Каждый понедельник Академия управления рисками Tenable предоставляет практические рекомендации, необходимые для перехода от управления уязвимостями к управлению рисками. В этой статье рассмотрены главные моменты из руководства о построении программы управления рисками от Tenable.
Ключевые выводы:
- Программы кибербезопасности развиваются на пяти различных уровнях, часто достигая плато на среднем где отсутствует стандартизация. Традиционные разрозненные подходы к обеспечению безопасности ограничивают возможности масштабирования и повышения эффективности, что затрудняет совместную работу с угрозами, несмотря на значительные инвестиции.
- Управление рисками помогает вам выйти за рамки традиционных систем безопасности и достичь более высокого уровня зрелости. Оно устраняет пробелы в данных, объединяя и обогащая данные об активах и рисках с важной контекстуальной информацией, что позволяет получить более глубокое понимание, повысить производительность и эффективность.
- Управление рисками включает в себя постоянную оценку и адаптацию на каждом этапе развития системы безопасности организации, обеспечивая надежную и постоянно совершенствующуюся защиту от новых угроз.
На протяжении многих лет Tenable сотрудничала с тысячами клиентов из различных отраслей, помогая им разрабатывать программы кибербезопасности и достигать лучших результатов.
Хотя каждый бизнес и каждая программа уникальны, существуют общие закономерности в том, как организации со временем развивают свои проактивные программы кибербезопасности. В равной степени интересно, что, несмотря на постоянные инвестиции в персонал и инструменты, даже самые зрелые программы, похоже, достигают определенного предела, когда им становится сложно масштабироваться и извлекать большую выгоду из своих инвестиций.
Почему так? Главным образом из-за разрозненности систем безопасности. Традиционные разрозненные системы безопасности, хотя и обеспечивают постепенное улучшение видимости, не обладают важным контекстом взаимосвязей, необходимым для получения ценной аналитической информации.
Именно здесь на помощь приходит управление рисками. Управление рисками помогает преодолеть разрозненность и, что еще более важно, предоставить важную контекстную информацию, которая способствует получению более глубоких знаний, повышению производительности и эффективности. В результате это выводит зрелость кибербезопасности на новый уровень.
Являясь лидером в области проактивной безопасности, пионером в управлении рисками, компания Tenable установила, что зрелость программ проходит пять уровней: Ad Hoc, Defined, Standardized, Advanced и Optimized. В нижней части спектра безопасность носит обособленный характер, а команды не понимают междоменных взаимосвязей, которые используют злоумышленники.
Основное внимание уделяется отдельным выводам, что делает менее зрелые программы неэффективными. На верхнем конце спектра организации унифицировали свои данные, обогатили их контекстом о взаимосвязи между активами и идентичностями и сосредоточились на воздействии, чтобы избавиться от шума.
Давайте рассмотрим общие характеристики, которые определяют каждый уровень.
Модель зрелости управления рисками
Этап 1: Ad Hoc
Характеристики этапа Ad Hoc:
- Ограниченные инструменты (например, Nessus)
- Высокая реактивность
- Отсутствие определенных процессов
Ad Hoc – это самый низкий уровень зрелости, при котором безопасность является частью работы. Как правило, в таких организациях есть очень небольшие команды универсальных специалистов, которые занимаются как ИТ, так и безопасностью. Если вы находитесь на этом уровне, у вас, вероятно, также есть минимальный набор инструментов, и вы, возможно, полагаетесь на бесплатные сканеры безопасности, такие как инструменты оценки уязвимостей, или функции безопасности, предоставляемые в рамках существующих ИТ-инструментов.
Сканирование проводится нечасто. В результате возникают значительные пробелы в видимости и регулярных тренировках по предотвращению атак. Команды обычно действуют реактивно и сосредоточены на поддержании работоспособности, а не на проактивном сокращении уязвимой поверхности атаки.
На данном этапе у вас, вероятно, нет документированных процессов или передовых практик.
Модель зрелости управления рисками
Этап 2: Defined
Характеристики этапа Defined:
- Приоритетные разрозненные инструменты (например, управление уязвимостями и сканирование веб-приложений)
- Ручные, документированные процессы
- Некоторые передовые практики
На этом этапе организации определили некоторые начальные уровни безопасности на основе существующего объема инфраструктуры и организационных приоритетов. В настоящее время большинство организаций имеют программу управления уязвимостями. Хотя сканирование проводится периодически, оно часто ограничивается серверами и конечными точками.
На этапе Defined у вас могут быть специальные сотрудники и инструменты для охвата других областей безопасности, таких как сканирование веб-приложений или управление состоянием облачной безопасности (CSPM).
Из-за разрозненности операций и отсутствия комплексных инструментов и интеграции у вас, вероятно, есть пробелы в видимости в теневых ИТ, ОТ, IoT и сторонних SaaS. Объем результатов и ограниченный контекст означают, что вы и ваши аналитики тратите много часов на ручную корреляцию и отбор информации.
Модель зрелости управления рисками
Этап 3: Standardized
Характеристики этапа Standardized:
- Надежный набор разрозненных инструментов (например, управление уязвимостями на основе рисков, облачные платформы защиты приложений и др.)
- Зрелые процессы с высокой степенью автоматизации
- Сложность масштабирования
Этот уровень зрелости, характерный для некоторых из самых опытных организаций в области безопасности и с самыми большими бюджетами в мире, часто является тем уровнем, на котором организации достигают плато. На этом этапе вы инвестировали в самый широкий спектр специализированных, лучших в своем классе инструментов для оценки каждой отдельной области безопасности на всей расширенной поверхности атаки. У вас есть высококвалифицированный, сертифицированный и преданный своему делу персонал, специализирующийся в каждой области. Вы также задокументировали процессы и, возможно, даже используете более высокие уровни автоматизации.
Для более эффективной поддержки бизнес-приоритетов организации внедрили маркировку и усовершенствованную приоритизацию рисков, такую как управление уязвимостями на основе рисков, которое учитывает критичность активов и информацию об угрозах для улучшения оценки рисков.
Однако, несмотря на инвестиции в лучшие инструменты и персонал, а также на более ориентированный на бизнес подход к выявленным рискам, вам по-прежнему сложно справляться с растущим объемом выявленных рисков и активностью злоумышленников. У вас может быть несколько десятков инструментов и поставщиков, а также избыточные и трудоемкие процессы закупки и расходы на лицензирование. В результате некоторые руководители служб безопасности на этом этапе стремятся консолидировать усилия вокруг подгруппы стратегических поставщиков в надежде обнаружить новые экономические выгоды от масштаба.
В основе проблемы лежит разрозненный характер безопасности. Данные остаются запертыми в разрозненных инструментах, поэтому команды не понимают технических взаимосвязей между активами, идентичностями и рисками, которые им необходимо понимать, чтобы понять, как действуют злоумышленники, и какое потенциальное воздействие на организацию необходимо для повышения эффективности.
Стоит отметить: Большинство организаций относятся к уровню зрелости Defined (Определенный) или Standardized (Стандартизированный).
Модель зрелости управления рисками
Этап 4: Advanced
Характеристики уровня Advanced:
- Единые данные об активах и рисках
- Единая визуализация, оценка, рабочий процесс и отчетность
- Более значительный эффект масштаба
Чтобы перейти к этапу Advanced, необходимо объединить данные об активах и рисках из разных источников и использовать их более эффективным и результативным образом. В последние годы отрасль безопасности предприняла различные попытки решить эту проблему.
Инструменты управления поверхностью атаки кибер-активов (CAASM) были призваны объединить данные об активах из инструментов разных поставщиков, чтобы получить единое представление об активах на всей поверхности атаки. Аналогичным образом, решения для унифицированного управления уязвимостями (UVM) пытались объединить результаты анализа рисков из разных инструментов в одном месте. Однако ни одно из этих решений не решает проблему в полном объеме и не удовлетворяет потребностям команд безопасности.
В результате мы видим, что многие организации пытаются создать его самостоятельно, экспортируя данные об активах и рисках из всех своих инструментов в единое хранилище данных. Проблема заключается в том, что унификация – это только часть задачи. Разработка, необходимая для сбора данных в одном месте и дальнейшей работы с ними (будь то отчетность или организация рабочих процессов), не входит в основные компетенции команд по безопасности. А поддержка индивидуально разработанного решения с течением времени становится нерентабельной.
Именно здесь на сцену выходят платформы управления рисками (или платформы оценки рисков).
Вы можете добиться значительного повышения эффективности во всех областях безопасности, если у команд будет единый подход к следующим задачам:
- Визуализируйте агрегированные данные об активах и рисках
- Нормализуйте способы измерения рисков
- Последовательно внедряйте рабочие процессы
- Упростите коммуникацию, отчетность по рискам и соблюдение нормативных требований
Платформы управления рисками собирают и нормализуют данные об активах и рисках из различных наборов инструментов и от разных поставщиков, предоставляя единое представление о поверхности атаки и единый подход к оценке и коммуникации рисков в организации.
Но одной унификации недостаточно. Чтобы масштабировать операции и получить более высокую отдачу от существующих инвестиций в инструменты и персонал, мы также должны понимать технические и бизнес-связи, которые используют злоумышленники, – до того, как произойдут нарушения.
Модель зрелости управления рисками
Этап 5: Optimized
Характеристики уровня Optimized:
- Богатый технический и бизнес-контекст
- Высокомасштабируемая приоритизация путей атаки
- Мобилизация и инвестиции, ориентированные на уязвимости
Используя ИИ, платформы управления рисками создают надежную структуру данных, включающую активы, идентификационные данные и риски, а также широко используемые методы MITRE. Они отображают возможные пути атаки, ведущие к наиболее ценным активам, таким как критически важные серверы или учетные записи администраторов. Это те же пути атаки, которые используют злоумышленники для получения доступа, перемещения по сети и достижения своих целей.
После создания карты пути атаки приоритизируются с помощью совокупной оценки, которая учитывает, среди прочего, известную активность и тактики злоумышленников, доступность, возможность использования, радиус поражения и влияние на бизнес. Вы можете мгновенно сосредоточиться на путях атаки в контексте того, что наиболее важно для бизнеса, включая потенциальное влияние на доходы, клиентов или соблюдение нормативных требований.
Вместо того, чтобы пытаться отслеживать и устранять каждый отдельный риск, вы можете сначала сосредоточиться на устранении конкретных узких мест, которые имеют наибольший радиус воздействия и потенциальное влияние на бизнес, одновременно пресекая несколько путей атаки. Результатом являются масштабируемые операции и повышение производительности, достигаемые за счет приоритетного внимания к уязвимостям.
Готовы начать свой путь к зрелости в области управления рисками?
Каждая организация находится на разном уровне зрелости в области безопасности, но только платформа Tenable One Exposure Management Platform может ускорить достижение зрелости на каждом этапе. Объединяя разрозненные данные и предоставляя более полную информацию о ваших средствах обеспечения безопасности, управление рисками помогает вам выйти за рамки простого управления выявленными проблемами и перейти к пониманию и устранению реальных рисков.
Чтобы помочь вам понять, на каком этапе кривой зрелости управления рисками находится ваша организация, Tenable разработала бесплатный онлайн-инструмент оценки зрелости.
