Безопасность какая бывает: Синонимы и антонимы «безопасность» — анализ и ассоциации к слову безопасность. Морфологический разбор и склонение слов

Есть несколько показателей для анализа эффективности безопасности и улучшения мер противодействия угрозам безопасности. Следующие шаги помогут предотвратить коммерческие кражи со взломом и кражу офиса:

• Определите свои уязвимости и устраните их.Обдумайте все возможные точки доступа и убедитесь, что вы можете обнаружить злоумышленника и перехватить его или ее, прежде чем они достигнут намеченной цели.

• Помните, что хорошая стратегия безопасности включает меры и устройства, которые позволяют обнаруживать, оценивать и реагировать. Например, система сигнализации может служить средством обнаружения, камера видеонаблюдения помогает оценить ситуацию, а благодаря внутренней связи службы безопасности сотрудник службы безопасности может вмешаться, чтобы не дать преступнику достичь своей цели.
• Реализуйте контроль доступа на различных уровнях, от парковок до серверных комнат, чтобы затруднить организацию вторжения.
• Отслеживайте события безопасности для анализа незначительных уязвимостей.
• Ежегодно проводить оценку рисков.
• Отказать в праве доступа работодателям, уволенным сразу после ухода из компании.
• Убедитесь, что в вашей организации приняты передовые методы обеспечения информационной безопасности.
• Реализация контроля доступа на основе ролей имеет важное значение для информационной безопасности.
• Не оставляйте ценные активы и конфиденциальную информацию в легко доступных местах.

Нарушения безопасности на рабочем месте

Безопасность рабочего места может быть поставлена ​​под угрозу как физическими, так и цифровыми нарушениями безопасности. Нарушения физической безопасности могут усугубить влияние любых других нарушений безопасности на рабочем месте. Итак, давайте подробнее остановимся на основных нарушениях физической безопасности на рабочем месте.

Во многих нарушениях безопасности было замечено, что недовольные сотрудники компании играли основную роль в серьезных нарушениях безопасности на рабочем месте. Пример утечки данных Sony — одно из таких нарушений безопасности на рабочем месте.

Небрежное отношение сотрудников или руководства к осведомленности о безопасности может привести к плачевным результатам. Должны быть строгие правила выполнения процедур без каких-либо исключений.

Ни в коем случае нельзя оставлять ценные данные или оборудование на рабочем месте без присмотра. Между тем, оставление критически важной области рабочего места без присмотра или незапертой является еще одним важным компонентом, который может добавить огромный риск к нарушениям физической безопасности на вашем рабочем месте.

Физическая безопасность — это первое звено мощного механизма безопасности на вашем рабочем месте. Поэтому всегда соблюдайте строгость и соблюдайте процедуры физической безопасности в реальном смысле.Всегда избегайте каких-либо исключений в разрешении доступа внутренним или внешним людям в закрытые зоны.

Подслушивание было фундаментальным нарушением в безопасности данных, а также в физической безопасности. Подслушивание кодов блокировки, пинов и паролей безопасности — серьезное нарушение, которое может привести к плачевным последствиям. Поэтому всегда старайтесь избегать любого вида подслушивания в вашем окружении.

В соответствии с рекомендациями ФБР по безопасности на рабочем месте, вы всегда должны уделять особое внимание устранению любых уязвимостей, относящихся как к внутренним, так и к внешним угрозам, чтобы сэкономить миллионы долларов в качестве бизнес-убытков.

Обычно любое нарушение безопасности на рабочем месте требует некоторого времени для планирования и совершения злонамеренного действия. Таким образом, вы всегда должны устранять любую уязвимость сразу после ее обнаружения.Таким образом вы убережете свое рабочее место от серьезных повреждений. Основные действия по немедленному устранению угроз безопасности включают смену паролей, проверку уязвимых точек, ужесточение физического доступа, сдерживание внутренних угроз, изоляцию важных активов и информации и многие другие.

Чтобы предотвратить любое нарушение безопасности на рабочем месте, выполните следующие действия:

• Проверьте и ограничьте физический доступ в соответствии с политикой безопасности
• Проверьте и измените пароли доступа и ключи
• Проверьте и отслеживайте точки выхода и входа
• Осведомленность заинтересованных лиц о том, как справиться с любой нестабильной ситуацией
• Выявление и защита критически важной информации
• Проверка и обновление настроек сетевой безопасности и брандмауэра
• Смена ключей безопасности после ухода каждого сотрудника из компании
• Смена охранников (человек), если таковые имеются

Что такое нарушение безопасности и как его избежать?

Нарушение безопасности — это любой инцидент, который приводит к несанкционированному доступу к компьютерным данным, приложениям, сетям или устройствам.Это приводит к тому, что доступ к информации осуществляется без авторизации. Обычно это происходит, когда злоумышленник может обойти механизмы безопасности.

Технически существует различие между нарушением безопасности и утечкой данных. Нарушение безопасности фактически является взломом, в то время как утечка данных определяется как киберпреступник, скрывающийся от информации. Представьте себе грабителя; Нарушение безопасности — это когда он пролезает в окно, а утечка данных — когда он хватает ваш кошелек или ноутбук и забирает его.

Конфиденциальная информация имеет огромное значение. Его часто продают в даркнете; например, имена и номера кредитных карт можно купить, а затем использовать в целях кражи личных данных или мошенничества. Неудивительно, что нарушения безопасности могут стоить компаниям огромных денег. В среднем для крупных корпораций счет составляет около 4 миллионов долларов.

Также важно отличать определение нарушения безопасности от определения инцидента безопасности. Инцидент может быть связан с заражением вредоносным ПО, DDOS-атакой или тем, что сотрудник оставил ноутбук в такси, но если они не приведут к доступу к сети или потере данных, они не будут считаться нарушением безопасности.

Примеры нарушения безопасности

Когда в крупной организации происходит нарушение безопасности, оно всегда попадает в заголовки газет. Примеры нарушений безопасности включают следующее:

• Equifax — в 2017 году из-за уязвимости веб-приложения компания потеряла личные данные 145 миллионов американцев. Это включало их имена, SSN и номера водительских прав. Атаки совершались в течение трехмесячного периода с мая по июль, но о нарушении безопасности не было объявлено до сентября.
• Yahoo — 3 миллиарда учетных записей пользователей были скомпрометированы в 2013 году после того, как попытка фишинга предоставила хакерам доступ к сети.
• В 2014 году на eBay произошла серьезная утечка информации. Хотя информация о кредитных картах пользователей PayPal не подвергалась риску, пароли многих клиентов были взломаны. Компания незамедлительно отправила своим пользователям электронные письма с просьбой сменить пароли, чтобы оставаться в безопасности.
• Сайт знакомств Ashley Madison, предназначенный для женатых людей, желающих завести романы, был взломан в 2015 году.Хакеры продолжили утечку огромного количества данных о клиентах через Интернет. Вымогатели начали нацеливаться на клиентов, имена которых просочились; неподтвержденные сообщения связывают ряд самоубийств с раскрытием утечки данных.
• Facebook обнаружил внутренние недостатки программного обеспечения, которые привели к потере личных данных 29 миллионов пользователей в 2018 году. Это было особенно неприятным нарушением безопасности, поскольку в числе скомпрометированных учетных записей был аккаунт генерального директора компании Марка Цукерберга.
• Marriott Hotels объявила об утечке данных и безопасности, затронувшей записи 500 миллионов клиентов в 2018 году.Однако его система бронирования гостей была взломана в 2016 году — нарушение было обнаружено только через два года.
• Возможно, самое неприятное из всего, что работа в компании по кибербезопасности не делает вас защищенным — чешская компания Avast раскрыла нарушение безопасности в 2019 году, когда хакеру удалось скомпрометировать учетные данные VPN сотрудника. Это нарушение не угрожало сведениям о клиентах, а вместо этого было направлено на внедрение вредоносного ПО в продукты Avast.

