Возможно, вы слышали поговорку:«Никогда не позволяйте кризису пройти даром». К сожалению, хакеры приняли это близко к сердцу во время COVID-19. Число кибератак резко возросло, поскольку хакеры неоднократно использовали уязвимые лазейки в корпоративные системы, отвлекаясь от пандемии. Цели включали здравоохранение, финансовые услуги и учреждения государственного сектора, такие как Всемирная организация здравоохранения. С февраля по апрель 2020 года количество атак на финансовый сектор во всем мире увеличилось на 238 %.
По словам Алиссы Абдуллы, заместителя директора по безопасности Mastercard и бывшего заместителя директора по информационным технологиям в Белом доме при президенте Бараке Обаме, COVID-19 и связанный с этим переход к виртуальной работе «изменили возможности противника и сместили его внимание на некоторые другие инструменты, которые мы используем».
Хакеры также атаковали платформы для совместной работы. В апреле 2020 года хакеры завладели более чем 500 000 имен пользователей и паролей учетных записей Zoom и продали их на криминальных форумах даркнета всего за пенни за учетную запись; некоторая информация была просто выдана. Также возникали кибератаки с использованием вакцины против COVID-19; в декабре 2020 года Европейское агентство по лекарственным средствам сообщило, что в ходе кибератаки были украдены некоторые данные о вакцине Pfizer/BioNTech против COVID-19. Примерно в то же время IBM забила тревогу по поводу хакеров, атакующих компании, занимающиеся распространением вакцины против COVID-19.
Кибератаки и связанные с ними расходы будут только увеличиваться. Рассмотрим следующее:Cybersecurity Ventures прогнозирует, что кибератаки будут происходить каждые 11 секунд в 2021 году, что почти вдвое больше, чем в 2019 году (каждые 19 секунд), и в четыре раза больше, чем в 2016 году (каждые 40 секунд). По оценкам, киберпреступность в настоящее время обходится миру в 6 триллионов долларов в год, что вдвое больше, чем в 2015 году (3 триллиона долларов). По прогнозам, к 2025 году киберпреступность будет обходиться миру в 10,5 трлн долларов в год.
Цена киберпреступлений включает в себя кражу интеллектуальной собственности, личных и финансовых данных, а также реальных денег, а также стоимость сбоев в работе после атак, потери производительности и репутационного ущерба, среди прочего, объясняет Стив Морган, основатель предприятий кибербезопасности. Помимо этих прямых последствий, скрытые расходы на киберпреступность также включают увеличение страховых взносов, снижение кредитного рейтинга и оплату юридических услуг из-за того, что клиенты инициируют судебные разбирательства.
Отчет IBM Security за 2020 год, в котором были опрошены 524 взломанные организации в 17 странах в 17 отраслях, показал, что средняя стоимость утечки данных составила колоссальные 3,86 миллиона долларов, а ее устранение заняло в среднем 280 дней. Последствия инцидента могут сохраняться в течение многих лет.
В Великобритании в 2019 году 90% утечек данных произошло из-за человеческого фактора. Во время пандемии сотрудники были озабочены усиленным личным и финансовым стрессом, что сделало их более уязвимыми для целевого фишинга — типа фишинга, нацеленного на определенных людей или группы в организации, — и атак «социальной инженерии», предназначенных для психологического манипулирования людьми с целью раскрытия информации. конфиденциальная информация.
В частности, атаки социальной инженерии направлены на то, чтобы заставить сотрудников делать что-то, что кажется законным, но таковым не является. Хотя компании обычно обучают сотрудников выявлять мошеннические запросы, в нештатных условиях пандемии сотрудникам стало сложнее отличить мошеннические запросы от законных.
«Все знают, что нельзя взять USB-накопитель на парковке [и вставить его в свой компьютер], но обучение опытных сотрудников работе с поддельными электронными письмами от начальства по-прежнему остается реальной проблемой», — говорит Томас Руланд, финансовый эксперт Toptal. сети и руководитель отдела финансов и операций в Decentriq, компании, которая специализируется на безопасном обмене данными и совместной работе. «Когда вы находитесь не в одном офисе, случайный обмен данными может происходить чаще. Когда люди работают в одном физическом офисе, вы можете просто спросить:«Эй, ты действительно отправил это?», но когда ты работаешь дома, это сложнее анализировать».
