Säkerhetssårbarheter är en allvarlig utmaning för många organisationer nuförtiden. Nu när säkerhetsresurserna blir alltmer begränsade i de flesta organisationer kan snabbt expanderande och utvecklande nätverk utgöra en utmaning i sig.
Om du är en del av en IT-avdelning i någon organisation, har du troligen hanterat en störtflod av nätverksförsvarsmekanismer. Du har troligen ställt in några verktyg som kan upptäcka oseriösa insiders, och lagt till olika filter och blockader för att hindra anställda från att klicka på misstänkta länkar.
Men om något går fel har du en ordentlig handlingsplan på plats för att hantera hotet. Du vet exakt vilka procedurer du ska följa och vem du ska kontakta för återställning efter katastrof. När hotet har hanterats är du och andra medlemmar i IT-teamet redo att göra en kriminalteknisk utredning av ärendet.
I efterhand, för att sammanfatta det, hade du ordentliga försvarsmekanismer på plats, du kunde upptäcka hotet när ditt nätverk kompromettats och du neutraliserade hotet efteråt. Detta tillvägagångssätt är rent reaktivt. Majoriteten av organisationer arbetar idag med den reaktiva cybersäkerhetsmodellen. Denna typ av tillvägagångssätt innebär i princip att reagera på ett hot när varningsklockorna ringer.
Men den stora frågan är – Fungerar reaktiv cybersäkerhet ens nu för tiden?
Jo i ärlighetens namn, ja!
Multifaktorautentisering, antivirusprogram, brandväggar och hotförebyggande program är alla designade för att hantera säkerhetshot när de väl uppstår. Om du medvetet gör dina säkerhetslager svaga kommer du att bli förvånad över hur snabbt allt kan gå fel.
När man hanterar kända hot som utvecklas på förutsägbara sätt, kan reaktiva säkerhetsstrategier vara mer än tillräckliga. Men för nolldagssårbarheter, nya framväxande cybersäkerhetshot och ständigt föränderliga hotlandskap är proaktiv cybersäkerhet rätt tillvägagångssätt.
Men det är bara min åsikt baserat på min erfarenhet inom cybersäkerhetsbranschen. För att få ett mycket bredare perspektiv på saken har jag samarbetat med cybersäkerhetsexperter för att hjälpa dig förstå fördelarna med proaktiv kontra reaktiv cybersäkerhet.
I den här artikeln kommer du att kunna lära dig skillnaderna mellan proaktiva och reaktiva cybersäkerhetsmetoder och åsikterna från experter från cybersäkerhetsindustrin.
Välj mellan proaktiv och reaktiv cybersäkerhet
Enligt en rapport från 2018 blev 67 % av småföretagen utsatta för en cyberattack någon gång i tiden. Den genomsnittliga kostnaden för dessa attacker var långt över $380 000. Spola framåt till 2020 och den genomsnittliga kostnaden för ett dataintrång förväntas nå 150 miljoner enligt Juniper Research.
Det är ganska alarmerande statistik.
I slutändan handlar det om vilket tillvägagångssätt som är bättre för ditt företag. Ska ditt företag välja proaktiv eller reaktiv cybersäkerhet?
Tja, som jag nämnde tidigare är reaktiv cybersäkerhet fortfarande viktig. Även om du tänker på det faktum att det sker en hackerattack var 39:e sekund, är ett reaktivt tillvägagångssätt fortfarande en gångbar lösning. Men du kan inte också undergräva vikten av proaktiv cybersäkerhet för att hantera nya hot.
Så det korta svaret är – din organisation bör sträva efter båda. För att säkerställa att ditt företag är berett att effektivt hantera cybersäkerhetsrisker är en kombination av både proaktiv och reaktiv cybersäkerhet nödvändig. Här är de stora skillnaderna mellan de två metoderna.
Reaktiv cybersäkerhet
Som jag nämnde tidigare använder de flesta företag nuförtiden redan reaktiv cybersäkerhet. Reaktiv cybersäkerhet innebär i grunden att implementera försvarsmekanismer för att motverka vanliga attacker och jaga hackare som har äventyrat din nätverkssäkerhet. I allmänhet består ett företags reaktiva cybersäkerhetsarsenal av:
- Antivirus mjukvara
- Brandväggar
- Lösenordsskydd
- Spamfilter
- Annonsblockerare
Det reaktiva förhållningssättet är fantastiskt. Det kan förhindra att skadliga enheter orsakar för mycket skada. Problemet är dock att de flesta företag enbart förlitar sig på reaktiva strategier som ett medel för primär försvarsmekanism. Men i vårt ständigt föränderliga tekniska landskap räcker det inte. Det är här proaktiv cybersäkerhet spelar sin roll.
