Генеративный анализ данных

Информационная безопасность

Ребалансировка NIST: почему «восстановление» не может существовать в одиночку

Переиздано Платоном
Переиздано Платоном

Дата:

Вид: 0

КОММЕНТАРИЙ

Поскольку цифровой ландшафт становится все более коварным, компании, наконец, начинают рассматривать кибербезопасность как главный операционный риск. А для предприятий, пересматривающих свои стратегии безопасности данных, обновленное руководство Национального института стандартов и технологий (NIST), ключевой советник правительства США по техническим стандартам, является хорошей отправной точкой. НИСТ рамки кибербезопасности, впервые выпущенный в 2014 году, стал ведущим образовательным и академическим справочником. Новейшая версия включает важные обновления, такие как добавление управления данными в качестве одного из основных компонентов. К сожалению, он существенно отстает. В нем недостаточно говорится о самом важном компоненте любого комплексного и современного плана кибербезопасности: способности оправляться от кибератаки. 

Важно помнить, что восстановление после атаки — это не то же самое, что аварийное восстановление или непрерывность бизнеса. Недостаточно просто присоединить функцию восстановления к более широкому плану реагирования на инциденты. Восстановление должно быть укоренившийся в стек безопасности и в ваши планы реагирования. И даже вне сценария кризиса должен быть установлен непрерывный цикл обратной связи, в котором все части функции кибербезопасности, включая восстановление, всегда обмениваются информацией и являются частью одного и того же рабочего процесса. 

Учитывая постоянный ландшафт угроз и растущее число обязательных нормативных актов, таких как Закон ЕС о цифровой операционной устойчивости (DORA), компании должны срочно устранить пробелы в своих планах готовности к кибербезопасности.

Отход от менталитета передовой линии 

Хотя NIST представляет собой всеобъемлющую структуру, индустрия кибербезопасности (и, по доверенности, большинство компаний) уделяет гораздо больше внимания той части, которая фокусируется на предупреждение кибератаки. Это важно, но предотвращение никогда не может быть гарантировано и не должно осуществляться за счет комплексного плана безопасности. 

Компания, которая использует только NIST Cybersecurity Framework, поставит эту компанию в положение, когда ей не хватает инвестиций в реагирование на текущие и будущие сценарии кибератак. Это риск, который ни одна организация не может себе позволить. Ты будете быть нарушено. На самом деле, вы взломаны, просто вы еще этого не знаете. Это означает, что платформа восстановления должна быть интегрирована со стеком безопасности, чтобы защитить себя и бизнес-среду и гарантировать, что компания сможет вернуться к работе, что является одной из основных целей этой работы.

Как поставщики, так и клиенты должны вкладывать ресурсы в возвращение в состояние после атаки: как этого достичь, как протестировать и проверить эту возможность. Секрет надежного восстановления заключается в планировании. Чтобы по-настоящему обеспечить безопасность, предприятия должны уже сейчас предпринять шаги по интеграции технологий и людей, ответственных за восстановление, в остальную часть своей функции кибербезопасности. 

Как только это произойдет, хотя группы восстановления по-прежнему смогут действовать независимо, существует непрерывная петля обратной связи. Таким образом, все различные части групп безопасности по-прежнему могут легко отправлять и получать информацию от других функций. 

Тест, тест, тест

Хотя компании часто имеют в виду временные рамки того, как быстро системы должны вернуться в строй, гораздо меньше компаний полностью продумали, что нужно, чтобы перейти в это безопасное состояние после атаки. 

Тестирование помогает определить, сколько времени должен занять каждый шаг по выявлению и устранению нарушения, поэтому у компаний есть ориентир, который можно использовать при возникновении фактического инцидента. А без надлежащего тестирования сред резервного копирования функция восстановления становится намного сложнее и потенциально более опасной. При восстановлении из непроверенной среды резервного копирования компания может непреднамеренно восстановить внедренный вредоносный код, предоставить злоумышленнику доступ или вернуться в уязвимое состояние. 

Компании должны активно проводить смоделированные или реальные учения, которые проверяют все аспекты их киберустойчивости, чтобы выявить слабые места, включая любые проблемы, которые могут повлиять на способность компании снова ввести в эксплуатацию свои ИТ-системы. 

Связывание шагов  

Интеграция инструментов восстановления в более широкий арсенал реагирования на инциденты может дать ценную информацию как при подготовке к атаке, так и при реагировании на нее. 

В наши дни современные системы восстановления могут активно отслеживать хранилища резервных копий и регулярно отправлять обратную связь группам безопасности, чтобы обнаружить любое ненормальное поведение гораздо быстрее, чем в прошлом. Это жизненно важная возможность, поскольку злоумышленники все чаще направляют свои усилия на центры обработки данных «последней мили». А по мере того, как киберустойчивая платформа восстановления интегрируется в современный стек безопасности, она должна подключаться к системам, которые преобразуют данные различных систем и сервисов, чтобы предоставить группам безопасности более полную информацию о событиях, происходящих в их среде. поскольку требуется более эффективный аудит в соответствии с различными нормативными требованиями и правилами по всему миру. 

Привлечение людей к процессу 

Хотя во многих организациях есть эксперты, прикрепленные к каждому другому процессу в рамках NIST, лишь немногие имеют команды или даже отдельные лица, занимающиеся управлением восстановлением. 

Часто эта функция находится между сферой деятельности директора по информационной безопасности (CISO) и директора по информационным технологиям (CIO), что приводит к тому, что оба предполагают, что ею владеет другой. Перегруженная работой команда безопасности обычно считает восстановление утомительным занятием, которое происходит только в конце хаотического процесса, которым должна заниматься ИТ-команда. 

Между тем, ИТ-команда, если она не занимается безопасностью, может даже не знать, что такое структура NIST. Столкнувшись с потоком жалоб, они сосредоточились на том, чтобы как можно быстрее вернуть среду в работоспособное состояние, и они могут не осознавать, насколько опасным может быть незапланированное и поспешное восстановление. 

Серьезное отношение к этому предполагает выделение ресурсов для наблюдения за восстановлением и обеспечение того, чтобы этот шаг не был упущен из виду при текущем планировании и тестировании, не говоря уже о хаосе, который часто сопровождает взлом. 

Получив стратегическое руководство от высшего руководства и назначив правильные постоянные обязанности, человек или команда по восстановлению могут обеспечить регулярное тестирование протоколов реагирования, а также служить мостом для соединения восстановления с остальной частью функции кибербезопасности.  

Самый важный шаг

В эту эпоху, когда каждый бизнес должен предполагать, что он подвергся взлому, восстановление должно быть признано столь же важным, как и другие шаги в рамках NIST. Или, может быть, даже БОЛЕЕ важный.

Компании, которые занимаются только киберзащитой, в конечном итоге проиграют. Они играют в игру, в которой, по их мнению, важен счет. Защитники могут набрать 1,000 очков, но проиграют нападающему, который забьет один раз. Просто невозможно гарантировать победу над противником, который играет вне правил и контролирует, когда и как ведется игра.

Предприятия должны выделять ресурсы для подготовки к кибератакам. Без проверенного плана реагирования на безопасное и надежное возобновление операций у компаний не будет иного выбора, кроме как подчиниться требованиям злоумышленников, заплатить выкуп и тем самым придать смелости злоумышленнику.

Spot_img

Последняя разведка

Spot_img

Авторские права @ 2024 Plato Technologies Inc.

Чат с нами

Всем привет! Могу я чем-нибудь помочь?