Список главных ИБ-трендов обновился наполовину
Аналитическая компания Gartner ежегодно озвучивает важнейшие, по мнению ее аналитиков, тенденции в самых разных сферах. Информационная безопасность - одна из них, поскольку важность обеспечения ИБ растет с каждым годом. Обстановка в мире информационной безопасности меняется стремительно, однако некоторые проблемы и связанные с ними тренды если не вечны, то, по крайней мере, «долгоиграющи»: три тренда из семи отмечались и в аналогичной подборке 2021 г., еще один (о роли высшего руководства в обеспечении ИБ) в этом году был творчески переосмыслен. Появились несколько новых терминов, но их еще предстоит наполнить чем-то существенным; пока же они, судя по описанию, больше похоже на декларации о намерениях.
1. Расширение поверхности атаки
Пространство, в котором приходится работать специалистам в области кибербезопасности, постоянно расширяется, как Вселенная после Большого взрыва. Времена, когда достаточно было контролировать корпоративный периметр, прошли. Сотрудники стали массово работать удаленно (сначала с мобильных устройств, а потом, из-за пандемии коронавируса, - массово из дома), корпоративные системы все чаще размещаются в облаках; в состав ИТ-систем все чаще встраиваются киберфизические, все больше используется решений с открытым кодом, все чаще компании взаимодействуют с «внешним миром» посредством соцсетей и т. д.
Соответственно, «поверхности атак» становятся гораздо больше. А организации «должны выйти за рамки традиционных подходов к мониторингу безопасности, обнаружению и реагированию на киберугрозы». Защитить от злоумышленников должны новые классы решений: сервисы по защите от цифровых рисков (DRPS, Digital Risk Protection Services), решения по управлению внешней поверхностью атаки (EASM, External Attack Surface Management) и управление поверхностью атаки киберактивов (CAASM, Cyber Asset Attack Surface Management). Они помогут службам ИБ в визуализации внутренних и внешних бизнес-систем, автоматизируя обнаружение брешей в защите.
2. Риски при поставке ПО
«Киберпреступники обнаружили, что атаки на цифровую цепочку поставок могут обеспечить высокую отдачу от инвестиций», - обрисовывает Gartner новую бизнес-стратегию злоумышленников. Иными словами, «ломать» программное обеспечение проще в процессе его создания, особенно при использовании разработчиками общедоступных библиотек.
Например, благодаря наличию в популярной библиотеке журналирования Log4j критической уязвимости CVE-2021-44228, которая существовала не один десяток лет, но была открыта только недавно (или ранее открывшие использовали ее втихомолку), в зоне риска оказались многие популярные сервисы. В 2021 г., по оценке Gartner, с такими атаками столкнулись 15% организаций, в 2025-м могут пострадать уже 45%.
Рекомендации аналитиков (внимательнее работать с поставщиками ПО, следить, чтобы они контролировали процессы и т. д.) достаточно банальны, кроме, разве что, совета «опередить будущие нормативные акты».
3: Угрозы решениям по идентификации
В списке трендов прошлого года необходимость защиты инфраструктуры управления идентификацией и доступом (IAM, Identity and Access Management) упоминалась дважды - в отношении людей и в отношении устройств. В трендах этого года защите IAM посвящен один раздел, зато отмечено, что «злоупотребление учетными данными в настоящее время является основным вектором атаки». Вклад в Gartner борьбу с этим явлением - введение нового термина для инструментария борьбы с атаками на IAM - ITDR (Identity Threat Detection and Response, «обнаружение и реагирование на угрозы, связанные с идентификацией»). Теперь профильным компаниям предстоит наполнить это понятие инструментарием и, если он окажется работоспособным, «лучшими практиками» по защите систем идентификации.
Раньше, отмечают в Gartner, большинство усилий направлялось на совершенствование технологий аутентификации, что увеличивало «поверхность атаки» из п. 1. На профильных ресурсах, обсуждая тему, часто упоминают «привилегированные записи», взлом которых дает злоумышленникам несравненно большие возможности, чем взлом простых «учеток». Так что можно ждать появления термина с буквой P (Privilege), описывающего борьбу за безопасность учетных записей руководства.