Проблема «вишинга» — голосового фишинга — также обострилась из-за пандемии, когда злоумышленники используют звонки для получения учетных данных VPN или другой конфиденциальной информации от сотрудников. Мошенничество с вишингом часто пытается казаться законным, предоставляя потенциальным жертвам точную личную информацию, такую как номер социального страхования или номер банковского счета. Удивительно много других личных данных находится в открытом доступе для злоумышленников, которым нужно только просматривать платформы социальных сетей или другие связанные веб-сайты, чтобы получить доступ к такой информации.
COVID-19 стимулировал поспешное внедрение новых технологий, поскольку организации внедрили новые цифровые процессы на фоне сбоев в работе офиса. На ранних стадиях пандемии у многих компаний не было другого выбора, кроме как принять новые риски, в том числе снизить стандарты контроля, чтобы сохранить свою деятельность.
Одним из основных результатов таких быстрых и кардинальных изменений стало повсеместное внедрение облачных технологий. В своем отчете о состоянии облака за 2021 год компания Flexera обнаружила, что потребности в удаленной работе вынудили более половины опрошенных увеличить использование облака сверх запланированного. Другие респонденты указали, что их организации могут ускорить миграцию, учитывая трудности с доступом к традиционным центрам обработки данных и задержки в их цепочках поставок. В то время как 20 % процентов предприятий заявили, что их ежегодные расходы на облачные технологии превысили 12 млн долларов США, что на 7 % больше, чем в предыдущем году, 74 % сообщили, что их расходы превысили 1,2 млн долларов США, по сравнению с 50 % в предыдущем году.
К сожалению, действия, предпринятые в условиях экстремального времени и оперативного давления, неизбежно привели к пробелам в кибербезопасности. А 75% респондентов в отчете Cybersecurity Insiders об облачной безопасности за 2020 год указали, что они либо «очень обеспокоены», либо «чрезвычайно обеспокоены» безопасностью общедоступного облака. Проблемы с безопасностью в облаке еще более усугубляются, когда организации используют двух или более поставщиков общедоступных облаков, как это делают 68 % респондентов.
Эксперты по безопасности и работодатели в первую очередь обеспокоены тремя проблемами облачной безопасности. Во-первых, неправильная конфигурация облака и контейнера, когда администратор непреднамеренно развертывает параметры облачной системы, противоречащие политикам безопасности организации. Другой — ограниченная видимость сети, когда организация не знает, какое аппаратное и программное обеспечение подключено к сети и какие сетевые события происходят. И третья серьезная проблема — незащищенные облачные среды выполнения, которые дают злоумышленникам возможность атаковать организацию.
COVID-19 и переход к виртуальной работе вызвали широкое распространение программ «принеси свои устройства». Особенно на ранних стадиях пандемии у многих работников не было другого выбора, кроме как использовать личные устройства, общедоступный Wi-Fi или домашние сети для удаленной работы. Такие обстоятельства открывают хакерам доступ к организационным ресурсам; когда личные устройства скомпрометированы, они могут служить стартовыми площадками в корпоративной сети.
«Один из самых больших рисков кибербезопасности — это личное устройство», — сказала Трина Гласс, юрист Stark &Stark, Обществу управления персоналом. «Будь то смартфон или ноутбук, существуют серьезные проблемы, связанные с использованием персональных технологий в рабочих условиях, связанных с конфиденциальной информацией. Сотрудники могут сохранять документы на своих рабочих столах или отправлять черновики документов на свою личную электронную почту. У них может не быть актуального антивирусного программного обеспечения или они могут использовать устаревшие личные пароли».
В декабре 2020 года стало известно, что SolarWinds, крупная компания по управлению ИТ, пострадала от кибератаки, которая оставалась незамеченной в течение нескольких месяцев. Ранее в том же году иностранные хакеры взломали системы SolarWinds и внедрили в них вредоносный код. Впоследствии, когда SolarWinds разослала обновления программного обеспечения своим 33 000 клиентов, код злоумышленников был отправлен вместе с ним и создал лазейку в ИТ-системы клиентов. Хакеры использовали эти лазейки для установки дополнительных шпионских вредоносных программ. В конечном итоге эти обновления установили около 18 000 клиентов SolarWinds, в том числе агентства США, такие как Министерство внутренней безопасности и Министерство финансов, а также частные компании, такие как Intel, Microsoft и Cisco.
