Проактивна чи реактивна кібербезпека – що важливіше?

Уразливості безпеки сьогодні є серйозною проблемою для багатьох організацій. Тепер, коли ресурси безпеки все більш обмежені в більшості організацій, мережі, що швидко розширюються та розвиваються, можуть стати проблемою самі по собі. 

Якщо ви є частиною ІТ-відділу будь-якої організації, то, швидше за все, ви мали справу зі шквалом механізмів захисту мережі. Ймовірно, ви налаштували деякі інструменти, які можуть виявляти шахрайських інсайдерів, і додали різні фільтри та блокування, щоб співробітники не натискали на підозрілі посилання.

Але на випадок, якщо щось піде не так, у вас є відповідний план дій, щоб подолати загрозу. Ви точно знаєте, яких процедур слід дотримуватися і до кого звертатися для аварійного відновлення. Після того, як загроза буде усунена, ви та інші члени ІТ-команди готові провести судове розслідування справи.

Якщо підвести підсумок, у вас були встановлені належні механізми захисту, ви змогли виявити загрозу, коли ваша мережа була скомпрометована, і ви нейтралізували загрозу згодом. Цей підхід є суто реактивним. Більшість організацій сьогодні працюють за реактивною моделлю кібербезпеки. Цей тип підходу в основному передбачає реагування на загрозу після того, як пролунає тривожний дзвінок. 

Але головне питання – чи працює реактивна кібербезпека сьогодні?

Ну, чесно кажучи, так!

Багатофакторна аутентифікація, антивірусні програми, брандмауери та програми запобігання загрозам – усі вони призначені для боротьби із загрозами безпеки, коли вони виникають. Якщо ви навмисно зробите свої рівні безпеки слабкими, ви будете здивовані, як швидко все може піти не так. 

Під час роботи з відомими загрозами, які розгортаються передбачуваним чином, реактивні стратегії безпеки можуть бути більш ніж достатніми. Але для вразливостей нульового дня, нових загроз кібербезпеці та постійно зростаючого ландшафту загроз проактивна кібербезпека є правильним підходом. 

Але це лише моя думка, заснована на моєму досвіді в галузі кібербезпеки. Щоб отримати набагато ширший погляд на це питання, я співпрацював із експертами з кібербезпеки, щоб допомогти вам зрозуміти переваги проактивної та реактивної кібербезпеки.

У цій статті ви зможете дізнатися про відмінності між проактивним і реактивним підходами до кібербезпеки та думки експертів з індустрії кібербезпеки.

Вибір між проактивною та реактивною кібербезпекою

Згідно зі звітом за 2018 рік, 67% малих підприємств у певний момент часу були об'єктами кібератаки. Середня вартість цих атак становила понад 380 000 доларів. За даними Juniper Research, до 2020 року очікується, що середня вартість злому даних досягне 150 мільйонів .

Це все досить тривожна статистика.

Зрештою, все зводиться до того, який підхід є кращим для вашої компанії. Вашій компанії варто вибрати проактивну чи реактивну кібербезпеку?

Ну, як я згадував раніше, реактивна кібербезпека все ще важлива. Навіть якщо врахувати той факт, що хакерська атака відбувається кожні 39 секунд, реактивний підхід все одно є життєздатним рішенням. Але ви не можете також підірвати важливість проактивної кібербезпеки для боротьби з виникаючими загрозами.

Тож коротка відповідь: ваша організація має прагнути до обох. Щоб переконатися, що ваша компанія готова ефективно протистояти ризикам кібербезпеки, необхідна комбінація як проактивної, так і реактивної кібербезпеки. Ось основні відмінності між цими двома підходами.

Реактивна кібербезпека

Як я згадував раніше, більшість компаній сьогодні вже використовують реактивну кібербезпеку. Реактивна кібербезпека в основному передбачає впровадження механізмів захисту для протидії поширеним атакам і полювання на хакерів, які поставили під загрозу безпеку вашої мережі. Як правило, арсенал реактивної кібербезпеки компанії складається з:

• Антивірусне програмне забезпечення
• Брандмауери
• Захист паролем
• Спам-фільтри
• Блокувальники реклами

Реактивний підхід чудовий. Це може запобігти завданню зловмисників занадто великої шкоди. Однак проблема полягає в тому, що більшість компаній покладаються виключно на реактивні стратегії як на засіб первинного захисного механізму. Але в нашому технологічному ландшафті, який постійно розвивається, цього недостатньо. Саме тут відіграє свою роль активна кібербезпека.

