Digital Risk Management – co możesz zrobić w sieci, której nie kontrolujesz

Na pewno podczas wielu prezentacji na temat bezpieczeństwa cyfrowego słyszeliście, że tradycyjny sieciowy model „obwodu” („perimeter”) jest przestarzały i nie sprawdza się w świecie rozproszonej siły roboczej (praca z domu, częste podróże, kontraktorzy). W miarę jak organizacje stają się coraz bardziej połączone ze swoim łańcuchem dostaw, klientami i partnerami, aktywa, które zespoły ds. bezpieczeństwa starały się chronić, stają się „uzewnętrznione”. Jeśli chcemy zarządzać tymi nowymi, cyfrowymi ryzykami, musimy zacząć patrzeć poza tradycyjne granice… Brzmi jak kolejny kandydat na truizm roku niemniej…

Postaramy się to nieco uściślić…

Zarządzanie ryzykiem cyfrowym odnosi się do procesów mających na celu poprawę oceny i monitorowania, które może obejmować ryzyko cybernetyczne, ryzyko stron trzecich, ryzyko operacyjne i wiele innych jego rodzajów (tak, tak – ale ciężko to uogólnić). Ryzyko to może mieć wpływ na wyniki finansowe organizacji, jej funkcjonowanie lub reputację. A, że jest to definicja mogąca swoim zakresem konkurować z naszą ulubioną „cyfrową transformacją” – rozwiniemy to nieco…

Aby bezpiecznie osiągnąć korzyści z transformacji cyfrowej, organizacje muszą wziąć pod uwagę trzy podstawowe obszary:

Wykrywanie utraty danych

Hipotetycznie – nasze dane wrażliwe zostały ujawnione w Internecie – i mówimy tu zarówno o WWW jak i darknecie… Protokół z posiedzenia zarządu nieumyślnie wyciekł, programiści nieumyślnie ujawnili wrażliwy kod lub ktoś ukradł dane projektowe i wystawił na sprzedaż podając przykłady… To zaproszenie do włamania czy wyrządzenia szkód reputacji firmy. Firmy ceniące sobie konkurencyjność oprócz mechanizmów prewencji takich jak DLP, mają sposoby by badać czy dane już nie wyciekły i nie są dostępne gdzieś w internecie.

Bezpieczeństwo marki online

Wszyscy dziś korzystają z mediów społecznościowych i innych platform internetowych w celu nawiązania kontaktu z potencjalnymi klientami.

Ujmując poetycko – im grupa Twoich klientów młodsza, tym bardziej patrzysz na social.

Cyberprzestępcy podszywają się pod markę poprzez rejestrowanie fałszywych domen, kont w mediach społecznościowych i aplikacji mobilnych. W przypadku powodzenia, próby phishingu skierowane przeciwko klientom mogą wpłynąć na ich przychody, lojalność i zaufanie. Może zaboleć… tym bardziej, że te fałszywe konta kupują followersów, mają zainteresowania i robią wszystko by być „legit”.

Redukcja powierzchni ataku

Wraz z rozwojem infrastruktury IT, pracą zdalną, adopcją supply chain management… coraz trudniej jest uzyskać wystarczającą widoczność powierzchni ataku. Adwersarze wykorzystują to, exploitując aplikacje publiczne lub tworząc fałszywe strony by pozyskać dane dostępowe. Zespoły bezpieczeństwa muszą monitorować wykorzystywane luki w infrastrukturze, słabe lub wygasające certyfikaty, otwarte porty, źle skonfigurowane protokoły udostępniania plików… ale również infrastrukturę podszywającą się pod należącą do ich firmy.Na szczęście – bądź ze zwykłego pragmatyzmu – rzemysł cyberbezpieczeństwa rozwija zupełnie nową gałąź by zaradzić tym problemom. Oto trzy kroki, które można podjąć, aby pomóc w zarządzaniu ryzykiem cyfrowym.

Krok 1 – Krytyczne zasoby biznesowe

Jeżeli pracujesz z nami, prawdopodobnie już je zidentyfikowałeś – niemniej: organizacja musi najpierw określić, jakie dane wrażliwe posiada i jak mogą one zostać wykorzystane przez podmioty stanowiące zagrożenie lub przeciwników.

Oczywiście wszędzie jest tzw. „Szara strefa” – na przykład, niektóre firmy mogą nie uważać kont w mediach społecznościowych za zasoby wrażliwe, niemniej widzimy te konta jako cel ataku. Wskazówka – na początek przyjrzyj się regulacjom, którym podlegasz.

