A kormányzáson és a megfelelésen túl: miért számít a biztonsági kockázat?

A gombaépítő ipar és az informatikai biztonságot irányító kormányzati megbízások rendkívül szabályozott környezetet és éves megfelelési tűzoltó gyakorlatokat eredményeztek. Az átlagos szervezeteket érintő szabályozások száma könnyen meghaladhatja a tucatot vagy annál is többet, és napról napra bonyolultabbá válhat. Ez arra kényszeríti a legtöbb társaságot, hogy rendkívül sok erőforrást rendeljen el az irányítási és megfelelési erőfeszítésekhez az informatikai prioritásaik hosszú listájának tetején. Indokolt-e ezeket az erőfeszítéseket? Vagy egyszerűen egy jelölőnégyzetre vonatkozó követelmény a megfelelés alapú biztonsági szemlélet részeként?

A keserű igazság az, hogy be tudja ütemezni az ellenőrzést, de nem ütemezheti a kibertámadást. Szinte minden nap emlékeztetünk erre a tényre, amikor a jogsértések főcímeket jelentenek. Ennek eredményeként számos szervezet arra a következtetésre jutott, hogy ahhoz, hogy betekintést nyerjen a kockázati testtartásba, túl kell lépnie az egyszerű megfelelőségértékelésen. Ennek eredményeként figyelembe veszik a fenyegetéseket és a sebezhetőségeket, valamint az üzleti hatásokat. E három tényezőnek csak a kombinációja biztosítja a kockázat holisztikus képet.

A megfelelés bukása

Azok a szervezetek, amelyek jelölőnégyzetet és megfelelés-orientált kockázatkezelési megközelítést követnek, csak a pont-pont biztonságot érik el. Ennek oka az, hogy a vállalat biztonsági pozíciója dinamikus és idővel változik. Ezt újra és újra bebizonyították.

Az utóbbi időben a progresszív szervezetek kezdenek proaktívabb, kockázatalapú megközelítést alkalmazni a biztonság terén. A kockázatalapú modell célja, hogy maximalizálja a szervezet informatikai biztonsági műveleteinek hatékonyságát, és átláthatóságot biztosítson a kockázatok és a megfelelőségi testtartás szempontjából. A végső cél a megfelelőség megőrzése, a kockázat csökkentése és a biztonság fokozása.

Számos tényező miatt a szervezetek a kockázatalapú modell felé mozognak. Ide tartoznak többek között:

• A kialakulóban lévő számítógépes jogszabályok (például a számítógépes intelligencia megosztásáról és védelméről szóló törvény)
• Felügyeleti útmutatások a pénznemet ellenőrző hivatala (OCC) részéről

Biztonsági mentő?

Általános vélemény, hogy a sebezhetőség kezelése minimalizálja az adatok megsértésének kockázatát. Annak érdekében, hogy a sebezhetőségeket a hozzájuk kapcsolódó kockázatok közé helyezzük, a szervezetek gyakran rosszul igazítják kármentesítési erőforrásaikat. Gyakran figyelmen kívül hagyják a legkritikusabb kockázatokat, miközben csak az "alacsonyan lógó gyümölcsre" irányulnak.

Ez nem csak a pénz pazarlása, hanem hosszabb lehetőséget teremt a hackerek számára a kritikus sebezhetőség kihasználására. A végső cél az, hogy rövidítsük az ablakokat, és a támadóknak ki kell használniuk a szoftverhibát. Ezért a sebezhetőség kezelését ki kell egészíteni a biztonság holisztikus, kockázatalapú megközelítésével, amely figyelembe veszi az olyan tényezőket, mint a fenyegetések, az elérhetőség, a szervezet megfelelési testtartása és az üzleti hatás. Ha a fenyegetés nem érheti el a sebezhetőséget, akkor a kapcsolódó kockázatot csökkentik, vagy kiküszöbölik.

Kockázat, mint az egyetlen igazság

A szervezet megfelelési testtartása alapvető szerepet játszhat az informatikai biztonságban azáltal, hogy meghatározza azokat a kompenzációs ellenőrzéseket, amelyek felhasználhatók annak megakadályozására, hogy a fenyegetések elérjék a céljukat. A Verizon és a 2013. évi Verizon és más szervezetek által az előző évben elvégzett jogsértési vizsgálatokból származó adatok elemzése szerint a Verizon 2013. évi adatsértés-megsértési vizsgálata alapján a biztonsági események 97% -a volt elkerülhető egyszerű vagy közbenső ellenőrzések révén. Az üzleti hatás azonban kritikus tényező a tényleges kockázat meghatározásában. Például a kritikus üzleti eszközöket fenyegető sebezhetőségek sokkal nagyobb kockázatot jelentenek, mint azok, amelyek kevésbé kritikus célokhoz kapcsolódnak.