Proaktiv cybersäkerhet
Jämfört med reaktiv cybersäkerhet förhindrar en proaktiv cybersäkerhetsstrategi att en attack någonsin inträffar. När du använder det proaktiva tillvägagångssättet kan ditt företag effektivt identifiera sårbarheterna i ditt system innan någon kan utnyttja det. Vanligtvis implementerar ett företag som följer den proaktiva strategin följande SOP:er.
- Buggjakt
- Omfattande nätverksövervakning
- Etiskt hackande
- Utbildning för anställda
- oberoende säkerhetsrevisioner.
I ett verkligt exempel kan proaktiv cybersäkerhet jämföras med att vara medveten om dina ljud när du går ut. Du måste vara uppmärksam på alla som kan skada eller råna dig. Att fokusera på någons kroppsspråk kan hjälpa dig att förstå avsikten med människorna runt omkring dig.
Men om något skulle hända, skulle din prioritet vara att ringa upp brottsbekämpning och bedöma skadan. Det är i princip vad reaktiv cybersäkerhet är. Så vad vi hittills har kommit fram till är att den bästa cybersäkerhetspraxisen för alla företag är att anta både proaktiv och reaktiv cybersäkerhet – inte bara en.
Proaktiv vs reaktiv cybersäkerhet – expertutlåtanden
För att få ett mycket bredare perspektiv på ämnet kontaktade jag relevanta branschexperter för att se vad de hade att dela med sig av. Så utan vidare, här är svaren jag fick.
Nancy Sabino — VD och medgrundare av SabinoCompTech
Det är en absolut smärta att borsta, använda tandtråd, munskölj minst två gånger dagligen och träffa tandläkaren var sjätte månad, men det är absolut nödvändigt om du inte vill ta itu med hålrumssmärta och betala för att åtgärda den. Cybersäkerhet är densamma. Det är jobbigt att vara proaktiv med det men det är absolut nödvändigt att minimera risken och undvika eller minska den typ av smärta som kommer med system som invaderas, känslig information som stjäls, kontroll av rykteskador och ekonomiska förluster från stämningar eller böter.
Det finns så många olika verktyg tillgängliga nu för att vara proaktiv när det gäller cybersäkerhet att det inte längre är en ursäkt. Att använda rätt verktyg för att sätta block, lås och andra säkerhetsmekanismer på plats kommer inte bara att minska risken för exponering utan det kommer också att se till att du följer vad policyer för cyberansvar kräver av dig att ansvara för för att deras policy ska täcka dig. Vad det handlar om är att vara proaktiv i cybersäkerhetspraxis är inte bara affärssmart utan ett ansvar.
Brad Snow — Medgrundare Tech Exec Roundtable
Här är vad Brad, en specialist på molndatorer har att föreslå. Om din strategi är reaktiv cybersäkerhet är det inte säkerhet, det skulle vara dataåterställning. Effektiv cybersäkerhet är implicit proaktiv. Om det är reaktivt talar du nu om tillvägagångssätt för att återställa data eller ringa till ditt cyberansvarsförsäkringsbolag för att se till att du är täckt från de oundvikliga ekonomiska förlusterna.
Braden Perry — Partner KENNYHERTZ PERRY, LLC
Braden, som är en cybersäkerhetsadvokat har detta att säga om proaktiv och reaktiv cybersäkerhet. Om skogen blir för tät för att se träden och tonen i toppen (dvs. CISO) gör att företaget blir reaktivt, vilket innebär att de inte förutser problem utan väntar på att problem uppstår och sedan agerar eller reagerar. Detta leder till kortsiktighet, att se på kort sikt och inte fokusera på långsiktiga mål. Detta står i motsats till det proaktiva förhållningssättet och framåtblickande, inte bara när det gäller att förutse problem som kan uppstå utan att ha tydliga riktningar och mål.
Sounil Yu — CISO-in-Residence på YL Ventures
Bra proaktiv säkerhet är som bromsar på en bil. Bra reaktiv säkerhet är som krockkuddar. Men om du inte har bromsar på en bil kommer du att behöva många krockkuddar.
