فهرست بستن

روندها و درس های امنیتی با محوریت CISO از سال 2021

vpn
روندها و درس های امنیتی با محوریت CISO از سال 2021

با پایان یافتن سال 2021، زمان خوبی برای متخصصان امنیتی است که نه تنها در مورد آنچه آموخته‌ایم فکر کنند، بلکه به سال 2022 نگاه کنند و متوجه شوند که چه تهدیداتی در افق وجود دارد – و بر اساس آن برنامه‌ریزی کنند.
به همین دلیل است که Nuspire از جس برن، تحلیلگر ارشد از Forrester دعوت کرد تا به عنوان سخنران مهمان در یک وبینار اخیر به ما بپیوندد تا تحقیقات و یافته‌های مربوط به تهدیدات و روندهای برتر سال 2021 و همچنین پیش‌بینی‌های سال 2022 را به اشتراک بگذارد. دو تن از رهبران Nuspire به جس پیوستند. – CSO JR Cunningham و CPO/CMO Michelle Bank – برای ارائه رنگ اضافی به آنچه که از منظر MSSP می بینند.
گزارش Forrester را در مورد توصیه های برتر برای برنامه امنیتی خود بخوانید
روندهای برتر ۲۰۲۱، پیش‌بینی‌ها و توصیه‌های ۲۰۲۲
ریسک خودی
ریسک خودی در سال 2021 با توجه به تغییرات گسترده ای که در نیروی کار ناشی از همه گیری کووید-19 شاهد بودیم، یک مسئله بزرگ بود. از اخراج و انجماد استخدام تا کار در محیط های خانگی، خطر فعالیت های مخرب ناشی از از دست دادن شغل یا استفاده نادرست کارمندان از شبکه های خانگی به طور قابل توجهی افزایش یافت.
جس در طول وبینار گفت: «تیم امنیتی از این حرکت بزرگ و سایر حرکت‌های سریع به سمت فضای ابری پشتیبانی کرد، و اغلب ساعت‌های طولانی کار می‌کرد تا این سطح حمله جدید و ناپایدار را آزمایش کند.» CISO ها در حال نوشتن خط مشی جدیدی در مورد اینکه چه دستگاه هایی را به اشتراک بگذارند یا به اشتراک نگذارند، اتصال از طریق VPN و حتی غیرفعال کردن یا حذف دستیارهای مجازی مانند الکسا از فضاهای اداری خانگی را می نوشتند.
2022 Predictions
طبق ارائه جس، این کار کارفرمایان را تشویق کرد تا شروع به نصب "tattleware" برای نظارت بر فعالیت های کارکنان در خانه کنند. برای سال 2022، Forrester پیش‌بینی می‌کند که tattleware تجربه کارمندان را تا 5 درصد کاهش می‌دهد و تهدیدات داخلی را افزایش می‌دهد. آن‌ها همچنین پیش‌بینی می‌کنند که فرار مغزها در زمینه امنیتی ایجاد شود، زیرا از هر 10 متخصص امنیتی، یک نفر صنعت را ترک می‌کند.
توصیه
جس گفت: «تعدادی از توصیه‌ها برای کاهش مشکل ساییدگی امنیتی وجود دارد، اما برای همه کارمندان، توصیه می‌کنیم در صورت نیاز به استفاده از نرم‌افزار نظارت، تعادل مناسب بین امنیت و حریم خصوصی را پیدا کنند.
در طول وبینار، جس توصیه کرد که در کوتاه مدت، مهم است که نیروی کار خود را برای مدیریت صحیح داده ها و درک خطرات کار از راه دور توانمند کنید. در دراز مدت، او گفت که شامل کارکردهایی مانند ممیزی داخلی، ریسک، حریم خصوصی و منابع انسانی برای ایجاد یک فرآیند تعریف شده و قابل تکرار برای پاسخ به فعالیت ها و تحقیقات مشکوک است.
خطر شخص ثالث
Forrester سرقت هویت و تصاحب حساب کاربری را به عنوان تهدیدهای اصلی در سال 2021 – به ویژه در عرصه زنجیره تامین فهرست کرد. در واقع، طبق داده‌های Business Technographics در سال 2021، آن‌ها مشاهده کردند که 55 درصد از متخصصان امنیتی گزارش دادند که کسب‌وکارشان در 12 ماه گذشته با یک حادثه یا نقض مربوط به زنجیره تأمین یا ارائه‌دهندگان شخص ثالث مواجه شده است.
J.R گفت: "از تمام حوادثی که Nuspire به آنها پاسخ داد، 80٪ شخص ثالثی درگیر آن بود."
پیش‌بینی‌های 2022
در سال 2022، فارستر پیش‌بینی کرد که این تهدید بدتر می‌شود و 60 درصد از حوادث امنیتی ناشی از اشخاص ثالث است.
جس در این وبینار گفت: «این امر هم شرکت‌ها و هم شرکت‌های بیمه آنها را به انتقال ریسک مرتبط با اشخاص ثالث با بلوغ امنیتی پایین به آن اشخاص ثالث در قالب بیمه‌نامه‌های سایبری در قراردادهای سالانه سوق می‌دهد.» بنابراین، اگر یکی از شرکای شما نتواند ثابت کند که حداقل الزامات امنیتی شما را برآورده می کند، باید خطر پریدن یک مزاحم از محیط ضعیف امنیتی خود را به محیط شما بپذیرد.
به همین دلیل، Forrester پیش‌بینی می‌کند که یک پنجم شرکت‌ها بیمه‌های سایبری را در قراردادهای شخص ثالث تعبیه کنند.
توصیه
جس در وبینار گفت: «توصیه ما این است که مدیریت ریسک شخص ثالث را جدی بگیرید.
در کوتاه‌مدت، جس درباره فهرست‌بندی همه روابط شخص ثالث و اولویت‌بندی ارزیابی‌های مداوم از آن‌هایی که مستقیماً به شبکه شما دسترسی دارند یا مستقیماً به آن متصل می‌شوند، داده‌هایی را که قابل شناسایی هستند یا به داده‌های حساس دسترسی دارند، انتقال، ذخیره یا پردازش می‌کنند، بحث کرد.
در بلندمدت، انجام فعالیت‌های مدیریت ریسک خاص در طول رابطه است.
جس در وبینار گفت: «به ویژه، هر وضعیت رابطه انواع جدیدی از ریسک را به سازمان معرفی می کند. "اگر فقط در ابتدا ارزیابی انجام دهید، در شناسایی تغییرات در نمایه ریسک آن شرکت شکست خواهید خورد."
باج افزار
شکی وجود ندارد که در سال 2021، باج افزار بزرگترین نگرانی در میان متخصصان امنیتی بود، به طوری که 90٪ از آنها به نظرسنجی موقت Forrester پاسخ دادند که نگران این تهدید هستند. مشکل این است که هیچ اجماع واضحی در مورد بهترین ابزارها برای دفاع در برابر باج افزار وجود ندارد، با پاسخ هایی که از تهیه پشتیبان روزانه گرفته تا EDR و بیمه سایبری متغیر است.

