Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Optimalisatie van investeringen in cyberbeveiliging in een omgeving met beperkte uitgaven

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 123

Vorige maand belichtte een artikel in de Wall Street Journal hoe Chief Information Security Officers (CISO's) steeds meer zullen zien budgetten beperkt op basis van de groeiende economische onzekerheid waarmee bedrijven in 2023 worden geconfronteerd. Hoe moeten CISO's zich door deze onzekerheid heen slaan? Laten we beginnen met het erkennen van verschillende planningsbeperkingen:

  • Wettelijke verwachtingen zijn niet onderhandelbaar voor zakelijke middelen en zullen waarschijnlijk toenemen. Nieuwe regeling tijdgebonden incidentmelding voor overheidsbedrijven en exploitanten van kritieke infrastructuur zijn in behandeling en de regering-Biden zal binnenkort worden vrijgelaten Nationale Cybersecurity Strategie vereist waarschijnlijk een vollediger gebruik van de bestaande regelgevende instanties in alle sectoren.
  • bedreiging acteurs zijn net zo actief als altijd en zoeken steeds meer naar het identificeren en exploiteren van zwakheden in kernbeveiligingstechnologieën die bedoeld zijn om ons te verdedigen. De recente erkenning van broncodediefstal op Okta, een toonaangevende leverancier van cloudgebaseerde multifactor-authenticatie- en single sign-on-oplossingen, evenals de inbreuk op wachtwoordbeheer LastPass, zet dit in groter reliëf.
  • Gezien snelle verspreiding van software in technologische omgevingen, is het voor de meeste organisaties praktisch onmogelijk om ervoor te zorgen dat alle systemen volledig gehard en gepatcht zijn.

Gezien deze beperkingen zijn hier drie stappen die kunnen helpen om investeringen in cyberbeveiliging beter te optimaliseren in een omgeving met beperkte uitgaven:

1. Schijn een licht op de onderliggende zakelijke en technologische complexiteit. Afwijkingen in het aantal systemen, applicaties, geprivilegieerde gebruikers, derden, personeelsverloop en geografische aanwezigheid hebben allemaal invloed op risico's en wat nodig is om een ​​organisatie te verdedigen. Inderdaad, recent onderzoek door IBM Security benadrukt hoe de toenemende complexiteit (bijv. cloudmigraties, betrokkenheid van derden, enz.) ertoe heeft geleid dat de kosten voor incidentrespons zijn toegenomen. Het is roekeloos om limieten op te leggen aan beveiligingsuitgaven zonder ook na te denken of we tegelijkertijd de complexiteit verminderen in de onderliggende zakelijke en technologische omgeving die CISO's moeten verdedigen. Het meten van veranderingen in de complexiteit van het onderliggende "aanvalsoppervlak" - dat wil zeggen, de reeks punten op de grens van een systeem, een systeemelement of een omgeving waar een aanvaller kan proberen gegevens binnen te dringen, er een effect op te hebben of gegevens te extraheren van — moet een voorwaarde zijn voor het overwegen van aanpassingen of beperkingen op cyberbeveiligingsmiddelen.

2. Geef prioriteit aan op bedreigingen gebaseerde verdedigingen. Kostenbeperkingen leggen een premie op het prioriteren van verdedigingen op basis van gedrag waarvan bekend is dat tegenstanders ze gebruiken en kritieke software systemen waarop ze zich waarschijnlijk zullen richten (inclusief, maar niet beperkt tot, hierboven genoemde identiteits- en toegangsbeheersystemen). MITRE's ATT&CK-kader brengt niet alleen dreigingen volledig in kaart en hoe ze verband houden met specifieke maatregelen en detecties — veel van deze maatregelen en detecties zijn haalbaar door middel van reeds bestaande technologieën, met name omdat infrastructuuraanbieders beveiligingsfuncties in hun aanbod opnemen. Investeren in verdediging tegen veelvoorkomende bedreigingen kan grote voordelen opleveren voor risicovermindering. De Cybersecurity and Infrastructure Security Agency (CISA) heeft onlangs een reeks van Prestatiedoelen op het gebied van cyberbeveiliging bedoeld om "te helpen bij het opzetten van een gemeenschappelijke reeks fundamentele cyberbeveiligingspraktijken voor kritieke infrastructuur, en vooral om kleine en middelgrote organisaties te helpen hun cyberbeveiligingsinspanningen een vliegende start te geven." Elk van de doelen is toegewezen aan specifieke MITRE-dreigingstechnieken.

