«Надежда — это не стратегия»: киберлидеры о реальных ключах к реализации стратегии глубокоэшелонированной защиты

Когда дело доходит до кибербезопасности — и, как следствие, безопасности пациентов — «надежда — это не стратегия», — сказал Райан Уитт, вице-президент по отраслевым решениям компании Proofpoint. Тем более, что окружающая среда становится все более сложной.

«Системы злоумышленников в наши дни на самом деле весьма развиты и сложны», — сказал он во время недавнее обсуждение. “Это страшно.” Сейчас существует больше возможностей, чем когда-либо прежде, для получения учетных данных, которые он назвал «состоянием нирваны» для киберпреступников.

«В тот момент, когда они получают доступ к сети, они получают возможность ориентироваться в ней, залечь на дно и выбрать правильный способ атаки», — добавил Витт. «Многие нарушения, о которых вы слышите, начинаются с учетных данных».

В результате руководители кибербезопасности сталкиваются с растущим давлением, требующим наличия у них необходимых компонентов, позволяющих избежать этих кошмарных сценариев. В ходе вебинара Уитт и другие участники дискуссии Джесси Фасоло (директор по технологической инфраструктуре и кибербезопасности, информации, St. Joseph’s Health) и Майк Шрейдер (директор по информационной безопасности, WellSpan Health) выделили самые большие проблемы в обеспечении безопасности систем и объяснили, как они приближаются к ним.

По словам Фасоло, одним из ключевых факторов защиты от ситуации «троянского коня» является понимание врага и того, на что он способен. «Организации подвергаются атакам методом грубой силы» с многочисленными попытками получить пароли, будь то путем установки определенного вредоносного ПО или использования социальной инженерии. «Это может быть звонок, электронное письмо или кто-то, кто подойдет к вам и спросит ваш пароль или попытается каким-то образом вами манипулировать».

К сожалению, у плохих актеров есть множество способов проникнуть на сцену. И становится все яснее, что большинство атак не случайны, а целенаправленны, заявил Витт. «Они провели комплексную проверку. Они понимают, какая часть вашей организации может принести максимальную отдачу от их инвестиций». Поэтому важно «поставить себя в образ мышления злоумышленника, понимая, что в вашей организации им больше всего нравится». Это очень важная переменная при обдумывании того, как вы хотите выстроить общую систему безопасности».

Обнаружить и изолировать

По мнению Шрейдера, важным аспектом любой системы безопасности является способность обнаруживать и изолировать угрозы. «Все всегда сводится к людям, процессам и технологиям», — сказал он. Что касается технологий, он рекомендовал сотрудничать с такими поставщиками, как Proofpoint, которые предлагают многоуровневый подход к борьбе с угрозами электронной почты, такими как вредоносное ПО и фишинг учетных данных, путем «идентификации и изоляции подозрительных URL-адресов и вложений в песочнице». заявил на своем сайте.

По словам Уитта, с помощью фильтров электронной почты и предупреждающих тегов, в которых используется технология искусственного интеллекта, Proofpoint может автоматически обнаруживать отклонения в поведении и подавать «красные флажки». Например, «если вдруг вы начнете видеть людей без привилегий, пытающихся получить доступ к системам, на которые они исторически не имели прав или с которыми у них не было причин взаимодействовать, надеюсь, у вас есть технология, позволяющая это обнаружить».

Следующим шагом является изоляция, которая, по мнению Фазоло, является «одним из наиболее важных компонентов процесса». Таким образом, руководителям необходимо начать процесс как можно быстрее, немедленно проверяя любые сообщения о потенциальной компрометации, особенно если это привилегированный пользователь. В этом случае «крайне важно прекратить любую деятельность», добавил он.

Непрерывный мониторинг

Следующим шагом будет выяснение того, в какие системы вошел пользователь и какие действия были предприняты, а также развертывание «инструментов мониторинга и оповещений, чтобы гарантировать отсутствие дальнейшего компрометации», — сказал Шрейдер.

