По словам главного специалиста по стратегии безопасности BeyondTrust Кристофера Хиллса, управление идентификацией и доступом (IAM) остается центральным элементом кибербезопасности: фишинг и скомпрометированные учетные данные часто используются киберпреступниками для получения доступа к ИТ-среде организации.
Выступая перед журналом Computer Weekly во время конференции Go Beyond в Сиднее, он сказал, что, учитывая рост удаленной работы и использование сотрудниками локальных и облачных систем, лучший способ для организаций защитить свою ИТ-среду — это защитить личные данные сотрудников. люди, услуги и машины.
Обучение по вопросам безопасности, позволяющее убедиться, что сотрудники осведомлены о вопросах кибербезопасности, имеет особенно важное значение, чтобы они понимали, что на них нацелены, и знали процедуры, которым они должны следовать, чтобы защитить свои учетные данные от компрометации, учитывая использование социальной инженерии в фишинговых кампаниях. — сказал Хиллс.
В США злоумышленники, как известно, прячутся за фальшивыми оповещениями об «активном стрелке», поскольку, если родитель увидит сообщение о предполагаемом инциденте в местной школе, которую посещает его ребенок, он, скорее всего, мгновенно нажмет на вредоносную ссылку, основываясь на эмоциях. .
Один из способов решения этой проблемы — установить и обеспечить соблюдение политики личного использования корпоративных ИТ-активов, например, запретить частное использование корпоративной электронной почты. Таким образом, если такие фишинговые сообщения приходят на корпоративный адрес, получатель может их уверенно игнорировать, говорит Хиллс.
Он отметил, что часть проблемы безопасности личных данных связана с необходимостью управления сотнями паролей, что заставляет людей повторно использовать их, что облегчает жизнь злоумышленникам. Один из ответов — использовать менеджер паролей, а не разрешать браузеру хранить пароли, что может быть небезопасно.
«Пароль никогда не исчезнет», — предсказал Хиллс, хотя он будет все чаще сочетаться с дополнительными факторами, такими как биометрическая аутентификация с использованием черт лица или отпечатков пальцев.
При этом он отметил, что уже появились вредоносные программы, такие как Gold Pickaxe, которые обманом заставляют пользователей iOS и Android сканировать их лица и документы, удостоверяющие личность. Организации могут смягчить такие угрозы, используя поведенческие данные, такие как местоположение предполагаемого пользователя, ищущего доступ. Если он находится не там, где должен быть, то попытка может быть заблокирована.
С безопасностью личных данных тесно связано управление доступом. По словам Хиллса, организациям необходимо контролировать доступ поставщиков и третьих лиц к своим системам, что особенно актуально в среде, где приложения «программное обеспечение как услуга» (SaaS) связаны между собой одной или несколькими третьими сторонами, и в этом случае им необходимо убедиться, что все участвующие поставщики имеют соответствующие средства контроля.
Помимо обеспечения того, чтобы только авторизованные лица могли получить доступ к системам организации, Хиллс сказал, что пользователям следует предоставлять только те привилегии, которые им необходимы – и только на то время, когда они необходимы. Например, кому-то, кто мигрирует локальную систему на SaaS, могут потребоваться дополнительные привилегии для выполнения этой задачи, но эти привилегии следует отозвать после завершения работы.
Чрезмерные привилегии, предоставленные пользователям, являются лишь частью проблемы. Привилегии машин и служб, а также права людей должны подвергаться аудиту и мониторингу, чтобы гарантировать, что они также соответствуют требованиям.
Киберстрахование приводит к улучшениям
Среди соображений, стимулирующих усилия по повышению безопасности, — все более строгие требования страховщиков киберстрахования, поскольку преступники воспользовались пандемией Covid-19 для атак на гораздо более широкий круг организаций.
Хиллс сказал, что у страховщиков не было оснований отрицать вытекающие из этого претензии, поэтому их немедленной реакцией было прекращение написания полисов в некоторых случаях, а в других — увеличение страховых взносов — по крайней мере, до тех пор, пока они не изменили свои формулировки, чтобы сделать более ясными обязанности застрахованных организаций. . В результате, добавил он, пятистраничные документы политики расширились до 60 страниц, поскольку андеррайтеры стремились обеспечить должный уровень безопасности своих клиентов.
Например, если клиент заявил, что использует многофакторную аутентификацию (MFA) на всем предприятии, но оказалось, что скомпрометированная учетная запись, использованная для получения доступа, в конце концов не была защищена MFA, страховщик мог бы отклонить иск. Хиллс добавил, что организации также должны осознавать, что субъекты угроз могут попытаться вмешаться в процесс MFA, и призвал их соответствующим образом обучить свой персонал.
По словам Хиллса, аналогичные соображения применимы и к управлению исправлениями и уязвимостями. Например, если полис киберстрахования предоставляет 90-дневную отсрочку для применения обновлений, но для получения доступа злоумышленник использовал неизвестную систему, которая была упущена из виду или слишком стара для обновления, любые претензии после взлома могут быть отклонены.
Он также подчеркнул важность наличия плана реагирования на инциденты, без которого было бы трудно получить киберстрахование. При подготовке плана он посоветовал организациям учитывать возможность того, что взлом или другой компромисс может помешать людям войти в их системы.
Он также подчеркнул необходимость тестирования процессов, таких как восстановление данных из резервных копий или переход на вторичное место, чтобы убедиться, что они работают в случае киберинцидента.
