Отраслевые эксперты с более чем десятилетним опытом в области кибербезопасности признают, что старые методы оценки рисков больше не работают. Те квартальные чек-листы и сканирование уязвимостей, которые давали нам чувство безопасности? Они практически бесполезны против современных угроз.
Подумайте об этом. Пока вы запускаете запланированное сканирование, злоумышленники уже находятся внутри вашей сети и составляют ее схему. Они не ждут завершения цикла оценки рисков, они действуют быстро и умно.
Ответ не в том, чтобы просто делать больше того же самого. Нам нужно полностью изменить подход к оценке рисков активов. Вместо периодических оценок, основанных на отметках в списках, нам нужно непрерывное управление рисками активов с учетом угроз, которое действительно позволяет предвидеть следующие действия злоумышленников.
Как на самом деле определить, что является вашими наиболее важными активами?
Именно здесь большинство организаций допускают ошибку. Они пытаются каталогизировать все: серверы, рабочие станции, облачные инстансы, устройства Интернета вещей. Но они относятся к этому как к разовому проекту по инвентаризации. Они тратят месяцы на создание идеальной таблицы, а к моменту ее завершения половина информации уже устарела.
Недавний анализ одной организации, предоставляющей финансовые услуги, выявил серьезные пробелы в традиционных подходах к управлению активами. Организация разработала комплексную систему инвентаризации активов с цветовой кодировкой, перекрестными ссылками и тщательным ведением. Но когда мы начали копать глубже, мы обнаружили, что у них были десятки теневых ИТ-развертываний, о которых никто не знал. Маркетинговый отдел создал собственную аналитическую платформу. Отдел продаж использовал облачную CRM-систему, о которой никто в ИТ-отделе не знал.
Дело в том, что злоумышленникам неважен ваш официальный инвентарь. Они найдут все, включая то, о чем вы даже не знаете.
Настоящее управление активами означает, что вам нужна автоматическая система обнаружения, работающая в постоянном режиме. Не только очевидные вещи, такие как серверы и рабочие станции, но и все остальное. Теневые ИТ-ресурсы, устройства Интернета вещей, облачные рабочие нагрузки, даже ваша интеллектуальная собственность и хранилища данных, разбросанные по разным системам.
Каждый актив необходимо классифицировать в зависимости от того, какую роль он фактически играет в вашей компании. Каким образом он способствует повседневной деятельности? Какие конфиденциальные данные он обрабатывает? Что произойдет, если завтра он будет взломан?
И вот в чем загвоздка: в гибридных и мультиоблачных средах ваша поверхность атаки постоянно меняется. Появляются новые облачные сервисы, существующая физическая инфраструктура модифицируется, а традиционные подходы к управлению активами просто не успевают за этими изменениями.
Активы организации включают в себя все, от аппаратных средств до программного обеспечения, цифровых активов и даже нематериальных активов, таких как данные клиентов и коммерческая тайна.
Почему ваш текущий процесс оценки рисков, скорее всего, не работает
Большинство традиционных стратегий управления рисками совершенно устарели. Они рассматривают активы в изоляции, проверяя уязвимости одну за другой, не учитывая, как на самом деле работают злоумышленники.
Современные злоумышленники не просто используют отдельные уязвимости. Они связывают их между собой. Они используют боковое перемещение. Они расширяют свои привилегии. Они понимают, что даже самые защищенные критически важные ресурсы можно достичь через, казалось бы, неважные конечные точки, если эти системы имеют общий доступ к сети.
Традиционный цикл управления рисками, который включает в себя выявление, анализ, оценку и устранение, просто слишком медленный. Бывали случаи, когда организации завершали квартальную оценку рисков, в то время как их уязвимость к атакам полностью менялась три раза. Ежедневно появляются новые угрозы, злоумышленники адаптируют свои методы, а бизнес-требования вынуждают менять инфраструктуру, что приводит к появлению неожиданных уязвимостей.
Операционные риски многократно возрастают, когда вы имеете дело с режимами сбоев, которые распространяются по взаимосвязанным системам. Один-единственный скомпрометированный конечный пункт может стать шлюзом во всю вашу сеть, если вы не думаете об оценке рисков с точки зрения злоумышленника.
И не и стоит забывать об облачных средах. Вы развертываете что-то в AWS в понедельник, а к пятнице ваша уязвимость к атакам полностью меняется. Традиционная оценка рисков не может идти в ногу с такими темпами.
Три вещи, которые действительно важны при оценке рисков активов
Обширный анализ отрасли показывает, что существует три критических фактора, определяющих эффективность оценки рисков активов:
Анализ покрытия: что на самом деле защищает ваши данные?
Здесь вы выясняете, какие средства безопасности на самом деле защищают каждый актив. Установлены ли на этом сервере агенты EPP/EDR? Мониторите ли вы сетевой трафик, поступающий на сервер и исходящий с него? Настроены ли ваши облачные активы в соответствии с эталонными показателями безопасности?
