Tviņš nākamais izdevums HP Discover Performance Podcast sērija atklāj saprātīgas riska ierobežošanas jēdzienu kā svarīgu pieeju kopumā IT drošība. Mēs pārbaudīsim, kāpēc mūsdienu vidē ir jēga ātrai un proaktīvai problēmu un pārkāpumu ierobežošanai, ne tikai cenšoties novērst ļaundarus no jūsu sistēmām.
Šeit, lai dalītos ar savu viedokli par dažiem jauniem veidiem, kā labāk pārvaldīt drošību, izmantojot ierobežošanas priekšrocības, ir mūsu viesis Kaivans Rahbari, riska pārvaldības vecākais viceprezidents plkst. FIS globālais, atrodas Džeksonvilā, Floridā. Diskusiju vada Dana Gārdnere, galvenais analītiķis plkst Interarbor risinājumi. [Atklāšana: HP ir sponsors BriefingsTiešās aplādes.]
Gardner: Ar ko kopējā drošības ainava šodien atšķiras, salīdzinot ar situāciju pirms pieciem gadiem?
Rahbari: Pēdējo piecu gadu laikā daudz kas ir mainījies. Divas galvenās ekonomikas tendences ir patiešām paātrinājušas mūsu drošības izmaiņas. Pirmkārt, ASV recesija mudināja uzņēmumus konsolidēt un integrēt tehnoloģiju pēdas un sviras sistēmas. Jauni izvietošanas modeļi, piemēram,
programmatūra kā pakalpojums (SaaS) un mākonis, palīdziet novērst zināmu kapitāla trūkumu, ko esam piedzīvojuši, un iespēju novirzīt izmaksas no fiksētām uz mainīgām.Otra lielākā ekonomiskā tendence, kas turpinājusies pēdējo piecu gadu laikā, ir globalizācija dažiem uzņēmumiem. Tas nozīmē tīkla topoloģiju, kas šķērso vairākas valstis un ar dažādiem likumiem, kas mums ir jārisina.
Mēs vienmēr runājam par to, ka esam tik stipri, cik stipri ir mūsu vājākais posms. Kad lielāki un sarežģītāki uzņēmumi iegādājas mazākus, kas šobrīd tirgū ir diezgan ikdienišķa parādība, un viņi cenšas ātri integrēties, lai samazinātu izmaksas un uzlabotu pakalpojumu, viņi parasti ievieš vājākas saites drošībā ķēde.
Spēcīgiem pircējiem tagad ir nepieciešams, lai iegādei tiktu veikts novērtējums, piemēram, ISO 27001 sertifikācija, pirms viņiem ir atļauts pievienoties “uzticamajam tīklam”. Tātad pēdējo piecu gadu laikā ir notikušas daudzas izmaiņas, būtiskas izmaiņas.
Gardner: Pastāstiet mums par FIS Global.
Lielākais vairumtirgotājs
Rahbari: FIS ir Fortune 500 uzņēmums, globāls uzņēmums ar klientiem vairāk nekā 100 valstīs un 33 000 darbinieku. FIS pēdējo 10 gadu laikā ir iegādājusies trīs līdz piecus uzņēmumus gadā. Tādējādi tā ir piedzīvojusi ļoti strauju izaugsmi un paplašināšanos visā pasaulē. Drošība ir viens no galvenajiem uzņēmuma darbības virzieniem, jo mēs esam pasaulē lielākais IT risinājumu vairumtirgotājs bankām.
Darījums un pamata apstrāde ir mūsu pieredze, un mūsu finanšu iestādes acīmredzot sagaida, ka viņu dati mūsu vidē ir droši. Esmu Riska pārvaldības grupas vecākais viceprezidents. Mana pašreizējā loma ir drošības uzraudzība un riska funkcijas kas tiek izvietoti visā Ziemeļamerikā.
Gardner: Kāds ir drošības apdraudējumu raksturs mūsdienās?
