Cisos: proč je společnosti potřebují více než kdy jindy

Podniky jsou terčem kybernetických útoků znepokojivě. Hlavní přestupky v Targetu v prosinci 2013 a Neiman Marcus v lednu 2014 osvětlily velkou pozornost na nedostatky, které má mnoho maloobchodních prodejen v jejich bezpečnostní infrastruktuře. Výsledkem je, že stále více společností, velkých i malých, pociťuje potřebu zvýšit své úsilí a mít vyhrazený bezpečnostní tým.

Podle zprávy zveřejněné agenturou Reuters v květnu 2014 řada velkých společností, jako jsou Pepsi a JPMorgan Chase & Co., hledá nové hlavní důstojníky informační bezpečnosti (CISO), aby se pokusila posílit bezpečnostní praktiky. To odráží větší povědomí o bezpečnosti a její důležitosti na úrovni výkonné firmy.

CISO a hlavní úředníci v oblasti kybernetické bezpečnosti jsou ponořeni do bezpečnosti svých technologií, a to jak pro zaměstnavatele, tak pro klienta, ale jejich role a odpovědnosti se v očích široké veřejnosti, nejen mezi bezpečnostní komunitou, stávají výraznějšími a nezbytnějšími.

„Před pěti lety informační bezpečnost sotva praskla v deseti největších obavách desek. Před rokem to bylo č. 2. Zajímavé je, že nyní jde o zabezpečení dat a nejen o informační bezpečnost, “ říká David Boehmer, regionální manažer v personální firmě Heidrick & Bojuje, ve videu YouTube vytvořeném společností.)

Co dělá CISO

Role CISO může být docela široká a často se ocitá v mnoha různých kloboucích. Úloha zahrnuje vše od vnitřní bezpečnosti, jako je správa zabezpečení duševního vlastnictví, až po odpovědnost za bezpečnost zákazníka.

„Spolupracuji také s naším týmem produktů a technickým týmem při implementaci funkcí, které mohou být pro kupující zabezpečení zajímavé, “ říká Joan Pepin, CISO v Sumo Logic.

Zatímco v loňském roce k porušení cíle určitě přimluvilo hodně lidí, Pepin vysvětluje, že ona nebyla tak překvapená - a ani jedna z většiny bezpečnostních komunit nebyla. To však neznamená, že bezpečnostní komunita neměla své „momenty povodí“, kde všichni potřebovali posílit svou práci vpřed.

Porušení protokolu RSA v roce 2011, kdy hackeři porušili servery společnosti poskytující informační bezpečnost a ukradli autentizační tokeny, které poskytovaly přístup k citlivým vládním a podnikovým datům, mělo mnoho odborníků na bezpečnost. Jak by mohla bezpečnostní společnost padnout na kořist takovým hackerům? Teprve o dva roky později by se tento zájem přesunul k cíli, který dříve letěl pod radarem: maloobchodní zákazníci. Útoky, jako jsou útoky na Target a Neiman Marcus, přesunuly pozornost na bezpečnost pro každodenní zákazníky.

„Pokud máte masivní maloobchodní provoz s tisíci a tisíci zaměstnanci, všechny tyto různé weby, prodejní stroje, to je ten nejchudší druh systému a skutečnost, že k těmto typům útoků nedošlo druh stupnice dříve je pro mě vlastně trochu překvapením, “řekl Pepin.

Tento problém pramení z toho, že zabezpečení je vnímáno jako pouhé zaškrtávací políčko pro společnosti, které mají zaškrtnout a odejít, spíše než trvale kontrolovaný aspekt jejich podnikání. To neznamená, že kybernetičtí zločinci jsou laxní a mohou do nich jen vstoupit. Ve skutečnosti jsou kybernetičtí zločinci stále více kvalifikovaní.

„to bylo docela sofistikované porušení, schopné vydávat se za agenta BMC a ty typy tajných věcí. Zapojit se do postranních pohybů v celé cílové síti bylo docela chytré, “ řekl Pepin.