Krok 2 – Monitorowanie pod kątem niepożądanych ekspozycji

Aby wykryć narażone zasoby, organizacje powinny rozważyć szeroki zakres źródeł i nadać priorytet tym, które są dla nich najbardziej istotne w internecie, deep webie i dark-necie:

• Repozytoria Git

• Źle skonfigurowane usługi udostępniania plików online

• Strony do wklejania

• Media społecznościowe

• Serwisy udostępniające pliki

• Fora przestępcze (dark-net)

• Strony w dark-necie

Jeśli jesteś zainteresowany listą bezpłatnych narzędzi, które pomogą Ci monitorować ryzyko cyfrowe i narażenie na nie – zapytaj nas. Jednak ilość informacji jest tak duża, że firmy zlecają research i przedstawianie wniosków firmom w tym wyspecjalizowanym.

Krok 3 – Podejmij działania

Taktycznie:

• Redukcja powierzchni ataku – spojrzyj na swoją infrastrukturę techniczną “okiem atakującego”. Zespoły powinny wycofywać i deprecjonować usługi wszędzie tam, gdzie jest to możliwe, aby było mniej do zaatakowania.

• Usuwanie obraźliwych treści z witryn – Istnieje wiele sposobów na usunięcie obraźliwych treści z Internetu. Wnioski o usunięcie wymagają weryfikacji, ale z naszego własnego doświadczenia wynika, że możliwe jest usunięcie dużej części obraźliwych treści za pomocą serwisów społecznościowych, procesów powiadamiania o nadużyciach przez dostawców usług internetowych oraz ogłoszeń prawnych, które oferują narzędzia do takiego usunięcia.

• Działania blokujące w sieci – W przypadku witryn z próbami phishingu należy opracować zasady blokowania domeny, adresu IP lub obraźliwych treści za pomocą istniejących proxy, zapór sieciowych lub kontroli obwodowych. Dla organizacji, które mają szczęście mieć system zgłoszeń lub, jeszcze lepiej, orkiestrację bezpieczeństwa i automatyzację – wtedy należy wziąć wspólne przypadki użycia dla powszechnie obserwowanych zachowań i wdrożyć działania blokujące.

Operacyjne:

• Wdrożenie strategii monitorowania – zacznij od monitorowania domeny i z czasem dodawaj kolejne możliwości według przypadków użycia. Ten stały zakres pomoże zbudować zaufanie do zarządzania ryzykiem cyfrowym.

• Zintegrowanie z procesami reagowania na incydenty – Określenie zagrożeń, które należy monitorować, wdrożenie strategii wykrywania, przeprowadzenie dochodzenia, opanowanie zagrożeń, usunięcie wszelkich problemów i dokonanie przeglądu.

• Włączenie do operacji bezpieczeństwa – Zespoły operacji bezpieczeństwa muszą brać pod uwagę kontekst podczas przeglądu zewnętrznych incydentów związanych z ryzykiem cyfrowym. SecOps powinien mieć widok na całą powierzchnię ataku, aby zrozumieć wszystkie punkty narażenia online.

Strategiczne:

• Aktualizacja modeli ryzyka i zagrożeń – Im głębsze zrozumienie danych wejściowych, tym dokładniejszy model. Upewnij się, że Twoje oceny ryzyka uwzględniają krytyczne zasoby cyfrowe, w tym te związane z łańcuchami stron trzecich i dostaw.

• Pomiar, zarządzanie i raportowanie ryzyka cyfrowego – Im większa widoczność ryzyka cyfrowego, tym lepiej można zmierzyć ekspozycję i poziom dotkliwości incydentów. Zalecamy zintegrowanie z procesami zarządzania incydentami, aby usprawnić możliwości

Zbudowanie strategii zarządzania ryzykiem cyfrowym wymaga czasu i wysiłku całej firmy; nie jest to łatwy wyczyn. Specjaliści muszą uwzględnić wykrywanie, integrację i remediację, aby pomóc w budowaniu dojrzałości swoich procesów. Co ważne – powierzchnia ataku już nie znajduje się w obrębie infrastruktury, którą kontrolujesz. Są nią również zasoby intelektualne takie jak marka, eksponowane w infrastrukturze osób trzecich (głównie social-media ale i e-commerce). Zespoły ds. bezpieczeństwa muszą budować zdolności w zakresie ryzyka cyfrowego wewnętrznie, jednak ze świadomością, że remediacja może wymagać kontaktów ze stronami trzecimi w celu wprowadzenia zmian w ich infrastrukturze (np. Zdjęcia fałszywego profilu ze strony Linkedin).

Podejrzewamy, że narzędzia typu DRM będą w kolejnych latach zyskiwały na znaczeniu – zwłaszcza w sektorach mocno polegających na obecności marki w sieci i social media (gaming, marki luksusowe czy powiązane z ochroną środowiska).