Фазоло согласился, отметив, что сдерживание имеет решающее значение для предотвращения дальнейших попыток злоумышленников получить доступ к конфиденциальной информации. «То, что вы сбросили пароль или отключили и снова включили его, это не означает, что злоумышленник, скомпрометировавший эти учетные данные, все еще не пытается их использовать». Благодаря постоянному мониторингу и последующим действиям команды безопасности могут определить, было ли нарушение непреднамеренным или существовала более глубокая мотивация, которую необходимо расследовать. «Если это подозрительно, нам нужно углубиться в это и провести более активное исследование и блокировку», особенно если окажется, что это опасный домен или IP-адрес, сказал он.

Предпринимая эти шаги, лидеры могут начать «рисовать картину» того, почему на их организацию был наведен «яблочко», и сосредоточить внимание на пользователях или системах, на которые нацелены. По словам Витта, Proofpoint может добавить к этому процессу функцию целевой защиты от атак, которая показывает, какие люди подвергаются наибольшему нападению, чтобы группы безопасности могли реализовать меры по снижению рисков. Клиенты также могут получить доступ к отчетам, чтобы узнать, как их организация сравнивается с другими с точки зрения киберинцидентов.

Размещение ставок

Однако, хотя то, что существует так много доступных решений по кибербезопасности, безусловно, является положительным моментом, большинству директоров по информационной безопасности приходится бороться за ресурсы, а это значит, что им приходится выбирать. «Вы должны признать, что существуют компромиссы и компромиссы», — сказал Витт. «И поэтому вам придется делать ставки и вкладывать средства в меры безопасности там, где это с большей вероятностью принесет максимальную отдачу от ваших денег на оборону».

Один из способов сделать это, отметил Фазоло, — узнать, где субъекты угроз наиболее активны. «На мой взгляд, лучшая стратегия — это ранжировать уязвимости или системы на основе критичности и потенциального риска». Другими словами, «если у меня есть привилегированные пользователи, я собираюсь обеспечить им большую безопасность. Или, если у меня есть устаревшие системы, я помещу их на несколько уровней, чтобы разорвать цепочку атак в этой среде».

Все это часть эффективной стратегии глубокоэшелонированной защиты, которая выходит за рамки простого перекрытия доступа в случае взлома.

«В здравоохранении, когда вы закрываете чей-то аккаунт, вы влияете на его рабочий процесс. Вы оказываете влияние на пациентов», — отметил он. Поэтому важно работать быстро и качественно. «Отключите учетную запись, исследуйте ее, сбросьте пароль и заставьте их работать как можно быстрее», — посоветовал Фазоло. «Потому что, в конце концов, они пытаются позаботиться о пациентах». Вернувшись в Интернет, лидеры могут начать судебно-медицинское расследование того, как пароль был скомпрометирован, где к нему был получен доступ и IP-адрес, с которого он был получен.

Часть образования

Конечно, в сегодняшних условиях уход за пациентами и кибербезопасность стали тесно связаны, поэтому, по словам Фазоло, так важно уделять приоритетное внимание обучению, ориентированному на пользователя. «Это имеет первостепенное значение», — сказал он, призвав организации регулярно проводить мероприятия по фишингу и сотрудничать с отделом кадров для обучения тех, кто на них нажимает.

Еще одно преимущество частого обучения, по словам Шрейдера, заключается в том, что оно помогает пользователям научиться выявлять потенциальные фишинговые атаки, что в перспективе может помочь организациям стать более активными. Кроме того, его команда добавила стимулы, включая розыгрыши подарочных карт, чтобы повысить вовлеченность.

«Нам нужно защищать людей; они — наш ключ к успеху», — сказал он.

Чтобы просмотреть архив этого вебинара — Обеспечение глубокой защиты: лучшие практики предотвращения и устранения компрометации учетных данных (при поддержке Proofpoint) — пожалуйста, кликните сюда.