Об информационной безопасности в 2021 году можно сказать что угодно, но скучной эта сфера точно не была. В прошлом году компании сталкивались с множеством проблем ИБ: от программ-вымогателей до тех, кто продает доступ, сам при этом активно не участвуя в атаках.
В отчете Red Hat Global Tech Outlook 2021 информационная безопасность названа приоритетом номер один при финансировании ИТ, 45% респондентов указали на нее как на главное направление финансирования.
Итак, делимся с вами четырьмя проблемами информационной безопасности, на которые стоит обратить внимание в 2022 году по мнению IT-World.
1. Базовые модели
Несоблюдение элементарной гигиены ИБ – основная брешь в системе защиты данных. Широкий спектр угроз, от программ-вымогателей до взлома облачных учетных записей и утечки данных, во многом обязан своей эффективностью удивительно простым ошибкам: от неправильных настроек (или даже настроек по умолчанию, оставленных без изменений) до чрезмерных привилегий пользователя.
Помимо правил установки паролей и графика обновлений системы каждой компании необходимо определить и внедрить базовую политику ИБ, идеально подходящую именно для неё. Аладдин Элстон включает в понятие «базовая политика информационной безопасности» управление обновлениями, моделирование угроз, сканирование DAST и SAST, сканирование внутренних и внешних уязвимостей, тестирование на проникновение, защиту от фишинговых атак, стороннюю оценку уязвимостей, резервное копирование и аварийное восстановление.
2. Невозможность приоритезировать всё
Вы не можете одновременно защитить компанию от всех угроз, поэтому для начала выявите самые актуальные. Аладдин Элстон рекомендует начать с инвентаризации всех активов. Вы не можете тестировать или защищать то, о чем не знаете – ваша инфраструктура становится основой как для внутренней, так и для внешней оценки уязвимостей.
Список обнаруженных рисков и уязвимостей, особенно если копаться во внешних фреймворках или других ресурсах, охватывающих известные угрозы и CVE, может показаться бесконечным. Не нужно хвататься за всё сразу. Так вы рискуете растратить силы на ненужные действия. Лучше уменьшить список проблем, которые вам нужно решить прямо сейчас.
Такой подход дает 2 основных преимущества. Во-первых, будете бить в одну точку, не распыляя ресурсы, а значит, быстрее придете к результату. Во-вторых, сосредотачиваясь на наиболее серьезных уязвимостях, вы начинаете выявлять закономерности, которые повторяются где-то еще.
3. Цепочки поставок
Логистические термины вполне применимы для информационных технологий. Как и в других цепочках поставок, создание, упаковка и развертывание большей части программного обеспечения зависит от другого программного обеспечения. Даже организации с крупными командами разработчиков используют код, который они писали не с нуля. «Большая часть кода не является вредоносным, но, как и все программное обеспечение, он может содержать ошибки или быть просто старой версией», – говорит технологический евангелист Red Hat Гордон Хафф.
Цепочки поставок программного обеспечения станут критически важными областями для информационной безопасности в этом году. IT-World пишет, что DevSecOps в основном фокусируется на безопасности как парадигме цепочки поставок, а не, например, на проблеме периметра сети.
4. Доступность данных
Данные – новая валюта. С этим утверждением спорить невозможно, поэтому защита данных становится всё более трудной. Каждое решение компаний – от собственных серверов до сторонних облачных решений – имеет свои недостатки, с которыми придется бороться. Гал Дискин, технический директор и соучредитель Authomize, уверен, что компаниям нужно тренировать сценарий «предположим, что нас взломали». Он уверен, что заранее продумав такой исход, компаниям будет легче изобрести лучшие инструменты защиты для уменьшения этого риска. К тому же, если сценарий станет правдой, организации смогут ограничить «радиус взрыва».
О каких из перечисленных проблем ваша компания подумала в 2021 году и уже успела к ним подготовиться?
Узнать больше о том, как построить надежную систему кибербезопасности, вы сможете на Шестой конференции «Информационные технологии в казначействе».