Rahbari: Uzbrucēji noteikti kļūst gudrāki un atrod jaunus veidus, kā apiet jebkuru drošības pasākumu. Pirms pieciem gadiem lielākā daļa šo draudu bija taisnīgi hakeri un galvenokārt koncentrējās uz traucējumu radīšanu, vai arī bija noziedznieki ar ierobežotām tehnoloģiju prasmēm un resursiem.
Kiberuzbrukumi tagad ir liels bizness, kas dažkārt ir saistīts ar organizēto noziedzību. Tie ir iebrucēji ar doktora grādu. Var būt iesaistīta spiegošana, un tās izcelsme ir valstīs, kurās nav izdošanas līgumi ar ASV, kas mums ļoti apgrūtina cilvēku vajāšanu pat pēc tam, kad mēs esam identificēt tos.
Pēdējo sešu mēnešu laikā esat lasījis arī dažus virsrakstus, piemēram, Sony lēšot datu pārkāpumu un tīrīšanu 171 miljona ASV dolāru apmērā, vai an RSA kapāt izmaksu aprēķināšana EMC 66 miljoni USD. Tātad šis patiešām ir liels bizness ar būtiskiem ietekmētiem uzņēmumiem.
Vēl viena būtiska tendence pēdējo piecu gadu laikā, ko esam novērojuši šajā jomā, ir tāda, ka draudu raksturs mainās no ļoti plašas, izkliedētas pieejas uz ļoti mērķtiecīgu un mērķtiecīgu pieeju. Jūs tagad dzirdat tādas lietas kā dizainers ļaunprogrammatūra vai slepeni roboti, lietas, kas vienkārši neeksistēja pirms pieciem vai 10 gadiem.
Citas galvenās tendences, ko redzat, ir mobilitāte un mobilā skaitļošana ir patiešām pacēlušies, un tagad mums ir jāaizsargā cilvēki un aprīkojums, kas varētu atrasties ļoti naidīgā vidē. Kad tie ir atvērti, nav drošības.
Trešā galvenā joma ir mākoņdatošana, kad dati vairs neatrodas jūsu telpās un jums tagad jāpaļaujas uz jūsu uzņēmuma, kā arī pārdevēju un partneru apvienoto drošību.
Pēdējā galvenā lieta, kas mūs ietekmē, ir normatīvā vide un atbilstība. Mūsdienās jebkura drošības ekspertu terminoloģijas izplatīta sastāvdaļa ir tādi vārdi kā maksājumu karšu nozare (PCI), Gram-Leach-Bliley akts (GLBA), un Sarbanesa-Okslija (SOX), kas pirms daudziem gadiem nebija daļa no mūsu kopējā vārdu krājuma.
Gardner: Tātad, kā mēs spēlēsim labāk aizsardzība? Lielākā daļa drošības pirms pieciem gadiem bija paredzēta labākas sienas izveidošanai ap jūsu organizāciju, novēršot jebkādu iekļūšanu tajā. Šķiet, ka jums ir koncepcija, kas pieņem faktu, ka pārkāpumi ir neizbēgami, bet kas koncentrējas uz problēmu ierobežošanu, kad notiek pārkāpums. Varbūt jūs varētu šeit uzzīmēt attēlu par šo koncepciju ierobežošana.
Bloķēšanas stratēģijas
Rahbari: Kā jau teicāt, ir vieglāk nodrošināt perimetru — vienkārši nelaidiet neko ne iekšā, ne ārā. Protams, tas tiešām nav reāli. Lielākajai daļai uzņēmumu mums ir jāļauj likumīgai datplūsmai pārvietoties mūsu vidē un izkļūt no tās un mēģināt noteikt, kas būtu bloķējams.
Es teikšu, ka uzņēmumi ar saprātīgu drošību joprojām koncentrējas uz stabilu perimetra aizsardzību. Bet uzņēmumi ar lielu drošību ne tikai labi apsargā savu perimetru, bet arī pieņem, ka to var pārkāpt jebkurā laikā, kā jūs minējāt.