Trish Stukbauer — Grundare av CCCS
Trish, som är grundare av ett kriskommunikationsföretag hade detta att säga. Vi säger alltid till kunderna att det är en fråga om när – inte om – deras organisation kommer att falla offer för en cyberattack. Hur de uppfattas reagera på den attacken gör stor skillnad i hur snabbt – och till och med om – de återställer förtroendet från kunder, givare, allmänheten och media.
Nyckeln till att överleva en potentiell media- och kundangrepp är att ta ett proaktivt tillvägagångssätt och ha en kriskommunikationsplan på plats. Vi lever efter det gamla militära ordspråket: Korrekt planering förhindrar dåliga prestationer. Att ha en kommunikationsplan på plats förhindrar en slumpmässig chef eller anställd från att läcka känslig information eller bara säga något som oavsiktligt förvärrar situationen.
Nick Santora — VD och grundare av Curricula
Nick tillbringade nästan sju år med att arbeta som cybersäkerhetsspecialist för Critical Infrastructure Protection (CIP) för North American Electric Reliability Corporation (NERC). Han är också en Certified Information Security Auditor (CISA) och en Certified Information Systems Security Professional (CISSP).
Här är vad Nick har att säga. Problemet är att de flesta utbildningar i säkerhetsmedvetenhet är fullpackade med tekniska termer, juridiskt språk och tråkigt torrt innehåll. Tänk på den sista "death by PowerPoint-presentationen" du var tvungen att gå igenom. De flesta anställda stämmer av och försöker helt enkelt slutföra den utbildning som krävs så snabbt som möjligt. Det är inte särskilt användbart när du litar på dem för att skydda din organisation från cyberattacker. Varför ha ett program för säkerhetsmedvetenhet om det inte är effektivt?
Så problemet är inte bristen på information om ämnet cybersäkerhet, utan hur kan teknikledare ändra perspektivet på denna information så att dina anställda faktiskt lär sig av utbildningen. Hur kan du göra utbildningen rolig, relaterbar och få anställda att tillämpa kritiskt tänkande?
Ilia Sotnikov — Vice President of Product Management på Netwrix
Ilia Sotnikov som är en skicklig expert på informationssäkerhet hade detta att säga. Ett reaktivt förhållningssätt till cybersäkerhet innebär att du främst fokuserar på åtgärder som hjälper dig att skydda din IT-miljö mot säkerhetsincidenter. Även om det är en viktig del av alla säkerhetsstrategier, är jag säker på att skydd inte är ditt huvudmål. Ännu viktigare är att du måste koppla dina säkerhetsrutiner till organisatoriska risker och välja åtgärder som kommer att hålla ditt företag igång trots negativa cyberhändelser. Och proaktiv säkerhet hjälper dig med det.
Ett proaktivt förhållningssätt innebär att du vet exakt vilka hackeraktiviteter som utgör det största hotet just nu, vilka system och data som är mest kritiska i din organisation och vilka tillgångar som kräver de starkaste säkerhetsåtgärderna. Dessutom innebär det att du fokuserar lika mycket på skydds-, detekterings-, svars- och återställningsmöjligheter, vilket gör det lättare för dig att anpassa din IT-säkerhetsstrategi till ett förändrat cyberhotslandskap. Som ett resultat kan du ligga före hackare, hantera cyberhot mer effektivt och säkerställa affärskontinuitet oavsett vad.
Heather Paunet — Vice President of Product Management på Untangle
När det kommer till nätverkssäkerhet och att förbli proaktiv mot cyberattacker, kan skapande av en standardchecklista för månatligt underhåll underlätta den djupgående revisionen som genomförs årligen. Varje månad bör nätverksadministratörer rutinmässigt säkerhetskopiera all data, hålla programvaruplugins och patchar uppdaterade, uppmuntra anställda att byta lösenord regelbundet och övervaka enheter och applikationer, hålla reda på dataanvändning eller bandbreddsproblem.
För de företag som befinner sig i den reaktiva änden av cybersäkerhet finns det några viktiga första steg som alla IT-team kan implementera. Det första steget är att se till att alla anställda ändrar sina lösenord till affärskritiska konton. Detta kommer att skapa en ren skärm av åtkomst och kommer att kunna avskräcka all obehörig åtkomst från att komma längre in i nätverket. Nästa steg blir att börja segmentera nätverksåtkomst baserat på antingen avdelning, titel eller annan information. Många företag lämnar oavsiktligt kritiska filer öppna för alla anställda, och detta kan vara ett snabbt misstag på vägen för dataintrång. När du reagerar på ett cybersäkerhetshot eller intrång är det särskilt viktigt att tydligt kommunicera fördelarna med dessa cybersäkerhetspolicyer och säkerställa att anställda utövar säker cyberhygien eftersom IT-teamet tar itu med eventuella sårbarheter.