4. Распределение ответственности
В прошлом году аналитики Gartner отметили, что в связи с осознанием высшим руководством компании важности кибербезопасности, советы директоров могут пойти на формирование специальных структур по ИБ, возглавляемых членами советов директоров. Так что директоров по ИБ ждет не только увеличение ресурсов, выделяемых на обеспечение кибербезопасности, но и более жесткий контроль.
Теперь аналитики утверждают, что в связи с усложнением ситуации, к 2025 г. процесс обеспечения ИБ «из одной точки» будет недостаточно гибок. И директорам по информационной безопасности стоит «переосмыслить свою матрицу ответственности, чтобы дать возможность советам директоров, генеральным директорам и другим бизнес-лидерам принимать собственные обоснованные решения о рисках». Иначе говоря, переложить на них часть ответственности за обеспечение информационной безопасности. Весьма здравый совет с точки зрения CISO (но, возможно, не с точки зрения других бизнес-лидеров).
Возможны и другие варианты разделения ответственности за обеспечение безопасности. Так, Сергей Волков, директор центра киберзащиты компании Cloud уверен, что в облаках единый центр контроля за ИБ, который «отвечает за все» вряд ли возможен. «За безопасность в облаке отвечает и провайдер, и клиент. Например, в Cloud зона ответственности может варьироваться в зависимости от модели облачных сервисов (IaaS, PaaS, SaaS) и типа облака (частное, публичное), - говорит Сергей Волков. Например, при предоставлении инфраструктуры как сервиса, Cloud отвечает за физическую безопасность, защиту инфраструктуры и сетевую безопасность периметра облака. «Клиент при этом отвечает за безопасность непосредственно тех информационных ресурсов, которыми он пользуется и размещает в облаке, - отмечает он. - Зона ответственности клиента включает в себя сетевую безопасность на уровне виртуальных машин, обеспечение безопасности на уровне операционных систем, безопасность приложений и баз данных, организационное обеспечение кибербезопасности».
5. Человек по-прежнему «слабое звено»
Несмотря на все курсы обучения, ошибки сотрудников по-прежнему являются главой причиной многих утечек данных. Что, как полагают в Gartner, свидетельствует о неэффективности традиционных подходов к обучению в этой сфере. «Прогрессивные организации вкладывают средства в целостные программы поведения и культуры безопасности (SBCP), а не в устаревшие кампании по повышению осведомленности о безопасности, ориентированные на соответствие требованиям», - говорят в Gartner («бумажная безопасность» во всех ее аспектах - отнюдь не российское изобретение). Правда, пока неясно, что скрывается за этим термином, но к следующему году, может, появятся соответствующие «лучшие практики». А может быть - другая, более важная, проблема.
6. Консолидация поставщиков
На эту тенденцию Gartner указывал еще год назад, говоря, что изобилие поставщиков («78% директоров по информационной безопасности имеют 16 или более инструментов в своем портфеле поставщиков средств кибербезопасности; 12% имеют 46 и более») приводит к существенному усложнению работы и увеличению числа сотрудников службы безопасности. Предприятия стараются уменьшить свой «зоопарк», но на это могут уйти годы, говорили аналитики.
В этом году прогноз более оптимистичен: уже в 2024 г. почти треть предприятий будут использовать облачный безопасный веб-шлюз, брокера безопасности облачного доступа, средства сетевого доступа с нулевым доверием и «брандмауэр филиала как услугу» от одного производителя.
7. Сеть служб кибербезопасности
Этот пункт также был в прошлом списке трендов, правда, в совсем краткой и неясной форме. В этом году появился термин CSMA (Cybersecurity mesh architecture, ячеистая архитектура кибербезопасности), впрочем, ясности он не принес. На уровне декларации концепция CSMA основывается на том, что компоненты архитектуры безопасности должны работать вместе, независимо от того, где они находятся (ПК, ЦОД или облако), обмениваться данными и в целом «усиливать» друг друга. С такой постановкой вопроса не поспоришь.