Daži saprātīgas drošības piemēri varētu ietvert aizsardzību pret ielaušanos, starpniekserveri lai uzraudzītu satiksmi un ugunsmūri pa perimetru. Pēc tam jums jāveic iespiešanās pārbaude. Viņu datoros jūs redzat antivīruss, šifrēšanaun rīkus līdzekļu un ielāpu pārvaldībai. Jūs redzat arī pretvīrusu un ielāpu pārvaldību serveros un datu bāzēs. Tie ir diezgan izplatīti rīki, aizsardzības rīki.
Taču uzņēmumi, kas attīstās un ir progresīvāki šajā jomā, ir ieviesuši tādus visaptverošus mežizstrādes risinājumus DNS, DHCP, VPN, un Windows drošība notikumiem. Viņiem ir ļoti sarežģītas drošības un paroles prasības.
Kā jūs zināt, paroļu uzlaušanas programmatūra mūsdienās ir diezgan izplatīta internetā. Viņi arī pārliecinās, ka viņu sistēmas visu laiku ir pilnībā izlabotas. Proaktīvi, kā jūs zināt, Microsoft katru mēnesi publicē ielāpus. Tāpēc vairs nepietiek ar sistēmas jaunināšanu vai ielāpu reizi dažos gados. Tas ir ikmēneša, dažreiz ikdienas pasākums.
Gardner: Kā jums iet par šādu saturēšanu?
Rahbari: Pirmkārt, tā kā uzbrukumu izmaksas ir strauji pieaugušas, mēs tagad tirgū redzam dažus diezgan lieliskus risinājumus, kas aktīvi cenšas novērst notikumu gaitu vai tos mazināt, kad tie notiek.
Daži no piemēriem, kas nāk prātā, ir par perimetru. Mēs redzam daudz pakalpojumu atteikums (DoS) uzbrukumi pēdējos gados. Būtībā tas nozīmē, ka jūs atklājat masveida uzbrukumu noteiktai IP adresei, un tas bieži notiek ar finanšu iestādēm.
Izmantojot dažus no šiem lieliskajiem tirgū piedāvātajiem risinājumiem, jūs visu savu trafiku novirzīsit uz citu IP adresi, nesamazinot vidi. Uzbrucēji joprojām domā, ka uzbrūk un izslēdz vidi, bet patiesībā tā nav.
Pirms pieciem gadiem šāda DoS uzbrukuma galvenais mērķis bija tikai kaut ko slēgt ļaunprātīgos nolūkos. Tagad tas ir diezgan izplatīts krāpšanas līdzeklis.
Sen pagājis
Hlūk, scenārijs. Mazā uzņēmumā Joe's Landscaping viņu internetbanka tiek apdraudēta, un kāds nozog viņu paroli. Pēc tam hakeri veic autentifikāciju un veic elektronisku pārskaitījumu no viņa konta uz kādu banku Kaimanu salās. Pēc tam šis uzbrucējs veic DoS uzbrukumu pakalpojuma sniedzējam, ko izmanto Joe's Landscaping, lai krāpnieciskā darbība netiktu atklāta vai tā tiktu aizkavēta uz dažām dienām. Līdz brīdim, kad tas tiek atklāts, nauda jau sen ir pazudusi.
Vēl viens proaktīvas un lieliskas drošības piemērs ir programmatūra baltajā sarakstā datoros un serveros, lai faktiski tiktu instalēta tikai likumīga programmatūra. Mūsdienās galvenā akreditācijas datu iegūšanas metode ir taustiņsitienu reģistrētāja programmatūras instalēšana mašīnā. To var viegli bloķēt, izmantojot baltā saraksta programmatūru.
