Згідно з дослідженням Perimeter 81,5% компаній з більш ніж 1000 співробітників використовують 20 або більше інструментів та рішень кібербезпеки. І вочевидь це заважає їм ефективно керувати своїми мережами та забезпечувати необхідний рівень безпеки.

Нині організаціям доводиться дотримуватися великої кількості нормативних та законодавчих вимог. Чим складніша мережа, тим більше часу йде на виконання таких вимог, особливо для груп безпеки. Ця проблема ускладнюється великою кількістю інструментів кібербезпеки у мережі організації. Один з інструментів, який вирішує таку складність, не жертвуючи гнучкістю, зберігаючи при цьому високий рівень безпеки в локальних, хмарних середовищах та гібридних хмарах - автоматизація мережевих політик.

Компанія Tufin, яка розробляє рішення, що дозволяють організаціям автоматизувати зміни своєї політики безпеки доступу у своєму гібридному середовищі з кількома постачальниками послуг, надає декілька корисних порад.

Точна топологія мережі

Ключовим компонентом будь-якого інструменту автоматизації політики безпеки є поінформованість про топологію мережі. Вибираючи інструмент автоматизації мережевої безпеки, необхідно переконатися, що ця система здатна зрозуміти вашу складну та гібридну мережу. Це дуже важливо, тому що вам потрібна точна інформація для правильної автоматизації. Якщо ви зрештою автоматизуєте лише 50%, то цьому рішенню ніколи не можна довіряти. Коректні розрахунки шляхів топології та аналіз політик забезпечують швидке та точне надання нових або змінених політик доступу. Для цього ваше рішення з автоматизації політик має надавати більш точні дані про мережеву безпеку, ніж ваш найкращий інженер, або що найменше на тому ж рівні.

Автоматичне створення та управління політикою безпеки

Політика безпеки – це лінійка, за якою вимірюється якість безпеки в організації. Без політики безпеки важко визначити, наскільки захищена ваша структура. Проте виявлення порушень безпекової політики у виробничому середовищі - це другорядне завдання. Передовий досвід сьогодні спонукає організації «зсуватися вліво». Це означає застосування огородження безпекової політики під час процесу зміни, що призводить до змін, які з самого початку є сумісними та безпечними.

Створення безпекової політики пов'язане з унікальними проблемами. У більшості організацій немає центрального репозиторію, в якому зберігаються та оновлюються політики безпеки. Натомість адміністратори покладаються на електронні таблиці або інституційні знання. Таким чином, політика погіршується разом з організаційними змінами. Без загальної корпоративної безпекової політики у організацій немає політик, на які можна покластися або почати створювати свої власні. Крім того, процес створення та реалізації політик зазвичай займає місяці, оскільки адміністратори використовують для їх створення різні інструменти, а, як ми всі знаємо, двох однакових політик не існує. Дуже складно використовувати узгоджені політики сегментації для кількох рішень мережевої безпеки.

Вибираючи рішення для автоматизації політик, необхідно переконатися, що ці варіанти допоможуть автоматично створювати і підтримувати точну політику безпеки в гібридному середовищі та зроблять її невід'ємною частиною процесу змін. Нічого страшного, якщо у вашій організації ще немає чітко визначеної політики перед автоматизацією, обране рішення допоможе розв'язувати цю проблему.

Можливість масштабування

Сьогодні більшість організацій мають гібридну мережу та використовують IaaS та PaaS, не кажучи вже про швидке впровадження Kubernetes та методів розробки на основі контейнерів. Це підводить нас до третього пункту, який слід враховувати під час вибору рішення для автоматизації політик: воно має мати можливість масштабування. Мережеве та хмарне середовище, з яким ви маєте справу сьогодні, може не бути тим середовищем, яке буде у вас завтра.

Рішення для автоматизації політик має легко розширюватися в міру додавання нових мережевих та хмарних засобів управління безпекою. Пошук інструментів, які можна легко масштабувати зі зростанням вашої компанії, позбавить вас від головного болю в майбутньому.

Сьогодні організації стикаються з багатьма проблемами, і рішення для автоматизації політик усувають розрив між безпекою та гнучкістю.

Пандемия COVID-19 поставила перед корпоративными ИТ-командами и отделами кибербезопасности ряд серьезных задач. Первая, это адаптировать архитектуры и практики к массовому, незапланированному переходу на удалённый стиль работы. Вторая — перевести все эти распределённые корпоративные среды, которые создавались второпях и без оглядки на базовые принципы корпоративной кибербезопасности.

