מעבר למשילות ותאימות: מדוע זה סיכון ביטחוני זה מה שחשוב

מנדט של ענף פטריות וממשל השולטים בביטחון IT הוביל לסביבה מפוקחת ביותר ולתרגילי כיבוי שנתיים. מספר התקנות שמשפיעות על ארגונים ממוצעים יכול בקלות לעלות על תריסר ומעלה, ולהצמיח מורכבות יותר ביום. זה מכריח את מרבית החברות להקצות כמות מקיפה של משאבים למאמצי ממשל ותאימות בראש רשימת העדיפויות הארוכה שלהם. האם המאמצים הללו מוצדקים? או פשוט דרישת תיבת סימון כחלק מגישה מונעת ציות לביטחון?

האמת המרה היא שאתה יכול לתזמן ביקורת, אך אינך יכול לתזמן התקפת רשת. כמעט בכל יום, אנו נזכרים בעובדה זו כאשר הפרות חדשות חדשות. כתוצאה מכך, ארגונים רבים הגיעו למסקנה שכדי לקבל תובנה לגבי תנוחת הסיכון שלהם, עליהם לחרוג מהערכות ציות פשוטות. כתוצאה מכך הם לוקחים בחשבון איומים ופגיעויות, כמו גם השפעה עסקית. רק שילוב של שלושת הגורמים הללו מבטיח ראייה הוליסטית של סיכון.

מלכודת הציות

ארגונים הרודפים גישה לניהול סיכונים עם תיבות סימון ותאימות רק משיגים אבטחה נקודתית בזמן. הסיבה לכך היא שתנוחת האבטחה של החברה היא דינאמית ומשתנה עם הזמן. זה הוכח שוב ושוב.

לאחרונה ארגונים מתקדמים החלו לנקוט בגישה פרואקטיבית ומבוססת יותר על סיכון לביטחון. המטרה במודל מבוסס סיכון היא למקסם את היעילות של פעולות אבטחת ה- IT של הארגון ולהעניק נראות לתנוחת סיכון ותאימות. המטרה הסופית היא להישאר בתאימות, להפחית סיכון ולהקשות את האבטחה על בסיס רציף.

מספר גורמים גורמים לארגונים לעבור למודל מבוסס סיכון. אלה כוללים, אך אינם מוגבלים ל:

• חקיקת סייבר מתפתחת (למשל, חוק שיתוף והגנה על סייבר Cyber)
• הנחיות פיקוח של משרד מבקר המטבע (OCC)

ביטחון להצלה?

מקובל לחשוב כי ניהול פגיעות ימזער את הסיכון להפרת נתונים. עם זאת, מבלי להכניס פגיעויות בהקשר של הסיכון הנלווה להן, ארגונים לא פעם מיישרים את משאבי התיקון שלהם באופן שגוי. לעתים קרובות הם מתעלמים מהסיכונים הקריטיים ביותר כאשר הם מטפלים רק ב"פירות בעלי תליה נמוכה ".

זה לא רק בזבוז כסף, אלא הוא גם יוצר חלון הזדמנויות ארוך יותר עבור האקרים לנצל פגיעויות קריטיות. המטרה הסופית היא לקצר את התוקפים שנאלצים לנצל פגם בתוכנה. לפיכך, יש להוסיף לניהול הפגיעות גישה הוליסטית המבוססת על סיכון לאבטחה, הרואה בגורמים כמו איומים, יכולת הגעה, עמדת הציות של הארגון והשפעה עסקית. אם האיום אינו יכול להגיע לפגיעות, הסיכון הקשור בו מופחת או מבוטל.

סיכון כאמת בלעדית

תנוחת הציות של ארגון יכולה למלא תפקיד חיוני באבטחת ה- IT על ידי זיהוי בקרות מפצות שניתן להשתמש בהן כדי למנוע איומים להגיע ליעד שלהם. על פי דוח החקירות על הפרות נתונים על Verizon לשנת 2013, ניתוח הנתונים שהתקבלו מחקירות הפרה שביצעה ורייזון וארגונים אחרים במהלך השנה הקודמת, ניתן היה להימנע מ 97- אחוז מקרי האבטחה באמצעות בקרות פשוטות או ביניים. עם זאת, השפעה עסקית היא גורם קריטי לקביעת הסיכון בפועל. לדוגמה, פגיעויות המאיימות על נכסים עסקיים קריטיים מייצגות סיכון גבוה בהרבה מאלו הקשורים ליעדים פחות קריטיים.

