Puls

Stručnjak za kibernetičku sigurnost zagovara sigurnost u gomili

Želeći pokupiti mozak Jaya Kaplana iz Synacka, G3 je intervjuirao stručnjaka za kibernetičku sigurnost o težnji njegove tvrtke prema proaktivnoj kibernetičkoj sigurnosti i potrebi da se u potpunosti razumije ključni sastojak u Synackovom oružju – sigurnost u mnoštvu

Jesmo li dovoljno paranoični po pitanju cyber sigurnosti?

Ne. Kibernetička sigurnost najveći je poslovni rizik 21. stoljeća – moramo se tako prema njoj odnositi. Međutim, uvijek potičem tvrtke da izbjegavaju prihvaćanje stava o sudnjem danu koji ponekad prati kibernetička kršenja u medijima. Umjesto toga, usvojite pragmatičan pristup upravljanju i smanjenju kibernetičkog rizika. Sigurnosna industrija se razvija i iznova osmišljava sigurnosnu obranu – organizacije se mogu uhvatiti u koštac s kibernetičkom sigurnošću, ali to će zahtijevati stalne, usklađene napore.

Je li povreda podataka/sigurnosti neizbježna?

Da. Ne možemo 100 posto eliminirati rizik od kršenja. Današnji protivnik je sofisticiran, s obiljem podataka i alata na raspolaganju. Međutim, možemo smanjiti vjerojatnost kršenja a) povećanjem otpornosti digitalne imovine na napadače, b) poduzimanjem koraka za smanjenje utjecaja ograničavanjem opsega meta visoke vrijednosti na mreži i c) pripravnošću odgovoriti, forenzički i kroz strateški komunikacijski plan, ako i kada se dogodi.

Što je crowdsourced sigurnost?

Crowdsourced sigurnost moderan je pristup učinkovitijoj i učinkovitijoj sigurnosti. Najveći izazov modernih sigurnosnih timova je razmjer – sigurnosnih je talenata u nedostatku, a procjenjuje se da će do 3.5. biti ukupno 2021 milijuna nepopunjenih kibernetičkih pozicija. Umjesto da troše cikluse na traženje talenata koji jednostavno ne postoje, poduzeća rješenjem čine crowdsourcing. Gartner procjenjuje da će >50 posto poduzeća koristiti crowdsourcing i povezane tehnologije automatizacije do 2022. godine.

Crowdsourced sigurnost koristi raznoliku skupinu talenata za traženje ranjivosti u sustavu. Većina masovnih sigurnosnih programa potiče ovu gomilu sigurnosnih istraživača (poznatih i kao etički hakeri) da traže ranjivosti plaćajući im za ono što pronađu ("bounty"). To ih motivira da pruže rigorozniji test nego što biste dobili od konzultanta kojem plaćate vrijeme i materijale.

Synack-ova platforma za testiranje penetracije koja se temelji na množini povećava broj korisnika vlastitom tehnologijom automatizacije i znanosti o podacima kako bi pomogla korisnicima da pronađu i poprave ranjivosti, postanu sigurniji kroz nove uvide i postignu usklađenost (npr. PCI, NIST) za revizore.

Središte vrijednosti nasuprot teretu troškova – kako kvantificirate trošak sigurnosti kada je najbolji ishod da se ništa ne dogodi?

Do 5.2 trilijuna dolara globalne vrijednosti izloženo je riziku kibernetičkog kriminala u sljedećih pet godina – ali očekuje se da će globalna potrošnja na informacijsku sigurnost i upravljanje rizikom dosegnuti samo 188.4 milijarde dolara do 2023. Imamo neusklađenost između globalnog sigurnosnog rizika i globalnog sigurnosnog ulaganja .

Najbolji voditelji sigurnosti omogućuju poslovanje i izgrađuju brend. Svaki poslovni brend daje obećanje svojim kupcima. Kako bi održali to obećanje, kupci moraju biti u mogućnosti vjerovati da će marka ispuniti svoje uvjete, bilo da to znači učiniti online igranje dostupnim bez prekida ili pružiti dosljedno pozitivno iskustvo kasina. Kako bi se to postiglo, sigurnost mora biti ugrađena u posao prema dizajnu kako bi se osigurala dostupnost usluge, zaštita podataka o klijentima i integritet transakcije.

Dobra sigurnost ne znači da se ništa ne događa – to znači da se posao odvija, bez prekida.

Određene industrije bolje su zaštićene od drugih. Koji su najbolji, a koji najgori prijestupnici i zašto?

Synack objavljuje godišnje izvješće o povjerenju, koristeći našu vlasničku bazu podataka s tisućama testova penetracije, koji analiziraju i ocjenjuju koliko su industrije otporne na napade. Financijske usluge i proizvodnja i kritična infrastruktura predvode skupinu kao dvije industrije kojima se najviše vjeruje. Obje ove industrije bile su velika meta cyber kriminalaca zbog vrijednosti njihove financijske imovine i intelektualnog vlasništva. Kao rezultat toga, morali su zauzeti proaktivan pristup pronalaženju sigurnosnih propusta, njihovom saniranju i integraciji sigurnosti u svoje razvojne cikluse.

S druge strane, industrije poput e-trgovine koje prolaze kroz golemu digitalnu transformaciju zaostaju. Kad god postoji digitalizacija i nova digitalna imovina dolazi na mrežu, postoji veći rizik od ranjivosti i proboja. Industrija zabave i igara u istom je čamcu, s prosječnom ocjenom otpornosti napadača koja je malo ispod ukupnog prosjeka od 57, na ljestvici od 0 do 100 (gdje je 0 najmanji otpor, a 100 najotporniji).

Zašto bi poduzeća trebala vjerovati Synacku? Pun je hakera…

Vaš posao je već hakiran. Zašto se ne biste udružili s mrežom hakera koji vam žele pomoći da postanete sigurniji, umjesto da dopustite negativcima da vas kradu?

Koncept etičkog hakiranja zapravo nije nov. Synack se izdvaja davanjem prioriteta povjerenju i ugradnjom značajki u našu platformu za testiranje penetracije koja je okupljena mnoštvom. Naša platforma pruža potpunu transparentnost, mogućnost revizije i kontrolu našim klijentima. Također provjeravamo integritet i vještinu svakog etičkog hakera koji dođe na našu platformu – imamo vrlo elitni Synack Red Team s konkurentnom stopom prihvaćanja od 12 posto.

Zašto odabrati kontinuirano testiranje prodora za razliku od određenog trenutka? Kontinuirano zvuči skuplje...

Dinamičnost modernih digitalnih okruženja znači da više jednostavno ne možemo ograničiti testiranje na određenu točku u vremenu. Razvojne organizacije izrađuju i objavljuju kodove više puta dnevno! Ako testiramo samo godišnje ili tromjesečno, razmislite koliko bi se promjena i potencijalnih ranjivosti moglo pojaviti između testiranja. Naši podaci pokazuju da su organizacije koje prakticiraju kontinuirano testiranje penetracije preko 40 posto otpornije na kibernetičke napade od organizacija koje se oslanjaju na sigurnosne testove u određenom trenutku.

Kako napraviti sigurnosnu jezgru brenda?

Počinje međusobnim razumijevanjem. Poslovni čelnici trebaju razumjeti i rizik i priliku sigurnosti, a čelnici sigurnosti moraju razumjeti kako mogu omogućiti poslovanje. Rukovoditelji moraju postaviti sigurnost kao prioritet i ugraditi kontinuirani sigurnosni stil života u kulturu organizacije.

Što predstavlja najveću ranjivost, ljudi ili tehnologija?

Narod. U konačnici, ljudi grade tehnologiju, a ljudi su skloni pogreškama s vremena na vrijeme (čak i ako to ne volimo priznati). Zato je testiranje trećih strana, korištenje pristupa masovnosti tako kritično – ako ocjenjujemo vlastite testove, uvijek ćemo si dati A. Da bismo bili sigurniji, trebamo niz različitih skupova vještina u potrazi za ranjivostima iz različitih perspektiva. Često je najštetnija ranjivost jednostavna pogreška ili logički nedostatak koji prolazi nezapaženo. Kreativni protivnik će to pronaći. Zato su nam potrebne jednako kreativne obrane. I to je također razlog zašto se ljudi nikada ne bi mogli zamijeniti sigurnosnim rješenjem koje se sastoji samo od tehnologije. Najbolje obrambeno rješenje iskorištava i čovjeka i stroj kako bi izvuklo kreativnost iz ljudskog uma i razmjere iz stroja.

Koliki je postotak kršenja koja nisu javno objavljena, gdje se vrši plaćanje? I je li to održiva strategija?

Sve veća regulativa oko sigurnosnih proboja prisiljava organizacije da otkriju kršenje. Budući da je sigurnost temelj povjerenja, otkrivanje kršenja važan je korak prema održavanju povjerenja kupaca i dionika. Uz navedeno, mnoga kršenja kibernetičke sigurnosti, posebno u manjim tvrtkama iu industrijama koje su manje regulirane, i dalje ostaju neprijavljena zbog straha od utjecaja na poslovanje.

Konačno, shvaćaju li tvrtke ozbiljno sigurnost tek nakon što su probijene?

Tvrtka ne bi trebala smatrati kršenjem da bi ozbiljno shvatila sigurnost – sigurnost je neprocjenjiva. Naši podaci pokazuju da su organizacije koje su koristile grupno testiranje penetracije dvije ili više godina do 2 puta jače protiv kibernetičkih napada od onih koje ne provode grupno testiranje ili su to radile manje od godinu dana. Da, postoji mnoštvo troškova koji proizlaze iz kršenja, uključujući pravne naknade, odgovor na incidente, odnose s javnošću itd. Međutim, vrijednost sigurnosti nije samo odsutnost troškova – to je također dodatna vrijednost robne marke koja proizlazi iz povjerenje kupaca u sposobnost poslovanja da posluje pouzdano i s integritetom. To je vrijednost proaktivne sigurnosti.