A megfelelési testtartás általában nem kapcsolódik az eszközök üzleti kritikájához. Ehelyett a kompenzációs kontrollokat általánosan alkalmazzák és ennek megfelelően tesztelik. Annak tisztázása nélkül, hogy az eszköz milyen kritikus kritériumokat képvisel egy szervezet számára, a szervezet nem tudja kiemelni a kármentesítési erőfeszítéseket. A kockázatalapú megközelítés foglalkozik mind a biztonsági testtartással, mind az üzleti hatásokkal a működési hatékonyság növelése, az értékelés pontosságának javítása, a támadások felületének csökkentése és a befektetési döntéshozatal javítása érdekében.

Mint korábban említettük, a kockázatot három kulcsfontosságú tényező befolyásolja: megfelelési testtartás, fenyegetések és sebezhetőségek, valamint az üzleti hatás. Ennek eredményeként elengedhetetlen, hogy az üzleti működésre gyakorolt ​​hatások kiszámítása és a helyreállítási intézkedések prioritása érdekében összegyűjtsék a kockázatokkal és a jelenlegi, új és kialakuló fenyegetésekkel kapcsolatos kockázatokkal és megfelelőségi helyzettel kapcsolatos kritikus információkat.

A kockázat holisztikus szemléletének három eleme

A biztonság kockázatalapú megközelítésének megvalósításához három fő elem van:

• A folyamatos megfelelés magában foglalja az eszközök összehangolását és az adatok osztályozásának automatizálását, a műszaki ellenőrzések összehangolását, a megfelelőség tesztelésének automatizálását, az értékelési felmérések telepítését és az adatok konszolidációjának automatizálását. A folyamatos megfelelés révén a szervezetek csökkenthetik az átfedéseket azáltal, hogy kihasználják a közös ellenőrzési keretrendszert az adatgyűjtés és az elemzés pontosságának növelése érdekében, és akár a 75% -kal csökkentik a felesleges, valamint a kézi, munkaerő-igényes erőfeszítéseket.
• A folyamatos monitorozás az adatok kiértékelésének gyakoriságát vonja maga után, és biztonsági adatok automatizálását igényli, különféle forrásokból származó adatok, például biztonsági információk és eseménykezelés (SIEM), eszközkezelés, fenyegetések és sérülékenység-leolvasók összesítésével és normalizálásával. A szervezetek viszont csökkenthetik a költségeket oly módon, hogy egységesítik a megoldásokat, korszerűsítik a folyamatokat, helyzeti tudatosságot teremtenek a kizsákmányolások és veszélyek időben történő feltárására, és összegyűjtik a történelmi tendenciaadatokat, amelyek elősegítik a prediktív biztonságot.
• A zárt hurkú, kockázatalapú helyreigazítás az üzleti egységeken keresztül felhasználja a téma szakértőit ​​a kockázati katalógus és a kockázati tolerancia meghatározására. Ez a folyamat magában foglalja az eszköz besorolását az üzleti kritika meghatározásához, a folyamatos pontozást a kockázatalapú prioritások meghatározásához, valamint a zárt hurkú követést és mérést. A meglévő eszközök, emberek, folyamatok, potenciális kockázatok és lehetséges veszélyek folyamatos áttekintési körének létrehozásával a szervezetek drasztikusan növelik az operatív hatékonyságot, miközben javítják az üzleti, biztonsági és informatikai műveletek közötti együttműködést. Ez lehetővé teszi a biztonsági erőfeszítések - például a szanáláshoz szükséges idő, a biztonsági műveletek személyzetébe történő beruházás, kiegészítő biztonsági eszközök vásárlása - mérését és kézzelfoghatóvá tételét.

A kockázat és megfelelés alsó pontja

A megfelelőségi megbízásokat soha nem tervezték az IT biztonsági busz vezérlésére. Támogató szerepet kell játszaniuk egy dinamikus biztonsági keretben, amelyet a kockázatértékelés, a folyamatos figyelemmel kísérés és a zárt hurkú helyreigazítás vezet.