Почему стоит уделять особое внимание информационной гигиене в промышленной кибербезопасности?

Дата: 20.01.2023. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Почему стоит уделять особое внимание информационной гигиене в промышленной кибербезопасности?
Изображение: Joshua Sortino (Unsplash)

В этой статье пойдет речь о способах защиты от киберугроз организаций со сложными интегрированными цепочками поставок. Соблюдая надлежащую гигиену данных, основанную на принципах нулевого доверия, компании смогут обезопасить себя от киберпреступников.

Введение

Сложность производственных процессов является общим знаменателем насущных проблем в сфере кибербезопасности. Промышленные и корпоративные IТ-среды стали более открытыми и взаимозависимыми, чем когда-либо прежде. Соблюдение надлежащей гигиены данных – один из лучших способов защитить себя. Особого внимания для обеспечения защиты заслуживает подход с нулевым доверием (англ. «zero-trust approach»).

Сложность выполняемых процессов несет в себе угрозу безопасности компании

Часть того, что делает процессы в IТ-средах такими сложными, – это распределенный характер промышленных и бизнес-операций, который децентрализует технологическое планирование, вызывает «разрастание архитектуры» и затрудняет последовательное применение политик безопасности. И ситуация только усугубляется, ведь организации все чаще откладывают модернизацию или проводят ее бессистемно, а не скоординировано.

Тенденция использования все большего количества инструментов и сред, по-видимому, ведет к росту сложности выполняемых процессов. Этот тренд включает в себя широко распространенное развертывание и интеграцию IoT-устройств и гибридных моделей работы, что только затрудняет соблюдение требований безопасности. Стоит отметить, что облачные развертывания также чреваты проблемами соответствия политикам безопасности, ведущим к критическим уязвимостям из-за неправильной конфигурации.

Все это усугубляется тем фактом, что предприятия участвуют во взаимозависимых цепочках поставок. Ни один участник не имеет полного контроля или видимости процессов, что позволило бы ему определить, где находятся уязвимости в системе. В условиях подобного роста числа поставщиков компании даже с отличным контролем внутренней безопасности оказываются беззащитными из-за самого слабого звена в цепочке поставок.

Для отдельных ИБ-специалистов или ИБ-групп, уже перегруженных бесконечным числом оповещений и постоянно мелькающими рядом угрозами, решение подобных сложных задач может стать фатальным. Им необходимо автоматизировать определенные процессы защиты, чтобы перевести фокус с контроля за огромным количеством операций на более значимые события.

Загвоздка в том, что инструменты для автоматизации защиты системы должны быть достаточно надежными, прежде чем организации смогут предоставить им разрешение для выполнения любых операций. Уровень доверия напрямую зависит от качества данных, с которыми должны работать системы, что делает надлежащую гигиену данных основополагающей.

Принцип нулевого доверия и его роль для соблюдения надлежащей гигиены данных

«Гигиенические» данные (англ. «hygienic data») являются точными, полными, надежными и актуальными. Принципы нулевого доверия способствуют повышению качества данных, строго контролируя, кто их создает, получает к ним доступ, изменяет или делится ими.

Основная идея принципа нулевого доверия заключается в том, что ни один ресурс, взаимодействующий с корпоративными IТ-системами, по своей сути не заслуживает доверия. «Ресурсом» может выступать физическое лицо, набор данных, корпоративное или персональное пользовательское устройство, облачный сервис или даже SaaS-решение. Поскольку доверие не является врожденным или предполагаемым, всякий раз, когда «ресурс» запрашивает доступ к корпоративным данным, необходимо оценить его уровень безопасности.

В то же время этот подход признает, что доверие не является фиксированным состоянием. Это означает, что «ресурс» должен постоянно контролироваться и перепроверяться на протяжении всей сессии. Любой рост возможных рисков приведет к приостановке сессии, сбросу доступа учетной записи или другим действиям, предпринятым для устранения потенциальных проблем.

