Сегодня службы безопасности компаний находятся в весьма непростой ситуации: им приходится защищать сети, становящиеся все более распределенными в условиях ограниченности ресурсов. Сосредоточившись на обучении сотрудников, предоставлении им необходимых возможностей, на вовлечении всей организации в решение этой проблемы, директора компаний по информационной безопасности (CISO) смогут сформировать централизованную стратегию безопасности, которая будет способствовать сотрудничеству и позволит специалистам по безопасности освободиться от тактических задач и сфокусироваться на более активной стратегической работе.
Когда речь заходит о защите сетей, CISO сталкиваются с идеальным штормом. Кибератаки становятся все более изощренными, а корпоративные сети — все более распределенными и сложными, и все это на фоне растущего дефицита грамотных специалистов в сфере информационной безопасности и постоянного изменения соответствующих передовых практик.
Fortinet — американская транснациональная корпорация, которая специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности: межсетевых экранов, антивирусных программ, систем предотвращения вторжений и обеспечения безопасности конечных точек и других продуктов. По объему выручки компания занимает одно из первых мест в мире среди всех компаний, специализирующихся в области сетевой безопасности.
В этих условиях CISO сталкиваются с непростой задачей: им надо изыскать время и ресурсы, порой весьма ограниченные, и грамотно распорядиться ими для эффективной защиты своих сетей.
Эта сложная многоплановая задача рассматривается в исследовании «Трудный выбор: как CISO справляются с эскалацией угроз в условиях ограниченности ресурсов», проведенном нашей компанией совместно с Forbes Insights.
В ходе исследования было опрошено более 200 директоров по ИТ-безопасности с целью изучения их приоритетов. В отчете освещены сложности, с которыми сегодня сталкиваются CISO, в том числе недостаточность бюджета на обеспечение безопасности, а также их убежденность в том, что возможности киберпреступников сегодня превосходят их собственные возможности по защите сетей.
В исследовании изучаются различные факторы, усугубляющие эти сложности, и рассказывается о подходах, которые доступны CISO для эффективного решения этих проблем. В отчете приведен целый ряд потенциальных мер, однако одним из наиболее очевидных шагов для повышения общего уровня информационной безопасности в их организации станет обучение сотрудников и формирование активной культуры безопасности в рамках общей стратегии безопасности.
Согласно результатам отчета, 35% директоров по информационной безопасности в качестве главных препятствий на пути обеспечения эффективной безопасности называют отсутствие централизованной стратегии в этой сфере и нехватку поддержки со стороны высшего руководства. Но если изучать причины отсутствия централизованной стратегии, то многие проблемы, как представляется, начинаются на уровне сотрудников — как внутри самой ИТ-команды, так и в других подразделениях организации.
Сегодня службы безопасности компаний находятся в весьма непростой ситуации — им приходится защищать сети, становящиеся все более распределенными в условиях ограниченности ресурсов
Во-первых, CISO по-прежнему сталкиваются с кадровым дефицитом. По данным Центра стратегических и международных исследований, 82% работодателей испытывают нехватку опытных «безопасников» в штате своей организации. Этот дефицит негативным образом сказывается на способности организаций разрабатывать более комплексный стратегический подход к своим программам кибербезопасности, а также на их готовности справляться с новыми видами угроз.
Поскольку нехватка квалифицированных сотрудников не позволяет ИТ-подразделениям и департаментам безопасности отойти от своих прежних стратегий, основанных на предотвращении угроз, и реализовывать новые стратегии, ориентированные на выявление угроз и реагирование на них, команды безопасности по-прежнему сосредоточены на задачах, связанных с предотвращением существующих угроз, вместо их анализа и использования передовых технологий по выявлению незнакомых уязвимостей и уязвимостей нулевого дня и реагированию на них.
Но это лишь часть проблемы. Обеспечение кибербезопасности зависит не только от работы ИТ-команды. Даже если бы у них были необходимые ресурсы, ИТ-подразделения и группы безопасности все равно не могут выйти за рамки тактических мер без поддержки со стороны высшего руководства и вовлечения в соответствующую работу других подразделений организации.