Десять лет назад многие компании пытались сохранить в секрете новости о нарушениях безопасности, чтобы не подорвать доверие потребителей.Однако это становится все более редким. В ЕС GDPR (Общие правила защиты данных) требует, чтобы компании уведомляли соответствующие органы о нарушении и любых лиц, чьи личные данные могут подвергаться риску. К январю 2020 года GDPR действовал всего 18 месяцев, и уже было сделано более 160000 отдельных уведомлений об утечке данных — более 250 в день.

Типы нарушений безопасности

Существует несколько типов нарушений безопасности в зависимости от того, как был получен доступ к системе:

• Эксплойт атакует уязвимость системы, например устаревшую операционную систему.Устаревшие системы, которые не обновлялись, например, на предприятиях, где используются устаревшие и не поддерживаемые версии Microsoft Windows, особенно уязвимы для эксплойтов.
• Слабые пароли можно взломать или угадать. Даже сейчас некоторые люди все еще используют пароль «пароль», а «pa $$ word» не намного безопаснее.
• Атаки вредоносного ПО, , такие как фишинговые электронные письма, могут быть использованы для проникновения. Достаточно одного сотрудника, чтобы щелкнуть ссылку в фишинговом письме, чтобы вредоносное ПО начало распространяться по сети.
• Попутные загрузки используют вирусы или вредоносные программы, доставленные через взломанный или поддельный веб-сайт.
• Социальная инженерия также может использоваться для получения доступа. Например, злоумышленник звонит сотруднику, утверждающему, что он из службы поддержки ИТ компании, и спрашивает пароль, чтобы «починить» компьютер.

В примерах нарушения безопасности, которые мы упоминали выше, для получения доступа к сетям использовался ряд различных методов — Yahoo подвергся фишинговой атаке, а Facebook был взломан с помощью эксплойта.

Хотя мы говорили о нарушениях безопасности, поскольку они затрагивают крупные организации, те же нарушения безопасности применимы к компьютерам отдельных лиц и другим устройствам. Вероятность того, что вас взломают с помощью эксплойта, вероятно, меньше, но многие пользователи компьютеров пострадали от вредоносного ПО, загруженного как часть программного пакета или введенного на компьютер в результате фишинг-атаки. Слабые пароли и использование общедоступных сетей Wi-Fi могут привести к нарушению связи в Интернете.

Что делать, если вы столкнулись с нарушением безопасности

Как клиент крупной компании, если вы узнали, что у нее было нарушение безопасности, или если вы узнали, что ваш компьютер был взломан, вам необходимо действовать быстро, чтобы обеспечить вашу безопасность.Помните, что нарушение безопасности одной учетной записи может означать, что другие учетные записи также подвержены риску, особенно если они используют общие пароли или если вы регулярно проводите транзакции между ними.

• Если нарушение может касаться вашей финансовой информации, уведомите любые банки и финансовые учреждения, в которых у вас есть счета.
• Измените пароли на всех своих учетных записях . Если к учетной записи привязаны контрольные вопросы и ответы или PIN-коды, вам также следует изменить их.
• Вы можете рассмотреть вопрос о замораживании кредита. Это предотвращает использование ваших данных для кражи личных данных и заимствования от вашего имени.
• Проверьте свой кредитный отчет, чтобы убедиться, что вы знаете, подает ли кто-либо заявку на получение долга, используя ваши данные .
• Постарайтесь выяснить, какие именно данные могли быть украдены. Это даст вам представление о серьезности ситуации. Например, если налоговые реквизиты и SSN были украдены, вам нужно действовать быстро, чтобы гарантировать, что ваша личность не украдена.Это более серьезно, чем просто потеря данных вашей кредитной карты.
• Не отвечать напрямую на запросы компании о предоставлении им личных данных после утечки данных; , это могла быть атака социальной инженерии. Найдите время, чтобы прочитать новости, проверить веб-сайт компании или даже позвонить в службу поддержки клиентов, чтобы проверить законность запросов.
• Будьте начеку в отношении других типов атак социальной инженерии. Например, преступник, получивший доступ к счетам отеля, даже без финансовых данных, может позвонить клиентам и попросить их отзывы об их недавнем пребывании.В конце разговора, установив доверительные отношения, преступник мог предложить возмещение платы за парковку и запросить номер карты клиента для совершения платежа. Большинство клиентов, вероятно, не станут дважды задумываться над предоставлением этих подробностей, если звонок будет убедительным.
• Следите за своими счетами на наличие признаков любой новой активности . Если вы видите транзакции, которые не знаете, немедленно обращайтесь к ним.

Как защитить себя от взлома

Хотя никто не застрахован от взлома данных, хорошие привычки компьютерной безопасности могут сделать вас менее уязвимыми и помочь пережить взлом с меньшими нарушениями.Эти советы должны помочь вам не допустить, чтобы хакеры взломали вашу личную безопасность на ваших компьютерах и других устройствах.

• Используйте надежные пароли , которые объединяют случайные строки заглавных и строчных букв, цифр и символов. Их намного сложнее взломать, чем более простые пароли. Не используйте пароли, которые легко угадать, например фамилии или дни рождения. Используйте диспетчер паролей, чтобы хранить свои пароли в безопасности.
• Используйте разные пароли для разных учетных записей. Если вы используете тот же пароль, хакер, получивший доступ к одной учетной записи, сможет получить доступ ко всем вашим другим учетным записям. Если у них разные пароли, только одна учетная запись будет в опасности.
• Закройте неиспользуемые учетные записи вместо того, чтобы оставить их бездействующими. Это снижает вашу уязвимость к нарушению безопасности. Если вы не используете учетную запись, вы можете никогда не понять, что она была взломана, и она может действовать как черный ход для других ваших учетных записей.
• Регулярно меняйте пароли .Одной из особенностей многих публично сообщаемых нарушений безопасности является то, что они происходили в течение длительного периода, а о некоторых из них не было сообщено в течение нескольких лет после нарушения. Регулярная смена пароля снижает риск внезапной утечки данных.
• Если вы выбросили компьютер, протрите старый жесткий диск как следует. Не просто удаляйте файлы; используйте программу уничтожения данных, чтобы полностью стереть диск, перезаписав все данные на диске. Создание новой установки операционной системы также успешно очистит диск.
• Резервное копирование файлов . Некоторые утечки данных приводят к шифрованию файлов и требованию программ-вымогателей сделать их снова доступными для пользователя. Если у вас есть отдельная резервная копия на съемном диске, ваши данные будут в безопасности в случае взлома.
• Защитите свой телефон . Используйте блокировку экрана и регулярно обновляйте программное обеспечение телефона. Не выполняйте рутинг и не взламывайте свой телефон. Получение root-прав на устройстве дает хакерам возможность установить собственное программное обеспечение и изменить настройки вашего телефона.
• Защитите свой компьютер и другие устройства с помощью антивирусного и антивирусного программного обеспечения. Антивирус Касперского — хороший выбор, чтобы защитить ваш компьютер от заражения и гарантировать, что хакеры не смогут закрепиться в вашей системе.
• Будьте осторожны при нажатии . Незапрашиваемые электронные письма, содержащие ссылки на веб-сайты, могут быть попытками фишинга. Некоторые могут быть из ваших контактов. Если они содержат вложения или ссылки, убедитесь, что они подлинные, прежде чем открывать их и использовать антивирусную программу для вложений.
• При доступе к своим учетным записям убедитесь, что вы используете безопасный протокол HTTPS , а не только HTTP.
• Мониторинг ваших банковских выписок и кредитных отчетов поможет вам обезопасить себя. Похищенные данные могут появиться в даркнете спустя годы после утечки исходных данных. Это может означать, что попытка кражи личных данных происходит спустя долгое время после того, как вы забыли об утечке данных, которая скомпрометировала эту учетную запись.
• Знайте ценность своей личной информации и не разглашайте ее без необходимости.Слишком много веб-сайтов хотят знать о вас слишком много; Зачем, например, деловому журналу нужна ваша точная дата рождения? Или на сайте аукциона ваш SSN?