В недавнем официальном документе под названием «Кибербезопасность после пандемии» британская аналитическая фирма HardenStance совместно с NETSCOUT и Cyber Threat Alliance рассмотрели четыре области, в которых компании могут использовать уроки, извлеченные из пандемии, для долгосрочного улучшения практик кибербезопасности:

1. Тщательно интегрируйте безопасность в свою корпоративную культуру. Планирование обеспечения безопасности и непрерывности бизнеса должно включать план быстрого реагирования на кибератаки и другие действия, такие как обширное обучение сотрудников, чтобы они могли служить рубежом защиты от кибератак. Лучшие методы кибербезопасности должна внедряться на всех уровнях предприятия: руководство в первую очередь должно демонстрировать приверженность безопасности, задавая тон всему бизнесу. Очень важен обмен аналитическими данными об угрозах: организации могут многому научиться, делясь такой информацией с коллегами по отрасли. Должность директора по информационной безопасности (CISO), вероятно, станет более стратегической и ответственной. Некоторые компании могут даже объединить функции CISO, директора по информационным технологиям (CIO) и службы планирования непрерывности бизнеса (BCP) в единую должность директора по цифровым процессам или по облачным технологиям с большей подотчётностью в пределах всего бизнеса.

2. Планируйте новый уровень слияния сети и безопасности. Поскольку работа в основном перешла на удалёнку, многие предприятия полагаются на архитектуры виртуальных частных сетей (VPN) для подключения к критически важным системам и приложениям. Однако недостаточная пригодность VPN для регулирования безопасности побуждает организации заменять их на SD-WAN. За последние несколько лет многие поставщики SD-WAN интегрировали управление защитой в свои портфели. Кроме того, появились решения SASE (Secure Access Service Edge), объединяющие все эти функции в облачный сервис подключения и защиты устройств на границе сети.

3. Лучше сегментируйте деловые, частные и государственные данные. Переход к удалённой работе еще больше ускорил сближение личных и служебных приложений и данных в одной домашней сети и на одних и тех же устройствах. Это означает, что службам безопасности необходимо найти эффективные методы разграничения этих двух областей. Ожидайте, что отделы безопасности перейдут от сильно индивидуализированных подходов к более интегрированным готовым методам сегментации домашней сети. В свою очередь, поставщики решений увеличат инвестиции в удовлетворение требований всех законных заинтересованных сторон к сегментации и микросегментации данных и приложений на персональных устройствах.

4. Поддерживайте совместные действия против программ-вымогателей (ransomware). Поставщики средств безопасности, отраслевые ассоциации, бизнес-организации и правительства все чаще работают вместе над принятием мер по пресечению таких атак. Одна из таких инициатив, находящихся на рассмотрении, предлагает расширить правила прозрачности «Знай своего клиента» (KYC) финансовых транзакций на сделки с криптовалютой. Операции с цифровыми валютами привлекают кибервымогателей поскольку их невозможно отследить, и новые правила KYC могут стать серьёзным препятствием для этого преступного бизнеса. Предприятия должны решительно поддерживать подобные инициативы.

По правде говоря, идея совместных действий охранных компаний, государственного и частного секторов, это один из основополагающих принципов Cyber Threat Alliance и его членов. Противники умны и мотивированы, и защищаться от всё более изощрённых атак в одиночку — не самый лучший выбор. Способность работать вместе и налаживать обмен аналитической информацией об угрозах воистину является одним из сильнейших оружий в этой непрекращающейся битве.

Пандемия COVID-19 породила растущую потребность в удалённом подключении и открыла дверь для новой эскалации угроз, заставив отделы безопасности переосмысливать действенные стратегии защиты сетей и систем.

Последний отчет NETSCOUT Threat Intelligence показал рекордную активность атак распределённым отказом в обслуживании (DDoS) в 2020 году: злоумышленники запустили более 10 миллионов DDoS по всему миру.