جی آر گفت: «تنوع استراتژی‌های دفاعی مختلفی که می‌بینیم، نشان‌دهنده سردرگمی در بازار درباره جایی است که متخصصان امنیتی هنگام پیشگیری در مقابل شناسایی و پاسخ، سرمایه‌گذاری می‌کنند.» اقدامات، و یا تمرکز بر تعدادی از این اقدامات که در آن آنها اکثر منابع خود را تخصیص می دهند.
میشل گفت: "به عنوان یک MSSP، ما می دانیم که نمی توانیم همه چیز برای همه باشیم، بنابراین ما از نزدیک با مشتریان خود کار می کنیم تا بفهمیم آنها چگونه این حوزه ها و خدمات را تعریف می کنند و کجا می توانیم بیشترین ارزش و پشتیبانی را ارائه دهیم." برای مثال، EDR. سال گذشته همه چیز در مورد ایمن سازی نقطه پایانی بود و سازمان ها اکنون به کمک برای مدیریت فناوری EDR که روی آن سرمایه گذاری کرده اند نیاز دارند.
CISO ها روز خود را چگونه می گذرانند
CISOهایی که سرمایه گذاری را توجیه می کنند
وقتی به نحوه گذراندن روز خود توسط CISO ها نگاه می کنید، تنها مقدار کمی بر نیازهای فنی یا عملیاتی متمرکز می شود. کاری که آنها در واقع انجام می دهند ایجاد روابط متقابل کارکردی، مدیریت تیم های خود، توسعه موارد تجاری و استراتژی است که به تعامل انسانی زیادی نیاز دارد.
جی آر گفت: «نگاه کردن به این موضوع جالب است – وقتی هیچ اتفاق بدی رخ نمی‌دهد، اینگونه به نظر می‌رسد. هدف این است که این بخش‌ها را کوچک کنیم تا با ظهور تهدیدهای جدید، بتوانیم بدون اجازه دادن به چیزهای دیگر پاسخ دهیم.»
میشل اضافه کرد: "ما نقشه راه خود را برای هماهنگی با نحوه گذراندن روزهای خود توسط سازمان های سیزو اصلاح کرده ایم. در واقع درک این موضوع است که کاربر نهایی در طول روز چه می‌کند و چگونه بزرگترین مشکلات او را حل می‌کنیم تا زندگی آنها را آسان‌تر کنیم. این در مورد ابزارهایی است که ما باید فراهم کنیم تا به CISO ها کمک کند تا یک پرونده تجاری بسازند تا پول بیشتری از مدیریت خود بگیرند و در یک برنامه امنیتی بهتر سرمایه گذاری کنند.
بیمه سایبری
طبق داده های دانشگاه ویرجینیا، بیمه سایبری بزرگترین سرمایه گذاری امنیتی بوده است. در واقع، در سال 2016، کمتر از 50 درصد سازمان ها دارای پوشش بودند، در حالی که امروزه این تعداد به 79 درصد رسیده است. این همچنین به این معنی است که نسبت ضرر برای بیمه سایبری افزایش یافته است. در سال 2019، 44.8 درصد بود و تنها در یک سال به 67.8 درصد رسید.
جس در طول این وبینار گفت: «به نظر می رسد این یک انتقال گسترده ریسک از سازمان ها در تمام سطوح بلوغ به شرکت هایی است که نمی دانستند با شروع ارائه پوشش بیمه سایبری درگیر چه چیزی هستند. و این داده های سال 2020 است – سال 2021 سطح بعدی خواهد بود.
جی آر افزود: «بیمه اساساً نحوه طراحی برنامه های امنیتی را تغییر می دهد. ما شاهد مشارکت بیشتر شرکت‌های بیمه برای اطمینان از اینکه برنامه امنیت سایبری یک شرکت کاری را که قرار است قبل از نوشتن پوشش انجام دهد، انجام می‌دهد، هستیم.»
چیزی که J.R به آن هشدار داده این است که او بیمه نامه هایی را مشاهده می کند که یک دوره انتظار را قبل از شروع بیمه نامه ایجاد می کنند. برای مثال، اگر شرکت شما قربانی باج افزار باشد، ممکن است بیمه نامه تا 24 ساعت پس از شروع حادثه فعال نشود.
جس در سخنرانی خود گفت: «بیمه دیگر گزینه «چشمگیر» نیست
«بیمه سایبری امنیت سایبری نیست – باید به عنوان بیمه در برابر موارد غیرقابل پیش بینی در نظر گرفته شود – یک موقعیت حمله جدید که احتمالاً نمی توانستید برای آن آماده باشید. . "این جایگزینی برای یک برنامه امنیتی بالغ نیست و مطمئناً پوششی در برابر مسدود کردن و مقابله اولیه مورد نیاز برای حذف مسیرهای مشترک ورود مهاجمان نیست."
پس چه باید کرد؟ در وبینار، جس توصیه می‌کند که بر دو حوزه تمرکز کنید (اگرچه بیشتر وجود دارد):