Courtney H. Jackson — Grundare/VD på Paragon Cyber Solutions, LLC
Fördelen med proaktiv kontra reaktiv cybersäkerhet är ofta skillnaden mellan att hålla din data säker och att bli hackad. Många företag investerar inte i cybersäkerhet som de borde förrän de har fallit offer för ett cyberbrott, vilket är för sent. Genom att ta ett proaktivt tillvägagångssätt utför företag den nödvändiga due diligence för att skydda sina data, identifiera potentiella hot och sårbarheter och implementera lämpliga kontroller för att ta itu med de saker som avsevärt minskar deras risk för exponering.
Michael Oh — President på TSP LLC
Den största fördelen med proaktiv cybersäkerhet är att i många fall, om du har blivit kränkt, så är det en kapplöpning mot tiden för angriparen att få ett större fotfäste eller få värdefull data från ditt nätverk. Om du har förberett spelböcker om att reagera på ett cyberintrång, folk förstår deras roll i att mildra ett intrång, och du redan har repeterat eller tränat för en sådan händelse, är det mer sannolikt att du kan avvärja en attack innan någon kan göra betydande skada på ditt företag.
Erik Kangas – VD, Ljusvetenskap
Proaktiv cybersäkerhet fokuserar på att täppa till luckor och svagheter i systemen innan de utnyttjas; reaktivt fokus på att reagera på säkerhetsincidenter efter att de inträffat. Kostnaden för proaktiv säkerhet är mycket mindre än kostnaden för att hantera intrång och problem. Proaktiv säkerhet fungerar också på ditt tidsschema, kontra reaktiv säkerhet där du ska släppa allt och arbeta under stor tidspress på angriparnas schema.
Uri May — C o-grundare och VD för Hunters<\/a>
Dagens landskap av hotdetektion och reaktion känner till olika utmaningar:
- Attackytor ökar i takt med att angripare använder olika IT-miljöer och organisatoriska plattformar
- Detektion är en mänskligt ledd, bristfällig process, som inte skalar för att gå om dagens attacker: SOC-analytiker som använder SIEM-lösningar är begränsade i sin förmåga att fånga upp svagare signaler, eller angripare som försöker blanda in bruset (och detta är oftast vad de gör idag). Specifikt gör det upptäckt av attacker som ser ut som godartade aktiviteter verkligen omöjligt, eftersom det skapar många falska positiva. Tillsammans med mångfalden av datakällor och mängder av varningar är SOC-teamen överväldigade.
- Utöver det är mänsklig talang för cybersäkerhet väldigt knapp. Även när begåvade personer anställs och behållas är de fortfarande människor som går på jullov eller måste jobba på distans under en världsomspännande pandemi. Dessutom saknar de heltäckande domänexpertis och kommer sannolikt inte att bemästra alla attackytor: moln, nätverk, slutpunkter. Var och en kräver sin egen domänexpertis och används på olika sätt av angripare.
Det enda sättet att inte bara matcha, utan även ta om anfallare, är att vara proaktiv – vi har inte råd att vänta på att vara reaktiva. Angripare är aldrig reaktiva.
Men att vara proaktiv är en underdrift; För att lyckas måste detektionen vara proaktiv på ett snabbt och skalbart sätt. Det enda sättet att göra det är att använda maskinkraft och varje bit av organisationsdata sammankopplade, precis som en angripare gör.
Chelsea Brown — VD och grundare, Digital Mom Talk
När en cyberattack inträffar går 60 % av företagen i konkurs på sex månader. Detta beror inte på kostnaden för att fixa eller reparera och öka den digitala säkerheten. Företag ansöker om konkurs på grund av de andra konsekvenserna i samband med cyberattacker som de inte förutser och inte är beredda på. De flesta företag som utsätts för en cyberattack möter stämningar, statliga och federala böter, skada på rykte och förlust av affärer till följd av cyberattacker. Dessa kostnader uppgår till mer än kostnaden för att installera och hålla säkerhetspraxis, procedurer och enheter som är uppdaterade.