Проактивна кібербезпека

У порівнянні з реактивною кібербезпекою, проактивний підхід до кібербезпеки запобігає атаці. Якщо ви використовуєте проактивний підхід, ваш бізнес зможе ефективно виявити вразливі місця у вашій системі, перш ніж хтось зможе ними скористатися. Як правило, компанія, яка дотримується проактивної стратегії, реалізує наступні СОП.

• Полювання на клопів
• Широкий моніторинг мережі
• Етичний злом
• Навчання співробітників
• незалежні перевірки безпеки.

У реальному світі проактивну кібербезпеку можна порівняти з усвідомленням ваших звуків, коли виходите на вулицю. Ви повинні шукати тих, хто може заподіяти вам шкоду або пограбувати. Зосередження уваги на мові тіла людини може допомогти вам зрозуміти наміри людей навколо вас.

Але якщо щось трапиться, першочерговим завданням буде викликати правоохоронні органи та оцінити шкоду. В основному це і є реактивна кібербезпека. Наразі ми з’ясували, що найкращою практикою кібербезпеки для будь-якої компанії є застосування як проактивної, так і реактивної кібербезпеки, а не лише однієї.

Проактивна проти реактивної кібербезпеки – думки експертів

Щоб отримати набагато ширший погляд на цю тему, я звернувся до відповідних експертів галузі, щоб дізнатися, чим вони мають поділитися. Тож без зайвих розмов ось відповіді, які я отримав.

Ненсі Сабіно — генеральний директор та співзасновник SabinoCompTech

Чистити зуби, користуватися зубною ниткою, полоскати рот мінімум два рази на день, і відвідувати стоматолога кожні шість місяців – абсолютний біль, але це абсолютно необхідно, якщо ви не хочете впоратися з болем у порожнині та заплатити за її усунення. Кібербезпека те саме. Бути проактивним, але абсолютно необхідно звести до мінімуму ризик і уникнути або зменшити біль, який виникає із-за вторгнення в системи, крадіжки конфіденційної інформації, контролю за шкодою репутації та фінансових втрат від судових позовів або штрафів.

Зараз доступно стільки різних інструментів, щоб бути активними щодо кібербезпеки, що це більше не виправдання. Використання правильних інструментів для встановлення блоків, замків та інших механізмів безпеки не тільки знизить ризик зараження, але й гарантує, що ви дотримуєтеся того, за що політика кібер-відповідальності вимагає від вас нести відповідальність, щоб їхня політика прикривати тебе. Це зводиться до того, що активність у практиці кібербезпеки — це не просто розумний бізнес, а й відповідальність.

Бред Сноу — співзасновник круглого столу Tech Exec

Ось що може запропонувати Бред, спеціаліст із хмарних обчислень. Якщо ваша стратегія – реактивна кібербезпека, це не безпека, це відновлення даних. Ефективна кібербезпека неявно активна. Якщо він реактивний, ви зараз говорите про підходи до відновлення даних або дзвінків у вашу компанію зі страхування кібер-відповідальності, щоб переконатися, що ви застраховані від неминучих фінансових втрат.

Брейден Перрі — партнер KENNYHERTZ PERRY, LLC

Брейден, який є адвокатом з кібербезпеки, має сказати це про активну та реактивну кібербезпеку. Якщо ліс стає занадто густим, щоб побачити дерева, і тон на вершині (тобто CISO) дає змогу компанії реагувати, тобто вони не передбачають проблеми, а чекають виникнення проблем, а потім діють або реагують. Це призводить до недалекоглядності, погляду на найближчу перспективу, а не зосередженості на довгострокових цілях. Це суперечить проактивному підходу та перспективі, не тільки в передбаченні проблем, які можуть виникнути, але й у визначенні чітких напрямків та цілей.

Суніл Ю — CISO-in-Residence в YL Ventures

Хороша активна безпека – це як гальма автомобіля. Хороша реактивна безпека схожа на подушки безпеки. Однак, якщо у вас немає гальм на автомобілі, вам знадобиться багато подушок безпеки.

Тріш Штукбауер — засновниця CCCS

Про це сказала Тріш, яка є засновницею фірми з кризових комунікацій. Ми завжди кажемо клієнтам, що питання про те, коли, а не якщо, їх організація стане жертвою кібератаки. Від того, як вони реагують на цю атаку, залежить те, як швидко – і навіть чи – вони повернуть довіру клієнтів, донорів, громадськості та ЗМІ. 

Ключем до виживання потенційного натиску ЗМІ та клієнтів є проактивний підхід і розроблений план комунікацій у кризових ситуаціях. Ми живемо за старою військовою приказкою: правильне планування запобігає поганим результатам. Наявність плану комунікацій запобігає витоку конфіденційної інформації або просто говорити щось, що ненавмисно погіршує ситуацію.

Нік Сантора — генеральний директор і засновник навчальних програм

Нік провів майже сім років, працюючи спеціалістом із кібербезпеки для захисту критичної інфраструктури (CIP) у North American Electric Reliability Corporation (NERC). Він також є сертифікованим аудитором інформаційної безпеки (CISA) і сертифікованим спеціалістом з безпеки інформаційних систем (CISSP). 

Ось що має сказати Нік. Проблема в тому, що більшість тренінгів з питань безпеки наповнені технічними термінами, юридичною мовою та нудним сухим змістом. Згадайте останню презентацію «смерть від PowerPoint», яку вам довелося пройти. Більшість співробітників відключаються і намагаються якомога швидше пройти необхідне навчання. Це не дуже корисно, якщо ви покладаєтесь на них, щоб захистити вашу організацію від кібератак. Навіщо мати програму інформування про безпеку, якщо вона неефективна?

Отже, проблема не в нестачі інформації на тему кібербезпеки, а в тому, як технологічні лідери можуть змінити точку зору цієї інформації, щоб ваші співробітники фактично навчалися на тренінгу. Як зробити навчання веселим, спорідненим і змусити співробітників застосувати критичне мислення?

Ілля Сотніков — віце-президент з управління продуктами Netwrix

Про це сказав Ілля Сотніков, який є досвідченим експертом з інформаційної безпеки. Реактивний підхід до кібербезпеки означає, що ви в основному зосереджуєтесь на заходах, які допомагають захистити ваше ІТ-середовище від інцидентів із безпекою. Хоча це важлива частина будь-якої стратегії безпеки, я впевнений, що захист не є вашою основною метою. Що ще важливіше, вам потрібно пов’язати свої методи безпеки з організаційними ризиками та вибрати заходи, які підтримуватимуть ваш бізнес, незважаючи на несприятливі кіберподії. І проактивна безпека допоможе вам у цьому.

Проактивний підхід означає, що ви точно знаєте, які дії хакерів представляють найбільшу загрозу зараз, які системи та дані є найбільш важливими у вашій організації та які активи вимагають найсильніших заходів безпеки. Крім того, це означає, що ви однаково зосереджуєтеся на можливостях захисту, виявлення, реагування та відновлення, що полегшує вам адаптацію стратегії ІТ-безпеки до зміни ландшафту кіберзагроз. Завдяки цьому ви можете попередити хакерів, ефективніше боротися з кіберзагрозами та забезпечити безперервність бізнесу незважаючи ні на що.

Хізер Пауне — віце-президент з управління продуктами Untangle

Коли справа доходить до безпеки мережі та застереження щодо кібератак, створення стандартного контрольного списку для щомісячного обслуговування може полегшити поглиблений аудит, який проводиться щорічно. Щомісяця адміністратори мережі повинні регулярно створювати резервні копії всіх даних, підтримувати в актуальному стані плагіни та виправлення програмного забезпечення, заохочувати співробітників регулярно змінювати паролі та контролювати пристрої та програми, відстежуючи використання даних або проблемні точки пропускної здатності.

Для тих компаній, які стикаються з проблемою кібербезпеки, є кілька ключових перших кроків, які будь-яка ІТ-команда може здійснити. Перший крок — переконатися, що всі співробітники змінили свої паролі на важливі облікові записи. Це створить чистий доступ і зможе запобігти будь-якому несанкціонованому доступу від подальшого проникнення в мережу. Наступним кроком буде розпочати сегментацію доступу до мережі на основі будь-якого відділу, посади чи іншої інформації. Багато компаній ненавмисно залишають критичні файли відкритими для всіх співробітників, і це може бути швидким промахом на шляху порушення даних. Реагуючи на загрозу або порушення кібербезпеки, особливо важливо чітко повідомити про переваги цих політик кібербезпеки та переконатися, що працівники дотримуються безпечної кібер-гігієни, оскільки IT-команда усуває будь-які вразливі місця.

Кортні Х. Джексон — засновник / генеральний директор Paragon Cyber ​​Solutions, LLC

Перевага проактивної та реактивної кібербезпеки часто полягає в тому, щоб захистити ваші дані від злому. Багато компаній не інвестують у кібербезпеку, як слід, доки не стали жертвою кіберзлочину, що вже занадто пізно. Використовуючи проактивний підхід, компанії проводять необхідну належну перевірку, щоб захистити свої дані, виявити потенційні загрози та вразливості та впровадити належні засоби контролю для вирішення тих елементів, які значно зменшують ризик їхнього впливу.

Майкл О — президент TSP LLC

Найбільша перевага проактивної кібербезпеки полягає в тому, що в багатьох випадках, якщо вас зламали, зловмисник бореться з часом, щоб отримати більш значну позицію або отримати цінні дані з вашої мережі. Якщо ви підготували підручники з реагування на кіберзлочин, люди розуміють свою роль у пом’якшенні порушень, і ви вже репетували або тренувалися для такої події, ви, швидше за все, зможете відбити атаку, перш ніж хтось зможе завдати значної шкоди вашому бізнесу.

Ерік Кангас – генеральний директор Light Science

Проактивна кібербезпека зосереджується на ліквідації прогалин і слабких місць в системах до того, як вони будуть використані; реактивна зосередженість на реагуванні на інциденти безпеки після їх виникнення. Вартість проактивної безпеки значно нижча, ніж вартість управління порушеннями та проблемами. Проактивна безпека також працює на вашому графіку часу, проти реактивної безпеки, коли ви повинні кинути все і працювати під великим тиском часу на графік зловмисників.

Урі Мей — C o-засновник і генеральний директор Hunters

Сучасний ландшафт виявлення загроз і реагування на них знає різні проблеми:

• Поверхні атак збільшуються, оскільки зловмисники використовують різні ІТ-середовища та організаційні платформи
• Виявлення — це керований людиною, дефектний процес, який не масштабується, щоб подолати сучасні атаки: аналітики SOC, які використовують рішення SIEM, обмежені у своїй здатності вловлювати слабкіші сигнали, або зловмисники, які намагаються поєднати шум (і це переважно що вони роблять сьогодні). Зокрема, це робить виявлення атак, які виглядають як доброякісні дії, дійсно немасштабованими, оскільки створює багато хибнопозитивних результатів. Разом із різноманітністю джерел даних та обсягами сповіщень команди SOC залишаються перевантаженими. 
• Крім того, людський талант у сфері кібербезпеки дуже мізерний. Навіть коли талановитих людей наймають і утримують, вони залишаються людьми, які йдуть на різдвяні канікули або змушені працювати віддалено під час всесвітньої пандемії. Більше того, їм не вистачає комплексного досвіду в області, і навряд чи опанують усі поверхні атак: хмара, мережа, кінцеві точки. Для кожного з них потрібен власний домен, і зловмисники по-різному використовуються.

Єдиний спосіб не лише зрівнятися, але й обігнати нападників — це бути ініціативним — ми не можемо дозволити собі чекати, щоб бути реактивними. Зловмисники ніколи не реагують.

Але бути ініціативним – це нічого не сказати; щоб досягти успіху, виявлення має бути проактивним у швидкий і масштабований спосіб. Єдиний спосіб зробити це – використовувати потужність машини та кожен біт організаційних даних взаємопов’язано, як це робить зловмисник.

Челсі Браун — генеральний директор та засновник Digital Mom Talk

Коли відбувається кібератака, через 6 місяців 60% підприємств заявляють про банкрутство. Це не пов’язано з витратами на виправлення чи ремонт і підвищення цифрової безпеки. Бізнес-досьє на банкрутство через інші наслідки, пов’язані з кібератаками, які вони не передбачають і до яких не готові. Більшість компаній, які постраждали від кібератак, зазнають судових позовів, штрафів штатів і федеральних органів, пошкодження репутації та втрати бізнесу в результаті кібератак. Ці витрати перевищують вартість встановлення та підтримки сучасними методами безпеки, процедурами та пристроями.

