Отчет SBIC: новый подход к безопасности компаний

RSA, подразделение безопасности корпорации EMC, опубликовало новый отчет из серии отчетов, выпускаемых Security for Business Innovation Council (SBIC). Предпосылкой для его выпуска стали случаи промышленного шпионажа и саботажа, мишенью которых все чаще становятся организации. Отчет убедительно показывает, что для большинства организаций вопрос состоит не в том, станут ли они целью продвинутой угрозы, а в том, когда это случится. Отчет предлагает руководство по противостоянию этому новому классу угроз, подготовленное 16 лидерами глобальных организаций по безопасности.

SBIC – это группа, состоящая из лидеров по безопасности в организациях, входящих в список Global 1000, которые обсуждают наиболее острые проблемы безопасности и то, как применение информационной безопасности может ответить на эти проблемы и обеспечить бизнес-инновации. Последняя серия изощренных кибератак, затронувшая основы экономики и государственного сектора, дала материал для отчета When Advanced Persistent Threats Go Mainstream: Building Information-Security Strategies to Combat Escalating Threats («Когда продвинутые постоянные угрозы станут мэйнстримом: Построение стратегии информационной безопасности для защиты от эскалации угроз»). В отчете говорится, что постоянные угрозы — проблема, с которой раньше сталкивались только военно-промышленный комплекс и государственные организации — сейчас нацелены на широкий спектр организаций частного сектора с целью похитить ценную интеллектуальную собственность, коммерческую тайну, корпоративные планы, получить доступ к операционным данным и другой конфиденциальной информации.

Термин APT (Advanced Persistent Threats – продвинутые постоянные угрозы) был введен для описания кибершпионажа, когда разведывательные органы одной страны в течение длительного времени через сеть получают доступ к секретным данным другой страны. Сегодня термин APT расширен, поскольку атакующие стороны расширили список своих целей и национальные государства не являются единственными, кто применяет эти техники. Атакующая сторона теперь вместо проникновения через сетевой периметр предпочитает выбирать в качестве цели слабое звено в лице человека, воздействуя на пользователей с помощью техник социальной инженерии и целевого фишинг-мошенничества.

Отчет SBIC призывает организации принять новый подход к безопасности, изменив концепцию, т.е. считать достижением цели не предотвращение проникновения, а обнаружение атаки и максимально быстрое уменьшение ущерба от нее. С этой точки зрения группа SBIC предлагает семь мер защиты от эскалации угроз APT:

• интеллектуальный сбор информации и ее анализ на высшем уровне;
• умный мониторинг – выяснить, что нужно искать, и настроить на это безопасность и сетевой мониторинг;
• контроль доступа – строго контролировать права доступа пользователей;
• особое внимание подготовке пользователей – научить сотрудников распознавать технику социальной инженерии и стимулировать их, чтобы они лично отвечали за безопасность организации;
• управление ожиданиями руководства – высшее руководство должно понимать важность защиты от угроз APT с учетом гонки цифровых вооружений;
• перестройка ИТ-архитектуры – разбить плоскую сеть на сегменты, тогда злоумышленникам будет трудно перемещаться по сети и находить в ней самые ценные ресурсы;
• участие в обмене информацией – использовать знания других организаций, обмениваясь с ними информацией об угрозах.