Michael Rotondo — Grundare, Silent Sector
Cybersäkerhet definieras ofta med två alternativ. Du kan antingen upprätthålla ett proaktivt försvar som är starkt riskbaserat och utformat för att förhindra dåliga saker från att hända eller ett reaktivt försvar som bygger på tron att dåliga saker kommer att hända och att vi bättre har ett sätt att hantera det. Även om båda har sina fördelar, i verkligheten är den bästa lösningen en kombination av de två metoderna. De flesta säkerhetsbeslut, som IT-beslut, baseras i allmänhet på tre faktorer. Dessa är budget, förståelse för ämnet och tillgång till resurser.
Frågan är inte, kan du jämföra proaktiv kontra reaktiv cybersäkerhet. Frågan är snarare, vad är balansen mellan reaktiva och proaktiva åtgärder som krävs för att hålla företaget säkert?
En kombination av de två metoderna krävs för en komplett försvarsställning. Proaktivt behöver du process, policyer och standarder för att säkerställa att du är säker och kompatibel, men för att ha en fullständig säkerhetsställning måste du se till att du har reaktiva möjligheter när skadlig aktivitet inträffar. Till exempel kan du ha en slutpunktslösning som automatiskt sandlådor en användares dator när de klickar på ett nätfiskemeddelande eller laddar ner skadlig programvara. När det gäller de som tror att de inte har något som någon skulle vilja stjäla, kommer vi att fortsätta att be en bön, tända ljus och hoppas på det bästa.
Itay Yanovski — SVP Strategy & Co-grundare av Cyberint
Att vara proaktiv när det gäller cybersäkerhet innebär i huvudsak att du mildrar hotet snarare än att reagera på incidenten. För att kunna agera på hotet behöver du hotintelligens, som i slutändan driver skillnaden mellan att vara reaktiv och proaktiv. Ett bra exempel på att anta ett proaktivt tillvägagångssätt för att säkra din organisations system är att bygga på hotintelligensdata för hotjakt.
Hotjakt är processen att aktivt leta efter tecken på kompromisser inom företagssystemen. För att vara effektiv måste du fokusera på hotjakten på de verktyg, taktik och procedurer (TTP) som angripare kommer att använda. Denna hypotesbaserade jakt kräver en djup förståelse av både TTP:n och ditt specifika hotlandskap, vilket i huvudsak identifierar vem som kommer att attackera dig och hur. Att inkludera proaktiv intelligensledd hotjakt i ditt cybersäkerhetsprogram kan förbättra dina chanser att undvika intrång och minimera tid för att upptäcka och tid att svara, om ett brott skulle inträffa. Att misslyckas med att anta ett proaktivt tillvägagångssätt kan visa sig – om ett intrång skulle inträffa – vara kostsamt ekonomiskt och negativt påverka varumärkets rykte.
Daniel William Carter — Cybersäkerhetskonsult på IDStrong
För att implementera en omfattande cybersäkerhetsstrategi behöver du båda. I jämförelse med den reaktiva hjälper en proaktiv cybersäkerhetsstrategi dig att förebygga och/eller vara mer förberedd när hackningen väl inträffar. På så sätt säkerställer du att du är mer förberedd. Samtidigt som de arbetar med en proaktiv strategi är dina anställda mer utbildade om cyberhygien. Du kan vara säker på att hackningen inte sker när du arbetar med mycket kompetenta medarbetare.
Hög risk och svaga områden är mer uppenbara för företagare. Realtidsövervakning ger en fullständig bild av möjliga hot. Det proaktiva förhållningssättet stärker företagets försvar, och ökar även chanserna för en nolldagsattack. För att arbeta effektivt krävs ett långsiktigt engagemang. För stora företag som skyddar betydande, värdefulla och ständigt växande datamängder blir utsikterna till proaktiv cybersäkerhet alltmer attraktiva.
Chase Norlin — VD för Transmosis
Ett proaktivt kontra reaktivt tillvägagångssätt blir allt mer värdefullt eftersom teknik, i synnerhet AI, gör det möjligt för cybersäkerhetsföretag att engagera sig i aktiv hotjakt baserat på ovanliga beteenden. Detta är markant annorlunda än
att reagera på en varning. I en proaktiv hållning kan cybersäkerhetsanalytiker mildra potentiella hotscenarier långt innan de inträffar, eftersom fler cyberattacker har längre varaktighet och är strategiska till sin natur.