Один из наиболее популярных типов широкомасштабных кибератак позволяет организовывать перебои в работе сервисов (вплоть до полного выхода из строя), комбинируя два распространённых метода DDoS:
    • В атаках отражения (reflection) злоумышленники подделывают IP-адрес цели и отправляют якобы от неё запрос любому серверу, на котором работают службы UDP или TCP. Действуя как «отражатель» такой сервер отправляет ответ на IP-адрес цели, используя тот же протокол.
    • В атаках усиления (amplification) инициирующий запрос преступника порождает несоразмерно большой ответ уязвимого сервиса. Это может быть множество пакетов в ответ на один, либо один пакет, но большего размера, чем исходный. Используя легкодоступные инструменты, злоумышленник может отправлять уязвимым службам многие тысячи таких запросов, значительно увеличивая объём трафика, направленного к цели.

Комбинированная атака отражения/усиления позволяет как увеличивать объём генерируемого вредоносного трафика, так и скрывать истинные источники атаки. В наиболее распространённых атаках задействуются миллионы уязвимых служб UDP/TCP, включая DNS, NTP, SNMP, SSDP и др.

Особая опасность этого типа атак связана с тем, что, вовлечённые в них, серверы или потребительские устройства не имеют явных признаков взлома, что затрудняет предотвращение таких инцидентов.  Кроме того, для организации огромных по объёму атак методом отражения/усиления достаточно простых инструментов и скромного источника ботов, а то и единственного надёжного сервера.

Первичная защита от атак отражения/усиления заключается в блокировании поддельных исходных пакетов.  Однако, из-за использования киберпреступниками легальных источников с доверенными сервисами, такими как DNS и NTP, бывает трудно отличить подлинные рабочие нагрузки пользователей от отражённого вредоносного трафика. Проблема усугубляется тем, что когда служба задействуется в атаке, её работа замедляется, и уже обычный пользовательский трафик из-за повторяющихся попыток получить ответ может быть ошибочно принят за DDoS.

Для смягчения атак отражения/усиления организации могут предпринять следующие меры:
    • Ограничение скорости на основе отклонения от ранее установленной политики доступа. Такой подход может применяться и к адресатам, и к источникам, но в первом случае он может непреднамеренно повлиять на законный легитимный трафик. Поэтому более эффективным считается ограничение скорости источника.
    • Блокировка портов позволяет снизить уязвимость организации, если эти порты ею не используются. Важно отметить, что это не предотвращает атаки на порты, которые задействованы законным легитимным  трафиком.
    • Фильтры сигнатур трафика могут применяться для выявления повторяющихся структур, указывающих на атаку.  Обратной стороной фильтрации является снижение производительности. Необходимость проверки каждого пакета может в конечном итоге перегрузить сиcтему защиту.
    • Службы анализа угроз позволяют специалистам по безопасности выявлять уязвимые серверы cервисы. Благодаря этому организации могут упреждающе блокировать ненадёжные IP-адреса, тем самым предотвращая потенциальные атаки.

В продолжении «10 прогнозов кибербезопасности на 2021 г. Персонал. Процессы» на этот раз речь пойдет о технологиях. Плюс к этому немного затронем тему рекомендаций для CISO от компании Exabeam.

Поскольку дистанционная работа в наши дни является характерным трендом почти каждого сектора экономики, обеспечивающие её технологии стали важнейшим краеугольным камнем для бизнеса. Попробуем рассмотреть, как к реалиям распределённой рабочей силы адаптируются технологии кибербезопасности.

Прогнозы безопасности. Технологии

Организациям с ограниченными ресурсами и бюджетом кибербезопасности надоело покупать монолитные SIEM-решения с сомнительной окупаемостью инвестиций, довольствуясь невнятными обещаниями их полезности в будущем. Технологические покупки следует ориентировать на результат: решения по управлению безопасностью в целом и SIEM, в частности, должны оправдывать потраченные на них средства. Необходимо, чтобы каждый вложенный доллар можно было наглядно связать с полученными ценными сведениями, имеющими решающее значение для обеспечения безопасности организации.

Автоматизация – сейчас настало самое время, чтобы изменить наше отношение к ней. Ран Тамир (Ran Tamir), вице-президент по продукции фирмы Pcysys, отмечает, что без расширения использования автоматизации невозможно наладить непрерывное и точное тестирование, жизненно важное для поддержания и улучшения состояния кибербезопасности организации.

Более удобная аналитика с улучшенным соотношением между сигналами о реальных угрозах и ложными срабатываниями, это то, что в 2021 году клиенты будут всё чаще требовать от своих провайдеров SIEM. «Аналитика должна стать более простой в поддержке и настройке, обеспечивать высокую степень точности и объяснимости результатов с минимальным вмешательством человека», – говорит Дерек Лин (Derek Lin), главный специалист по данным в Exabeam. По его словам, прогностическая аналитика, подкрепленная надлежащими инженерными знаниями и опытом в области безопасности, выведет UEBA на новый уровень сложности, эффективности и полноты.

Консолидацию отрасли предсказывает Грант Леонард (Grant Leonard), соучредитель Castra Managed Services. Он считает, что в сегменте SIEM останется место всего для нескольких крупнейших игроков, а онпремисные SIEM-решения практически исчезнут в течение следующих десяти лет. Новый год будет отмечен началом консолидации провайдеров управляемых сервисов безопасности (MSSP) и обнаружения и реагирования (MDR): мелкие и крупные, но негибкие, игроки сойдут со сцены, уступив место тем, кто использует инструменты ML/SOAR, а также XDR (межуровневое обнаружение и реагирование). Наконец, на фоне этой консолидации рынка, будет продолжать расти значение оркестровки и автоматизации для MSSP/MDR, которые, однако, в большинстве случаев не смогут полностью оправдать возлагаемых на них надежд.

Резкое увеличение количества атак на API-интерфейсы, использующих их уязвимости и ошибки конфигурирования, ожидает Колин Андерсон (Colin Anderson) из Levi Strauss. С широким распространением облачных приложений, работающих с такими API, это еще один вектор атаки, демонстрирующий настоятельную потребность в решении данной проблемы безопасности в будущем.

Рекомендации
Основываясь на своих прогнозах, команда Exabeam выработала несколько рекомендаций для специалистов по безопасности, составляющих планы на 2021 год.

    • Для того, чтобы успешно противостоять всё более частым атакам, связанным с учётными данными, организациям из разных отраслей рекомендуется инвестировать в поведенческую аналитику пользователей и сущностей (UEBA). В сочетании с машинным обучением это позволит гарантировать, что вредоносная активность не останется незамеченной. Кроме того, возможность выявлять аномальное поведение законных пользовательских аккаунтов позволит аналитикам отделов безопасности (SOC) распознавать как просто скомпрометированных пользователей, так и злонамеренных инсайдеров.

    • Выявление недочётов и осуществление инициатив  модернизации инфраструктуры должны подкрепляться интеллектуальным анализом вашей сети и приложений. Мало отслеживать только конкретные риски – убедитесь, что ваши решения являются комплексными и способны обнаруживать активность, отклоняющуюся от нормальной (это также поможет предотвратить усталость от предупреждений).

    • Расширение полномочий групп SOC будет иметь решающее значение для улучшения ваших программ и процессов безопасности. Налаживайте контакты между CISO и их группами безопасности (аналитиками и т. д.), чтобы обеспечить действующий канал связи с исполнительной командой. Для того, чтобы управленческие решения могли приниматься быстро и эффективно, директора по информационной безопасности должны обращаться к совету директоров, генеральному директору, ИТ-директору или финдиректору, имея наготове все нужные данные и обоснования.

    • В ещё одной рекомендации по процессам Exabeam предлагает сосредоточиться на обучении основам и передовым практикам безопасности сотрудников, подрядчиков и даже привлекаемых посторонних лиц – всех, кто получает удалённый доступ к приложениям и данным организации за пределами её брандмауэров. Это позволит снизить опасность киберугроз и риски утечки данных.

    • Тесты, тесты, тесты. Только тестирование способно обеспечить отделам безопасности понимание истинного состояния киберзащиты их сетей. Никакие готовые решения или их комбинации не сделают вас полностью защищёнными. Без понимания границ возможностей ваших инструментов, растущая поверхность всё более изощренных атак ввергнет вас в огромный и неопределенный риск. Лучшее, что вы можете сделать, – это вновь и вновь тестировать, чтобы определить приоритетные элементы управления, которые необходимы для укрепления безопасности сегодняшней уникальной среды распредёленной рабочей силы.

    • И наконец, при выборе инструментов и решений безопасности руководствуйтесь не только экономической выгодой и окупаемостью. Они должны органично взаимодействовать с остальной частью вашего стека безопасности и ИТ и снижать операционную нагрузку на вашу команду SOC.

Заключение

Для лучшего противодействия киберпреступникам, пытающимся воспользоваться возможностями, предоставленными продолжающейся в 2021 г. тенденцией перехода на удалённую модель работы, руководителям отделов ИТ и безопасности необходимо тщательно изучить аспекты взаимодействия их людей, процессов и технологий. Это поможет организациям эффективно конкурировать в этой непредсказуемой среде, обезопасить своих сотрудников и клиентов и оптимизировать отделы безопасности.

«Предсказывать что-нибудь очень сложно, особенно в отношении будущего». Нильсу Бору, помимо звания лауреата Нобелевской премии по физике, принадлежит сомнительная честь быть автором этой, ужасающей в своей банальности фразы. Тем не менее, в отношении прогноза, сделанного Exabeam, в ноябре 2019 г., можно констатировать, что он удался.

Даже пандемия COVID-19, которую никто тогда предвидеть не мог, лишь ускорила и активизировала подмеченные этим провайдером аналитики поведения пользователей объективные тенденции изменения ландшафта киберугроз и развития отрасли кибербезопасности. В 2020 году действительно возросла роль директоров по информационной безопасности (CISO), всё большее значение приобретали проблемы компрометации учетных данных и безопасности устройств, обучение основам киберзащиты стало обязательным, а бесчисленное разнообразие используемых решений поставило перегруженных работой сотрудников и отделы безопасности перед необходимостью внедрения автоматизации, платформ SOAR (Security Orchestration, Automation and Response) и машинного обучения для анализа поведения пользователей и сущностей (UEBA). Кроме того, реалии модернизации и цифровой трансформации побуждали организации в ушедшем году ускоренно мигрировать на облачную модель работы.

Вступая в новый год в условиях, когда всё больше служащих переходят на удалённый режим работы, что создает все больше возможностей и векторов атак для киберпреступников, Exabeam подготовила очередной прогноз, суммирующий мнения экспертов из её команды, а также партнёров и клиентов.

Как и 8 предсказаний для 2020 г., новые 10 прогнозов кибербезопасности на год наступивший структурированы по «Персоналу», «Процессам» и «Технологиям» – аспектам трансформации организации, лежащим в основе всемирно используемого стандарта информационной безопасности ISO/IEC 27001.

Прогнозы безопасности. Персонал

Количество атак на учётные данные, а также и с их помощью, продолжит расти и в 2021 году. Главная проблема удалённо работающего персонала связана с множеством задействованных в процессе приложений и сервисов в публичных, частных и гибридных облаках, которые доступны за пределами корпоративного брандмауэра. Хакеры будут пытаться использовать права доступа сотрудников и подрядчиков организации, чтобы закрепиться в её приложениях и данных.

Противодействие этим атакам усложняется тем, что у большинства организаций нет персонала, инструментов или пропускной способности для обнаружения необычного поведения пользователей. Латеральные движения в сочетании с переключением между аккаунтами, тот факт, что учётные записи существуют в облаках – всё это дополнительно затрудняет корреляцию идентичностей.

Exabeam считает, что в текущем году аналитики устранят основные пробелы в своих инструментах и ​​методах, и перейдут к превентивной безопасности. Они будут отслеживать не конкретные риски, а изменения в шаблонах поведения, что поможет предотвратить усталость от слишком большого количества ложных срабатываний. Единственный способ перейти к подходу, основанному на мониторинге тактики, методов или процедур (TTP) злоумышленников, это использовать продвинутые возможности поведенческой аналитики.

Прогнозы безопасности. Процессы

В ситуации, когда команды обеспечения кибербезопасности (SOC) распределены в удаленной рабочей среде, CISO должны мотивировать их к обмену мнениями о кадровых и технологических недостатках. Кроме того SOC нужно привлекать к участию в разработке и улучшении программ безопасности, что снизит нагрузку на CISO.

Директорам по информационной безопасности также следует обращать внимание на риск переутомления, которому подвергаются аналитики, оценивающие тысячи предупреждений системы безопасности в день. Наладив с ними обратную связь, CISO сможет вооружится реальными доказательствами, чтобы добиться от руководства (CFO, CEO, совета директоров) разрешений на принятие адекватных мер для борьбы с рисками и уменьшения выгорания.

Утечки данных из облачных приложений и сервисов будут расти. Пандемия вызвала почти мгновенную трансформацию методов работы большинства предприятий. Поспешный характер этих изменений – в сочетании с сокращением персонала, меньшими инвестициями в безопасность и увеличением числа атак –  стал причиной серьезных проблем с безопасностью данных.

Опрос, проведенный в мае 2020 года, обрисовал мрачную картину: 71% киберпрофессионалов отметили рост угроз, три четверти сообщили о сокращении их команд SOC, а 60% пришлось отложить запланированные инвестиции в технологии безопасности.

Для того, чтобы быстро удовлетворить потребности растущего числа удалённых сотрудников, многие организации вынужденно снизили стандарты безопасности. К сожалению, это создало раздолье для киберпреступников.

«Для большинства групп безопасности 2021 станет годом подведениях итогов и ретроспективной оценки  всех облачных приложений и сервисам, запущенных для поддержки удаленной работы в 2020 году», – суммирует Сэм Хамфрис (Sam Humphries), стратег по безопасности Exabeam.

Во всё большей степени внимание будет уделяться мониторингу показателей инсайдерского риска, причём службам безопасности придётся адаптироваться к сбору сигналов и индикаторов как внутри, так и вне корпоративной сети в условиях распределённой работы персонала. Внешние угрозы будут продолжать маскироваться под инсайдеров. Как отметил CISO Levi Strauss Колин Андерсон (Colin Anderson), самый простой путь в предприятие лежит через служащих, и защитив их, мы сможем защитить свое предприятие.

Чарли Макнерни (Charlie McNerney), вице-президент и CISO Expedia Group, прогнозирует, что организации будут применять разный подход к оценке возможностей защиты своих сотрудников, клиентов, разработчиков и сторонних лиц. Речь идет о расширении на третьи стороны внутренних протоколов безопасности в связи с необходимостью передачи им невероятных объемов общедоступных данных и данных клиентов, информации о кредитных картах и ​​т.д.

Продолжение следует

В условиях пандемии множество компаний во всем мире перевели своих сотрудников на удаленную работу, на работу вне офиса. При этом предприятия сталкиваются с проблемами управления и защиты как корпоративных, так и личных устройств персонала, поскольку они получают доступ к ресурсам компании за пределами периметра сети.

Если у вас еще нет MDM-решения (Mobile Device Management) и BYOD-политики, самое время об этом позаботиться. Для этого потребуется по меньшей мере три шага.

1. Провести оценку рисков безопасности в контексте мобильных устройств

Угрозы мобильной безопасности растут с рекордной скоростью. Согласно отчету McAfee Mobile Threat Report, в последнем квартале 2019 г. было обнаружено более 35 млн новых вредоносных программ для мобильных устройств, что на 5 млн больше, чем годом ранее. Количество вредоносных атак на мобильные устройства выросло почти на 70% всего за два года!

Кроме того, есть еще десятки угроз, связанных с мобильными устройствами. Вот лишь часть из них:

• Кража данных и устройств.

• Плохая кибергигиена.

• BYOD & IoT вторжение.

• Потерянные устройства.

• Устаревшее ПО.

• Небезопасный Wi-Fi.

• Spyware.

• Скрытые приложения.

• Фишинговые атаки.

• Социальная инженерия.

• Небезопасное использование криптографии.

• Cryptojacking.

• Неправильная обработка сессий.

Мошенничество с рекламой и поддельные обзоры.

Если вы осведомлены о том, что перечислено выше, значит вы уже начали оценку рисков безопасности для мобильных устройств.

Осведомленность является начальным и финальным этапом оценки и управления рисками, которые могут быть сопряжены с работой сотрудников, работающих удаленно. Также настоятельно рекомендуется идентифицировать активы компании и заранее планировать процедуры выхода из кризисных ситуаций.

Если вы читаете этот пост, вероятно вы несете ответственность за информационную безопасность в вашей компании. Совет для вас: не несите весь груз этой ответственности на себе. Ваши сотрудники должны разделять ее с вами.

В случае, если у вас нет времени или ресурсов для обучения персонала самостоятельно, имеется множество онлайн-курсов по повышению осведомленности в области кибербезопасности, которые охватывают и мобильную тематику. Причем, когда ваши сотрудники проходят такие курсы, требуйте от них получение сертификатов. Это будет гарантией того, что они относятся к данному процессу серьезно.

Определитесь с тем, какими активами располагает компания. Согласно данным института Ponemon, взлом корпоративных сетей в 2018 г. для американских компаний в среднем обходился в 3,86 млн долл.

Нужно отдавать себе отчет в том, что угроза реальна и ставки очень высоки.

Защита цифровых активов компании от мобильных утечек и других угроз безопасности требует определенного анализа ситуации. И нужно, как минимум, ответить на следующие вопросы в контексте вашей компании.

• Что необходимо считать конфиденциальными данными?

• Как вы собираете, храните и передаете данные?

• Кто имеет доступ к вашим данным?

• Есть ли у мобильных устройств доступ к вашим данным?

• Где конфиденциальные данные переходят из рук в руки?

• Может ли потерянное или украденное устройство скомпрометировать ваши данные?

• Каковы последствия утечки данных?

Нужно очень четко представлять, что происходит, когда вы увольняете недовольного сотрудника, который имеет доступ к чувствительным данным компании. Что происходит, когда, скажем, вы разрываете контракт с обслуживающим вас разработчиком. Следует представлять общую картину, которую можно описать следующим образом:

• Как долго длится процесс, необходимый чтобы удалить данные с устройства или изменить пароли?

• Знаете ли вы, какие именно устройства использовались?

• Использовались ли только лишь подтвержденные политиками устройства или были и другие?

• Какие приложения использовались работником?

• Какой уровень доступа у них был?

• Где они хранили данные?

• Кто имел доступ к данным на смартфонах сотрудников?

• Можете ли вы законно удалить информацию на их устройствах?

Вам нужен план не только для экстренных ситуаций, когда сотрудник увольняется срочно или задним числом, но и для моментов обычного ухода, например, в ситуации «я нашел работу своей мечты». Хотя мы сейчас и обсуждаем угрозы, исходящие от использования мобильных устройств, но следует помнить, что люди являются самой большой угрозой для безопасности вашей компании — причем, часто непреднамеренно.

Согласно недавним исследованиям, 87% опрошенных сотрудников признались, что после увольнения на их компьютерах и мобильных телефонах осталась информация, связанная с предыдущей работой.

Что, если они будут использовать эти данные злонамеренно или сами пострадают от фишингатаки, и, в результате мошенничества, эти данные попадут третьим лицам?

Нужно быть готовым к любому развитию ситуации.

В случае ухода сотрудника необходимо:

• убедится, что отделы HR и ИТ работают синхронно;

• убедится, что действуют соглашения о неразглашении и политики безопасности;

• вернуть устройства, предоставленные компанией;

• удалить корпоративные приложения и данные с личных устройств;

• отключить доступ к корпоративной электронной почте;

• отключить доступ к корпоративным системам и приложениям;

• сменить пароли к корпоративным аккаунтам;

• мониторить подозрительную активность.

В кризисной ситуации необходимо:

• документировать риски и активы;

• создать и обучить команду реагирования на инциденты;

• создать систему отчетов об инцидентах;

• подготовить список уведомлений об инцидентах;

• провести резервное копирование важных данных;

• убедится, что инциденты могут быть обработаны дистанционно;

• отработать реагирование на инциденты.

Опередить возникающие угрозы непросто, но четкий план действий поможет вам уволить сотрудников с минимальным риском для компании и, в случае возникновения кризиса, сократить нанесенный урон.

2. Внедрить политики BYOD и удаленного доступа

В условиях пандемии работа на дому из нишевой (еще недавно лишь 5,2% работников в США) стала повсеместной. Мы со всех сторон слышим рекомендации по личной гигиене:

• оставайтесь дома;

• мойте руки;

• не трогайте свое лицо;

• если чихать, то в локоть;

• носите маску;

• держите дистанцию.

А как насчет кибергигиены?

Большинство готовы изменить свои привычки и обыденные процессы в своей жизни в это непростое время, но они не хотят отказываться от своих личных устройств. Почти 61% представителей поколения Y и 50% работников старше 30 лет считают, что BYOD-инструменты делают их более производительными.

«Это открывает доступ различным зловредам, как через устройства работодателей, так и работников», предупреждает исследователь QUT доктор Кенан Дегирменси (Kenan Degirmenci). BYOD и, в более широком смысле, мобильный доступ к корпоративным системам сопряжен с проблемами в области безопасности, которые нельзя игнорировать.

Увы, но организации недостаточно быстро реагируют на угрозы кибербезопасности, связанные со стремлением сотрудников использовать личные мобильные устройства на рабочем месте.

В период, когда весь мир страдает от разразившегося кризиса в области здравоохранения, вы можете предотвратить кибер-кризис, изложив некоторые основные правила своим сотрудникам. И в этом нет ничего зазорного. Все же напоминают им, чтобы они мыли чаще руки.

BYOD и политика удаленного доступа могут защитить вашу компанию и сотрудников от угроз безопасности, которые исходят от использования мобильных устройств.