Trešais spēcīgas drošības pozas piemērs ir ne tikai atklāt, bet arī aktīvi iznīcināt lietas. Tradicionāli, pārraugot bezvadu piekļuvi uzņēmumiem, mēs vienkārši ziņojām, ka pastāv bezvadu piekļuve, ko nevajadzēja piešķirt.
Lielākā daļa uzņēmumu tam piešķirtu paroli, taču, kā zināms, paroles dažkārt tiek koplietotas, tāpēc pietiekami drīz visi zina paroli uzņēmuma bezvadu sistēmai. Viena no lietām, ko esam sākuši izmantot, ir risinājumi, kas aktīvi traucē bezvadu signālus, ja vien tā nav viņu autorizētā telpa vai zināma IP adrese.
Vēl viens lielisks proaktīvas pieejas piemērs, ko mēs redzam tirgū, ir tas, kad apmeklētājs vai darbinieks pievieno tīklam nekorporatīvu ierīci vai nu uz vietas, vai no mājām. Tas rada ievērojamu risku. Ir daži lieliski risinājumi, kas nodrošina tīkla piekļuves kontrole. Ja tīklam tiek pievienota nezināma ierīce, tā nekavējoties tiek noraidīta tīkla līmenī. Jūs pat nevarat autentificēties.
Iespējams, mazāk acīmredzamā aizskarošā poza, par kuru cilvēki nedomā, ir tikai atklāšana un izpaušana. Daži no statistikas datiem, ko esmu lasījis, liecina, ka vairāk nekā 90 procenti kompromisu faktiski tiek ziņots ārēji, nevis uzņēmums, kas to atklāj.
Tas ir PR un regulējuma murgs, kad kāds nāk pie mums un saka: "Jums ir uzbrukts vai pārkāpts", pretstatā mums, ka kaut ko atklājam un ziņojam. Daži no manis sniegtajiem piemēriem bija tehnoloģija, taču daži no tiem ir tikai plānošana un pārliecināšanās, ka mēs esam aktīvi, ziņojam un atklājam, nevis redzam to virsrakstos.
Gardner: Vai ir kādi īpaši tehnoloģiju veidi, kas palīdz novērst iebrucēju vai kādu citu pārkāpumu?
Rahbari: Daļa no tā ir tikai process, bet daļa ir tehnoloģija. Kad lielākā daļa uzņēmumu atklāj pārkāpumu, tie ņem cilvēkus, kuri jau strādā pilnas slodzes darbā, kas ir saistīts ar drošību, un iekļauj viņus komandā, lai veiktu izmeklēšanu. Šiem cilvēkiem nav izmeklēšanas prasmju un zināšanu, lai risinātu incidentu pārvaldību, kas tagad patiešām ir specializēta zinātne.
Veltīta komanda
Cuzņēmumi, kas ir piedzīvojuši pārkāpumus un tagad zina, cik tas ir svarīgi, ir ieviesuši paraugpraksi, izveidojot īpašu komandu, kas plāno un apstrādā pārkāpumus. Tas ir tāpat kā piešķirt a SWAT komanda ķīlnieku situācijā pret policijas patruļas virsnieku.
SWAT komanda ir apmācīta rīkoties ķīlnieku situācijās. Viņi tam ir aprīkoti. Viņiem ir ložmetējs un snaipera šautene, nevis pistole, un viņiem nav cita pilna laika darba, par ko uztraukties, kamēr viņi cenšas tikt galā ar krīzi. Tātad no procesa un komandas viedokļa šī ir pirmā vieta, kur es sāktu.
Tas ir vēl svarīgāks attiecībā uz mērķtiecīgiem uzbrukumiem, kas mūsdienās ir diezgan izplatīti. Jums ir jābūt nepieciešamajai infrastruktūrai, lai sagatavotos notikumam vai incidentam pirms laika. Uzbrukuma laikā mēs parasti netraucējam uzbrucējam un nebrīdinām viņu, ka gatavojamies kaut ko novērst. Kad sanācija ir sagatavota, mēs to ieviešam un šajā procesā uzzinām, ko dara uzbrucējs.