תנוחת ציות בדרך כלל אינה קשורה לקריטיות העסקית של הנכסים. במקום זאת, בקרות מפצות מיושמות באופן כללי ונבדקות בהתאם. ללא הבנה ברורה של הביקורת העסקית שמייצג נכס לארגון, ארגון אינו מסוגל לתעדף את מאמצי התיקון. גישה מונעת סיכון מטפלת הן בתנוחת האבטחה והן בהשפעה העסקית כדי להגביר את היעילות התפעולית, לשפר את דיוק ההערכה, לצמצם את משטחי ההתקפה ולשפר את קבלת החלטות ההשקעה.

כאמור, הסיכון מושפע משלושה גורמים עיקריים: תנוחת ציות, איומים ופגיעויות והשפעה עסקית. כתוצאה מכך, חיוני לצבור אינטליגנציה ביקורתית לגבי עמדות סיכון ותאימות עם מידע איום עדכני, חדש ומתעורר כדי לחשב את ההשפעות על פעולות עסקיות ולקבוע סדר עדיפות לפעולות התיקון.

שלושה אלמנטים לתפיסת סיכון הוליסטית

ישנם שלושה מרכיבים עיקריים ליישום גישה מבוססת סיכון לאבטחה:

• עמידה רציפה כוללת התאמה בין נכסים ואוטומציה של סיווג נתונים, יישור בקרות טכניות, אוטומציה של בדיקות ציות, פריסת סקרי הערכה ואוטומציה של איחוד נתונים. עם תאימות מתמדת, ארגונים יכולים להפחית חפיפה על ידי מינוף מסגרת בקרה משותפת כדי להגדיל את הדיוק באיסוף נתונים וניתוח נתונים, ולצמצם מאמץ מיותר, כמו גם ידני, עתיר עבודה בשיעור של עד 75 אחוזים.
• ניטור רציף מרמז על תדירות מוגברת של הערכות נתונים ומחייב אוטומציה של נתוני אבטחה על ידי צבירה ונורמליזציה של נתונים ממגוון מקורות כמו מידע אבטחה וניהול אירועים (SIEM), ניהול נכסים, עדכוני איומים וסורקי פגיעות. בתורו, ארגונים יכולים להפחית עלויות על ידי איחוד פתרונות, ייעול תהליכים, יצירת מודעות מצבית לחשיפת מעלולים ואיומים במועד ובאיסוף נתוני מגמה היסטוריים, שיכולים לסייע בביטחון חזוי.
• תיקונים מבוססי סיכונים עם לולאה סגורים ממנפים מומחי נושאים בתוך יחידות עסקיות להגדרת קטלוג סיכונים וסבילות סיכון. תהליך זה כולל סיווג נכסים להגדרת ביקורתיות עסקית, ניקוד רציף המאפשר עדיפות מבוססת סיכון ומעקב ומדידה של לולאה סגורה. על ידי הקמת לולאת סקירה רציפה של נכסים קיימים, אנשים, תהליכים, סיכונים פוטנציאליים ואיומים אפשריים, ארגונים יכולים להגדיל באופן דרמטי את היעילות התפעולית, תוך שיפור שיתוף הפעולה בין פעולות עסקיות, אבטחה ו- IT. זה מאפשר לבצע מדידה של מאמצי אבטחה - כגון פתרון זמן, השקעה באנשי פעולות אבטחה, רכישת כלי אבטחה נוספים.

בשורה התחתונה על סיכון ותאימות

מנדרי הציות מעולם לא נועדו לנהוג באוטובוס אבטחת ה- IT. עליהם למלא תפקיד תומך במסגרת אבטחה דינאמית המונעת על ידי הערכת סיכונים, פיקוח רציף ותיקון לולאה סגורה.