Вы никогда не мечтаете оставлять дверь дома открытой на весь день, чтобы кто-нибудь мог войти. Подумайте о своем компьютере точно так же. Обеспечьте надежную защиту доступа к сети и ваших личных данных и не оставляйте окна или двери открытыми, чтобы хакер мог пройти.

Ссылки по теме

Как защитить свою онлайн-информацию от кражи

Кража и потеря данных

Советы по защите от киберпреступности

Что такое нарушение безопасности?

Нарушение безопасности — это любой инцидент, который приводит к несанкционированному доступу к компьютерным данным, приложениям, сетям или устройствам.Это приводит к тому, что доступ к информации осуществляется без авторизации. Обычно это происходит, когда злоумышленник может обойти механизмы безопасности.

Что нужно знать

Узнайте, что представляет собой нарушение безопасности, типы нарушений, о которых следует знать, посмотрите некоторые примеры прошлых нарушений и узнайте, как планирование реагирования на инциденты может обеспечить вашу безопасность.

Кажется, каждый день объявляются новые нарушения безопасности, некоторые из которых затрагивают миллионы людей. Эти нарушения связаны не только с потерей данных; они могут повлиять на общую доступность услуг, надежность продуктов и доверие общественности к бренду.Читайте дальше, чтобы узнать о нарушениях безопасности и о том, где вы можете начать минимизировать вероятность нарушения в вашей организации.

В этой статье:

Что такое нарушение безопасности?

В кибербезопасности нарушение безопасности означает успешную попытку злоумышленника получить несанкционированный доступ к компьютерным системам организации. Нарушения могут включать кражу конфиденциальных данных, повреждение или саботаж данных или ИТ-систем, а также действия, направленные на повреждение веб-сайтов или нанесение ущерба репутации.

Нарушения безопасности и закон
Нарушения безопасности имеют юридическое значение. Законы некоторых стран могут подвергать организации штрафам или другим санкциям, если они нарушаются и затрагиваются определенные конфиденциальные данные. Общий регламент Европейского Союза о защите данных (GDPR) определяет нарушение безопасности персональных данных как «нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к» информации, позволяющей установить личность (PII).Закон США о переносимости и подотчетности медицинского страхования (HIPAA) определяет нарушение безопасности как «недопустимое использование или разглашение…, которое ставит под угрозу безопасность или конфиденциальность защищенной медицинской информации».

Нарушение безопасности и нарушение данных
Нарушение безопасности — это общий термин, относящийся к любому нарушению организационных систем. Нарушение данных — это конкретное событие, при котором данные были получены, украдены или уничтожены со злым умыслом.

Нарушение безопасности против инцидента безопасности
Нарушение безопасности, как и нарушение безопасности, представляет собой попытку злоумышленника получить доступ или причинить вред системам организации.Разница в том, что большинство инцидентов безопасности не приводят к фактическому нарушению.

Например, атака методом грубой силы на защищенную систему с попыткой угадать несколько имен пользователей и паролей является инцидентом безопасности, но не может быть определена как нарушение, если злоумышленнику не удалось угадать пароль.

Если инцидент безопасности предоставляет злоумышленнику доступ к защищенным системам, это может квалифицироваться как нарушение безопасности. Если злоумышленник получил доступ к конфиденциальным данным, это нарушение данных.

Типы нарушений безопасности

Нарушения безопасности часто характеризуются вектором атаки, используемым для получения доступа к защищенным системам или данным. Ниже приведены распространенные типы атак, используемых для нарушения безопасности. Подробнее об этих атаках читайте в нашем подробном посте об угрозах кибербезопасности.

• Распределенный отказ в обслуживании (DDoS) — злоумышленники берут под контроль большое количество устройств, формируя ботнет, и используют их для наводнения целевой системы трафиком, превышая ее пропускную способность и системные ресурсы.DDoS не является прямым средством взлома организационных систем, но может использоваться как отвлечение, пока злоумышленники совершают фактическое нарушение.
• Человек посередине (MitM) — злоумышленники перехватывают связь между пользователями и целевой системой, выдают себя за пользователя или целевую систему и используют это для кражи учетных данных или данных. Это позволяет им получать несанкционированные данные или выполнять незаконные действия.
• Социальная инженерия — злоумышленники манипулируют пользователями или сотрудниками организации, вынуждая их раскрыть конфиденциальные данные.Распространенным методом атаки является фишинг, при котором злоумышленники отправляют поддельные электронные письма или сообщения, в результате чего пользователь отвечает с личной информацией, щелкает ссылку на вредоносный сайт или загружает вредоносное вложение.
• Вредоносные программы и программы-вымогатели — злоумышленники могут заразить целевые системы или конечные точки, подключенные к защищенной целевой системе, с помощью вредоносного программного обеспечения, известного как вредоносное ПО. Вредоносное ПО может быть внедрено с помощью социальной инженерии, эксплуатации уязвимостей программного обеспечения или использования слабой аутентификации.Вредоносное ПО может использоваться для взлома компьютерной системы и получения удаленного управления ею, а также для повреждения или удаления ее содержимого, как при атаке программы-вымогателя.
• Парольные атаки — злоумышленники могут использовать ботов в сочетании со списками общих паролей или украденных учетных данных, чтобы угадать пароль и взломать учетную запись в целевой системе. Обычно это делается для обычных учетных записей с ограниченными привилегиями, и злоумышленники совершают боковое перемещение, чтобы скомпрометировать дополнительные, более привилегированные учетные записи.

• Расширенные постоянные угрозы (APT) — хотя большинство кибератак автоматизированы и не позволяют различать жертв, APT представляет собой организованную целевую атаку против конкретной организации. Он проводится группой опытных злоумышленников в течение недель или месяцев и может включать комбинацию нескольких передовых методов атаки.

Примеры нарушений безопасности

Вот лишь несколько примеров крупномасштабных нарушений безопасности, обнаруживаемых каждый день.

Нарушение безопасности Yahoo
Нарушение безопасности Yahoo было вызвано целевым фишингом по электронной почте и привело к компрометации более 3 миллиардов учетных записей пользователей. Доступные данные включали имена, номера телефонов, контрольные вопросы и слабо зашифрованные пароли. Многие из этих паролей проникли в темную сеть и составляют основу баз данных украденных учетных данных, которые сегодня широко используются злоумышленниками. Нарушение произошло в 2013 и 2014 годах, но было обнаружено только в 2016 году.

Вы пострадали? Все, у кого была учетная запись Yahoo в 2013–2014 годах, пострадали от взлома.

Нарушение безопасности Equifax
Equifax — это служба кредитной отчетности в США. Злоумышленники использовали уязвимость в Struts, фреймворке с открытым исходным кодом, который использовался на веб-сайте организации. Трагедия заключалась в том, что это была известная уязвимость, и надлежащие процедуры исправления и обновления систем веб-сайтов могли бы предотвратить нарушение. Атака раскрыла личную информацию 145 миллионов человек, включая имена, номера социального страхования и водительские права, что создало серьезный риск кражи личных данных.

Вы пострадали? Вы можете проверить, не была ли ваша личная информация скомпрометирована, и подать иск о компенсации здесь.

Нарушение безопасности Facebook
В 2018 году злоумышленники получили доступ к 400 000 учетных записей пользователей Facebook и использовали их для получения токенов доступа 30 миллионов пользователей Facebook. Эти токены обеспечивают полный доступ к учетным записям Facebook. Четырнадцати миллионам пользователей была раскрыта личная информация, включая статус отношений и недавние места, которые они посетили.У 15 миллионов были нарушены имена и контактные данные.

Вы пострадали? Вы можете проверить, была ли взломана ваша учетная запись Facebook и в какой степени, здесь.

Поведенческая аналитика: определение моделей атак для предотвращения нарушений безопасности

Кибератаки становятся все сложнее. Однако немногие люди осознают, что они также становятся более автоматизированными, поскольку злоумышленники используют инструменты для массового нападения на цели. Команды SOC изо всех сил стараются не отставать — яростно переключаются между продуктами, чтобы исследовать, сдерживать и реагировать на предупреждения системы безопасности — все при этом надеясь, что ничего не ускользнет из-под контроля.

