Threat Horizon 2012

To manage risk, you need to plan for it!

Планирането на бъдещето е неточна наука. Достигането на определено прозрение позволява да се взимат информирани, ефективни и проактивни решения за мигриране на риска.

Методологията за предвиждане на Threat Horizon и предначертаване историята на заплахите за година напред включва отчитане на фактори като: политика, закони, икономика, социално-културна сфера, развитие на техниката. Подходът на изследователите в ISF (Information Security Forum) за тенденциите в заплахите за информационната сигурност през 2012 година за първа година включват изготвяне на цялостен сценарий (ситуация, заплаха и действие за предотвратяване), вместо изолирана дефиниция на заплахите.

Ето как изглежда Threat Horizon 2012:

 

1. Случайни провали

Ситуация:  Прекаленото уповаване на Интернет за комуникация и обмен на данни ограничава избора на клиентите за това как да комуникират с определени организации като банки, авиолинии и сайтове за онлайн търговия. Съществува и риск за бизнеса от честите сривове на Интернет и прекъсванията на връзката.

Заплаха:  Недостатъчните инвестиции в критична инфраструктура могат да доведат до малка гъвкавост към надежността на мрежата и ситуации, които рискуват пълна загуба на комуникация и канал за обмен на данни.

Действие: Оценка на направените уговорки за гарантиране на непрекъсваемостта в договорите с доставчиците на Интернет или на „облака“. Подсигуряване, че са направени съответните оценки на надеждността на Интернет каналите и на потенциалните негативни въздействия върху бизнеса.

2. Облакът се превръща в мъгла

Ситуация: Ползите за бизнеса и изгодата от cloud computing доведоха до предприемане на съкращения на разходи, както и до пренебрегване на мерките за сигурност и съответствията с добрите практики и закона в областта на сигурността.

Заплаха: Повишаване на разходите, свързани с доказване на законовото съответствие на cloud computing и повишаване на броя инциденти, свързани с измами и вътрешни пробиви и атаки, скрити в облака.

Действия: Разработване на стратегии за сигурността на cloud computing и за съотвествието на cloud computing с фирмените политики и законите на дадена страна (compliance policies). Стратегиите трябва да покрият механизмите за достъп и идентификация, възстановяване от сривове, класификация на информацията, планиране на непревидените разходи, идващи от „облака“.

3. Кой ми взе границите?

Ситуация: Мобилните работници, аутсорсингът и облакът се обединяват като фактор №1 за премахване на фирмените мрежови граници с външния свят.

Заплаха: Стационарните решения за сигурност са безсилни пред свалянето на софтуер от източници с ниско ниво на доверие, неавторизиран достъп до мрежата и информацията, както и в създаването на пропуски в защитата на лични данни.

Действия: Обмисляне на архитектурни възможности за работа без граници за мрежата. Проучване на концепции за зони на доверие и нишови приложения (niche application) за различни продукти като управление на дигиталните права (digital rights management).

4. Мобилен мейнфрейм в твоя джоб

Ситуация: Властването на смартфоните и лаптопите размива границата между фирмена и лична употреба на техниката, което често води до използване на софтуер със съмнителен произход за бизнес комуникация и обмен на служебна информация.

Заплаха: Загуба или кражба на оборудване, заедно с потенциално „заразяване“ с malware. Умножава се риска от загуба на информация и измами.

Действие: Изграждане и установяване на политики за използване на лични устройства и управление на достъпа през устройствата. Управляване на ползите от използване на смартфон и измерване на последиците за сигурността от тяхното използване.

5. Ефектът „Аватар“: Смесване на работата и личния живот

Ситуация: за Интернет поколението, границите между личен живот и работа са смътни. Някои представители дори имат затруднения в разграничаването на истинския от виртуалния живот (познато като „Ефектът Аватар“). Традиционните подходи към сигурността на информацията вече не са приложими.

Заплаха: Личният e-mail и Internet достъпът до социални мрежи заобикалят корпоративните мерки за контрол, увеличавайки риска от разкриване на поверителна информация за бизнеса и проваляне на мерките за съответствие.

Действия: създаване на профили на различните потребители и повишаване на запознатостта и вниманието на служителите с рисковете за сигурността от техните действия. Установяване на основни политики за използването на Интернет и внедряване на контроли, съответстващи на рисковете.

6. Дебатът за „неприкосновеността на информацията vs. сигурността на обществото“ с растящ приоритет

Ситуация: Вече съществува конфликт между конфиденциалност в Интернет и опазване на реда. От една страна е нуждата от запазване на личните данни и информацията за действията на личността в Интернет, а от друга – нуждата на правителството да анализира лични данни или действия в Интернет за предотвратяване и разследване на престъпления. Постепенно се намалява доверието на общността във възможностите на организациите да запазват личността на клиенти и служители при всички условия.

Заплаха: Организациите ще трябва да жонглират с различни изисквания за съответствие,  с различни нива на защита на личността, което ще доведе до по-голям риск от неотговаряне на изискванията и провал в опита за запазване на данните.

Действия: Осигуряване на политики по сигурността на личните данни за служители и клиенти, които да отговарят на всички регулаторни и законови изисквания и които да се спазват стриктно. Създаване/Участие във форуми за дискусия на промените в законите с правни консултанти и колеги от същата индустрия.

7. Шпионажът става сериозен

Ситуация: Висококонкурентният глобален пазар подтиква появата на все по-сложни кибер атаки за шпиониране – както от конкуренти, така и от престъпни групи.

Заплаха: Увеличен риск от загуба на частна информация чрез hacking атаки и други кибер-престъпления, потенциално водещи до загуба на репутация и доверие.

Действия: Идентифициране на източниците на ценна информация и оценка на възможните нишови решения (niche solutions): управление на дигиталните права (digital rights management) и предотвратяване на загубите на данни (data loss prevention).

8. Позеленяването на бизнеса

Ситуация: Инициативите за подобряване на представянето на компаниите по опазване на околната среда и намаляване на вредните газове в атмосферата тенденциозно резултират в  съществения растеж на дистанционните работни места, които системите за сигурност все още не могат напълно да защитават.

Заплаха: Бързият растеж на употребата на мобилни устройства и на техника за служебни цели вкъщи, не позволява на функциите по сигурността да се развият в същата степен със същата скорост. Това явление отново води със себе си потенциал за крах на политиките за съответствие със законови изисквания и разкриване на фирмена информация.

Действия: Оценка дали съществуващите мобилни решения ще бъдат скалируеми. Създаване на бенчмарк измерител за сигурността на „зелената“ информация.

9. Да живее интегритетът!

Ситуация: Мащабното нарастване на обема информация в компанията, нейният живот в различни локации, както и липсата на детайлно управление на тази информация води до раждането на „сметище за токсични информационни отпадъци“,  в които не е ясно кое от копията на документа е актуално и кой е квалифициран да отсъди.

Заплаха: Неадекватното осигуряване на целостта на информацията и последователността в нейното използване, както и липсата на регистри и отговорници води до непредвидени ефекти върху бизнеса – несъответствие със законови регулации и отворени врати за измами.

Действие: Преглед на адекватността на контрола на интегритета и версиите на документи и на други видове информационни активи. Установяване на правила за управление на регистрите и процедури за следене на съответствието.

10. Обединяване на заплахите

Ситуация: Фокусът за смекчаване на заплахите за информационна сигурност е постоянен, но все още твърде разпръснат. Междувременно атакумащите са възприели стратегия, базирана на комбиниране на различни заплахи, повечето от които излизат извън границите на защитите.

Заплаха: Обединеният подход може да бъде използван за достигане на детайли за автентикация, придобиване на достъп до системи и мрежи, погрешно използване на системи и извършване на престъпления, кражба на частна информация и въвеждане на malware.

Действия: Създаване на общ език за разпространени в организацията рискове. Търсене на прагматични начини за холистичен подход към измерване на риска, както и отчитане на обединените заплахи за организацията.

В New Horizons вярваме, че добрата подготовка предотвратява слабото представяне (Perfect Planning Prevents Poor Performance). През 2011 година ще подготвим още специалисти за внедряване и използване на система за управление на сигурността на информацията (СУСИ).
Можете да получите повече информация и да се включите в курсове за CISSP като се обадите на тел: 02/4210 040 или ни пишете на адрес: office(at)newhorizons.bg

Източници:

Борис Гончаров, CISSP Certified & New Horizons Security Instructor

ISF (Information Security Forum)

Интересувате се от темата? Пишете ни!

    Бързо запитване

    Вашите имена *

    Вашият Email *

    Вашето съобщение *

    captcha

    Добавете коментар

    Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *