Пандемия COVID-19 поставила перед руководителями служб информационной безопасности (CISO) две первоочередные задачи. Первая из них заключается в обеспечении беспрецедентных масштабов дистанционной работы из-за введения карантина и необходимости самоизоляции. Вторая задача состоит в поддержке конфиденциальности корпоративных данных, целостности и доступности сетевого трафика ввиду увеличения нагрузки на внутреннюю систему компании.

Технологические нюансы

По мере внедрения цифровых инструментов удаленной работы, позволяющих поддерживать непрерывность бизнеса, специалистам по кибер-безопасности стоит предпринять следующие действия для снижения кибер-угроз:

  • Исправление критических систем. Сокращение циклов исправлений для таких систем, как виртуальные частные сети (VPN), защита контрольных точек и облачные интерфейсы, поможет компаниям быстрее устранить уязвимости после их обнаружения.
  • Многофакторная аутентификация. Дистанционные сотрудники должны использовать многофакторную аутентификацию (MFA) для доступа к сетям и критически важным приложениям. Расширение MFA может оказаться сложной задачей, поскольку предусматривает увеличение цифрового потенциала компании для решения краткосрочных задач. Одним из методов его управления является установление приоритетов для пользователей с широкими полномочиями (администраторы домена, разработчики приложений), а также имеющих отношение к критическим операциям (например, денежные переводы).
  • Установка компенсирующих элементов управления для приложений на базе объекта, перенесенного в удаленный доступ. Некоторые приложения, такие как интерфейсы банкоматов и вики-центры сотовой связи, доступны только пользователям, работающим непосредственно на объектах компаний. Открытие доступа к ним для удаленных сотрудников предусматривает защиту приложений посредством специальных элементов управления, например, активизации VPN и ориентации только на MFA при доступе к другим элементам корпоративной среды.
  • Затенение IT. Во многих компаниях сотрудники используют так называемые теневые IT-системы, которые они устанавливают без официального одобрения со стороны IT-отдела. В условиях дистанционной работы такие системы подвергаются дополнительному риску, поскольку бизнес-процессы, зависящие от теневой IT-службы в офисе, могут выходить из строя ввиду отсутствия у сотрудников доступа к этим ресурсам. IT-команды обязаны отслеживать теневые IT-системы, которые используются или создаются персоналом для компенсирования служебных возможностей, недоступных в удаленном режиме.
  • Виртуализация устройств. Облачные решения для виртуализированных рабочих столов могут облегчить дистанционную работу, поскольку многие из них реализовываются быстрее, чем локальные решения. Но для новых решений потребуются надежные протоколы аутентификации, например, сложный пароль с дополнительным фактором аутентификации.

Персонал

Новый формат работы и дополнительный стресс требуют проявления здравого смысла в вопросах информационной безопасности. Некоторые сотрудники, заметив, что их поведение не отслеживается, могут посещать вредоносные веб-сайты, которые ранее блокировались корпоративными сетями. Создание «человеческого брандмауэра» предусматривает следующие шаги:

  • Креативное общение. Большой объем сообщений о коронавирусе может легко заглушить предупреждения о кибер-рисках. Командам по IT-безопасности необходимо использовать различные подходы для усиления бдительности сотрудников, а именно:

       1. настройка двусторонних каналов связи, позволяющих пользователям задавать вопросы, обмениваться опытом и сообщать об кибер-инцидентах в режиме реального  времени;

       2. размещение объявлений на всплывающих экранах или экранах с универсальной блокировкой;

       3. поощрение инновационного использования существующих коммуникационных инструментов с целью компенсировать потерю неформального общения в офисных условиях.

При этом, указание сотрудникам не использовать определенные инструменты, такие как потребительские веб-сервисы, контрпродуктивно. Вместо этого IT-группы должны объяснить преимущества использования утвержденных инструментов обмена сообщениями и передачи файлов для выполнения работы.

  • Повышение осведомленности о социальной инженерии. COVID-19 стал стимулом для кампаний фишинга. IT-службы должны не только уведомлять пользователей о том, что мошенники могут использовать их страх, стресс и неуверенность, но также рассмотреть возможность тестирования определенных приложений для кризисных ситуаций. По мнению Дж. Каплана, пользователи, работающие с личной информацией или другими конфиденциальными данными, представляют больший риск, чем другие (Статья «Cybersecurity Tactics for the Coronavirus Pandemic» для McKinsey, 2020). Сотрудники с высоким уровнем риска должны идентифицироваться и отслеживаться на предмет выявления противоправного поведения, например, нестандартные показатели пропускной способности или масштабная загрузка корпоративных данных.

