Как да се подготвим за следващото си нарушение на сигурността

Повечето ИТ специалисти, дори и с по-високата си степен на технически опит, всъщност не вярват, че ИТ средата им ще претърпи нарушение. Те смятат, че хакерите никога няма да ги намерят, че злонамереният софтуер, който потребителите им се изправят срещу схематични уебсайтове, няма да подмине защитата си от крайната точка и че те също са в безопасност от откупи. В крайна сметка това е игра с числа и всеки знае, че вероятно ще се пързаля.

Е, всички грешат. Според проучване, направено от 451 Research в началото на 2018 г., 71 процента от неговите 1200 респонденти по сигурността на предприятията съобщават за някакво нарушение в неотдавнашната си история. Това са седем на 10 и това са само броят на хората, които всъщност осъзнаха, че са били нарушени. Това означава, че почти сигурно е, че във всяка голяма мрежа поне едно устройство хоства злонамерен софтуер - в неизвестен или активен вид - от някакъв вид. Това може да е нещо от малко зъл фрагмент, който стои в спящ режим, докато не се чуе от неговия сървър за командване и управление, или може да е някакво парче откуп, което просто чака, докато не бъде подплатено достатъчно пъти, че процесът ви на възстановяване стане безнадежден. Или още по-лошо, може да е някой недоволен служител, който най-накрая да бъде уволнен и реши да взриви вашата система последен път, така че той или тя да могат да изпращат повечето от най-ценните ви данни в тъмната мрежа. Възможностите са безкрайни и следователно ефективно неизбежни.

Не игнорирайте, а се подгответе

Ако смятате, че това не е наред, помислете за Геологическото проучване на САЩ (USGS), Център за сателитно изобразяване на земни ресурси и наука (EROS) в Sioux Falls, Южна Дакота. Системите на съоръжението се сринаха и по време на възстановяването откриха над 9 000 страници порно заедно с някои злонамерен софтуер, всичките заредни на локалните им сървъри заради действията на един от техните служители. Те никога не са знаели, че е там, докато възстановяването не се наложи. Понякога изглежда, че едно от предположенията на висши изследователи в областта на сигурността всъщност е вярно: лошите момчета наистина вече са във вашата мрежа, просто наддават времето си.

Така че, вместо да се преструвате, че това никога няма да ви се случи, просто бъдете реалисти. Да предположим, че ще се случи нарушение и отидете оттам. Първо, уверете се, че каквото и да се случи, това ще повлияе на вашите потребители и организацията като цяло възможно най-малко. Като начало това означава защита на вашите данни по такъв начин, че да не бъде компрометиран автоматично, само защото вашата мрежа е.

Има няколко други стъпки, които можете да предприемете, за да се предпазите от подобно нарушение. Тези стъпки включват да направите вашите данни недостъпни, да направите данните си неизползваеми, дори ако лошите хора го намерят, и да направите мрежата си възстановима, така че да можете да рестартирате операциите, след като сте минали нарушението. Докато правите това, вие също трябва да се подготвите предварително за всички останали изисквания, придружаващи нарушаване на данните.

7 съвета за подготовка за хакове

За да ви помогна да се подготвите, събрах седем съвета от моята дълга история на справяне с предстоящи нарушения на ИТ и други бедствия. Ето стъпките по-долу:

1. Шифровайте всички данни. Дори ако по закон не се изисква да използвате криптиране, направете го така или иначе. Тъй като предприемането на тази допълнителна стъпка означава, че ще имате драстично по-малко болка, когато се случи нарушение, защото все още можете да удовлетворите изискванията за защита на данните. И можете да го направите, защото няма да се притеснявате за отговорност за загуба на данни. Плюс това, в зависимост от вашия пазарен сегмент, можете също да избегнете големи глоби или дори време затвор - винаги добра политика.

2. Разпространете вашите данни. Това, че не поставяте всичките си яйца в единната пословична кошница, се отнася и за безопасността на данните. В зависимост от вида на данните, който защитавате, това може да означава работа с хибридна облачна среда, използване на многоетажно съхранение чрез използване на облачна услуга за съхранение в бизнес клас или поддържане на данни на различни сървъри, достъпни от виртуализирана среда. Не забравяйте, че виртуалните машини (VM) също могат да бъдат уязвими за атака, ако нападателят е разумно усъвършенстван. ВМ могат да бъдат не само уязвими, но и потенциално, така че физическата инфраструктура да не е и обратното. Това, което не искате да правите, е да присвоите букви на устройството на вашите сървъри за съхранение на данни от вашия основен сървър. Това е не само лоша практика, но и открита покана дори за лоши хакери да получат нещата ви.

