Громкие нарушения являются лишь верхушкой айсберга. Многие нарушения так никогда и не были обнаружены или раскрыты. И если не внести изменений в основную инфраструктуру, то ситуация будет лишь ухудшаться.
Sony. Гимн. Офис по управлению персоналом. Цель. Yahoo. За последние два года мы становились свидетелями мега-нарушений — одного за другим. И 2017 годом обещает быть самым катастрофическим.
Эксперты по безопасности уже давно предупреждали, что большинство организаций даже не знают, что подверглись взлому. Злоумышленники действуют скрытно, чтобы больше разузнать о сети, найти ценную информацию и системы, и украсть желаемое. Только в последнее время организации начали совершенствовать свои усилия по обнаружению нарушений, начали инвестировать время, капитал и труд специалистов для выявления уязвимостей. При этом полученные результаты часто вызывают тревогу.
«Я думаю, что в 2017 году мы обнаружим еще больше нарушений», — говорит Рей Ротрок, генеральный директор компании RedSeal, специализирующейся на аналитике в сфере безопасности.
Все крупные нарушения до сих пор имели одну общую черту: первоначальное заражение зловредом или сетевое вторжение, которые дают атакующим точку входа в сеть. «Все это началось еще в 2013 году», — говорит Ротрок. «Тогда в мир было выпущено много всего плохого, что попало также в корпоративные и правительственные сети».
Призраки в компьютере
Три или четыре года назад, организации только начали узнавать о APT (развитых устойчивых угрозах) и осознавать распространенность атак нулевого дня. Это дало атакующим промежуток времени, в течение которого они могли инфицировать системы сложными вредоносными программами или глубоко внедриться в сеть, не будучи обнаруженными. Было бы наивно полагать, что все основные утечки данных уже были обнаружены.
«Имеется осведомленность о том, что лиса уже проникла в курятник, и нам нужно что-то с этим делать, решать проблему, которая нам уже известна», — говорит Ротрок.
Другими словами, нарушение могло иметь место несколько лет назад, но ИТ-команды не удосужились обнаружить его. Нарушения, в конечном итоге, могут быть выявлены в результате допущенных хакерами ошибок, благодаря усовершенствованию систем обнаружения и т.д. Но мы никогда не узнаем степень нанесенного ущерба, потому что подавляющее большинство случаев нарушения умалчивается.
Незарегистрированная кража
Организации обязаны сообщать об украденных или раскрытых данных, если они включают в себя конфиденциальную информацию или личную медицинскую информацию, но большинство организаций не обладают ни той, ни другой. Из-за отсутствия нормативных требований относительно уведомления об украденной интеллектуальной собственности или других чувствительных корпоративных данных, промышленные организации, производственные компании, консалтинговые фирмы, а также юридические лица, как правило, сохраняют молчание.
Под чувствительными данными подразумевается не только финансовая информация. «Важное значение имеет интеллектуальная собственность. Для компании, которая строит или проектирует АЭС, одно – если хакеры атакуют непосредственно атомную станцию, совсем другое – когда в руки злоумышленников попадают чертежи, рассказывающие им, как лучше атаковать», — говорит Ротрок.
Никто бы никогда не узнал о Панамских бумагах , похищенных из юридической фирмы Mossack Fonseca в прошлом году, если бы файлы не просочились к журналистам. Отчет ABA Legal Technology Survey Report за 2015 год, показал, что только 23% респондентов из компаний, с числом поверенных более 100, сообщили о нарушениях в системе безопасности, но при этом имена пострадавших компаний не были оглашены. Если у аэрокосмической компании украдены чертежи новых самолетов, а у фармацевтической компании — исследования новых лекарств, то это будет известно лишь пострадавшей организации, консультантам, нанятым для оценки ущерба и проведения восстановительных работ и, возможно, правоохранительным органам, если они были привлечены к расследованию инцидента.
«Мы сталкивались со множеством случаев, когда компании не сообщали об утечке информации. Они обращались к нам, и мы помогали им решить проблему. Уверен, что не одни мы такие», — говорит Ротрок.
Подсчет расходов
Нарушения данных являются дорогостоящими, и затраты включают себя гораздо больше, чем непосредственные расходы на уведомление жертв и на работу консультантов или экспертов, помогающих обнаружить и исправить проблему.
Прочие расходы включают в себя время простоя, снижение производительности, отток клиентов и потерю доходов. Если организации обнаруживают нарушения спустя несколько лет после того, как они имели место, как это произошло с Yahoo, им также приходится платить за то, что Ротрок называет «инженерными услугами», составляющими часть расходов по восстановлению и реабилитации.
Если потребовалось много времени для обнаружения нарушения, то это говорит о том, что есть что-то в существующей инфраструктуре, что препятствовало обнаружить это раньше. Это требует изменения архитектуры инфраструктуры, что, как правило, представляет собой дорогостоящий и трудоемкий проект. Но это не всегда принимается во внимание. «Большинство людей не пытаются выяснить, чем они уже обладают, и продолжают добавлять все новую информацию», — говорит Ротрок.
Реструктуризация защиты
Растущая сложность сетей, в том числе внедрение облачных решений, появление Интернета Вещей и образование потока данных между несколькими устройствами, усложняет задачу по навигации всех составляющих. Однако, для хакеров ничего не изменилось. Вредоносные программы продолжат заражать новые системы, а хакеры будут и дальше охотиться за данными.
«Труднее найти иголку в стоге сена, когда этот стог становится все больше», — говорит Ротрок.
В то же самое время, доступные средства защиты безопасности намного лучше тех, которые использовались три года назад. Ротрок использует метафору из строительной отрасли: «Рассмотрим, как построены современные здания. Они снабжены детекторами тепла, утечек газа, а также перепадов давления. Стены построены из несгораемых материалов, имеются защитные меры для предотвращения пожара. Это аналогично реинжинирингу сферы информационной безопасности, необходимому для предотвращения атак».
«Старые небоскребы являются легкой добычей, как стало известно после того, как некоторые из них сгорели. В новых небоскребах почти никогда не случаются пожары», — говорит Ротрок. «Мы должны сделать подобное и в сфере информационной безопасности».
Другие записи
© editor for Царев Евгений, 2017. | Permalink | No comment
Feed enhanced by Better Feed from Ozh
