V rámci proaktivní správy rizik ve společnosti Verizon konsolidujeme nástroje a týmy, abychom se zaměřili na reálná, zneužitelná rizika. Sloučením útočných bezpečnostních funkcí v rámci jednotné strategie, upřednostňováním zneužitelných hrozeb a podporou spolupráce přesouváme naši pozornost od nápravných opatření založených na dodržování předpisů k nápravným opatřením založeným na riziku.
Znáte ten příběh: My, kteří se věnujeme kybernetické bezpečnosti, hrajeme hru s vysokými sázkami Whac-a-mole® téměř každý den. Trávíme život hledáním zranitelností a vydáváním (nebo reagováním na) příkazy jako „Oprava do 30 dnů“ nebo „Kód červená, oprava hned!“.
Ale s tím, jak se rozšiřují oblasti útoků a aktéři hrozeb se stávají sofistikovanějšími, se tento reaktivní přístup stal nedostatečným.
Ve společnosti Verizon si uvědomili, že v tak heterogenním prostředí, které musí sloužit rozmanitým potřebám firem, maloobchodu, mobilních terénních techniků a dalších, nejlepším řešením není další sbírka různorodých technologií. Potřebovali jednotnou konsolidovanou platformu pro správu expozic, která by pokryla každý koutek našeho podniku. Cesta k tomuto cíli prolomila bariéry a posunula naše myšlení od zaměření na dodržování předpisů k zaměření na rizika.
Důležité je, že ještě předtím, než vůbec uvažovali o nových technologiích, museli sladit několik týmů, každý s vlastními nástroji a prioritami, pod společnou strategií.
Spojení samostatných nástrojů do jednoho
Bezpečnostní týmy vždy žonglovaly s různorodou směsicí nástrojů: samostatné nástroje pro správu povrchů útoků, viditelnost aktiv, skenování zranitelností, odhalování identit a cloudovou bezpečnost. Ve většině společností řešení provozují různé týmy a každý z nich vyžaduje vlastní sadu odborných znalostí. Účelem fragmentace je zajistit, abyste měli lidi se správnými dovednostmi, kteří řeší správné problémy.
Izolovaný přístup zpomaluje dobu odezvy a vytváří slepá místa, která mohou nechat kritické zranitelnosti neřešené jednoduše proto, že spadají mimo oblast odbornosti týmu. Analýzu útočných cest nelze provádět izolovaně!
Nechceme se jen zabývat zaškrtáváním políček.
Potřebovali vytvořit bezpečnostní program, který upřednostňuje reálná rizika, spíše než každou zranitelnost. A v tomto úsilí je jasné, že hodnota integrovaného přístupu převažuje nad výhodami specializovaných funkcí.
Abychom se s těmito výzvami vypořádali, rozhodli se pro konsolidaci pod jednou platformou: Tenable One.
Klíč k řízení změn: Trocha Dale Carnegieho
I když správná platforma hraje klíčovou roli, implementace správy expozice není čistě technická. Je organizační. Spuštění programu správy expozice znamená přesun odpovědnosti za klíčové, izolované bezpečnostní funkce, což může vyžadovat, aby týmy spolupracovaly způsobem, jakým to dříve nebylo možné.
Například ve společnosti Verizon dříve správu povrchů útoků řešil samostatný tým. Nyní jsou tito jednotlivci součástí mé skupiny. Tým Active Directory, který provozuje nástroje pro odhalování identity, jako je Bloodhound, zůstává nezávislý, ale úzce spolupracujeme, takže bezpečnostní poznatky vnímají spíše jako cenné než jako trestné.
Specialisté na bezpečnost internetu věcí (IoT) a operačních technologií (OT), kteří dříve používali jinou sadu nástrojů, nyní pracují ve stejném rámci.
Bezpečnostní týmy zvyklé pracovat izolovaně nyní musí sdílet data a rozhodovací procesy, což může být náročné. Zjistil jsem, že klíčem k překonání tohoto problému je transparentnost a partnerství.
Pravidelné čtení Dalea Carnegieho může být ve skutečnosti stejně důležité jako denní dávka Briana Krebse.
Aby usnadnili přechod, spíše než abychom vnucovali nařízení shora dolů, zaměřili se na sladění týmů prostřednictvím sdílených cílů, jasné komunikace a demonstrace hodnoty v rané fázi procesu. Zapojením zúčastněných stran od samého začátku, v oblastech, jako je zabezpečení identit, IT provoz a cloudová bezpečnost, zajišťujeme, aby změna nebyla něčím, co se jim děje , ale něčím, co aktivně utvářejí a podporují.
Chceme zdůraznit, že nic z toho se nestalo přes noc.
Vyžadovalo to podporu na vysoké úrovni a pečlivé plánování. Tyto týmy nebyly jen požádány o používání nového nástroje, ale o změnu způsobu práce. Jediný způsob, jak dosáhnout úspěšného přechodu, je ukázat členům týmu, jak jim tento přístup práci usnadňuje, nikoli ztěžuje.
Přestaň se snažit všechno opravit
Jedním z největších posunů v myšlení v oblasti řízení rizik je uznání, že ne každou zranitelnost je třeba okamžitě opravit. Jistě, může být těžké to pochopit. Ale když je všechno kritické, nic není kritické. A takový přístup vede jen k vyhoření, neefektivitě a dalším rizikům.
Ve Verizonu se místo toho zaměřujeme na zranitelnosti, které lze skutečně zneužít a jsou součástí realistické útočné cesty.
Takže pokud se v aplikaci nachází kritická zranitelnost, ale útočník nemá proveditelný způsob, jak se k ní dostat, měla by být skutečně nejvyšší prioritou? Na druhou stranu, pokud zranitelnost poskytuje přímou cestu k cennému aktivu, musíme se s ní okamžitě vypořádat.
Klíčem je prioritizace na základě reálných scénářů útoků, nikoli libovolného skóre závažnosti.
Spolupráce s vrcholovým managementem
Další zásadní výhodou řízení rizik je, jak mění bezpečnostní konverzace na úrovni vedení. Místo předkládání dlouhých seznamů zranitelností, které pro netechnické vedoucí pracovníky nic neznamenají, můžeme prezentovat jasný obraz v několika klíčových bodech:
- Co je v ohrožení?
- Jak by se dovnitř mohl dostat útočník?
- Jaké jsou nejnaléhavější priority k nápravě?
A když se objeví závažná zranitelnost, nemusíme se snažit zjistit, zda jsme postiženi. Data máme na dosah ruky. To je skutečná hodnota správy expozice: rychlost, srozumitelnost a schopnost zasáhnout dříve, než to udělají útočníci.
Budoucnost kybernetické bezpečnosti spočívá v proaktivním řízení expozice
Ve své podstatě spočívá řízení rizik v přechodu od reaktivního zabezpečení k proaktivnímu zabezpečení. Nejde už jen o opravu zranitelností. Jde o pochopení rizika v kontextu podnikání.
S tím, jak se tímto směrem ubírá stále více organizací, se bude řízení expozice dále vyvíjet.
Probíhá konsolidace dodavatelů, týmy se restrukturalizují a bezpečnostní lídři si uvědomují, že záplatování všeho všude najednou je nemožný úkol.
Stejně jako Verizon se tedy toto odvětví musí zaměřit na to, na čem skutečně záleží: na prevenci útoků, které by mohly vést k narušení bezpečnosti.
Pro více informací nás neváhejte kontaktovat.
Zdroj: Tenable
