В последние несколько лет наблюдается рост количества и типов инструментов безопасности, которые организации могут использовать для своей защиты. У вас могут быть инструменты, инструменты для интеграции инструментов, инструменты для мониторинга инструментов, API, панели мониторинга (так много панелей мониторинга) и машинное обучение со всем.
И все же на этом фоне быстро растущей сложности системы безопасности эпидемия программ-вымогателей заметно усугубилась. И по мере того, как 2021 год подходит к концу, преступники также продолжают регулярно использовать уязвимости, которые их жертвы могли исправить три года назад.
Ортодоксальное объяснение этому состоит в том, что мы все вместе недостаточно сложны — мы просто не в состоянии принять новые технологии достаточно быстро, чтобы противостоять последним угрозам. В некоторых организациях именно это и происходит, но все ли это?
Слишком много хорошего
Год назад в ежегодном отчете IBM Cyber Resilient Organization Report (основанном на опросе 3400 ИТ-специалистов и специалистов по безопасности, проведенном институтом Ponemon) было обнаружено интересное последствие использования всего этого инструментария: слишком большое количество инструментов ослабляет киберустойчивость. В нем говорилось: «Исследование показало, что количество решений и технологий безопасности, используемых организацией, отрицательно сказывается на ее способности обнаруживать, предотвращать, сдерживать и реагировать на инциденты кибербезопасности».
IBM — не единственное недавнее исследование, выявившее эту проблему. Ранее в этом году поставщик услуг безопасности Reliaquest сотрудничал с IDG над отчетом о разрастании технологий, в котором отмечалось примерно то же самое: «Большинство респондентов (92%) согласны с тем, что наступает переломный момент, когда количество имеющихся инструментов безопасности негативно влияет на безопасность. Семьдесят восемь процентов заявили, что достигли этого переломного момента».
А может быть и другая проблема, связанная с этим.
В социальных сетях, примерно в то же время, когда Reliaquest опубликовал свой отчет, вездесущий авторитет в сфере безопасности Кевин Бомонт лаял на соседнее дерево. В ответ на одобрительные кивки профессионалов в области безопасности он отметил, что «обычное дело в кибербезопасности» — это «покупка лучших решений… а затем отсутствие ресурсов/навыков/чего-либо еще, чтобы на самом деле использовать это решение».
«Вы можете купить лучшее — можете ли вы управлять лучшим? Если нет, то это не лучший вариант».
Вид из окопов
Чтобы узнать больше об этих проблемах, приведем поговорил с Кристал Грин, директором Malwarebytes по работе с клиентами (Customer Success).
Фактически, само существование группы Customer Success предполагает, что эти идеи имеют смысл. Как объяснила Грин, часть ее работы заключается в том, чтобы убедиться, что клиенты не остались позади: «По мере изменения ландшафта угроз поставщики программного обеспечения безопасности должны постоянно улучшаться, добавляя новые функции и средства защиты… это наша работа [в команде Customer Success], чтобы клиенты знали о передовых методах развертывания и обслуживания наших решений и получали максимальную отдачу и защиту от своих инвестиций».
На вопрос о том, не сталкивалась ли она с проблемой, выявленной IBM и Reliaquest, когда у некоторых компаний слишком много инструментов (в конце концов, мы все годами проповедуем «глубокую защиту», так разве разнообразие инструментов — это не хорошо?), она ответила: «Хотя необходим многоуровневый подход к безопасности, чем больше инструментов находится в стеке безопасности, тем выше вероятность конфликтов между инструментами. Кроме того, ключевые качества и функции могут быть намеренно или ошибочно отключены, что приведет к нарушению защиты».
А как насчет проблемы, которую подняли Бомонт и его последователи, о том, что компании покупают качественное программное обеспечение, которое они затем изо всех сил пытаются внедрить? Интересно, была ли это просто эхо-камера социальных сетей на работе или она сама видела это.
«Мы видим множество компаний, которые покупают программное обеспечение, но на самом деле не развертывают и не используют его. Иногда его вообще не внедряют, а иногда ключевые функции не используются», — сказала Кристал Грин.
Причины будут знакомы любому, кто работал в корпоративном ИТ-отделе. Грин объясняет: «Это происходит по многим причинам, включая конфликты со временем, другие приоритетные проекты, которые делают внедрение программного обеспечения менее приоритетным, или может отсутствовать полное понимание того, как наилучшим образом использовать решение».
Так могут ли компании просто вовремя заморозить свои решения безопасности и прекратить обновлять? К сожалению нет. По ее словам, злоумышленники не стоят на месте, и современные инструменты очень важны. Просто владеть инструментами недостаточно.
«Мы все видели в новостях в этом году множество компаний, пострадавших от атак программ-вымогателей. Очень важно, чтобы у бизнеса (и отдельных лиц) были правильные инструменты. Но эти инструменты также необходимо правильно внедрять, настраивать и обслуживать», — отметила Кристал Грин.
Безопасность как процесс
Грин рекомендует компаниям управлять своими инструментами безопасности как непрерывным процессом, а не проектом, независимо от того, что их поставщик говорит о простоте установки программного обеспечения.
«Каждая среда индивидуальна, и среды меняются со временем, поэтому важно, чтобы администраторы проводили регулярные проверки каждого инструмента, чтобы убедиться, что конфигурация соответствует их текущим потребностям безопасности, и, если определенная функция отключена, риски, связанные с этим решением, понятны», — сказала она.
Это все хорошо, но у администраторов есть много дел. А как насчет тех, кто не знает того, чего не знает?
«Мы справляемся с этим, проводя бизнес-обзоры с нашими клиентами, где мы продемонстрируем, что идет хорошо, а также укажем на пробелы, включая неиспользуемые функции и возможности», — ответила Грин.
Она считает, что построение таких отношений имеет решающее значение для «кибер-умного» решения проблемы разрастания технологий. Также она думает, что поставщики должны быть открыты, чтобы позволить клиентам формировать программное обеспечение, которое они используют, сидеть в консультативных советах и даже разговаривать с инженерными команды напрямую.
И как сказал Бомонт, безопасность — это не инструменты, которые вы можете себе позволить, а инструменты, которыми вы можете эффективно пользоваться.