Майкл Ротондо — партнер -засновник Silent Sector

Кібербезпека часто визначається двома варіантами. Ви можете підтримувати активний захист, який в значній мірі ґрунтується на ризиках і призначений для запобігання поганим подіям, або реактивний захист, який спирається на віру в те, що погані речі трапляться, і ми краще матимемо спосіб впоратися з цим. Хоча обидва мають свої переваги, насправді найкращим рішенням є поєднання двох методологій. Більшість рішень щодо безпеки, як-от ІТ, зазвичай базуються на трьох факторах. Це бюджет, розуміння предмета та доступність ресурсів.

Питання не в тому, чи можете ви протиставити активну та реактивну кібербезпеку. Скоріше виникає питання: який баланс реактивних і проактивних заходів необхідний для забезпечення безпеки підприємства?

Для повної оборонної пози потрібна комбінація двох методологій. Проактивно вам знадобляться процеси, політики та стандарти, щоб гарантувати вашу безпеку та відповідність, але щоб мати повну безпеку, вам потрібно переконатися, що у вас є можливості реагування на зловмисні дії. Наприклад, у вас може бути рішення для кінцевої точки, яке автоматично перекриває комп’ютер користувача, коли він натискає фішинговий лист або завантажує зловмисне програмне забезпечення. А для тих, хто вважає, що в них немає нічого, що хтось хотів би вкрасти, ми продовжуватимемо молитися, запалювати свічки та сподіватися на краще.

Ітай Яновський — старший віце-президент із стратегії та співзасновник Cyberint

По суті, проактивне ставлення до кібербезпеки означає, що ви пом’якшуєте загрозу, а не реагуєте на інцидент. Щоб мати можливість реагувати на загрозу, вам потрібна розвідка про загрози, яка в кінцевому підсумку визначає різницю між реактивністю та проактивністю. Хорошим прикладом проактивного підходу до захисту систем вашої організації є використання даних розвідки загроз для пошуку загроз. 

Полювання на загрози — це процес активного пошуку ознак компромісу в корпоративних системах. Щоб бути ефективним, вам потрібно зосередитися на пошуку загроз на інструментах, тактиках і процедурах (TTP), які використовуватимуть зловмисники. Це полювання на основі гіпотез вимагає глибокого розуміння як TTP, так і вашого конкретного ландшафту загроз, по суті, визначення того, хто і як атакуватиме вас. Включення до вашої програми кібербезпеки проактивного пошуку загроз на основі розвідувальних даних може підвищити ваші шанси уникнути порушень і мінімізувати час виявлення та реагування, якщо станеться порушення. Відмова від припущення проактивного підходу може виявитися — якщо станеться порушення — дорого коштувати фінансово та негативно вплинути на репутацію бренду.

Деніел Вільям Картер — консультант із кібербезпеки в IDStrong

Щоб реалізувати комплексну стратегію кібербезпеки, вам знадобляться обидва. У порівнянні з реактивною, проактивна стратегія кібербезпеки допомагає вам запобігти та/або бути більш підготовленими після злому. Таким чином ви будете більш підготовлені. Крім того, маючи справу з проактивною стратегією, ваші співробітники більше освічені щодо кібергігієни. Ви можете бути впевнені, що злом не відбудеться, працюючи з висококваліфікованими співробітниками.

Високий ризик і слабкі місця більш очевидні для власників бізнесу. Моніторинг у режимі реального часу дає повне уявлення про можливі загрози. Проактивний підхід зміцнює оборону компанії, а також підвищує шанси на атаку нульового дня. Щоб працювати ефективно, потрібні довгострокові зобов’язання. Для великих компаній, які захищають значні, цінні та постійно зростаючі набори даних, перспектива проактивної кібербезпеки стає все більш привабливою.

Чейз Норлін — генеральний директор Transmosis

Проактивний і реактивний підхід стає все більш цінним, оскільки технології, зокрема ШІ, дають можливість компаніям з кібербезпеки брати участь у активному пошуку загроз на основі незвичайної поведінки. Це помітно відрізняється від
реакції на сповіщення. Використовуючи активну позицію, аналітики з кібербезпеки можуть пом’якшити сценарії потенційних загроз задовго до того, як вони відбудуться, оскільки все більше кібератак мають більш тривалий характер і мають стратегічний характер.