Но большинство людей упускает из виду следующее: необходимо выявлять потенциальные риски, находя пробелы. Это неуправляемые устройства, теневые ИТ-решения и активы, не защищенные надлежащими мерами безопасности. Эти пробелы часто представляют наибольший риск, поскольку дают злоумышленникам неконтролируемые точки входа.
Внедрение в крупной медицинской организации, детской больнице, обслуживающей более 500 000 пациентов в год, демонстрирует эффективность этого подхода. Они думали, что все под контролем. Но когда внедрили технологию Fidelis Deception®, она за несколько часов сопоставила всю сетевую инфраструктуру и сразу же выявила вредоносные действия, которые полностью обошли существующие средства безопасности.
Их разработчик безопасности систем ИТ сказал: «Всего через несколько часов после развертывания Fidelis Deception® уже обнаружила и точно определила подозрительные действия, которые, по всей видимости, обошли нашу существующую инфраструктуру безопасности. Это позволило нашим ИТ-специалистам по безопасности оперативно устранить угрозы».
Влияние на бизнес: не все активы одинаковы
Контроллер домена, поддерживающий аутентификацию тысяч пользователей, не является тем же, что и случайная рабочая станция разработчика. Даже если они имеют схожие технические уязвимости, их влияние на бизнес совершенно различно.
Важность активов выходит далеко за рамки технических характеристик. Необходимо учитывать конфиденциальность данных, персональные данные, финансовые документы и интеллектуальную собственность. Важность бизнес-функций, почтовые серверы, базы данных, платежные системы. Права доступа, системы с повышенными правами. Требования нормативных актов, включая HIPAA, PCI-DSS и SOX.
Рабочие станции финансового отдела могут выглядеть как обычные конечные устройства, но, скорее всего, они имеют привилегированный доступ к важным данным. То же самое касается систем управления персоналом, инженерных рабочих станций и ноутбуков руководителей.
Критически важные операции зависят от этих активов компании, и вы не сможете эффективно управлять рисками, если не понимаете, какие конкретные активы наиболее важны для обеспечения непрерывности бизнеса.
Аналитика угроз в реальном времени: что происходит прямо сейчас?
Статические данные об уязвимостях практически бесполезны без контекста текущей ситуации с угрозами. Вам необходимо понимать, какие уязвимости активно используются, какие методы атак набирают популярность и какие угрозы направлены конкретно на ваш сектор отрасли.
Это означает мониторинг индикаторов компрометации, анализ моделей сетевого трафика на предмет подозрительных коммуникаций и сопоставление телеметрических данных конечных точек с известными моделями поведения злоумышленников. Машинное обучение может помочь в обработке этих данных для генерации оценок угроз, учитывающих как техническую серьезность, так и фактическую вероятность возникновения риска.
Как Fidelis Elevate® преобразует оценку рисков активов
Здесь начинается самое интересное. Fidelis Elevate® – это платформа Active XDR, которая работает с дополнительными продуктами Fidelis Security, обеспечивая комплексные возможности киберзащиты. Платформа интегрирует функции обнаружения и реагирования в сети (NDR) через Fidelis Network®, обнаружения и реагирования на конечных точках (EDR) через Fidelis Endpoint®, технологии обмана через Fidelis Deception® и облачную безопасность через Fidelis CloudPassage Halo®.
Комплексное картографирование киберпространства с Fidelis Elevate®
Fidelis Elevate® обеспечивает комплексное обнаружение активов в облачных, локальных и гибридных средах благодаря своим проактивным средствам киберзащиты, основанным на картографировании. Платформа использует пассивный мониторинг сети, интегрируется со службами каталогов и использует передовые телеметрические данные для профилирования каждого актива по роли, операционной системе, подключению, поставщику и другим параметрам.
Отличительной особенностью Fidelis Elevate® является возможность отслеживать весь сетевой трафик по всем портам и протоколам для идентификации и назначения ролей конечным точкам на основе наблюдаемых коммуникаций. Система определяет операционную систему и роль активов – рабочую станцию, веб-сервер, файловый сервер, почтовый сервер, сервер доменных имен, устройства IoT и т. д. Кроме того, она обеспечивает обновление инвентаризации в режиме реального времени во всех подключенных облаках.
Многомерная система расчета рисков
Система управления рисками Fidelis Elevate® объединяет три основных фактора с помощью точной формулы: Охват(покрытие) + Важность + Серьезность текущих событий:
Эта автоматизированная система оценки снижает риски за счет более эффективной расстановки приоритетов, обеспечивая при этом соответствие мер по снижению рисков реальным угрозам для бизнеса. Система учитывает уязвимости, обнаруженные агентами на конечных точках или инструментами сканирования, данные об обнаружении и инвентаризации облачных ресурсов, обновляемые в режиме реального времени, а также результаты расширенной оценки угроз, учитывающие киберпредупреждения и отзывы аналитиков.