Таким образом, можно выделить следующие основополагающие черты подхода Zero Trust:

  • Доступ всегда предоставляется для конкретного сеанса. Проверка безопасности «ресурса» должна быть проведена до предоставления доступа, при этом для выполнения определенной задачи предоставляются только необходимые ограниченные привилегии.
  • Защиты только по периметру недостаточно. Классические подходы к обеспечению безопасности представляют собой «единую дверь» для «ресурсов» для получения доступа к корпоративным активам и системам на основе их первоначального местоположения в сети и идентификации. Однако, оказавшись внутри, злоумышленники могут воспользоваться полученным доступом, перемещаясь по сети в боковом направлении. Местоположение должно всегда отслеживаться, а привилегии должны основываться не только на статусе «ресурса», но и конкретно на том, что пользователь или устройство должны выполнить.
  • Политики доступа должны быть динамическими, а не константными. Это позволяет доверию быть контекстуальным и адаптируемым к изменяющимся условиям на основе бизнес-потребностей, толерантности к риску, данных мониторинга, моделей использования, сетевых местоположений, времени суток, наличия активных атак и других переменных.
  • Аутентификация и авторизация должны строго соблюдаться. Они должны основываться на принципах Identity, Credential, and Access Management (ICAM), которые включают в себя многофакторную аутентификацию. Как и доступ, аутентификация и авторизация должны быть динамичными – с последующим сканированием и оценкой угроз, а также с переоценкой политик в соответствии с контекстом и условиями в реальном времени.
  • Аналитика помогает повысить уровень безопасности. Собирая информацию о состоянии безопасности ресурсов и активов, структуре трафика, запросах на доступ и анализируя их на предмет наличия закономерностей, организации могут постоянно повышать уровень кибербезопасности и качество своих данных.

С учетом этих аспектов политики нулевого доверия организации могут быть уверены в надлежащей гигиене данных, поскольку информация в их системах будет поступать только из надежных источников и легко отслеживаться.

Почему стоит уделять особое внимание информационной гигиене в промышленной кибербезопасности?
Изображение Zero Trust Model от Trend Micro

Значимость гигиены данных

Располагая высококачественными данными, службы безопасности смогут быстрее автоматизировать свою работу. Они будут меньше полагаться на суждения людей и быстрее осуществлять исправления уязвимостей.

Надежная автоматизация обеспечивает масштабную защиту в режиме реального времени, укрепляя контекст безопасности с нулевым уровнем доверия, даже когда в системе находятся тысячи пользователей, устройств и активов. Этот принцип может быть применен к широкому спектру функций защиты. Оценка рисков является одним из ярких примеров – она включает в себя определение того, следует ли разрешить запрашивающему «ресурсу» выполнять указанное действие на основе установленных пороговых значений риска, даже если личность этого «ресурса» ранее не была установлена. При применении принципа нулевого доверия данные, участвующие в сеансе, могут считаться высоконадежными, что обосновывает принятие решения о предоставлении или отказе в доступе.

Чем выше качество данных в организации, тем меньше информации требуется для принятия точных и заслуживающих доверия бизнес-решений. Подобная тенденция ведет к более быстрому принятию решений – опять же, с меньшим (или вообще без) контролем со стороны человека – и снижению затрат на облачные вычисления, поскольку для обработки данных требуется меньше ресурсов. В результате компании могут значительно сократить свои траты.

Гигиена данных как эффективный способ обеспечения безопасности бизнеса 

Помимо контроля сессий, гигиена данных, основанная на нулевом доверии, играет важную роль в обеспечении безопасности бизнеса.  

По данным Gartner, более половины (64%) членов совета директоров признают цифровую инфраструктуру стратегически важной для достижения бизнес-целей, а 88% рассматривают кибербезопасность как бизнес-риск. В другом своем отчете Gartner предсказал, что к 2023 году почти треть сотрудников в сфере информационной безопасности (CISO) будут оцениваться по их способности «быть значимыми для бизнеса». Данные высокого качества, что были получены в результате применения подхода с нулевым уровнем доверия, облегчают для CISO поиск работы и открывают новые возможности в профессиональной сфере.

Для организаций, которые являются частью разветвленных и сильно взаимозависимых цепочек поставок, нулевое доверие устраняет большую часть беспокойства по поводу уязвимостей партнеров или их качества данных. Не имеет значения, какие модели безопасности используют другие игроки, потому что организации с нулевым доверием могут быть уверены в надежности своего контроля доступа, аутентификации и авторизации, а также в собственной гигиене данных.

Внедрение принципа нулевого доверия с необходимой автоматизацией для облегчения работы служб безопасности требует единой платформы кибербезопасности, способной непрерывно обнаруживать, оценивать и снижать риски. Когда эта платформа оснащена возможностями Secure Access Service Edge (SASE) и Extended Detection and Response (XDR), она сможет обеспечить надлежащую гигиену данных, а также будет использовать имеющиеся отчеты для укрепления общей системы безопасности.

Автор переведенной статьи: компания Trend Micro.

Об авторе Игорь Б

Представитель редакции CISOCLUB. Добавляю статьи на сайт.
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *