Как подготовиться к следующему нарушению безопасности

Большинство ИТ-специалистов, даже имея более высокий технический опыт, не верят, что их ИТ-среды будут нарушены. Они думают, что хакеры никогда их не найдут, что вредоносные программы, с которыми их пользователи сталкиваются на схематичных веб-сайтах, не пройдут защиту конечных точек, и что они также защищены от вымогателей. В конце концов, это игра чисел, и все знают, что они, вероятно, будут кататься на коньках.

Ну, все не правы. Согласно опросу, проведенному 451 Research в начале 2018 года, 71 процент из 1200 респондентов по корпоративной безопасности сообщили о некотором нарушении в своей недавней истории. Это семь из десяти, и это только количество людей, которые действительно поняли, что их взломали. Это означает, что почти наверняка в любой большой сети хотя бы на одном устройстве размещено вредоносное ПО - неактивное или живое - какого-то рода. Это может быть что-то от какого-то злого маленького фрагмента, сидящего в неактивном состоянии, до тех пор, пока он не услышит от своего командного и управляющего сервера, или это может быть какая-то часть вымогателя, которая просто ждет, пока не будет выполнено резервное копирование достаточно раз, чтобы ваш процесс восстановления стал безнадежным. Или, что еще хуже, это может быть какой-то недовольный сотрудник, который, наконец, будет уволен и решит взломать вашу систему в последний раз, чтобы он или она могли отправить большинство ваших самых ценных данных в темную сеть. Возможности бесконечны и, следовательно, эффективно неизбежны.

Не игнорируйте, а готовьтесь

Если вы считаете, что это не так, рассмотрите возможность использования спутниковой системы получения изображений Геологической службы США (USGS), Центра наблюдения и изучения ресурсов Земли (EROS) в Су-Фолс, Южная Дакота. системы на объекте разбились, и во время восстановления, обнаружены более 9000 страниц порно вместе с некоторыми вредоносными программами, все загруженные на их локальные сервера из-за действиями одного из своих сотрудников. Они никогда не знали, что это было там, пока восстановление не стало необходимым. Иногда кажется, что одно из предположений старших исследователей безопасности на самом деле верно: плохие парни уже есть в вашей сети, просто выжидают время.

Таким образом, вместо того, чтобы притворяться, что это никогда не случится с вами, просто будьте реалистами. Предположим, что нарушение произойдет и пойдет оттуда. Прежде всего, убедитесь, что что бы ни случилось, это как можно меньше повлияет на ваших пользователей и организацию в целом. В качестве начального соображения это означает защиту ваших данных таким образом, чтобы они не подвергались автоматической атаке только потому, что это ваша сеть.

Есть несколько других шагов, которые вы можете предпринять, чтобы защититься от такого нарушения. Эти шаги включают в себя недоступность ваших данных, непригодность ваших данных, даже если злоумышленники их обнаружат, и восстановление вашей сети, чтобы вы могли перезапустить операции после того, как вы преодолеете нарушение. Пока вы делаете это, вам также нужно заранее подготовиться ко всем остальным требованиям, которые сопровождают нарушение данных.

7 советов по обеспечению готовности к взлому

Чтобы помочь вам подготовиться, я собрал семь советов из моей долгой истории борьбы с надвигающимися ИТ-нарушениями и другими бедствиями. Вот шаги ниже:

1. Зашифруйте все данные. Даже если вы не обязаны по закону использовать шифрование, сделайте это в любом случае. Поскольку выполнение этого дополнительного шага означает, что при нарушении у вас будет значительно меньше боли, потому что вы все равно сможете удовлетворить требования по защите данных. И вы можете сделать это, потому что вам не придется беспокоиться об ответственности за потерю данных. Кроме того, в зависимости от вашего сегмента рынка вы также можете избежать крупных штрафов или даже тюремного заключения - всегда разумная политика.

2. Распределите ваши данные. Не кладите все яйца в одну корзину пословиц также относится к безопасности данных. В зависимости от типа данных, которые вы защищаете, это может означать использование гибридной облачной среды, использование многоуровневого хранилища с помощью службы облачного хранения бизнес-класса или сохранение данных на разных серверах доступными из виртуализированной среды. Помните, что виртуальные машины (ВМ) также могут быть уязвимы для атаки, если злоумышленник достаточно опытен. Виртуальные машины могут быть не только уязвимыми, но и потенциально такими, какими не может быть физическая инфраструктура, и наоборот. Чего вы не хотите делать, так это назначать буквы дисков вашим серверам хранения данных с вашего основного сервера. Это не только плохая практика, но и открытое приглашение даже для плохих хакеров получить ваши вещи.