не только нуждаются в соответствующих инструментах, но и в стандартном способе общения и совместной работы в отношении атак, которые они обнаруживают, расследуют и на которые реагируют. Многие из тактик и приемов, которые используют современные противники, вызывают тревогу в большинстве SOC. Но эти индивидуальные предупреждения должны быть исследованы, а доказательства должны быть собраны вручную, чтобы получить полное представление о цепочке атак и выявить нарушение. К тому времени, когда аналитики разберутся со всеми предупреждениями и соберут доказательства, злоумышленник сможет получить более глубокий доступ к сети и системам организации.

SOC необходима управляемая, расширенная и полная хронология событий, чтобы точно определять все аномальные события до того, как они перерастут в нарушение. Exabeam Advanced Analytics предоставляет именно это — возможность Smart Timeline, которая предоставляет все события, связанные с инцидентом — как нормальные, так и аномальные — вместе с причинами риска и соответствующими оценками риска.

Реагирование на инциденты: предотвращение нарушений безопасности и реагирование на них

Реагирование на инциденты требует тщательного планирования и специальной группы, которая может выявлять инциденты безопасности и реагировать на них, которые могут быстро превратиться в реальные нарушения.

Институт SANS обеспечивает структурированный процесс реагирования на инциденты безопасности и предотвращения нарушений:

1. Подготовка — разработка политик и планов действий в случае инцидентов безопасности.
2. Идентификация — использование инструментов и четкого процесса для быстрого выявления инцидентов безопасности и сбора данных, которые могут помочь сотрудникам службы безопасности реагировать.
3. Сдерживание — предотвращение дальнейшего повреждения угроз и изоляция пораженных систем.
4. Eradication — определение основной причины инцидента, очистка затронутых хостов и мониторинг, чтобы гарантировать, что угроза не вернется.
5. Recovery — восстановление производственных систем и обеспечение того, чтобы на них больше не влияла угроза.
6. Извлеченные уроки — понимание того, что сработало хорошо, а что было упущено во время инцидента безопасности, и улучшение процесса в следующий раз.

Подробнее читайте в нашем полном руководстве по реагированию на инциденты.

Заключение

По мере роста размера и сложности ИТ-систем становится все труднее обеспечивать постоянную защиту, что может сделать нарушения безопасности неизбежными. Однако, оставаясь в курсе своих рисков и предпринимая подготовительные действия, вы можете минимизировать вероятность нарушения. Сосредоточение внимания на выявлении инцидентов до того, как они превратятся в нарушения, и изучение ошибок других организаций — отличное место для начала.

Хотите узнать больше о DLP?
Посмотрите эти статьи:

Информационная безопасность (InfoSec): полное руководство

Информационная безопасность (InfoSec) позволяет организациям защищать цифровую и аналоговую информацию.InfoSec обеспечивает покрытие для криптографии, мобильных вычислений, социальных сетей, а также инфраструктуры и сетей, содержащих частную, финансовую и корпоративную информацию. Кибербезопасность, с другой стороны, защищает как необработанные, так и значимые данные, но только от интернет-угроз.

Организации внедряют информационную безопасность по разным причинам. Основные цели InfoSec обычно связаны с обеспечением конфиденциальности, целостности и доступности информации компании.Поскольку InfoSec охватывает множество областей, она часто включает реализацию различных типов безопасности, включая безопасность приложений, безопасность инфраструктуры, криптографию, реагирование на инциденты, управление уязвимостями и аварийное восстановление.

В этом руководстве подробно рассматривается область информационной безопасности, включая определения, а также роли и обязанности руководителей по информационной безопасности и SOC. Вы также узнаете об общих рисках информационной безопасности, технологиях и сертификатах.

В этой статье мы рассмотрим:

Что такое информационная безопасность?

InfoSec, или информационная безопасность, представляет собой набор инструментов и методов, которые вы можете использовать для защиты вашей цифровой и аналоговой информации. InfoSec охватывает широкий спектр ИТ-областей, включая безопасность инфраструктуры и сети, аудит и тестирование. Он использует такие инструменты, как аутентификация и разрешения, чтобы ограничить доступ неавторизованных пользователей к личной информации. Эти меры помогут вам предотвратить вред, связанный с кражей, изменением или потерей информации.

Информационная безопасность против кибербезопасности

Хотя обе стратегии безопасности, кибербезопасность и информационная безопасность охватывают разные цели и области с некоторым перекрытием. Информационная безопасность — это более широкая категория защиты, охватывающая криптографию, мобильные вычисления и социальные сети. Это связано с гарантией информации, используемой для защиты информации от угроз не личного характера, таких как сбои серверов или стихийные бедствия. Для сравнения, кибербезопасность охватывает только интернет-угрозы и цифровые данные.Кроме того, кибербезопасность обеспечивает покрытие необработанных неклассифицированных данных, а информационная безопасность — нет.

Цели информационной безопасности в организации

Существует три основные цели, защищаемые системой информационной безопасности, известные под общим названием CIA:

• Конфиденциальность — предотвращает несанкционированный доступ к информации для защиты конфиденциальности информационного содержания. Конфиденциальность поддерживается за счет ограничений доступа. Нарушение конфиденциальности может произойти из-за человеческой ошибки, преднамеренного обмена или злонамеренного входа.
• Integrity — обеспечивает подлинность и точность информации. Целостность поддерживается за счет ограничения разрешений на редактирование или возможности изменять информацию. Потеря целостности может произойти, когда аналоговая информация не защищена от условий окружающей среды, цифровая информация не передается должным образом или когда пользователи вносят несанкционированные изменения.
• Доступность — гарантирует, что авторизованные пользователи могут получить надежный доступ к информации. Доступность поддерживается за счет непрерывности процедур доступа, резервного копирования или дублирования информации, а также обслуживания оборудования и сетевых подключений.Потеря доступности может произойти, когда сети атакованы из-за стихийных бедствий или когда клиентские устройства выходят из строя.

Типы информационной безопасности

При рассмотрении информационной безопасности необходимо знать множество подтипов. Эти подтипы охватывают определенные типы информации, инструменты, используемые для защиты информации, и области, в которых информация нуждается в защите.

Безопасность приложений
Стратегии безопасности приложений защищают приложения и программные интерфейсы приложений (API).Вы можете использовать эти стратегии для предотвращения, обнаружения и исправления ошибок или других уязвимостей в ваших приложениях. Если уязвимости приложений и API не защищены, они могут стать шлюзом для ваших более широких систем, подвергая вашу информацию риску.
Большая часть безопасности приложений основана на специализированных инструментах для защиты, сканирования и тестирования приложений. Эти инструменты могут помочь вам выявить уязвимости в приложениях и окружающих компонентах. После обнаружения вы можете исправить эти уязвимости до выпуска приложений или использования уязвимостей.Безопасность приложений применяется как к приложениям, которые вы используете, так и к приложениям, которые вы, возможно, разрабатываете, поскольку оба должны быть защищены.

Безопасность инфраструктуры
Стратегии безопасности инфраструктуры защищают компоненты инфраструктуры, включая сети, серверы, клиентские устройства, мобильные устройства и центры обработки данных. Растущая взаимосвязь между этими и другими компонентами инфраструктуры подвергает информацию риску без надлежащих мер предосторожности.
Этот риск возникает из-за того, что возможность подключения увеличивает уязвимости в ваших системах.Если одна часть вашей инфраструктуры выходит из строя или скомпрометирована, это также затронет все зависимые компоненты. В связи с этим важной целью безопасности инфраструктуры является минимизация зависимостей и изоляция компонентов при сохранении возможности взаимодействия.

