Каждый понедельник Tenable предоставляет практические, реальные рекомендации, необходимые для перехода от управления уязвимостями к управлению воздействиями. В первом блоге из этой новой серии начнем с обзора различий между этими двумя понятиями и рассмотрим, как управление кибервоздействием может принести пользу вашей организации.
Традиционное управление уязвимостями всегда сводилось к выявлению и устранению уязвимостей – надеемся, так быстро, как они появляются. На практике, даже при наличии разумных соглашений об уровне обслуживания (SLA), ИТ-отделу обычно приходится снижать эти риски. Но они не всегда занимают первое место в списке приоритетов ИТ-отдела, оставляя открытым окно, которым злоумышленники могут воспользоваться, чтобы закрепиться. Рост числа CVE (в 2021 году было зарегистрировано 20 161 новое CVE, а к 2024 году эта цифра почти удвоилась и достигла 40 077) привел к тому, что команды перегружены поиском уязвимостей. Но CVE – это только часть картины.
Отчет Агентства по кибербезопасности и безопасности инфраструктуры США показывает, что 90% первоначального доступа к критически важной инфраструктуре происходит через компрометацию личных данных, такую как фишинг, скомпрометированные пароли, системы идентификации и неправильные конфигурации. Не менее тревожным является и то, что отчет о рисках Tenable Cloud за 2024 год показывает, что 74% организаций имеют публично открытые хранилища, включая те, которые содержат конфиденциальные данные. То же исследование показало, что 84% организаций владеют неиспользуемыми или давними ключами доступа с критическими или высокосерьёзными избыточными разрешениями, что создаёт существенную брешь в безопасности.
Сталкиваясь с этими проблемами, большинство руководителей служб безопасности не имеют целостного понимания рисков в масштабах предприятия. Поскольку регулярно внедряются новые технологии, они сопровождаются новыми угрозами. В ответ на это большинство групп безопасности просто добавляют новый изолированный инструмент и команду для защиты новой поверхности атаки. В результате безопасность становится разобщенной. И хотя управление уязвимостями является важнейшим компонентом кибербезопасности, оно учитывает лишь часть предотвращаемых рисков. Конечный результат – фрагментарная видимость и пробелы, которые делают организации уязвимыми.
Именно здесь на помощь приходит управление рисками. Оно предоставляет руководителям служб безопасности процессы и технологии, необходимые для постоянной оценки доступности, возможности использования и критичности цифровых активов во всех системах, приложениях, устройствах, ресурсах и идентификационных данных. В результате руководители служб безопасности могут проактивно отвечать на вопросы о рисках, которым подвержена их организация.
Что такое управление рисками в кибербезопасности?
Если вы рассмотрите управление рисками в сравнении с управлением уязвимостями, то увидите эволюцию, которая обеспечивает более целостный, программный подход к принятию экономически эффективных решений. Он позволяет устранить разрозненность и учесть такие факторы, как вероятность атаки, разрешения на идентификацию, жизнеспособность путей атаки и критичность для бизнеса. Это позволяет командам безопасности определять приоритеты и мобилизовывать ответные меры в первую очередь на наиболее значимые риски.
Изучение континуума безопасности
Чтобы понять, какое место занимает непрерывное управление рисками в контексте вашей общей программы кибербезопасности, давайте рассмотрим континуум безопасности.
Линия прорыва находится в центре. Все, что находится справа, – это мир реактивной безопасности. В этом случае атаки или нарушения уже происходят. Слева от линии прорыва находится мир проактивной безопасности.
Реактивная безопасность – это управление активными угрозами и инцидентами. Цель – свести к минимуму потенциальные материальные последствия. По этой причине в последние годы большая часть инвестиций направляется на обеспечение реактивной безопасности.
Но с учетом того, что все больше руководящих органов, таких как Комиссия по ценным бумагам и биржам США (SEC), теперь требуют раскрытия информации об утечках, ситуация меняется.
Помимо давления со стороны регулирующих органов, утечки информации часто сопровождаются ударом по доходам, а также неисчислимым ущербом для бренда, лояльности клиентов и интереса инвесторов. Все это подчеркивает необходимость более эффективного подхода к проактивной безопасности, такого как управление рисками.
В результате управление рисками стало использоваться самыми разными организациями – от транснациональных телекоммуникационных компаний до государственных учреждений, – поскольку оно позволяет решить три основные проблемы, с которыми сталкивается каждая организация:
- Разрозненная видимость поверхности атаки: Поверхность атаки эволюционировала, и поставщики создали множество инструментов, ориентированных на конкретные технологические области, такие как ИТ, облако, идентификация, OT/IoT и приложения. Каждый из этих инструментов часто работает с подмножеством потенциальных рисков — уязвимостями, неправильной конфигурацией или привилегиями. Такой изолированный подход к управлению поверхностью атаки оставляет пробелы в видимости, которыми могут воспользоваться злоумышленники.
- Небольшое количество контекста: Фрагментарные данные также не позволяют понять перспективу злоумышленника – взаимосвязи активов, идентификационных данных и рисков, которые формируют жизнеспособные пути атаки, ведущие к коронным активам. Набор инструментов также мало помогает руководителям служб безопасности понять потенциальное материальное воздействие угроз на доходы, бизнес-процессы и критически важные данные.
- Неспособность мобилизовать ресурсы: Отдельные инструменты безопасности предоставляют разрозненные рекомендации по устранению проблем и рабочие процессы, а также ограниченные способы измерения и информирования о достигнутом прогрессе. В результате команды безопасности сталкиваются с серьезными трудностями при выборе оптимальных мер по устранению последствий, а также при определении того, как и где мобилизовать ресурсы и отслеживать состояние устранения последствий.