3. Будьте осторожны с управлением доступом. Вы уже слышали это от меня, но это не изменилось: вся ваша сеть не может быть открыта для всех, и ваши данные не могут быть доступны всем. Будь то простое использование пользовательских паролей или (что намного лучше) использование жизнеспособной платформы управления идентификацией, вы должны ограничить доступ к любому данному сетевому ресурсу только тем людям, для работы которых требуется такой доступ. Это включает в себя всех от генерального директора до ИТ-отдела. И если ИТ-отделу необходим доступ к защищенной области, то доступ должен предоставляться по мере необходимости (предпочтительно на основе рабочей роли). Доступ также должен быть зарегистрирован: кто и когда минимальный объем данных, которые вы хотите собрать здесь.

4. Сегментируйте свою сеть. Это относится к последнему пункту, поскольку использование инструментов управления сетью для закрытия внутренних брандмауэров или маршрутизаторов означает, что их можно запрограммировать так, чтобы пропускать трафик только определенным авторизованным пользователям; все остальные блокируются. В дополнение к контролю доступа авторизованного пользователя, это также ограничивает любой несанкционированный доступ только к части сети, и вместе с этим, только к части общего портфеля данных вашей организации. И если вы выполнили первый шаг, то даже если злоумышленники получат доступ к вашим данным, они будут зашифрованы. Если вы пропустили первый шаг и оставили свои биты незашифрованными, или они каким-то образом получили ключ шифрования, то, по крайней мере, с помощью сегментации у них не все, только кусок.

5. Не используйте один и тот же ключ шифрования для всего. Это звучит очевидно, но многолетний опыт подсказывает мне, что слишком много ИТ-специалистов все еще попадают в эту ловушку. Вы не хотите, чтобы украденный или взломанный ключ предоставлял доступ ко всем вашим данным. Это очень похоже на то, что вы не используете один и тот же пароль, за исключением того, что он используется для доступа к вашим системам, поскольку они также должны быть аутентифицированы.

• Лучшее программное обеспечение для удаления и защиты от вредоносных программ на 2019 год Лучшее программное обеспечение для удаления и защиты от вредоносных программ на 2019 год
• Нарушение данных поставило под угрозу 4, 5 миллиарда записей в первой половине 2018 года Нарушение данных поставило под угрозу 4, 5 миллиарда записей в первой половине 2018 года
• Под атакой: как хакерство на выборах угрожает промежуточным целям Под атакой: как хакерство на выборах угрожает промежуточным звеном

6. Да, старый каштан: резервное копирование всего. Бизнес-услуги облачного резервного копирования сделали это проще, чем когда-либо в истории ИТ, так что пользуйтесь и сходите с ума. Выполните резервное копирование, желательно в более чем одно место или даже с использованием нескольких служб резервного копирования. Одно из расположений должно находиться в облаке и на серверах как можно дальше от вашего основного местоположения. Это сделано для того, чтобы данные могли быть доступны для сценария аварийного восстановления (DR) в дополнение к типичным ситуациям резервного копирования. Но даже если вредоносное ПО находится в вашей системе, ваша служба резервного копирования сможет найти его и устранить. Имея это в виду, важно, чтобы вы создавали резервные копии только того, что действительно важно, а именно ваших данных. Не создавайте резервные копии содержимого жестких дисков на клиентских компьютерах, потому что, вероятно, именно в этом и заключается вредоносная программа. Вместо этого просто восстановите эти машины из стандартных образов, поддерживаемых ИТ-отделом.

7. Наконец, составьте список текущих дел. Это просто означает, что вы позаботились об административных задачах, которые обычно возникают с нарушением. Имейте список телефонов, который не хранится где-то в системе, и в котором указываются подробности, о которых нужно будет уведомить в случае нарушения, предпочтительно в том порядке, в котором они должны быть вызваны. Вы также должны добавить то, что вам нужно сказать им во время этого звонка, и какой срок вы должны уведомить их. Иметь там контактную информацию для вашей службы DR. Сядьте со своей командой юристов и вашими старшими менеджерами и просмотрите этот список, чтобы убедиться, что ничего не пропущено. И как только вы решили, что все это есть, подтвердите это, фактически практикуя ответную реакцию.

После того, как вы сделали все это, вы не только успокоитесь, но вы также можете взять на себя ответственность за хороший ответ о нарушении и за то, что вы один из немногих счастливчиков, которые никогда не сталкивались с нарушением.