3. Внимавайте за управлението на достъпа. Това сте чували от мен преди, но не се е променило: цялата ви мрежа не може да бъде отворена за всички и вашите данни не могат да бъдат достъпни за всички. Независимо дали става въпрос за просто използване на потребителски пароли или (много по-добре) с помощта на жизнеспособна платформа за управление на идентичността, трябва да ограничите достъпа до всеки даден мрежов ресурс само на тези хора, чиято работа изисква такъв достъп. Това включва всички от главния изпълнителен директор до IT отдела. И ако ИТ се нуждае от достъп до защитена зона, тогава достъпът трябва да бъде предоставен при необходимост (за предпочитане такъв въз основа на ролята на работа). Достъпът също трябва да бъде регистриран: кой и кога е минималният обем данни, който искате да съберете тук.

4. Сегментирайте вашата мрежа. Това е свързано с последната точка, тъй като използването на вашите инструменти за управление на мрежата за затваряне на вътрешни защитни стени или рутери означава, че те могат да бъдат програмирани, за да позволят само на определени упълномощени потребители да преминават трафик; всички останали се блокират. В допълнение към контролирането на оторизиран достъп на потребители, това ограничава и всеки неоторизиран достъп до само част от мрежата, а заедно с това и само част от общото портфолио от данни на вашата организация. И ако сте последвали стъпка първа, тогава дори лошите да имат достъп до вашите данни, тя ще бъде криптирана. Ако сте прескочили стъпка първа и сте оставили битовете си незашифровани или по някакъв начин са получили ключа за криптиране, то поне със сегментация те нямат всичко, а само парче.

5. Не използвайте един и същ ключ за криптиране за всичко. Това звучи очевидно, но дългият опит ми подсказва, че твърде много ИТ професионалисти все още попадат в този капан. Не искате откраднат или взломен ключ, за да осигурите достъп до всичките си данни. Това е много като да не използвате една и съща парола, с изключение на това, че имате достъп до вашите системи, защото те също ще трябва да бъдат удостоверени.

• Най-добрият софтуер за премахване и защита на зловреден софтуер за 2019 г. Най-добрият софтуер за премахване и защита на злонамерен софтуер за 2019 г.
• Нарушенията на данните са компрометирани 4, 5 милиарда записа през първата половина на 2018 г. Нарушенията на данните са компрометирани 4, 5 милиарда записа през първата половина на 2018 г.
• Под атака: Как хакерство на избори заплашва междинните срокове Под атака: Как хакерство на избори заплашва междинните срокове

6. Да, старият кестен: архивирайте всичко. Услугите за архивиране на бизнес облаци направиха това по-лесно от всякога в историята на ИТ, така че се възползвайте и се разкалете. Архивирайте всичко, за предпочитане на повече от едно място или дори като използвате повече от една резервна услуга. Едно от местоположенията трябва да бъде в облака и на сървърите, колкото е възможно по-далеч от основното ви местоположение. Това е така, данните могат да бъдат достъпни за сценарий за възстановяване при бедствия (DR) в допълнение към типичните резервни ситуации. Но дори и злонамереният софтуер да е в системата ви, услугата за архивиране трябва да бъде в състояние да го намери и премахне. Имайки това предвид, важно е да архивирате само това, което всъщност има значение, а това са вашите данни. Не архивирайте съдържанието на твърдите дискове на клиентските машини, защото там вероятно е зловредният софтуер. Вместо това просто възстановете тези машини от стандартни изображения, поддържани от IT отдела.

7. Накрая направете списък с нарушения. Това просто означава да сте сигурни, че сте се погрижили за административните задачи, които обикновено идват с нарушение. Имайте телефонен списък, който не се съхранява в система някъде, в която да се детайлизират подробности, които ще трябва да бъдат уведомени в случай на нарушение, за предпочитане в реда, в който трябва да се извикат. Освен това трябва да добавите какво трябва да им кажете по време на обаждането и какъв е крайният срок, за да ги уведомите. Имайте и информацията за контакт за вашата DR услуга също. Седнете с правния си екип и с висшите си мениджъри и преминете през този списък, за да сте сигурни, че нищо не е подминато. И след като сте решили, че всичко е там, потвърдете това, като действително практикувате реакцията си за нарушение.

След като направите всичко това, не само ще си починете по-лесно, но и можете да вземете заслуга за добър отговор на нарушение и за това, че сте един от малкото късметлии, които никога не преживеят нарушение.