Облачная безопасность
Облачная безопасность обеспечивает защиту, аналогичную защите приложений и инфраструктуры, но ориентирована на облачные или подключенные к облаку компоненты и информацию. Облачная безопасность добавляет дополнительные средства защиты и инструменты, позволяющие сосредоточить внимание на уязвимостях, исходящих от служб с выходом в Интернет и общих сред, таких как общедоступные облака.Он также имеет тенденцию включать в себя централизацию управления безопасностью и инструментов. Такая централизация позволяет группам безопасности поддерживать видимость информации и информационных угроз в распределенных ресурсах.
Другой аспект облачной безопасности — это сотрудничество с вашим облачным провайдером или сторонними сервисами. При использовании ресурсов и приложений, размещенных в облаке, вы часто не можете полностью контролировать свои среды, поскольку инфраструктура обычно управляется за вас. Это означает, что в практике облачной безопасности необходимо учитывать ограниченный контроль и принимать меры по ограничению доступности и уязвимостей, исходящих от подрядчиков или поставщиков.

Криптография
Криптография использует метод, называемый шифрованием, для защиты информации путем скрытия содержимого. Когда информация зашифрована, она доступна только пользователям, имеющим правильный ключ шифрования. Если у пользователей нет этого ключа, информация непонятна. Команды безопасности могут использовать шифрование для защиты конфиденциальности и целостности информации на протяжении всей ее жизни, в том числе при хранении и во время передачи. Однако, как только пользователь расшифровывает данные, они становятся уязвимыми для кражи, раскрытия или изменения.
Для шифрования информации службы безопасности используют такие инструменты, как алгоритмы шифрования или такие технологии, как блокчейн. Алгоритмы шифрования, такие как расширенный стандарт шифрования (AES), более распространены, поскольку для этих инструментов больше поддержки и меньше накладных расходов при использовании

Реагирование на инциденты
Реагирование на инциденты — это набор процедур и инструментов, которые вы можете использовать для выявления, расследования и реагирования на угрозы или разрушительные события. Он устраняет или уменьшает ущерб, причиненный системам из-за атак, стихийных бедствий, сбоев системы или человеческой ошибки.Этот ущерб включает в себя любой ущерб, причиненный информации, например утерю или кражу.
Обычно используемый инструмент для реагирования на инциденты — это план реагирования на инциденты (IRP). IRP определяют роли и обязанности по реагированию на инциденты. Эти планы также определяют политику безопасности, содержат руководящие принципы или процедуры для действий и помогают обеспечить использование информации, полученной в результате инцидентов, для улучшения защитных мер.

Управление уязвимостями
Управление уязвимостями — это практика, предназначенная для снижения рисков, присущих приложению или системе.Идея, лежащая в основе этой практики, заключается в обнаружении и исправлении уязвимостей до того, как проблемы будут обнаружены или использованы. Чем меньше уязвимостей имеет компонент или система, тем в большей степени защищена ваша информация и ресурсы.
Практика управления уязвимостями основывается на тестировании, аудите и сканировании для обнаружения проблем. Эти процессы часто автоматизируются, чтобы гарантировать, что компоненты оцениваются в соответствии с определенным стандартом, и чтобы гарантировать, что уязвимости будут обнаружены как можно быстрее. Другой метод, который вы можете использовать, — это поиск угроз, который включает в себя исследование систем в режиме реального времени для выявления признаков угроз или обнаружения потенциальных уязвимостей.

Аварийное восстановление
Аварийное восстановление защищает вашу организацию от потерь или повреждений в результате непредвиденных событий. Например, программы-вымогатели, стихийные бедствия или уязвимые места. Стратегии аварийного восстановления обычно определяют, как вы можете восстановить информацию, как вы можете восстановить системы и как вы можете возобновить работу. Эти стратегии часто являются частью плана управления непрерывностью бизнеса (BCM), разработанного, чтобы позволить организациям поддерживать операции с минимальным временем простоя.

Кто такие директора по информационной безопасности?

Директора по информационной безопасности (CISO) — это люди, ответственные за управление и обеспечение защиты информации организации. Эта роль может быть отдельной должностью или входить в обязанности вице-президента (вице-президента) по безопасности или начальника службы безопасности (CSO).
В обязанности директора по информационной безопасности входит управление:

• Операции безопасности — включает мониторинг, анализ и сортировку угроз в реальном времени.
• Киберриски и киберразведка — включает поддержание текущих знаний об угрозах безопасности и информирование руководителей и членов совета директоров о потенциальных последствиях рисков.
• Защита от потери данных и мошенничества — включает мониторинг и защиту от внутренних угроз.
• Архитектура безопасности — включает применение передовых методов обеспечения безопасности при приобретении, интеграции и эксплуатации оборудования и программного обеспечения.
• Управление идентификацией и доступом — включает обеспечение надлежащего использования мер аутентификации, мер авторизации и предоставления привилегий.
• Управление программами — включает обеспечение профилактического обслуживания аппаратного и программного обеспечения посредством аудитов и обновлений.
• Расследования и криминалистика — включает сбор доказательств, взаимодействие с властями и обеспечение проведения вскрытия.
• Управление — включает проверку бесперебойной работы всех операций по обеспечению безопасности и выступает в качестве посредника между руководством и операциями по обеспечению безопасности.

Что такое центр безопасности?

Операционный центр безопасности (SOC) — это набор инструментов и членов команды, которые непрерывно контролируют и обеспечивают безопасность организации.SOC служат в качестве единой базы, на которой группы могут обнаруживать, исследовать, реагировать и восстанавливаться после угроз или уязвимостей безопасности. В частности, SOC предназначены для помощи организациям в предотвращении угроз кибербезопасности и управлении ими.
Основная идея SOC заключается в том, что централизованные операции позволяют командам более эффективно управлять безопасностью, обеспечивая полную видимость и контроль над системами и информацией. Эти центры сочетают в себе решения по безопасности и человеческий опыт для выполнения или руководства любыми задачами, связанными с цифровой безопасностью.
Для реализации SOC используются три основные модели:

• Внутренний SOC — состоит из преданных сотрудников, работающих внутри организации. Эти центры обеспечивают высочайший уровень контроля, но требуют больших первоначальных затрат и могут быть сложной задачей для персонала из-за трудностей с набором персонала с нужным опытом. Внутренние SOC обычно создаются корпоративными организациями со зрелыми стратегиями ИТ и безопасности.
• Virtual SOC — используйте управляемые сторонние сервисы для обеспечения покрытия и экспертных знаний для операций.Эти центры легко настраиваются, хорошо масштабируются и требуют меньших начальных затрат. Обратной стороной является то, что организации полагаются на поставщиков и имеют меньшую прозрачность и меньший контроль над своей безопасностью. Виртуальные SOC часто используются малыми и средними организациями, в том числе теми, у которых нет собственных ИТ-групп.
• Hybrid SOC — объединение внутренних и внешних команд. Эти центры используют управляемые услуги, чтобы восполнить пробелы в охвате или опыте. Например, для обеспечения круглосуточного мониторинга без необходимости устраивать внутренние ночные смены.Гибридные SOC могут позволить организациям поддерживать более высокий уровень контроля и видимости без ущерба для безопасности. Обратной стороной этих центров является то, что затраты часто выше, чем у виртуальных SOC, и координация может быть сложной.

Общие риски информационной безопасности

В повседневной работе многие риски могут повлиять на вашу систему и информационную безопасность. Ниже приведены некоторые общие риски, о которых следует знать.

Атаки социальной инженерии
Социальная инженерия предполагает использование психологии, чтобы обманом заставить пользователей предоставить информацию или получить доступ к злоумышленникам.Фишинг — один из распространенных видов социальной инженерии, обычно осуществляемый через электронную почту. При фишинговых атаках злоумышленники притворяются заслуживающими доверия или законными источниками, запрашивая информацию или предупреждая пользователей о необходимости принять меры. Например, в электронных письмах пользователей могут просить подтвердить личные данные или войти в свои учетные записи по включенной (вредоносной) ссылке. Если пользователи подчинятся, злоумышленники могут получить доступ к учетным данным или другой конфиденциальной информации.