Хакеры часто атакуют небезопасные элементы цепочки поставок программного или аппаратного обеспечения. Accenture обнаружила, что 40% кибератак происходят из расширенной цепочки поставок. Злоумышленники обычно ищут самые слабые звенья, такие как мелкие поставщики с небольшим количеством элементов управления кибербезопасностью или компоненты с открытым исходным кодом. Чаще всего после определения своей цели хакеры добавляют лазейки в легитимное и сертифицированное программное обеспечение или компрометируют системы, используемые сторонними поставщиками. Таким образом, атаки на цепочку поставок раскрывают правду о том, что средства контроля кибербезопасности организации настолько надежны, насколько сильны самые слабые звенья цепочки.
Теперь, когда мир находится в пандемии больше года, компании должны выйти за рамки простого введения временных мер и вместо этого предвидеть «следующую норму». Директора по информационной безопасности, финансовые директора и группы кибербезопасности должны выяснить, как их сотрудники, клиенты, цепочки поставок и коллеги по отрасли будут работать вместе для обеспечения надлежащей кибербезопасности. Вот пять способов начать:
Традиционная безопасность ИТ-сетей основана на концепции замка и рва:всем внутри сети по умолчанию доверяют, и тем, кто находится вне сети, трудно получить доступ. Кибератаки, имевшие место во время пандемии COVID-19, выявили ограничения этой стратегии. Компаниям следует рассмотреть возможность принятия стратегии нулевого доверия, которая обеспечивает строгий контроль доступа и не доверяет никакому лицу, устройству или приложению по умолчанию, даже тем, которые уже находятся внутри сетевого периметра. Модель нулевого доверия требует проверки личности и авторизации для каждого человека и устройства, пытающихся получить доступ к ресурсам в частной сети. В 2019 году компания Gartner прогнозировала, что к 2023 году 60 % предприятий перейдут с VPN на инициативы с нулевым доверием.
Кроме того, предприятия должны обязать сотрудников использовать двухфакторную аутентификацию. Двухфакторная аутентификация требует, чтобы пользователь предоставил два разных типа информации для доступа к онлайн-учетной записи или ИТ-системе; обычно это включает пару имени пользователя и пароля (однофакторная аутентификация) и другое подтверждение личности, например код, отправленный на телефон или адрес электронной почты сотрудника.
Всемирный экономический форум рекомендует предприятиям также начать переход на биометрическую многофакторную аутентификацию с использованием отпечатков пальцев, лица, поведения при наборе текста или других факторов для проверки личности пользователей. В отличие от компаний, которые хранят пароли своих клиентов на своих серверах, биометрические данные пользователей хранятся на пользовательском устройстве, и, таким образом, у киберпреступников нет единой точки сбора данных, а риск онлайн-мошенничества и кражи личных данных значительно снижается. . По прогнозам, объем мирового рынка биометрических систем вырастет с 36,6 млрд долларов США в 2020 году до 68,6 млрд долларов США к 2025 году.
Чтобы укрепить кибербезопасность, организации должны изучить свои инструменты безопасности и требования к обмену и хранению частной информации с поставщиками. Организации должны начать с проверки всех поставщиков и потенциальных теневых сторонних сервисов; назначать поставщикам уровни риска, выделяя тех, которые наиболее важны для операций и имеют наибольший доступ к жизненно важной информации; а затем соответствующим образом откалибруйте область оценки.
Затем предприятиям следует обновить средства контроля и ограничения доступа для третьих лиц, а также разработать более надежные средства контроля потери данных. Организации также должны убедиться, что поставщики, которые в настоящее время не готовы к повышенным киберрискам, обязуются разработать планы киберготовности для безопасной обработки информации и взаимодействия с корпоративными сетями организаций. Кроме того, по возможности предприятиям следует интегрировать критически важные сторонние журналы в мониторинг безопасности предприятия и создавать системы оповещения для скоординированного мониторинга и реагирования. Выполнение всех этих шагов поможет повысить устойчивость к киберугрозам во всех цепочках поставок.
По мере того как организации переходят от традиционных локальных решений кибербезопасности к облачным архитектурам, им необходимо научиться защищать облако.
