Skaitmeninė higiena

 

„Praėjusį savaitgalį buvo minima Tarptautinė duomenų apsaugos diena – proga apmąstyti griežtą realybę: kibernetinės atakos tapo kasdienybe verslui. Duomenų nutekėjimas, šantažas ir veiklos sutrikimai yra ne tik incidentai, bet ir tiesioginė grėsmė įmonės finansinei padėčiai, reputacijai ir pačiam egzistavimui. Informacijos saugumo problemos pagaliau persikėlė iš techninės srities į strateginio valdymo lygmenį.

Ir nors daugelis organizacijų jau sukūrė informacijos saugumo sistemas – įdiegė ugniasienes, užtikrino galinių įrenginių apsaugą ir pan. – atakos nesibaigia. Formaliai viskas veikia. Tačiau bandydamos apsisaugoti nuo visko vienu metu, įmonės pamiršta konkrečius pažeidžiamumus, kuriais užpuolikai sėkmingai naudojasi.

Efektyviai apsaugai reikia ne kontrolinių sąrašų, o supratimo, kur infrastruktūroje yra nesaugių vietų. Ataka gali prasidėti ne tik dėl reto ar anksčiau nežinomo pažeidžiamumo, bet ir dėl paprastos klaidos: pasenusių programinės įrangos versijų, per didelių teisių ar slaptažodžio pakartotinio naudojimo.

Pažeidžiamumų paieška prasideda nuo supratimo, kurie infrastruktūros elementai gali atverti kelią atakai: pasenusi paslauga su plačiomis prieigos teisėmis, paskyra su per didelėmis privilegijomis arba pamirštas architektūrinis sprendimas. Ir jums reikia pažvelgti užpuoliko akimis. Tai yra proaktyvaus požiūrio esmė: užuot pasyviai rinkus duomenis, aktyviai modeliuojama ataka, rodanti, kiek toli galima pasiekti, pažeidus vos vieną tašką. Pažeidžiamoms vietoms rasti naudojami įvairūs metodai. Kiekvienas iš jų turi savo užduotis, privalumus ir trūkumus.

 

Vienas iš tokių metodų yra automatizuotas būdas greitai rasti žinomas problemas: pažeidžiamumus, kurie jau yra duomenų bazėse, pasenusias programinės įrangos versijas, atvirus prievadus. Šis metodas tinka reguliariam techniniam stebėjimui, tačiau jis nepaaiškina, kaip šiuos pažeidžiamumus galima išnaudoti realioje atakoje, ir neatsižvelgia į informacijos saugumo įrankių buvimą.

 

Be to, ekspertai stengiasi sekti visą įsilaužėlio kelią iki svarbių sistemų užgrobimo. „Red teaming“, tai yra įsilaužėlių atakų modeliavimas, yra sudėtingos ir ilgos atakos modeliavimas su realiais tikslais: pavyzdžiui, prieigos prie apskaitos gavimas per pažeistą paskyrą. Šis metodas leidžia įvertinti apsaugos lygį, taip pat reagavimo į ataką greitį ir informacijos saugumo tarnybos gebėjimą sumažinti jos pasekmes.

 

Kitas vis labiau populiarėjantis saugumo vertinimo metodas yra automatinis įsiskverbimo testavimas. Jis apjungia pirmų dviejų būdų privalumus: jis veikia automatiškai, paleidžiamas reguliariai, yra paprastas naudoti, nereikalauja ekspertų dalyvavimo ir pateikia realų įsilaužimo metodų vaizdą. Atlikus realią ataką, sudaromas esamų pažeidžiamumų sąrašas ir pateikiamos rekomendacijos jų ištaisymui.

 

O saugumo politikos pagrindas turėtų būti mažiausių privilegijų principas – būtina vengti suteikti pernelyg daug leidimų, privilegijų ir pan.

 

Visi šie būdai nekonkuruoja, o papildo vienas kitą, idealiu atveju sudarydami ciklą: nuo reguliarių automatinių patikrinimų iki periodinių rankinių įsiskverbimo testų ir kibernetinių testų. Tačiau norint užtikrinti visavertę apsaugą, labai svarbu įgyvendinti subalansuotą priemonių rinkinį, įskaitant, pavyzdžiui, jau egzistuojančių grėsmių paiešką.

 

Hakeriai gali slėptis tinkle savaites. Todėl būtina reguliariai audituoti žurnalus, anomalijas ir įtartiną veiklą.

 

Jei ataka įvyksta, komanda turi turėti aiškią procedūrą: kas ką ir kaip daro, kur yra atsarginės kopijos ir kam pranešti.

 

Kibernetinis saugumas nėra „iš karto paruoštas“ sprendimas, o gyvas procesas visais įmonės lygmenimis: nuo architektūros ir valdymo iki korporatyvinės kultūros. Tikrai proaktyvus požiūris – tai ne prevencinės priemonės popieriuje, o reguliari praktika: testavimas, tikrinimas, modeliavimas, taisymas. Kiekvienas turi silpnų vietų. Klausimas tik, kas jas atras pirmas – Jūs ar užpuolikas.“