"Nechci to odnést, ale pokud jde o obtížnost v cíli, žádná hříčka neplánovala, nikdy bych nezařadil žádný maloobchodní řetězec na seznam tvrdých cílů. Bezpečnostní společnosti jsou tvrdé cíle, vláda je tvrdá." Nějaký maloobchodní řetězec, jehož firma prodává ponožky, neočekával bych, že budou super bezpečným obchodem. ““

Krajina pro bezpečnostní profesionály

V červnu 2014 společnost Target najala svého prvního CISO, Brada Maiorina, bývalého výkonného ředitele General Motors, který bude dohlížet na revizi bezpečnostních postupů společnosti.

Podniky, bez ohledu na své pole nebo velikost, budou muset vzít na vědomí a posílit svou bezpečnostní hru v reakci na stále rostoucí hrozby s větším uvědoměním a větší autoritou jednat v případě potenciálního porušení.

"Bylo jasné … v případě Target byly generovány výstrahy, na které nikdo nereagoval, a že podle mých zkušeností přicházejících ze spravovaného zabezpečení je extrémně typický, " řekl Pepin.

„Nejlepší systém detekce narušení na světě má stále velmi vysokou falešně pozitivní míru, a tak jsou bezpečnostní respondenti v zásadě školeni svými systémy, aby ignorovali své systémy. Existuje technologická mezera v lidské interakci, kde první respondenti znecitliví tisíce upozornění, že dostanou, že jsou odpadky. V případě Targetu se objevily nějaké známky, které nebyly sledovány, což by mohlo pomoci minimalizovat dopad mnohem dříve. “

Jak je tomu často, odborník v oblasti bezpečnosti nemůže okamžitě jednat o problému, protože potřebuje povolení nebo schválení od někoho jiného výše v hierarchii. To se musí změnit, vysvětluje Pepin a vysvětluje, že bezpečnostní tým společnosti musí mít větší autonomii a oprávnění k převzetí iniciativy.

„Mám pocit, že je to stále otázka správy věcí veřejných v tom, že hlavní důstojníci informační bezpečnosti by se neměli hlásit CIO, “ říká Tom Kellermann, hlavní ředitel kybernetické bezpečnosti v Trend Micro. "Měli by se hlásit přímo řediteli rizik nebo přímo generálnímu řediteli." Tím se vyřadí mnoho prostředníků a zajistí se rychlejší doba odezvy na případné mimořádné události.

Pepin souhlasí s tím, že odborníci na bezpečnost by se měli ve své společnosti „hlásit přímo na vrchol“. "Mám to štěstí, že se hlásím našemu generálnímu řediteli. Funguje to velmi dobře a to bych opravdu doporučil jakékoli organizaci, která bere její bezpečnost vážně."

Další rozpočty a bezpečnost pro malé a střední podniky

Najmout CISO a rozšířit svůj bezpečnostní tým je v pořádku, pokud máte rozpočet, ale co menší společnosti? I když útok na malý řetězec nebo váš místní hardware nenabízí hackerům stejné výhody jako zasažení cíle nebo Neimana Marcuse, je stále nerozumné nechat se jakýmkoli způsobem zranitelným. Co tedy můžete udělat pro zmírnění rizika útoku? Pepin důrazně doporučuje najmout služby dodavatele nebo konzultanta reakce na incidenty.

„V případě, že jste napadeni, máte někoho, komu můžete zavolat, takže nemusíte Google otevírat a začít hledat, “ řekla.

Pro menší společnost to bude mít větší ekonomický smysl, vysvětluje, protože podnikání bude využívat služby pouze tehdy, když jsou potřeba. Tyto služby se také velmi specializují na vyzvednutí tam, kde vaši zaměstnanci skončili.

„Můžete mít fantastický tým pro triaging s vědomím, že jste pod útokem, ale to není úplně stejná sada dovedností potřebných k reakci na tento útok, k jejich nasměrování z vaší sítě ak shromažďování důkazů způsobem, který může být použit u soudu. “

Společnosti mají k dispozici mnoho zdrojů pro boj proti počítačové kriminalitě. Nedávná historie naznačuje, že hned za rohem je další velký útok.