Dažas no darbībām, ko es ieteiktu, ja zināt, ka ir noticis pārkāpums, ir vispirms izvilkt visu izslēdziet tīklu no interneta, līdz tiek pabeigta novēršana, bloķējot zināmo uzbrucēju, domēnus un IP adreses. Citas vienkāršas lietas ietver tādas lietas kā apdraudēto paroļu maiņa.
Svarīga ir iepriekšēja sagatavošanās... jo arhitektūra ir galvenais veids, kā mēs varam nodrošināt savu vidi.
Dažas darbības, kas jāveic jebkuram labam uzņēmumam, vispirms ir jāpārliecinās, vai tā tīkli ir atdalīti un izolēti. Jums ir nepieciešama ilgtermiņa tīkla arhitektūra un stratēģiskais plāns. Jums arī ir jāizveido drošības zonas, lai atdalītu augsta riska domēnus, un pārliecinieties, ka tas ir standarti, lai regulētu uzticības līmeni starp vietnēm un jūsu tīkliem, pamatojoties uz jūsu uzņēmumu prasībām.
Kas attiecas uz domēnu nošķiršanu, noteikti veiciet tādas darbības kā Active Directory domēnu atdalīšana ar akreditācijas datiem jūsu ražošanas vidēm, salīdzinot ar kvalitātes nodrošināšanas attīstību un citu darbinieku piekļuvi vides.
No tendenču viedokļa ir vairākas lietas, kas patiešām palīdzēja. Virtualizācija ir viena no tām. Tas ir galvenais paņēmiens, lai izveidotu segregāciju starp lietojumprogrammām.
Gardner: Kā organizācijas var sākt ar to nodarboties? Šķiet, ka vienreiz pēc tam ir ļoti daudz. Vai ir kāds ceļš uz to — rāpošana, staigāšana, skriešana — ko jūs ieteiktu, lai uzlabotu savu stāju, kad runa ir par drošību un ierobežošanu?
Rahbari: Šī ir ļoti sarežģīta un grūti apgūstama lieta, un tieši tur partneri un citi uzņēmumi patiešām var būt milzīgs palīgs. Pirmkārt, es sāktu ar esošu organizāciju. Pirms pieciem gadiem bija grūti pārdot drošību uzņēmumu vadītājiem. Tagad tie paši uzņēmumu vadītāji avīzē redz katru dienu — skaitļi ir astronomiski — Sony, Google un citi, kuriem ir bijuši pārkāpumi.
No iekšpuses laba norāde par drošības kultūras izmaiņām ir tad, ja jums ir veltīta galvenais informācijas drošības speciālists (CISO), uzņēmumam ir drošības vai riska komiteja, drošība ir budžeta pozīcija postenī, nevis tikai IT budžeta ietvaros, un drošība ir uzņēmējdarbības problēma.
Pārkāpumu sekas
WŅemot vērā neticamo regulējuma slogu, rūpīgu pārraudzību un pārraudzību, pārkāpums patiešām var apgrūtināt uzņēmumu vienas nakts laikā. Jūs lasījāt laikrakstā pirms diviem mēnešiem, ka mums bija uzņēmums, kurš vienas nakts laikā pēc pārkāpuma zaudēja pusi no akciju vērtības pēc tam, kad Visa deva mājienu, ka viņi varētu pārtraukt to izmantošanu.
Es ļoti ieteiktu jums nolīgt cienījamu uzņēmumu, lai sāktu darbu, ja jūsu konkrētais uzņēmums nevar atļauties ieguldīt ekspertu algošanā. Ir daudz uzņēmumu, kas var ierasties. Sākumā varat izmantot ārpakalpojumus un pēc tam, kad jūtaties ērti, nodot to iekšā un izmantot šīs augsti specializētās jomas zināšanas, lai aizsargātu savu uzņēmumu un īpašumus.