Расширенные постоянные угрозы (APT)
APT — это угрозы, при которых отдельные лица или группы получают доступ к вашим системам и остаются в них в течение длительного периода.Злоумышленники проводят эти атаки для сбора конфиденциальной информации с течением времени или в качестве основы для будущих атак. APT-атаки осуществляются организованными группами, которые могут оплачиваться конкурирующими национальными государствами, террористическими организациями или отраслевыми соперниками.

Внутренние угрозы
Внутренние угрозы — это уязвимости, созданные отдельными лицами в вашей организации. Эти угрозы могут быть случайными или преднамеренными и предполагать использование злоумышленниками «законных» привилегий для доступа к системам или информации.В случае случайных угроз сотрудники могут непреднамеренно поделиться или раскрыть информацию, загрузить вредоносное ПО или получить кражу учетных данных. При умышленных угрозах инсайдеры намеренно повреждают, утекают или крадут информацию для личной или профессиональной выгоды.

Криптоджекинг
Криптоджекинг, также называемый майнингом криптовалют, — это когда злоумышленники используют ресурсы вашей системы для добычи криптовалюты. Злоумышленники обычно добиваются этого, заставляя пользователей загружать вредоносное ПО или открывая файлы с включенными вредоносными скриптами.Некоторые атаки также выполняются локально, когда пользователи посещают сайты, содержащие скрипты для майнинга.

Распределенный отказ в обслуживании (DDoS)
DDoS-атаки происходят, когда злоумышленники перегружают серверы или ресурсы запросами. Злоумышленники могут выполнять эти атаки вручную или через ботнеты, сети скомпрометированных устройств, используемые для распределения источников запросов. Целью DDoS-атаки является предотвращение доступа пользователей к службам или отвлечение служб безопасности во время других атак.

Ransomware
Атаки программ-вымогателей используют вредоносное ПО для шифрования ваших данных и удержания их с целью получения выкупа. Как правило, злоумышленники требуют информацию о том, что нужно предпринять какие-либо действия, или оплату от организации в обмен на расшифровку данных. В зависимости от типа используемой программы-вымогателя вы не сможете восстановить зашифрованные данные. В этих случаях восстановить данные можно только путем замены зараженных систем чистыми резервными копиями.

Атака «человек посередине» (MitM)
Атаки MitM происходят, когда сообщения передаются по незащищенным каналам.Во время этих атак злоумышленники перехватывают запросы и ответы для чтения содержимого, манипулирования данными или перенаправления пользователей.
Существует несколько типов MitM-атак, в том числе:

• Перехват сеанса — злоумышленники заменяют легитимные пользователи своим собственным IP-адресом, чтобы использовать свой сеанс и учетные данные для получения доступа к системе.
• IP-спуфинг — злоумышленники имитируют доверенные источники, чтобы отправить вредоносную информацию в систему или запросить информацию обратно.
• Атаки с перехватом — злоумышленники собирают информацию, передаваемую при обмене данными между законными пользователями и вашими системами.

Технологии информационной безопасности

Создание эффективной стратегии информационной безопасности требует применения различных инструментов и технологий. В большинстве стратегий используется комбинация следующих технологий.

Межсетевые экраны
Межсетевые экраны — это уровень защиты, который можно применять к сетям или приложениям.Эти инструменты позволяют фильтровать трафик и сообщать данные о трафике в системы мониторинга и обнаружения. Брандмауэры часто используют установленные списки разрешенного или неутвержденного трафика и политики, определяющие скорость или объем разрешенного трафика.

Управление инцидентами и событиями безопасности (SIEM)
Решения SIEM позволяют получать и сопоставлять информацию из разных систем. Такое агрегирование данных позволяет группам более эффективно обнаруживать угрозы, более эффективно управлять предупреждениями и обеспечивать лучший контекст для расследований.Решения SIEM также полезны для регистрации событий, происходящих в системе, или составления отчетов о событиях и производительности. Затем вы можете использовать эту информацию для подтверждения соответствия или для оптимизации конфигураций.

Защита от потери данных (DLP)
SIEM-решения Стратегии DLP включают инструменты и методы, которые защищают данные от потери или изменения. Это включает в себя категоризацию данных, резервное копирование данных и мониторинг обмена данными внутри и за пределами организации. Например, вы можете использовать DLP-решения SIEM для сканирования исходящей электронной почты, чтобы определить, не передается ли конфиденциальная информация ненадлежащим образом.

Система обнаружения вторжений (IDS)
Решения IDS — это инструменты для мониторинга входящего трафика и обнаружения угроз. Эти инструменты оценивают трафик и предупреждают о любых подозрительных или вредоносных случаях.

Система предотвращения вторжений (IPS)
Решения безопасности IPS аналогичны решениям IDS, и они часто используются вместе. Эти решения реагируют на трафик, который определяется как подозрительный или вредоносный, блокируя запросы или завершая сеансы пользователя.Вы можете использовать решения IPS для управления сетевым трафиком в соответствии с определенными политиками безопасности.

Аналитика поведения пользователей (UBA)
Решения UBA собирают информацию о действиях пользователей и сопоставляют их поведение с базовыми показателями. Затем решения используют этот базовый уровень для сравнения с новым поведением для выявления несоответствий. Затем решение помечает эти несоответствия как потенциальные угрозы. Например, вы можете использовать решения UBA для отслеживания действий пользователей и определения того, начинает ли пользователь экспортировать большие объемы данных, что указывает на внутреннюю угрозу.

Кибербезопасность цепочки блоков
Кибербезопасность цепочки блоков — это технология, основанная на неизменяемых транзакционных событиях. В технологиях блокчейн распределенные сети пользователей проверяют подлинность транзакций и обеспечивают поддержание целостности. Хотя эти технологии еще не получили широкого распространения, некоторые компании начинают включать блокчейн в другие решения.

Обнаружение и реагирование на конечные точки (EDR) Решения для кибербезопасности
EDR позволяют отслеживать активность конечных точек, выявлять подозрительную активность и автоматически реагировать на угрозы.Эти решения предназначены для улучшения видимости оконечных устройств и могут использоваться для предотвращения проникновения угроз в ваши сети или утечки информации. Решения EDR полагаются на непрерывный сбор данных конечных точек, механизмы обнаружения и регистрацию событий.

Управление состоянием безопасности облака (CSPM)
CSPM — это набор методов и технологий, которые вы можете использовать для оценки безопасности ваших облачных ресурсов. Эти технологии позволяют сканировать конфигурации, сравнивать средства защиты с тестами и обеспечивать единообразное применение политик безопасности.Часто решения CSPM содержат рекомендации или руководства по исправлению, которые вы можете использовать для улучшения состояния безопасности.

Примеры информационной безопасности в реальном мире

Существует множество способов реализации информационной безопасности в вашей организации, в зависимости от вашего размера, доступных ресурсов и типа информации, которую вам необходимо защитить. Ниже приведены три примера того, как организации реализовали информационную безопасность для удовлетворения своих потребностей.

DLP в Berkshire Bank
Berkshire Bank является примером компании, которая решила реструктурировать свою стратегию DLP.Компания хотела получить доступ к более подробной отчетности о событиях. Их старая система предоставляла только общую информацию, когда угрозы были предотвращены, но компания хотела знать подробности о каждом событии.
Чтобы внести это изменение, Berkshire Bank принял решения Exabeam для обеспечения управляемого покрытия DLP. Это покрытие включало улучшенную видимость событий и централизованную информацию DLP на единой временной шкале для большей доступности. Благодаря этой расширенной информации группа безопасности Berkshire может лучше расследовать события и принимать эффективные превентивные меры.

SOC в Grant Thornton
Grant Thornton — это организация, которая в партнерстве с Exabeam улучшила свой SOC. Компания стремилась улучшить свои возможности по защите системной информации и более эффективно достигать целей безопасности. Благодаря партнерству Грант Торнтон создал озеро данных, служащее центральным хранилищем их данных и инструментов.
Такая централизация повысила эффективность их операций и уменьшила количество интерфейсов, к которым аналитикам требовалось получить доступ.Централизация также позволила компании использовать расширенную аналитику, включая новые агрегированные данные.
Реагирование на инциденты в WSU
Для защиты от растущего числа продвинутых злоумышленников Государственный университет Райта (WSU) внедрил решения для реагирования на инциденты Exabeam. Они предприняли это действие, чтобы быстрее обнаруживать инциденты, более тщательно расследовать действия и более эффективно реагировать на угрозы.
Инструментарий WSU включает в себя решение для обеспечения безопасности, автоматизации и реагирования (SOAR) и решение для анализа поведения пользователей и объектов (UEBA).Эти инструменты позволяют WSU обнаруживать более широкий спектр угроз, включая динамические или неизвестные угрозы, и автоматически реагировать на эти угрозы. Эти инструменты предоставляют важную контекстную информацию и своевременные предупреждения об угрозах, с которыми решения не могут справиться автоматически, поэтому вы можете быстро принять меры и минимизировать ущерб.

Сертификаты информационной безопасности

Еще одним важным аспектом при реализации стратегии информационной безопасности является обеспечение надлежащего обучения персонала для защиты вашей информации.Один из распространенных методов — сертификация по информационной безопасности. Эти сертификаты гарантируют, что профессионалы соответствуют определенным стандартам знаний и знакомы с передовой практикой.
Многочисленные сертификаты доступны как от некоммерческих организаций, так и от поставщиков. Два наиболее востребованных сертификата:

• CompTIA Security + — обеспечивает базовый уровень обучения кибербезопасности. Он охватывает основные знания, связанные с ИТ-безопасностью, и предназначен для профессионалов начального уровня, таких как младшие аудиторы или тестеры на проникновение.Эта сертификация предлагается через Ассоциацию индустрии вычислительных технологий.
• Сертифицированный специалист по безопасности информационных систем (CISSP) — обеспечивает знание восьми областей информационной безопасности, включая связь, оценку и тестирование, а также управление рисками. Он предназначен для профессионалов высшего звена, например, менеджеров по безопасности. Эту сертификацию можно получить в Международном консорциуме по сертификации безопасности информационных систем (ISC) ².

Повышение информационной безопасности с помощью Exabeam

Гибкость и удобство ИТ-решений, таких как облачные вычисления и Интернет вещей (IoT), стали незаменимыми для многих организаций, включая частные компании и правительства, но они также подвергают конфиденциальную информацию кражам и злонамеренным атакам.Невозможно избежать Интернета, но вы можете убедиться, что у вас есть система для защиты вашей информации и управления нарушениями, когда они действительно происходят.
Exabeam — это платформа SIEM третьего поколения, которая проста в реализации и использовании и включает расширенные функции в соответствии с пересмотренной моделью SIEM Gartner:

• Расширенная аналитика и криминалистический анализ — идентификация угроз с помощью поведенческого анализа на основе машинного обучения, динамического группирования сверстников и сущностей для выявления подозрительных лиц и обнаружения бокового движения.
• Анализ, создание отчетов и хранение данных — неограниченное хранение данных журналов с фиксированной ценой, с использованием современной технологии озера данных, с контекстно-зависимым анализом журналов, который помогает аналитикам безопасности быстро находить то, что им нужно.
• Threat Hunting — дает аналитикам возможность активно выявлять угрозы. Предоставляет интерфейс поиска угроз, позволяющий создавать правила и запросы, используя естественный язык, без обработки SQL или NLP.
• Реагирование на инциденты и SOC Automation — централизованный подход к реагированию на инциденты, сбор данных из сотен инструментов и организация реагирования на различные типы инцидентов с помощью программ безопасности.Exabeam может автоматизировать рабочие процессы расследования, локализации и смягчения последствий.

Exabeam позволяет SOC, CISCO и отделам безопасности InfoSec получить большую прозрачность и контроль. Используя Exabeam, организации могут покрыть широкий спектр рисков информационной безопасности, гарантируя, что информация останется безопасной, доступной и доступной. Узнайте больше об облачном SIEM нового поколения Exabeam.

См. Дополнительные руководства по ключевым темам информационной безопасности

Exabeam вместе с несколькими партнерскими веб-сайтами создали большой репозиторий контента, который может помочь вам узнать о многих аспектах информационной безопасности.Ознакомьтесь со статьями ниже, чтобы получить объективные и сжатые обзоры ключевых тем информационной безопасности.

Что такое безопасность приложений? Процесс и инструменты для защиты программного обеспечения

Безопасность приложений — это процесс повышения безопасности приложений за счет поиска, исправления и повышения безопасности приложений. Многое из этого происходит на этапе разработки, но включает инструменты и методы для защиты приложений после их развертывания. Это становится все более важным, поскольку хакеры все чаще атакуют приложения.

Безопасности приложений уделяется много внимания.Доступны сотни инструментов для защиты различных элементов вашего портфеля приложений, от блокировки изменений кода до оценки непреднамеренных угроз кодирования, оценки параметров шифрования и аудита разрешений и прав доступа. Существуют специализированные инструменты для мобильных приложений, сетевых приложений и брандмауэров, разработанные специально для веб-приложений.

Почему важна безопасность приложений

Согласно Veracode’s State of Software Security Vol. Согласно отчету 10, 83% из 85 000 протестированных приложений имели хотя бы один недостаток безопасности.У многих было гораздо больше, так как их исследование выявило в общей сложности 10 миллионов недостатков, а 20% всех приложений имели хотя бы один недостаток высокой степени серьезности. Не все эти недостатки представляют значительную угрозу безопасности, но их количество вызывает беспокойство.

Чем быстрее и быстрее в процессе разработки программного обеспечения вы сможете найти и исправить проблемы безопасности, тем безопаснее будет ваше предприятие. Поскольку все совершают ошибки, задача состоит в том, чтобы своевременно их найти. Например, обычная ошибка кодирования может допускать непроверенные входные данные.Эта ошибка может перерасти в атаки с использованием SQL-инъекций, а затем в утечку данных, если их обнаружит хакер.

Инструменты безопасности приложений, которые интегрируются в среду разработки приложений, могут сделать этот процесс и рабочий процесс более простым и эффективным. Эти инструменты также полезны, если вы проводите аудит соответствия, поскольку они могут сэкономить время и деньги, выявляя проблемы до того, как их заметят аудиторы.

Стремительному росту сегмента безопасности приложений способствовало изменение характера построения корпоративных приложений за последние несколько лет.Прошли те времена, когда ИТ-отделу требовались месяцы на уточнение требований, создание и тестирование прототипов и доставку готового продукта в отдел конечных пользователей. В наши дни эта идея кажется почти причудливой.

Вместо этого у нас есть новые методы работы, называемые непрерывным развертыванием и интеграцией, которые улучшают приложение ежедневно, а в некоторых случаях — ежечасно. Это означает, что инструменты безопасности должны работать в этом постоянно меняющемся мире и быстро обнаруживать проблемы с кодом.

Компания Gartner в своем отчете о цикле шумихи о безопасности приложений (обновлено в сентябре 2018 г.) сообщила, что ИТ-менеджерам «необходимо выходить за рамки выявления распространенных ошибок безопасности при разработке приложений и защиты от распространенных методов атак.«Они предлагают более десятка различных категорий продуктов и описывают, в каком« круговороте ажиотажа »они находятся.

Многие из этих категорий все еще появляются и используют относительно новые продукты. Это показывает, насколько быстро развивается рынок по мере того, как угрозы становятся более сложными, более трудными для обнаружения и более мощными с точки зрения их потенциального ущерба для ваших сетей, ваших данных и вашей корпоративной репутации.

Наиболее распространенные уязвимости программного обеспечения

Один из способов узнать об уязвимостях программного обеспечения, которые могут использовать злоумышленники, — это ежегодный список наиболее опасных уязвимостей программного обеспечения CWE, составляемый MITRE.MITER отслеживает CWE (Common Weakness Enumeration), присваивая им номера так же, как и в своей базе данных Common Vulnerabilities and Exposures (CVE). Каждая уязвимость оценивается в зависимости от частоты, с которой она является основной причиной уязвимости, и серьезности ее использования.

Ниже приведены 10 лучших CWE в топ-25 MITRE 2020 CWE с оценками:

1. Межсайтовый скриптинг (46,82)
2. Запись за пределы поля (46.17)
3. Неправильная проверка ввода (33.47)
4. За пределами поля прочитано (26,5)
5. Неправильное ограничение операций в пределах буфера памяти (23.73)
6. SQL-инъекция (20,69)
7. Предоставление конфиденциальной информации неавторизованному субъекту (19.16)
8. Использование после бесплатного использования (18,87)
9. Подделка межсайтовых запросов (CSRF) (17.29)
10. Внедрение команды ОС (16.44)

Инструменты безопасности приложений

Несмотря на то, что существует множество категорий программных продуктов для обеспечения безопасности приложений, суть дела связана с двумя: инструментами тестирования безопасности и продуктами защиты приложений .Первый — это более зрелый рынок с десятками известных поставщиков, некоторые из них — львы индустрии программного обеспечения, такие как IBM, CA и MicroFocus. Этих инструментов достаточно, чтобы Gartner создал свой магический квадрант и классифицировал их важность и успех. Такие сайты, как IT Central Station, также смогли провести опрос и ранжировать этих поставщиков.

Gartner делит инструменты тестирования безопасности на несколько обширных сегментов, и они в некоторой степени полезны для того, чтобы решить, что вам нужно для защиты портфеля приложений:

• Статическое тестирование , которое анализирует код в фиксированных точках во время его разработки.Это полезно для разработчиков, чтобы проверить свой код во время его написания, чтобы убедиться, что проблемы безопасности возникают во время разработки.
• Динамическое тестирование , которое анализирует работающий код. Это более полезно, поскольку может имитировать атаки на производственные системы и выявлять более сложные шаблоны атак, в которых используется комбинация систем.
• Интерактивное тестирование, , сочетающее в себе элементы статического и динамического тестирования.
• Тестирование мобильных устройств разработано специально для мобильных сред и позволяет изучить, как злоумышленник может полностью использовать мобильную ОС и приложения, работающие на них.

Еще один способ взглянуть на инструменты тестирования — это то, как они доставляются, либо через локальный инструмент, либо через службу подписки на основе SaaS, где вы отправляете свой код для онлайн-анализа. Некоторые даже делают и то, и другое.

Одно предостережение — это языки программирования, поддерживаемые каждым поставщиком тестирования. Некоторые ограничивают свои инструменты одним или двумя языками. (Java обычно — беспроигрышный вариант.) Другие более вовлечены во вселенную Microsoft .Net. То же самое и для интегрированных сред разработки (IDE): некоторые инструменты работают как плагины или расширения для этих IDE, поэтому для тестирования кода достаточно нажать кнопку.

Другая проблема заключается в том, изолирован ли какой-либо инструмент от других результатов тестирования или может ли он включить их в свой собственный анализ. IBM — одна из немногих компаний, которая может импортировать результаты ручной проверки кода, тестирования на проникновение, оценки уязвимостей и тестов конкурентов. Это может быть полезно, особенно если у вас есть несколько инструментов, которые нужно отслеживать.

Не будем забывать об инструментах защиты приложений. Основная цель этих инструментов — усилить защиту приложения, чтобы затруднить выполнение атак.Это менее обозначенная территория. Здесь вы найдете обширную коллекцию небольших точечных продуктов, которые во многих случаях имеют ограниченную историю и клиентскую базу. Эти продукты предназначены не только для тестирования уязвимостей, но и для активного предотвращения повреждения или взлома ваших приложений. Они включают в себя несколько различных широких категорий:

• Самозащита рабочего приложения (RASP): Эти инструменты можно рассматривать как комбинацию тестирования и экранирования. Они обеспечивают определенную защиту от возможных атак обратного проектирования.Инструменты RASP постоянно следят за поведением приложения, что особенно полезно в мобильных средах, когда приложения можно переписывать, запускать на рутированном телефоне или злоупотреблять привилегиями, чтобы заставить их делать гнусные вещи. Инструменты RASP могут отправлять предупреждения, завершать ошибочные процессы или завершать само приложение, если они обнаружены скомпрометированными.
  RASP, вероятно, станет стандартом по умолчанию во многих средах мобильной разработки и встроенным в другие инструменты защиты мобильных приложений. Ожидайте увидеть больше альянсов среди поставщиков программного обеспечения, у которых есть надежные решения RASP.
• Обфускация кода : Хакеры часто используют методы обфускации, чтобы скрыть свои вредоносные программы, и теперь инструменты позволяют разработчику делать это, чтобы защитить свой код от атак.
• Инструменты шифрования и защиты от взлома : Это другие методы, которые можно использовать, чтобы не дать злоумышленникам проникнуть в ваш код.
• Инструменты обнаружения угроз : Эти инструменты исследуют среду или сеть, в которой работают ваши приложения, и делают оценку потенциальных угроз и злоупотреблений доверительными отношениями.Некоторые инструменты могут предоставлять «отпечатки пальцев» устройства, чтобы определить, был ли мобильный телефон рутирован или иным образом взломан.

Проблемы безопасности приложений

Отчасти проблема заключается в том, что ИТ-специалистам приходится удовлетворять требования нескольких разных мастеров, чтобы защитить свои приложения. Сначала они должны идти в ногу с развивающимся рынком средств безопасности и разработки приложений, но это только отправная точка.

ИТ-отделам также необходимо предвидеть потребности бизнеса, поскольку все больше предприятий все глубже погружаются в цифровые продукты, а потребности их портфелей приложений развиваются в более сложную инфраструктуру.Они также должны понимать, как создаются и защищаются сервисы SaaS. Это было проблемой, поскольку недавний опрос 500 ИТ-менеджеров показал, что средний уровень знаний в области проектирования программного обеспечения отсутствует. В отчете говорится: «ИТ-директора могут оказаться в горячем положении с высшим руководством, поскольку они несут ответственность за снижение сложности, соблюдение бюджета и за то, как быстро они модернизируются, чтобы не отставать от бизнес-требований».

Наконец, ответственность за безопасность приложений может быть распределена между несколькими различными командами в рамках ваших ИТ-операций: сотрудники сети могут нести ответственность за запуск брандмауэров веб-приложений и других сетевых инструментов, специалисты по настольным компьютерам могут нести ответственность за работу конечных точек. ориентированные тесты, и различные группы разработчиков могут иметь другие проблемы.Из-за этого сложно предложить один инструмент, который удовлетворит потребности всех, поэтому рынок стал настолько фрагментированным.

Тенденции в области безопасности приложений

В январе 2019 года Imperva опубликовала свое состояние уязвимостей веб-приложений за 2018 год. В целом результаты были положительными. Хотя количество уязвимостей веб-приложений продолжает расти, этот рост замедляется.

Это связано, в первую очередь, со снижением уязвимостей Интернета вещей: в 2018 г. было зарегистрировано только 38 новых уязвимостей по сравнению со 112 в 2017 г.С другой стороны, количество уязвимостей API увеличилось на 24% в 2018 году, но менее чем вдвое по сравнению с темпом роста в 56% в 2017 году.

Еще одна область, в которой наблюдается больше уязвимостей, согласно отчету Imperva, — это системы управления контентом, в частности WordPress. . На этой платформе количество обнаруженных уязвимостей увеличилось на 30%.

В отчете отмечается, что система управления контентом Drupal, несмотря на то, что она гораздо менее популярна, чем WordPress, становится мишенью для злоумышленников из-за двух уязвимостей: Drupalgeddon2 (CVE-2018-7600) и Drupalgeddon3 (CVE-2018-7602).