Процессы

Немногие бизнес-процессы предназначены для поддержки удаленной работы, поэтому большинству из них не хватает правильных встроенных элементов управления. К элементам дополнительной безопасности относятся:

  • Тестирование и настройка возможностей IR и BC/DR. Даже при увеличенном трафике проверка средств удаленной связи позволяет компаниям поддерживать алгоритмы реагирования на инциденты (incident-response, IR), а также планы обеспечения непрерывности бизнеса (business-continuity, BC) и аварийного восстановления (disaster-recovery, DR). Для выявления уязвимостей, проведите короткий тест IR или BC/DR в условиях отсутствия сотрудников в офисе.
  • Защита документов. В офисе сотрудники располагают свободным доступом к цифровым механизмам обмена документами, а также к хранилищам печатных материалов. Дома, из-за дефицита ресурсов, конфиденциальная информация может попасть в мусорную корзину. Необходимо установить нормы для хранения и уничтожения физических копий документов до тех пор, пока компания не возобновит свою деятельность в привычном режиме.
  • Расширение мониторинга. Дело в том, что базовые механизмы защиты, такие как прокси-серверы, веб-шлюзы, сетевые системы обнаружения вторжений (IDS) или системы предотвращения вторжений (IPS), не защитят удаленных сотрудников, вне корпоративной сети и не подключенных в VPN. Поэтому IT-группы должны обновить инструменты управления сведениями и событиями, связанными с безопасностью (SIEM), посредством новых правил и обнаруженных хэш-кодов для вредоносных программ. Компаниям также необходимо увеличить численность персонала в операционном центре безопасности (SOC), чтобы компенсировать потерю возможностей защиты на основе сети.
  • Безопасность третьих лиц. Элементы управления дистанционной работой распространяются и на сторонних партнеров. Например, спросите у провайдеров, проводили ли они какие-либо дистанционные учения IR или BC/DR, и, в случае положительного ответа, попросите их поделиться результатами. Если третьи стороны не могут продемонстрировать адекватные меры безопасности, рассмотрите возможность ограничения или даже приостановки их доступа к корпоративным данным, пока они не исправят свои уязвимости.

Дополнительные меры

Поскольку компании усиливают внутреннюю защиту для корпоративных сетей, IT-группам необходимо наращивать свои технологические возможности и быстро вносить изменения в текущие рабочие процессы. Фирмам следует обеспечить высокий сетевой трафик и объем транзакций, создав технические блоки, такие как брандмауэр веб-приложений, сертификация защищенных сокетов (SSL), мониторинг сети и анализ мошенничества. По мере роста трафика компании должны предпринять дополнительные действия для минимизации кибер-рисков:

  • Усилить мониторинг угроз в сети. Например, для выявления интереса мошенников к корпоративным веб-технологиям, фирмы могут проводить расширенные пассивные проверки доменных имен на наличие новых вредоносных сигнатур, адаптированных к домену предприятия, или на количество конкурентных сканов, нацеленных на предприятие.
  • Улучшить управление мощностью. Громоздкие веб-платформы труднее отслеживать и защищать от кибер-атак. IT-группы могут отслеживать производительность приложений с низкой стоимостью или даже рекомендовать удаление некритических функций для увеличения пропускной способности сети.
  • Интеграция с SOC. Компаниям, поддерживающим выполнение финансовых транзакций, следует рассмотреть возможность интеграции существующей аналитики с рабочими процессами SOC для ускорения проверок и выявления мошеннических операций. При этом, многие инструменты SOC формируют плату за мониторинг данных на основе объема анализируемых записей. Поскольку использование сведений увеличивается с расширением сетевого трафика, организациям стоит рассчитывать на увеличение затрат.

Таким образом, выше описанные действия, хотя не являются исчерпывающими, ориентируют компании на преодоление проблем безопасности в условиях дистанционной деятельности. Они помогут не только сохранить репутацию среди клиентов и других заинтересованных сторон, но и обеспечить комфортную работу сотрудников и предприятия в целом.

Источник:

https://www.mckinsey.com/business-functions/risk/our-insights/cybersecurity-tactics-for-the-coronavirus-pandemic

Читайте также: