14.09.20 15:30

Новости

Автор:

Администратор

Опасности высокомерия ИТ-безопасности

 Корпоративная кибербезопасность все больше подвергается риску с тех пор, как предприятия и организации в марте начали внедрять политику «работа из дома» (WFH), когда пандемия...

Корпоративная кибербезопасность все больше подвергается риску с тех пор, как предприятия и организации в марте начали внедрять политику «работа из дома» (WFH), когда пандемия коронавируса продолжала распространяться.


Автор: Ричард Адхикари 

 

Корпорация Malwarebytes в июне приступила к измерению того, как корпоративные ИТ-лидеры отреагировали на пандемию, и какие стратегии планируются в будущем. Фирма, занимающаяся разработкой программного обеспечения для защиты от вредоносных программ, опросила более 200 ИТ-специалистов компаний различного размера. Результаты этого опроса в сочетании с внутренней телеметрией фирмы показали, что многие ИТ-руководители могут быть чрезмерно уверены в протоколах и процедурах кибербезопасности, которые у них есть.

 

Например, 44 процента респондентов не проводили обучение персонала по кибербезопасности, 45 процентов не проводили анализ безопасности и конфиденциальности в сети программных инструментов, которые считались необходимыми для перехода на дистанционную работу, а 18 процентов заявили, что кибербезопасность не является приоритетом для их сотрудников.

 

Несмотря на это, более 70 процентов респондентов, участвовавших в опросе Malwarebytes, дали своей организации оценку 7 из 10, когда их попросили определить свою готовность к переходу на удаленную работу.

«Это может быть примером трудноизмеримого явления, которое мы называем высокомерием безопасности, также известного как чрезмерная уверенность в ограниченных мерах безопасности», - говорится в исследовании.

 

Восприятие против реальности

 

Нет никаких сомнений в том, что тенденция «работы из дома» привела к росту активности хакеров.

«Мы наблюдаем сильный всплеск фишинговых атак из-за пандемии COVID-19», - говорит Хлоя Мессдаги, вице-президент по стратегии в Point3 Security.

«Например, мы наблюдаем все больше попыток злоумышленников проникнуть в компании через личные адреса электронной почты и SMS-сообщения их сотрудников», - сказал Мессдаги. «Это почти непреодолимо, потому что эта пандемия делает работу хакеров намного проще».

 

Корпоративные ИТ-отделы должны это понимать, так откуда же диссонанс между самооценкой респондентов и реальностью?

«В высокомерии безопасности есть проблема, которая существует во многих других сферах – мы не знаем того, чего не знаем», - говорит Дэвид Руис, защитник онлайн-конфиденциальности в Malwarebytes Labs.

 

По его словам, высокомерие безопасности широко распространено, «но не из-за какого-либо злого умысла». Иногда это происходит скорее из-за сосредоточения внимания только на одном аспекте кибербезопасности, а не из-за игнорирования проблемы, как, например, ИТ-специалист, который фокусируется на внешних угрозах, но забывает о внутренних, или наоборот.

«Некоторые предприятия, заявляющие о своей готовности, действительно готовы, разумно готовы, но не обязательно полностью, потому что идеальная безопасность - это миф», - считает Энди Эллис, директор по безопасности Akamai Technologies, глобального поставщика услуг кибербезопасности и облачных сервисов.

«Другие организации могут думать, что они готовы, но они просто ошибаются», - добавляет Эллис. «Еще кто-то может знать, что они не готовы, но кто захочет нарисовать мишень на своей спине, признав это?»

 

Новый рубеж угроз

 

Вполне возможно, что у ИТ-специалистов не было достаточно времени, чтобы разобраться с новым аспектом охвата, добавленным феноменом «work from home», поскольку бизнес очень быстро перешел на удаленную работу.

 

В компании Akamai обнаружили, что потребление интернет-услуг на корпоративных устройствах увеличилось на 40 процентов в марте, а трафик на сайтах, связанных с вредоносным программным обеспечением, вырос на 400 процентов. «Оба эти показателя рассматриваются как результат изменений в привычках пользователей просматривать страницы, когда они работают из дома», - сделали заключение в компании.

 

С тех пор ничего не изменилось, говорит Энди Эллис. «Всплеск, который мы наблюдали, когда большая часть мира перешла на удаленную работу, оставался неизменным в последующие месяцы».

Опасности дистанционной работы «не обязательно структурно отличаются, но вместо этого могут представлять собой изменение веса атак», - объясняет он. Например, фишинговые атаки существовали всегда ,но теперь «фишинга стало больше, и в то же время одна из недооцененных защит от фишинга – спросить своего коллегу, выглядит ли электронное письмо странно, - больше не доступна».

 

Кроме того, по словам Эллиса, многие антифишинговые решения являются реактивными, ищут известные типы атак, а не адаптивно идентифицируют изменяющиеся атаки или используют структурный подход, устраняя способы, которыми противник может осуществить успешную фишинговую атаку.

 

Добавление угрозы с мобильных устройств

 

«Внедрение надлежащей безопасности для обеспечения «работы из дома» требует дорогостоящих инвестиций и затрат, которые до сих пор никогда не включались ни в один бюджет», - говорит Матиас Кац, генеральный директор Byos.

«Кроме того, многие компании все еще отрицают это и думают, что это скоро закончится, и поэтому неохотно делают инвестиции».

Work from home здесь, чтобы остаться, сказал Кац.

«Компании должны понимать, что, несмотря ни на что, им придется укрепить свою инфраструктуру, чтобы оставаться в безопасности в новую эру».

 

Компании все чаще разрешают удаленным сотрудникам пользоваться собственными мобильными устройствами, и это усугубляет проблему.

Почти 70 процентов из 303 ИТ-специалистов, участвовавших в июньском опросе, проведенном компанией Bitglass, занимающейся облачной безопасностью, заявили, что их организации позволяют сотрудникам использовать персональные устройства для выполнения своей работы, а некоторые сказали, что они позволяют подрядчикам, партнерам, клиентам и поставщикам приносить свои собственные устройства.

 

Однако они не предпринимают надлежащих шагов для защиты корпоративных данных. Например, около половины респондентов заявили, что их организации не имеют доступа к приложениям для обмена файлами. Несанкционированный доступ к данным и системам, а также заражение вредоносным ПО были основными проблемами безопасности примерно для половины респондентов.

 

Проблемы ИТ-отделов

 

По словам Руиса из Malwarebytes Labs, быстрый переход на удаленную работу, возможно, изменил приоритеты для многих компаний. «Это может означать, во-первых, обеспечение того, чтобы бизнес мог оставаться успешным, и, во-вторых, обеспечение того, чтобы он мог безопасно оставаться успешным».

Другими словами, сначала убедитесь, что бизнес работает, а затем займитесь вопросами безопасности.

 

Другой причиной может быть нехватка ИТ-персонала. Увольнения широко распространены из-за пандемии, и некоторые из уволенных могли быть сотрудниками службы ИТ-безопасности и кибербезопасности.

Другой причиной может быть то, что в наши дни многие компании не имеют специального ИТ-персонала на месте, а большинство удаленных сотрудников почти всегда перегружены работой, предполагает Руис. «У нас просто может не хватить времени, чтобы построить и внедрить онлайн-курс обучения для всех сотрудников».

 

Нагрузка на ИТ-работников, чьи отделы недоукомплектованы и недофинансированы, возросла с пандемией, и это может способствовать как неадекватности принятых мер кибербезопасности, так и неспособности распознать, являются ли эти меры адекватными.

«Во время этой пандемии команды безопасности работают усерднее, чем когда-либо, и в изоляции», - отмечает Мессдаги из Point3 Security. И добавляет, что высшее руководство должно инвестировать в психическое здоровье этих команд.

 

ИТ-персонал уже испытывал сильный стресс до пандемии, в 2020 году влияние стресса на психическое здоровье удвоилось, согласно отчету Nominet UK, реестра доменных имен .uk в Великобритании.

Nominet опросила 800 руководителей служб информационной безопасности и руководителей высшего звена о проблемах, связанных с ролью директора по информационной безопасности. Респонденты, равномерно распределенные между Великобританией и Соединенными Штатами, работали в компаниях со штатом не менее 3000 человек в различных государственных и частных секторах.

 

В докладе, опубликованном в феврале, говорится, что 88 процентов директоров по информационной безопасности испытывают умеренный или сильный стресс. А 48 процентов респондентов заявили, что это влияет на их психическое здоровье вдвое больше, чем в предыдущем году. Стресс влияет на их отношения с партнерами и детьми, а также на их способность выполнять свою роль и приводит к эмоциональному выгоранию. Средний срок пребывания в должности директора по ИТ-безопасности составляет всего 26 месяцев.

 

Респонденты из высшего руководства согласились с тем, что директора по безопасности работают сверхурочно, но 97 процентов из них считают, что команда безопасности может улучшить соотношение цены и качества, основываясь на своем бюджете.

 

Предотвращение высокомерия безопасности

 

«Хорошее упражнение, чтобы продемонстрировать всю полноту высокомерия безопасности, - это спросить себя по шкале от 1 до 10, насколько вы кибербезопасны?» - предлагает Руис. «А теперь задайте себе еще несколько вопросов:

- Вы подключаетесь к домашнему роутеру, который все еще использует пароль по умолчанию?

- Вы повторно используете пароли для некоторых учетных записей в вашем доме?

- Требуется ли вашей компании использование VPN для доступа к ресурсам компании?

- Вы переходите по ссылкам в электронных письмах от новых контактов или по ссылкам в текстах? А что, если эта ссылка якобы от FedEx, и вы, в конце концов, просто заказали что-то онлайн?»

 

Такие вопросы «ослабят у большинства людей оценку собственной безопасности через некоторое время», - говорит Руис.

«Никто не пытается ошибаться, но трудно отследить все пути, где мы должны быть правы».

 

Ссылка на источник