  1. سرمایه گذاری های اوراق بهادار را بر اساس سررسید توجیه کنید. با مرتبط کردن افزایش بلوغ به مزایایی مانند آمادگی باج افزار و کاهش یا یکسان بودن حق بیمه سایبری، به هیئت مدیره و مدیران ارشد کمک می کند تا با در نظر گرفتن کاهش همه این خطرات، تصمیم بگیرند. مشارکت اجرایی را تشویق کنید و درک کنید که بازیکنان اکوسیستم مانند شرکت بیمه شما و مشاوران بیرونی قبل از یک حادثه بزرگ در کجا قرار می‌گیرند.

برقراری ارتباط با اهمیت بهبود بلوغ برنامه امنیت سایبری شما یک جزء کلیدی برای جلب رضایت مدیران ارشد در مورد نیازهای بودجه است. بعلاوه، بلوغ امنیتی و وضعیت امنیتی اکنون مستقیماً به حق بیمه سایبری مرتبط است، زیرا نشانگر میزان آسیب پذیری سازمان شما در برابر حمله است.
جی آر گفت: «در اوایل دهه 2000 تا اوایل سال 2010، صحبت در مورد کارهایی که افراد بد انجام می‌دهند متوقف شد و فقط بر کنترل‌ها و کنترل‌ها/تعادل‌ها تمرکز کردیم. اطمینان حاصل کنم که سازمان من آنچه را که برای ایمن ماندن لازم است دارد.
ارتباطات و همکاری
جس در ارائه خود گفت: «امیدوارم هنگام شروع برنامه ریزی برای سال 2022، روندهایی را که با شما مرور کردم و توصیه های من برای پیوند بودجه به بلوغ همراه با بلوغ برنامه IR خود را در نظر بگیرید. آنچه که ما در اینجا پیشنهاد می‌کنیم به میزان مناسبی از ارتباطات اجرایی و واحد تجاری و همچنین همکاری با گروه‌های فناوری اطلاعات و برای برخی از توصیه‌ها، مدیریت تغییر قابل توجه نیاز دارد.
برای مشاهده کامل بحث اینجا را کلیک کنید.
The post روندها و درس های امنیتی با محوریت CISO از سال 2021 اولین بار در Nuspire ظاهر شد.
*** این یک وبلاگ مشترک شبکه بلاگرهای امنیتی از Nuspire است که توسط Team Nuspire نوشته شده است. پست اصلی را در: https://www.nuspire.com/blog/ciso-centric-security-trends-and-lessons-from-2021/ بخوانید