Как помогает управление рисками
Управление рисками помогает, предоставляя полную видимость поверхности атаки и критический контекст, который необходим командам для приоритизации истинного воздействия на бизнес. Это означает, что команды безопасности не перегружены и могут быть более эффективными, будучи менее реактивными. Давайте копнем немного глубже и рассмотрим, как за пять шагов управление воздействием помогает улучшить вашу позицию безопасности.
Шаг 1: Узнайте свою поверхность атаки
Платформы управления рисками обнаруживают и агрегируют данные об активах по всей внешней и внутренней поверхности атаки, включая облако, ИТ, OT, IoT, идентификационные данные и приложения, обеспечивая целостное представление о поверхности атаки.
Шаг 2: Выявление всех предотвратимых рисков
Управление рисками выявляет три предотвратимые формы воздействия, которые злоумышленники используют для получения первоначального доступа и дальнейшего продвижения: уязвимости, неправильную конфигурацию и чрезмерные привилегии. Команды безопасности могут быстро определить активы, представляющие наибольший потенциальный риск для организации.
Шаг 3: Согласование с бизнес-контекстом
Маркировка активов позволяет сотрудникам службы безопасности логически группировать активы по технологическим доменам и соотносить их с важными бизнес-функциями, услугами или процессами. Показатели киберуязвимости позволяют быстро получить представление о степени подверженности киберугрозе, ориентированное на бизнес, и показать изменения в степени подверженности с течением времени.
Шаг 4: Устранение истинного воздействия
Детальное отображение взаимосвязей между активами, идентификационными данными и рисками позволяет выявить пути атак, которые ведут к главным ценностям организации. Это дает сотрудникам службы безопасности возможность взглянуть на ситуацию с точки зрения злоумышленника, что очень важно для того, чтобы отделить выводы, создающие помехи, от истинных угроз, которые могут оказать существенное влияние на организацию.
Шаг 5: Постоянная оптимизация инвестиций
Возможность количественно оценить общий уровень киберугроз и сравнить его с эталонными показателями аналогов в вашей отрасли упрощает обоснование бюджета, помогая руководителям служб безопасности ответить на важнейший вопрос: «В безопасности ли мы?».
Более подробно мы рассматриваем каждый из этих шагов в техническом документе «Злоумышленники не уважают разрозненности: Пять шагов к определению приоритетов истинного воздействия на бизнес».
Благодаря объединению и интеграции людей, процессов и технологий в традиционных разрозненных структурах, управление рисками повышает эффективность и взаимодействие, а также позволяет руководителям служб безопасности и ИТ-команд сосредоточиться на стратегических инициативах, а не на последнем кризисе.
Кому может быть полезно управление экспозицией атаки?
Преимущества управления рисками могут быть очень значительными. Если вы практикующий специалист, которому не хватает сил, менеджер, которому сложно понять риски, или руководитель высшего звена, который беспокоится обо всем этом, управление рисками может помочь.
- Практикующие специалисты по безопасности: Являясь основой любой организации, занимающейся вопросами безопасности, специалисты-практики выполняют тяжелую работу. Они, как известно, самодостаточны, но им необходима пара вещей: видимость поверхности атаки и единое представление обо всех активах. Именно это и обеспечивает платформа управления рисками – она упрощает определение приоритетов для устранения уязвимостей в программном обеспечении, неправильной конфигурации и неправильно назначенных прав доступа.
- Менеджеры по безопасности: Руководителям служб безопасности, находящимся чуть дальше по цепочке, необходимы сведения и контекст об угрозах, активах и привилегиях, чтобы распределить ресурсы между командами и решить самые насущные проблемы безопасности. Платформа управления рисками обеспечивает общую видимость и понимание, необходимые для улучшения сотрудничества между командами и более эффективного использования ограниченных ресурсов для исправления ситуации и реагирования.
- Руководители служб безопасности: CISO, офицеры по информационной безопасности бизнеса (BISO) и другие руководители служб безопасности нуждаются в точной оценке рисков, чтобы улучшить инвестиционные решения, принять решения о страховании, выполнить нормативные требования и требования к соответствию, а также стимулировать совершенствование организации. Платформа управления рисками предоставляет действенные показатели, помогающие руководителям служб безопасности измерять, сравнивать и передавать информацию о рисках и снижении киберрисков не только операционным группам ИТ-отдела и службы безопасности, но и руководителям, не связанным с техническими вопросами, и операционным группам всего предприятия.
Выводы
При такой шумихе в сфере безопасности то, что вы не делаете, так же важно (или даже важнее), чем то, что вы делаете на самом деле.
Управление рисками – это эволюционный подход, который находит свое применение во всех отраслях и географических регионах как способ устранить сложности, сконцентрировать усилия команд и понять всю поверхность атаки. Это сводится к объединению видимости, понимания и действий.
Управление рисками требует изменения мышления – признания того, что не все является критическим и не все риски одинаковы. Поначалу это может быть непросто. Но подумайте об этом: Подход «все – критически важно» приводит к выгоранию, неэффективности и увеличению числа рисков. Управление рисками позволяет вам расставить приоритеты: те риски, которые могут оказать реальное влияние на драгоценности короны и организацию.
Вступив на путь управления рисками, вы станете частью растущего сообщества профессионалов в области безопасности, которые прокладывают новую тропу. Присоединяйтесь к ним.
Источник: What Is Exposure Management and Why Does It Matter?
