По отношение на сигурността, вие сте най-слабата връзка

Годишната конференция за информационна сигурност на Black Hat е само на няколко кратки седмици. Специалисти по сигурността, мениджъри, доставчици и хакери ще се сближат в Лас Вегас, за да научат и споделят най-новите уязвимости, защити, дупки в сигурността и хакерски техники. Преди конференцията Black Hat публикува резултатите от проучване, което разпита най-добрите експерти по сигурността относно техните притеснения и възгледи. Можете да прочетете различни значения в резултатите, но моето собствено приемане е това: Вие сте най-слабата връзка. (Да, имам предвид теб.)

Респондентът за анкетата е избран за експертиза и опит в реалния свят. От 460 професионалисти и мениджъри по сигурността почти две трети са от компании с поне 1000 служители. Заглавията на работа за над 60 процента от тях включват думата „сигурност“ и напълно една четвърт от групата служи като мениджър по сигурността на тяхната организация. Тези хора са в окопите и работят неуморно, за да поддържат сигурността на своите компании.

Притеснения срещу реалността

Основна част от проучването представи на респондентите 15 заплахи и предизвикателства за сигурността. Те бяха помолени да маркират трите предизвикателства, които ги притесняват най-много, първите три, които заемат времето им, и първите три, които получават най-голям дял от бюджета. Логично бихте си помислили, че това ще проследи отблизо; на практика това не е така.

Най-голямото притеснение от всички - 57 процента, беше защита срещу целенасочени атаки, сложни опити за нарушаване на сигурността. Въпреки това, само 20 процента от анкетираните съобщават, че подготвяйки се за такива атаки и се справяйки с потребителите, голяма част от времето им.

Следващото най-притеснително предизвикателство включва фишинг и други социални инженерни атаки. При 46 процента, това е начин над всички други притеснения в проучването, с изключение на насочените атаки. Най-добрата система за сигурност в света няма да помогне, ако измамно съобщение убеди някой от вашите служители да го изключи и почистването след подобни проблеми може да бъде истинска мечка. Всъщност, що се отнася до това как специалистите по сигурността прекарват времето си, две от първите три проблеми включват човешка грешка. Социалните мрежи са един, но най-върховият момент се справя с проблемите на сигурността, въведени от вътрешни екипи за развитие.

Други притеснения, като наблюдение от нашето правителство или друго, вътрешни атаки и цифрови атаки срещу устройства на Интернет на нещата (IoT), просто не консумират същата степен на умствени или финансови ресурси. Всъщност най-големият разход за респондентите в това проучване включва случайни изтичания на данни от помия потребители - хора, отново. Също така сред първите няколко скъпо струващи проблеми се занимават с човешки грешки, които изваждат компанията от спазването и поправянето на проблеми, причинени от служители, които попадат в атаки на социален инженеринг.

Ще станем ли по-умни?

Респондентите също бяха помолени да вземат същия набор от 15 предизвикателства и да изберат три, които биха били най-големите притеснения за две години. Интересното е, че всички опасения за хората попаднаха много по-ниско в този списък. Проблемите със сигурността, въведени от вътрешното развитие, са на дъното, със 7 процента. На следващо място са грешките, които изваждат компанията от неспазване, с 8 процента. А кражба на данни от злонамерени вътрешни лица е следваща на 9 процента. Притесненията за социалното инженерство остават значителни, но никъде не са близо до върха.

След две години експертите (36 процента от тях) смятат, че IoT атаките ще бъдат най-голямото притеснение, последвани от насочени атаки (до 33 процента от сегашните 57 процента). Нито една от първите шест проблеми не включва човешка грешка. Изглежда, че ще ставаме по-умни!

Вие сте най-слабата връзка

Голяма част от останалото обширно проучване включва персонал за сигурност, наемане и кариерно израстване, теми от по-малък интерес за тези, които не са пряко ангажирани в общността на сигурността. Пълният доклад можете да прочетете тук.

Една точка определено заслужава внимание. На въпрос коя е най-слабата връзка в настоящата ИТ сигурност, анкетираните поставят уеб базирани заплахи, инструменти за сигурност, които не си говорят помежду си, и уязвимости в крайната точка в най- долната част на списъка, като всеки получава едва 3 процента от гласовете. Какво има на върха? Над една трета каза: „Крайните потребители, които нарушават политиката за сигурност и лесно се заблуждават от атаки на социалния инженеринг“.

Докладът заключава, че повечето организации нямат достатъчно персонал по сигурността и не фокусират времето и бюджета на персонала върху най-важните проблеми. Имайки предвид кариера в сигурността? Вашето бъдеще изглежда розово! Но ще трябва да измислите как да предпазите служителите от случайно или мързеливо дерайлиране на усилията ви.