Информационная безопасность остается для организаций высоким приоритетом на протяжении многих лет. Но в связи с трансформацией компаний в цифровые меняются угрозы, уязвимости и инструменты.
Такие тенденции как рост облачных сервисов и мобильных устройств, в т. ч. в рамках политики «приноси свое устройство» (BYOD), ставят перед ИТ- и ИБ-менеджерами новые непростые задачи. Даже просто отслеживание устройств, приложений и авторизованных пользователей в рамках глобальной организации (а также новейших угроз безопасности) может быть исключительно трудным делом. В результате многие компании могут оказаться перед лицом возросшего риска подвергнуться атакам.
«Угроза совершенно реальна, — утверждает главный аналитик Forrester Research по безопасности мобильных устройств, приложений и Интернета вещей Тайлер Шилдс. — Атакующим нужно найти всего один изъян, чтобы получить доступ к вашим конфиденциальным данным. И не важно, будет ли это изъян обнаружен в мобильном устройстве, облачном сервисе или другой передовой цифровой технологии».
Чем больше компаний переходит на такие модели современной технологии как облачные сервисы и мобильные устройства, тем больше будут атакующие пытаться взломать эти технологии, уверен Шилдс. «Мы будем наблюдать медленный, но постоянный и устойчивый рост атак, направленных против цифровых бизнес-технологий, поскольку атакующие начинают монетизировать новые методы», — говорит он.
«Мобильные устройства представляют опасность в связи с тем, что потерянные или украденные устройства используются для получения доступа к приложениям или данным компании», — пояснил директор Enterprise Management Associates по исследованиям в области управления безопасностью и рисками. Дэвид Монахан. У многих новых мобильных устройств меньше средств управления безопасностью, чем у ноутбуков, «особенно в случае BYOD», добавил он.
Быстрый рост количества устройств и приложений на рабочих местах поставил уникальные задачи в области безопасности. В дополнение к таким проблемам как обеспечение защищенного доступа к корпоративной сети и защите данных на устройствах компаниям необходимо решать проблемы «мертвых приложений» (тех, которые когда-то размещались в хранилищах приложений, но больше не поддерживаются или не являются полезными) и устаревших приложений (старых, не исправленных версий, которые все еще доступны в хранилищах приложений).
Такие приложения могут таить уязвимости, которые кибер-преступники способны использовать для внедрения вредоносного кода.
«Нет ничего необычного в том, что кто-то загружает полезное приложение для использования его только один раз, а неделю спустя совершенно о нем забывает, — сказал Хормазд Ромер, директор по маркетингу продуктов компании Accellion, специализирующейся на безопасности облаков. — Поскольку эти старые приложения остаются незамеченными и неисправленными или превращаются в мертвые приложения, когда они уже больше недоступны в хранилищах приложений, они лишены важнейших для безопасности исправлений и становятся легкой добычей хакеров, которые с их помощью получают доступ к личной или конфиденциальной информации».
ИТ-подразделения могут проактивно защищаться от этих не используемых или устаревших приложений, обучая пользователей видеть риски и побуждая сотрудников удалять такие приложения, считает Ромер.
Рост облачных вычислений также создает в компаниях проблемы с безопасностью.
«Самая большая трудность, с которой могут столкнуться организации в облаке, это находящийся в каком-то другом месте авторизованный пользователь, получивший доступ к облаку и скачивающий данные или вносящий в них изменения, — пояснил Монахан. — Не все облачные провайдеры раскрывают перед клиентами свои возможности ведения журнала. Но даже если раскрывают, то при наличии у кого-либо необходимых полномочий клиент может не заметить его действий».
Банк Chicopee Savings Bank многие годы использовал банковские приложения, установленные на площадках провайдеров, а не в его ЦОДах, но, как правило, избегал облачных сервисов отчасти из соображений безопасности, рассказала старший вице-президент по технологиям Дарлин Либисжевски.
Положение меняется. «Безусловно, за последние несколько лет облачные приложения и сервисы стали более зрелыми», — считает Либисжевски. Несмотря на потенциальные трудности, такие как утрата контроля и растущие риски безопасности, она присматривается к различным моделям облаков, потому что они позволяют ей воспользоваться в порядке аутсорсинга теми знаниями, которыми не обладают члены ее команды, и, вероятно, открывают возможности снижения затрат на ИТ.
«Риски безопасности очевидны, но я думаю, что убедительные преимущества для бизнеса заставляют меня регулярно оценивать облачные решения и рассматривать подходы к минимизации этих рисков, которые вызывают крайнюю озабоченность у меня, у наших директоров и клиентов», — заявила Либисжевски.
Поскольку при облачных решениях данные находятся за пределами компании, «мы должны учитывать внешние угрозы и оценивать эффективность контроля за нашими данными в состоянии покоя и в процессе обработки по месту нахождения провайдера и при перемещении между нами, нашими пользователями и провайдером», — продолжила Либисжевски.
Одним из главных вопросов по безопасности, которые следует задать провайдеру облачных сервисов, по ее словам, является вопрос о том, как авторизованный пользователь может надежным и безопасным способом получить доступ к приложению, сервису и данным.
«Что, если кто-то использует незащищенную конечную точку или сеть? Могу ли я контролировать это, чтобы адекватно минимизировать риск? — спрашивает Либисжевски. — Я могу гораздо более надежно контролировать это, когда доступ осуществляется в пределах наших четырех стен, используя существующие проверенные и управляемые инструменты, которые у нас наготове».
Другие вопросы касаются того, каким образом провайдер хостинга не позволяет неавторизованным пользователям получать доступ к данным банка, когда они находятся в облаке, как обнаруживаются и предотвращаются проникновения в сеть и как часто провайдер выявляет и устраняет уязвимости системы.
Банк Chicopee Savings выстроил внутреннюю безопасность на основе политик и технологий, таких как строгие процедуры управления провайдером, применение защищенных виртуальных частных сетей, инструменты управления доступом, шифрование, запрет использования личных оконечных точек, ознакомление сотрудников со многими угрозами безопасности, непрерывный мониторинг и другие.
«Нам пришлось переосмыслить ведение нашего бизнеса, свои ожидания касательно ведения бизнеса в будущем и защиты сейчас и в будущем, — сказала Либисжевски. — Это привело к более глубокому пониманию различных рисков — старых, новых и меняющихся. Изменившиеся риски могут порой остаться вне нашего процесса оценки рисков, поскольку они являются не совершенно новыми, а лишь слегка видоизмененными».
Легко впасть в благодушие и считать, будто имеющихся инструментов должно быть по-прежнему достаточно, считает Либисжевски. «Однако в реальности небольшое изменение может иметь больший, чем ожидалось, эффект и потенциально сделать существующие инструменты менее эффективными, — продолжала она. — Поэтому мы смотрим на все риски глубже и шире, стремимся понять их как можно лучше, чтобы быть уверенными, что сохраняющийся риск еще приемлем для нас сейчас и в будущем».
Эксперты по безопасности дают некоторые рекомендации тем компаниям, которые переживают цифровую трансформацию.
Обязательными являются эшелонированная защита, шифрование данных и требование ко всем производителям и сервис-провайдерам придерживаться жестких стандартов безопасности, сказал Шилдс. «Получите какаю-то компенсацию, если один из ваших провайдеров подвергнется успешной атаке», — порекомендовал он.
Шифрование данных «всегда полезная вещь, когда приходится доверять свои данные внешнему провайдеру, — добавил Монахан. — Должным образом реализованное шифрование защитит данные от несанкционированного раскрытия».