Проактивная защита с помощью интегрированного обмана
Помимо обнаружения, Fidelis Elevate® работает с Fidelis Deception®, чтобы создать неопределенность для злоумышленников, автоматически создавая и модифицируя сеть-приманку для изменения ландшафта. Постоянно меняющаяся среда затрудняет отличие реальных ресурсов от приманок, что позволяет защитникам обнаруживать и расследовать активные атаки на ранней стадии их жизненного цикла.
Та детская больница, о которой упоминалось ранее?
После внедрения Fidelis Deception® их разработчик безопасности систем ИТ сказал: «Fidelis Deception® выводит безопасность нашей сети на новый уровень. Его главное преимущество заключается в том, что он решает проблему безопасности с помощью совершенно нового подхода и обеспечивает прозрачность с помощью реальной бизнес-аналитики. Это было ключевым фактором для нас и доказало свою эффективность, обеспечив немедленную окупаемость инвестиций».
Возможности моделирования атак и реагирования
Fidelis Elevate® позволяет проводить симуляции как «синей», так и «красной» команды на основе оценки рисков активов и картирования коммуникаций. Симуляция поведения «синей» команды позволяют изучить, как злоумышленники могут получить доступ к критически важным активам, исходя из текущих рисков и сетевых подключений, а также провести многоступенчатый анализ для отслеживания моделей бокового перемещения. Симуляции «красной» команды начинаются с активов с высоким уровнем риска и анализируют, как злоумышленники могут перемещаться по сети предприятия.
Эта возможность превращает оценку рисков из статической оценки в динамическое моделирование, которое помогает организациям понять потенциальные пути атак и соответствующим образом усилить защиту.
Проверка внедрения на практике
Внедрение передовых методов оценки рисков активов сопряжено со значительными трудностями. Организации обычно сталкиваются с рядом критически важных проблем, которые необходимо понимать и решать высшему руководству.
Интеграция инструментов – это кошмар. Ваша платформа оценки должна органично взаимодействовать с существующей инфраструктурой безопасности, включая системы SIEM, сканеры уязвимостей и платформы защиты конечных точек. Большинство этих инструментов не были разработаны для совместной работы, поэтому в результате вы получаете разрозненные данные и «слепые зоны».
Управляющие активами должны пройти надлежащее обучение методам оценки рисков, анализу угроз и методам моделирования атак. Нельзя просто купить инструмент и ждать, что он будет работать сам по себе, как по волшебный инструмент.
Но дело в том, что автоматизация больше не является опцией. Ручные планы управления рисками и процессы мониторинга рисков просто не могут идти в ногу с тем, как быстро меняется ситуация. Вам нужны платформы, которые автоматически идентифицируют активы, рассчитывают уровни риска и интегрируют результаты в рабочие процессы безопасности без постоянного ручного вмешательства.
Подход к управлению активами на основе рисков «снизу вверх» означает, что вы начинаете с понимания своих активов, а затем выстраиваете стратегии управления рисками на основе того, что у вас есть на самом деле, а не того, что вы думаете, что у вас есть.
Почему это действительно важно для вашего бизнеса
Топ-менеджменту необходимо понимать, что эффективное управление рисками активов – это не просто техническая инициатива, а бизнес-необходимость. Оно защищает критически важные операции, поддерживает доверие клиентов и обеспечивает соблюдение нормативных требований.
Когда происходят инциденты безопасности, вам необходимо немедленно узнать, какие активы затронуты, их критичность для бизнеса и потенциальное влияние на операционную деятельность. Реестры рисков должны отслеживать отдельные активы, связанные с ними риски и стратегии снижения рисков в режиме реального времени.
Подход к обслуживанию активов, основанный на оценке рисков, означает, что вы не просто устраняете неполадки, когда они возникают, а предотвращаете проблемы до их возникновения. Будь то стихийные бедствия, уязвимости программного обеспечения или сложные кибератаки, вам нужны планы управления рисками, которые действительно работают.
Организации, которые применяют комплексную и непрерывную оценку рисков активов, могут выявлять угрозы и реагировать на них до того, как они достигнут своих целей. Такой проактивный подход представляет собой фундаментальный переход от реактивных мер безопасности к прогнозируемой защите, которая предвосхищает поведение противника и усиливает защиту соответствующим образом.
Будущее кибербезопасности заключается не в идеальной профилактике, а в интеллектуальном управлении рисками, которое позволяет организациям принимать обоснованные решения о том, куда инвестировать свои ресурсы безопасности для максимальной защиты своих наиболее ценных активов.
Стратегии снижения рисков должны быть динамичными, а не статичными. Качественная оценка уязвимостей должна быть сбалансирована с количественным анализом потенциального воздействия на бизнес-процессы. Речь идет не просто о том, чтобы поставить галочки в списке, а о создании устойчивой системы управления рисками, которая будет развиваться вместе с вашим бизнесом и ландшафтом угроз.
Источник: What Makes an Asset Risk Assessment Effective in a Threat-Driven World?