Неправильная конфигурация облака и контейнера может быть проблемой, потому что, в отличие от локальной сети, где только ИТ-специалисты могут настроить и развернуть сетевую инфраструктуру, в облачной среде это может сделать гораздо больше людей. Злоумышленники часто используют неправильные конфигурации для доступа к сети, потому что их легко обнаружить. Организации могут помочь справиться с неправильными конфигурациями, следуя Рыночному руководству Gartner для платформ защиты облачных рабочих нагрузок, чтобы установить базовый уровень для активов, подключенных к сети. (Полный отчет можно приобрести здесь.) Оттуда организациям следует отслеживать эти активы на наличие отклонений и, возможно, использовать автоматизированные меры защиты для защиты своих систем от атак.
Что касается видимости сети, инструменты обнаружения активов обеспечивают обнаружение устройств и осведомленность не только о том, что находится в сети, но и о том, какие активы не защищены. Эти инструменты обеспечивают прозрачность взаимосвязей между активами, их использованием, сетью и другими устройствами, включая то, какие программные модули установлены в сети.
Наконец, организации могут защищаться от незащищенных облачных сред выполнения для контейнерных рабочих нагрузок. Когда устройство пытается запустить приложение, среда выполнения выступает в качестве посредника между приложением и операционной системой.
Хотя аналитики безопасности человека уже используют инструменты автоматизации для извлечения самых срочных оповещений из массивных наборов данных и побуждают людей к действию, инструменты искусственного интеллекта (ИИ) и машинного обучения (МО) становятся все более изощренными.
«Мы выходим за рамки алгоритмов, которые просто смотрят на ваши показатели и говорят человеку что-то сделать с определенным выбросом», — говорит вице-президент Splunk по разработке и руководитель отдела машинного обучения Рам Шрихарша в отчете компании о безопасности данных за 2021 год. «Что касается масштаба, нам нужны алгоритмы и автоматизация, которые действуют. В области безопасности мы не будем просто обучать модели прошлых злоумышленников и поведения, чтобы идентифицировать новое, похожее поведение. Мы увидим алгоритмы, которые просто смотрят на то, что происходит — смотрят на трафик, смотрят на данные — чтобы выявлять плохие модели и предпринимать обходные действия».
Организациям следует рассмотреть возможность использования самообучающихся систем управления кибербезопасностью на основе ИИ. Однако по мере развития решений для кибербезопасности AI/ML развиваются и злоумышленники. Используя состязательное обучение, злоумышленники узнают достаточно о модели AI/ML, чтобы разработать способы отравления системы и сделать ее неэффективной для защиты. Состязательное обучение сродни, скажем, обману автономных транспортных средств, заставляющих их неправильно понимать знак «стоп». И, согласно исследованию Gartner, 30% всех кибератак ИИ будут использовать отравление обучающих данных, кражу модели ИИ или враждебные образцы для атаки на системы на базе ИИ до 2022 года. Тем не менее, несмотря на эти угрозы для систем ИИ/МО, недавний опрос Microsoft показал что 25 из 28 компаний указали, что у них нет нужных инструментов для защиты своих систем AI/ML. Не будь одним из них.
Несмотря на кажущуюся простоту, для организаций крайне важно улучшить обучение сотрудников мерам кибербезопасности. Организациям следует разработать программы обучения и упражнения на основе ролей, чтобы повысить осведомленность о новых киберрисках в удаленной среде, включая новые угрозы, правила разрешенного использования устройств и процессы сообщения о киберинцидентах.
Руководящие группы также должны проводить симуляции и пошаговые обзоры сценариев кибератак, чтобы активно вовлекать сотрудников. Руководство также должно предоставить четкие указания относительно необходимых действий и того, когда решение должно быть передано на более высокий уровень.
Наконец, следует напомнить сотрудникам не использовать общедоступные сети Wi-Fi или принтеры и не хранить документы на домашних компьютерах.
Чтобы реагировать на эскалацию кибератак в форме социальной инженерии и атак на цепочку поставок, а также на усиление теневых ИТ и уязвимых временных мер, предприятия должны сосредоточиться на адаптации к «следующей нормальности». То есть руководство должно сотрудничать с группами по кибербезопасности, чтобы повысить бдительность в отношении доступа, переосмыслить цепочку поставок и риски третьих сторон, развить наборы навыков безопасности в облаке, использовать инструменты искусственного интеллекта и машинного обучения и улучшить интерактивное обучение сотрудников. Создание безопасной среды для клиентов дает компаниям конкурентное преимущество и укрепляет доверие и лояльность их нынешних и будущих клиентов.