Итак, каковы же основные правила кибергигиены, что они должны охватывать:

• допустимые устройства и приложения;

• ветируемые мобильные приложения;

• безопасные конфигурации;

• допустимое использование и неправильное использование;

• аутентификация и управление паролями;

• права доступа и разрешения;

• социальные сети и безопасность электронной почты;

• безопасность браузера и веб-приложений;

• методы шифрования и безопасного соединения;

• соответствие и конфиденциальность;

• разделение личных и корпоративных данных;

• стратегии предотвращения потери данных (DLP);

• обновления безопасности и обновления программного обеспечения.

Ваша политика BYOD и политики удаленного доступа должны охватывать ряд рекомендаций по безопасности конечных точек, сетей и облачных вычислений — от советов, которые базируются на первый взгляд лишь на здравом смысле до технических конфигураций, нацеленных на минимизацию последствий хакерских атак.

Если вы хотите убедиться, что устройства ваших сотрудников соответствуют вашим политикам, стоит попробовать решение MDM. Ко всему прочему вы получите возможность контроля и управления, а также возможность помещать в карантин устройства, не соответствующие требованиям безопасности.

Сложившаяся ситуация, когда сотрудники перешли из офисов на работу из дому — отличная возможность, наконец-то, реализовать корпоративные политики использования мобильных устройств. Тем не менее, вы должны реально оценивать возможности вашего ИТ-отдела, что и как он может контролировать, без понимания и поддержки со стороны сотрудников тут не обойтись.

3. Запустить корпоративную платформу MDM

В сложившейся беспрецедентной ситуации сотрудники, работающие дома постоянно, сталкиваются с проблемами безопасности. К которым, согласно недавнему опросу читателей Threatpost, большинство организаций не готовы.

MDM, безусловно, не панацея, но это один из действующих инструментов для того, чтобы снизить риски и взять ситуацию под контроль.

Как правило, MDM входят в состав более широкого корпоративного пакета EMS (Enterprise Mobility Suite), они могут отличаться по набору функций, но большинство позволяют следующее:

• Контроль доступа.

• Управление приложениями.

• Обеспечение соблюдения политик.

• Обновление на ходу (OTA).

• Устранение неполадок устройств.

• Отслеживание устройства.

• Дистанционное удаление информации.

MDM — это, по сути, возможность контроля того, что пользователь делает с устройством и что происходит с корпоративными данными на нем, а также того, как устройства используются для доступа к корпоративной сети.

Наилучший результат, как и во многом другом, достигается за счет тщательно продуманной реализации MDM, готового коробочного решения.

Итак, что же требуется для успешной реализации MDM?

Максимизируйте самообслуживание и автономность. Сотрудники пользуются гибкостью BYOD, и стоит избегать заметного сокращения этих возможностей. Более того, MDM, обеспечивающий автономность пользователей, может снизить нагрузку на ИТ-персонал, предоставляя конечному пользователю ряд функций, например: сбрасывание паролей, отслеживание потерянных устройств и т.д.

Обеспечьте должный уровень конфиденциальности пользователя. Ваши сотрудники могут использовать свои устройства для личных и бизнес целей. Хотя MDM позволяет получить полный контроль над этими устройствами, это не должно сказываться на пользователе и нарушать конфиденциальность его персональных данных.

Продумайте набор политик под ваши задачи. Готовые политики большинства платформ MDM могут обеспечить надежный старт работы, но не экономьте на доработке этих политик для решения задач вашей организации. Политики MDM могут быть сколь угодно детализированы в соответствии с вашими организационными требованиями.

Обеспечьте обновления. Ваша MDM-стратегия должна включать регулярное необходимое обновление используемого программного обеспечения MDM. Это сведет к минимуму потенциальные проблемы с безопасностью.

MDM необходим для снижения рисков, связанных с BYOD и мобильными устройствами. Но это лишь часть необходимых средств по обеспечению безопасности. Да, MDM даст вам начальное понимание и контроль, но вы должны постоянно оценивать ситуацию и внедрять необходимые решения.

Постарайтесь уделять должное внимание безопасности и выбирать лучшие решения в контексте использования мобильных устройств. Оценка рисков, внедрение политик под BYOD наряду с политиками удаленного доступа, и, плюс к этому, внедрение решения MDM — это тот самый необходимый базис для вашей дальнейшей безопасной и продуктивной работы.