценка и уточняване
За да направят това, директорите по информационна сигурност трябва да започнат с ясно разбиране на решенията за сигурност, с които разполагат, за да могат да оценят дали те са в синхрон със стратегията за сигурност на организацията, като разгледат рисковете за нея, казва Дон Хекман, директор по киберсигурност в Guidehouse, фирма за съвети, консултации и аутсорсинг.

"Трябва винаги да преглеждате своята среда, своята програма и технологии за киберсигурност поне на всеки 12 до 24 месеца. Това започва с надеждна програма за управление на риска за предприятието, която описва тези рискове и правилните мерки за тяхното намаляване", казва той. "Необходим е стратегически поглед към това, което имате, какво трябва да имате и от какво можете да се отървете. Можете да направите рационализация на инструментите, за да определите действително дали имате правилните инструменти за това, което ви тревожи, да се отървете от дублиращите се функции и да обърнете внимание на пропуските."

Тази работа позволява също така на директорите по информационна сигурност да насочат програмите за обучение на персонала към оставащите технологии, с което още повече ще подобрят шансовете да използват всяка една до нейната пълна стойност.

Хекман казва, че такава работа се отплаща. "Всички се оплакват, че нямат достатъчно пари, че им трябват повече средства за тяхната киберсигурност, но в крайна сметка, ако направят крачка назад и извършат пълна оценка на своите инструменти за киберсигурност и техните способности, биха могли да открият, че ако са възстановили половината от парите, похарчени за способности, които не използват, това би могло да допринесе много за покриване на други по-стратегически ресурси", казва той.

Извеждане напред на по-стратегически избор
Всички придвижвани покупки трябва да бъдат разгледани също толкова внимателно, за да се гарантира, че функцията на сигурност не се връща назад към недостатъчно използване. За да направят това, директорите по информационна сигурност трябва да координират всяка нова покупка със стратегическите си цели, казва Том Келерман, ръководител по стратегии за киберсигурност за VMware, завършил глобалната програма за политика на киберсигурност на центъра "Уилсън" и член на консултативния съвет по разследване на киберпрестъпления на тайните служби на САЩ.

Той предлага координиране на способности с рамкови структура като модела MITRE ATT&CK. Келерман съветва още директорите по информационна сигурност да не купуват продукти за сигурност във вечен модел, а вместо това да изберат софтуер като услуга, за да добавят по-голяма гъвкавост, както и да са в крак с бъдещи новости.

Директорите по информационна сигурност трябва също така да са сигурни, че техните нови покупки не са за самостоятелна употреба, а могат да бъдат интегрирани в тяхната среда чрез приложни програмни интерфейси и в крайна сметка да работят съвместно с други технологии за сигурност, за да осигурят прозренията, необходими за откриване на заплахите, които излагат на най-големи рискове организацията. "Трябва да стигнете до пет или шест инструмента за сигурност, които да ви позволяват да постигнете тази видимост", казва Келерман.

Инвестирайте в автоматизация
Голямото количество предупреждения, които инструментите генерират, също допринася за недостатъчното им използване, казват експерти, като отбелязват, че екипите по сигурност са толкова затрупани от всякакви предупреждения, че изключват някои способности за откриване и известяване просто за да се справят.

Това е масов проблем. Седемдесет процента от участниците в скорошно проучване, проведено от Dimensional Research за Sumo Logic, казват, че броят на известията за сигурност на дневна база се е удвоил през последните пет години. Освен това 93% казват, че техните екипи за сигурност не могат да разгледат всичките известия за сигурност в същия ден, а 83% казват, че техните екипи за сигурност изпитват умора от известията за сигурност. За да противодействат на тази умора, Кроник съветва директорите по информационна сигурност да автоматизират възможно най-голяма част от процеса, така че персоналът да може да разследва само наистина тревожните известия.

Кроник отбелязва още, че имплементирането на автоматизация не само помага на директорите по информационна сигурност да използват максимално стойността на технологиите, които вече са внедрили, но то има по-значителната полза от подобряване на тяхната обща позиция по отношение на сигурността.

Поставете ефективността на първо място
Въпреки че екипите по сигурност трябва да се уверят, че използват максимално съществуващите технологии, за да избегнат неволно дублиране и ненужни разходи, Дазвани предупреждава да не се използва максималната употреба на инструментите като мярка за успех.

Да, казва той, директорите по информационна сигурност трябва да избягват "куп недовършени имплементации на мерки за сигурност. Но главната метрика трябва да бъде ефективността на тези, които имате. Ако сте внедрили контрамерки и показвате ефективност от 99,9 процента срещу [идентифицираните заплахи за вашата организация], може да няма значение, че не сте използвали всяка функция. Аз мисля, че повече функции ще помогнат на контрамерките, но реалната метрика си остава ефективността. Втората метрика е използването."

Превод и редакция Мариана Апостолова

X