Even belangrijk is dat bedrijven op zijn minst enige middelen moeten investeren om te valideren dat de theoretisch aanwezige controles er in de praktijk zijn en werken zoals bedoeld. CISA, de FBI en de NSA hebben afgelopen herfst gezamenlijk richtlijnen uitgegeven waarin ze "aanbevelen om uw beveiligingsprogramma voortdurend op schaal te testen in een productieomgeving om optimale prestaties te garanderen tegen de MITRE ATT&CK-technieken die in dit advies worden geïdentificeerd." Te vaak zien we incidenten waarbij de initiële toegang werd verkregen via een verkeerd geconfigureerd asset of ongedocumenteerde beveiligingsuitzondering. Ten slotte is het veerkrachtaspect van op bedreigingen gebaseerde verdediging van cruciaal belang: als er zich een ransomware-incident voordoet, zijn offline back-ups en up-to-date incidentresponsplannen essentieel om de schade te minimaliseren.

3. Rationaliseer het risicobeheer van derden. Er zijn ook verschillende hardnekkige problemen die niet door één organisatie kunnen worden aangepakt en die in plaats daarvan op sectoraal of nationaal niveau moeten worden aangepakt. Bedrijven weten dat een cyberincident bij een leverancier trapsgewijze gevolgen voor hen kan hebben, en ze verplichten steeds vaker beveiligingsaudits en minimale basisvereisten als voorwaarde om zaken te doen. Het probleem is dat er geen uniformiteit is in deze aanpak, waardoor leveranciers en klanten een wirwar van eisen en attesten moeten doorzoeken, waarvoor steeds meer personeel nodig is om te beheren. "Beoordelaars" worden inderdaad steeds meer "beoordelaars" wanneer ze worden onderworpen aan herzieningen van de verlenging van cyberverzekeringen. Er zijn sectorbrede benaderingen nodig om meer uniformiteit in normen te brengen, de complexiteit van naleving door derden te verminderen en investeringen opnieuw te gebruiken voor op bedreigingen gebaseerde verdediging.

Hoewel veel van deze stappen binnen de particuliere sector moeten worden uitgevoerd, kan de federale overheid deze stappen vooruithelpen. Ten eerste, als we nadenken over meer regelgevende activiteit, kunnen we helpen bij het beheersen van extra financiële lasten door te zorgen voor afstemming op controleverwachtingen (op een manier die is geïnformeerd over de dreiging) tussen regelgevende instanties (en idealiter met zusterprogramma's in geallieerde buitenlandse regeringen) - dat wil zeggen, zodat bedrijven die onderworpen zijn aan meerdere regelgevende programma's zich kunnen concentreren op een consistente reeks verwachtingen. Ten tweede moeten we niet alleen overwegen hoe regelgeving bedrijven kan bestraffen die niet aan de verwachtingen voldoen, maar ook hoe ze dat wel kunnen belonen bedrijven om verder te gaan. Ten slotte door standaard basisverwachtingen en mechanismen op te leggen voor attestering tussen leveranciers, zoals de federale overheid probeert te doen software beveiligingbrengen we meer uniformiteit in het risicobeheer van derden.

Bedrijven worden geconfronteerd met een zeer complexe bedrijfs-, technologie- en bedreigingsomgeving. In een klimaat van kostenbeperkingen is het rendement op investeringen belangrijker dan ooit. We moeten dus zo nauwkeurig mogelijk zijn in hoe we verdedigingen afstemmen op waarschijnlijke bedreigingen, en zoveel mogelijk uniformiteit stimuleren bij het op een transparante, nauwkeurige en nauwkeurige manier meten van cyberbeveiligingsprestaties.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat met ons

Hallo daar! Hoe kan ik u helpen?