35% директоров по информационной безопасности в качестве главных препятствий на пути обеспечения эффективной безопасности называют отсутствие централизованной стратегии в этой сфере и нехватку поддержки со стороны высшего руководства
Одна из самых больших проблем, возникающих внутри периметра сети, — внутренние угрозы. Рассуждая об основных приоритетах своей деятельности, CISO постоянно называют предотвращение и обнаружение внутренних угроз и реагирование на них в числе своих наиболее важных задач. Управление внутренними угрозами и рисками, особенно когда речь не идет о злом умысле, например при переходе по фишинговой ссылке, использовании слабых паролей или незащищенных устройств в сети, отнимает у ИТ-подразделений немало времени и ресурсов, которые можно потратить намного эффективнее — для управления внешними угрозами. Для этого сотрудники организации должны играть более активную роль в обеспечении кибербезопасности, они должны учиться распознавать общие тактики работы злоумышленников, тем самым помогая команде безопасности разрабатывать подходы к кибербезопасности, которые станут наиболее эффективными и не будут сказываться на продуктивности сотрудников.
Выстраивая стратегию кибербезопасности вокруг обучения и развития сотрудников, CISO смогут повысить эффективность работы своих команд и сделать подход к защите сети более комплексным и целостным.
Существует несколько факторов, способствующих достижению целостности этого подхода:
Обучение сотрудников. С учетом сохранения кадрового дефицита CISO следует предоставить своим сотрудникам возможности для дальнейшего обучения, чтобы они обладали достаточными компетенциями для развертывания и конфигурирования современных инструментов безопасности и управления ими, а также умели выявлять новые виды угроз и реагировать на них. Это особенно важно в свете текущего смещения приоритетов с предотвращения угроз в сторону обнаружения и устранения угроз. Знание этих интегрированных инструментов позволит ИТ-командам лучше понимать характер использования и перемещения данных по сети, а также упрощает управление сетью и облегчает анализ ее работы. Это весьма актуально в свете того, что сети становятся все более распределенными и обнаружение и устранение угроз имеет сегодня все более важное значение.
Кроме того, дефицит квалифицированных кадров означает, что организациям будет сложнее находить новых опытных сотрудников, а это, в свою очередь, означает, что им придется сосредоточиться на повышении квалификации уже имеющихся штатных специалистов.
82% работодателей испытывают нехватку опытных «безопасников» в штате своей организации
Использование средств автоматизации. Еще одна важная мера, которая поможет CISO повысить продуктивность своих сотрудников, заключается в том, чтобы предоставить им больше времени для реализации соответствующих стратегий. Этого можно добиться, в частности, путем внедрения решений безопасности, в которых активно используется автоматизация на базе технологий искусственного интеллекта и машинного обучения. Сегодня кибератаки осуществляются с невероятно высокой скоростью, а это означает, что ваша группа безопасности просто не успевает самостоятельно выполнить анализ угроз или как-то отреагировать на атаку. Автоматизированные решения способны самостоятельно реагировать на аномалии в активности и распознавать известные угрозы, используемые для проникновения в сеть, что позволяет группам безопасности сосредоточиться на стратегиях и ликвидации последствий атак. В частности, вместо того чтобы круглосуточно отслеживать потенциальные внутренние угрозы, они могут использовать машинное обучение, чтобы понять, как выглядит нормальное поведение сотрудников, и затем реагировать на отклонения в поведении. Кроме того, машинное обучение можно использовать в простых задачах, например при управлении запасами, установке обновлений, освобождая людские ресурсы и позволяя сотрудникам сосредоточиться на более сложных задачах.
Рассуждая об основных приоритетах в своей деятельности, CISO постоянно называют предотвращение и обнаружение внутренних угроз и реагирование на них в числе своих наиболее важных задач
Корпоративная культура кибербезопасности. Чаще всего на вопрос о ключевых приоритетах в области безопасности на ближайшие пять лет CISO заявляют о необходимости «создания корпоративной культуры безопасности». Это подразумевает обучение правилам кибергигиены всех сотрудников в масштабах всей организации. Помимо того чтобы научить сотрудников выявлять фишинговые атаки и регулярно обновлять свои приложения, CISO также должны способствовать повышению эффективности взаимодействия между различными подразделениями и группой безопасности. Это поможет сократить количество случайных внутренних угроз и повысить общий интерес к программе безопасности. Если сотрудники организации будут в курсе действующей стратегии безопасности и будут готовы взаимодействовать с ИТ-командами для выполнения политики безопасности, это будет способствовать вовлеченности всей организации в решение этой проблемы.
Сосредоточившись на обучении сотрудников и предоставив им возможность выполнять базовые задачи в области безопасности, например устанавливать обновления, выявлять подозрительное поведение и использовать безопасные подходы при работе в сети, CISO смогут приступить к реализации целостной стратегии безопасности, которая поможет противостоять самым современным угрозам.
*Алексей Андрияшин, технический директор Fortinet в России
Темы: Аналитика