آیا زیر خط فقر امنیتی هستید؟ – شماره 8 2022 – انتشارات تکنیوز
با تنظیم صحنه با اخباری که دیگر واقعاً برای کسی خبری نیست (برخی آن را خستگی سایبری مینامند)، این شرکت خاطرنشان کرد که امروز سرفصلهای بیپایانی درباره نقضهای سایبری و پیامدهای ناشی از آن وجود دارد. همانطور که می توان انتظار داشت، برخی از دلایل اصلی باج افزار هستند، و همچنین حملات زنجیره تامین که در آن یک شرکت نقض می شود زیرا سیستم های آن به نوعی با سیستم های اشخاص ثالث در زنجیره تامین خود مرتبط یا یکپارچه شده اند.
جای تعجب نیست که خستگی MFA نیز در افزایش تعداد نقضها نقش دارد. احراز هویت چند عاملی (MFA) به عنوان راهی برای ایمن کردن دسترسی به سیستم ها با نیاز به یک اقدام امنیتی اضافی، مانند پین یکبار مصرف پیامک یا سایر فاکتورهای احراز هویت (مانند Google Authenticator)، یا درخواست دسترسی ارسال شده، تبلیغ می شود. از طریق یک برنامه شرکتی برای به دست آوردن دسترسی.
سیسکو در اواخر سال 2022 یک میزگرد رسانه ای برای منطقه EMEA برگزار کرد که در آن وندی ناتر، رئیس CISO های مشاور در سیسکو، در مورد وضعیت امنیت سایبری، به ویژه با تمرکز بر خط فقر امنیتی (SPL)، که به عنوان خط زیر تعریف می شود، صحبت کرد. که یک سازمان نمی تواند به طور موثر از خود محافظت کند.
البته، فرهنگ شرکت در اینجا نقش مهمی ایفا می کند، به عنوان مثال در صنعت مهمان نوازی – برهم زدن تجربه مهمان (شاید با MFA) قابل قبول نخواهد بود. بنابراین امنیت باید این عوامل را در نظر بگیرد و بین کسب و کار و امنیت تعادل ایجاد کند. این به استدلال های ذکر شده در بالا در مورد ایمنی در مقابل امنیت و حریم خصوصی در مقابل امنیت مربوط می شود. او خاطرنشان می کند که شکست سریع خوب است و حتی در برخی صنایع ضروری است، اما نه زمانی که در هواپیمای 10 کیلومتری در هوا هستید. به طور مشابه، آیا میخواهید بیمار باشید که روی یک گارنی با حفظ حریم خصوصی خود میمیرد؟
منبع: https://www.securitysa.com/18138R
جای تعجب نیست که مفهوم «خستگی سایبری» در حال تبدیل شدن به بخشی از زبان روزمره است. این ما را به SPL می رساند.
[2] مطالعه نتایج امنیتی سیسکو، جلد. 2: www.securitysa.com/*cisco4، به
وام)
از دیگر موارد قابل توجه گستره ای از کتابخانه های نرم افزاری بود که توسعه دهندگان این روزها به آنها دسترسی دارند. نمونههای سادهای از خطرات این موضوع در کتابخانههای پایتون و جاوا اسکریپت مشاهده شده است که فقط دو مورد را نام میبریم. این امر نیاز به یک لایحه مواد نرم افزاری (SBOM) را برجسته می کند، که ویکی پدیا می گوید: “موجودی اجزای مورد استفاده برای ساختن یک مصنوع نرم افزاری مانند یک برنامه نرم افزاری را اعلام می کند.” به عبارت دیگر، این یک رکورد رسمی از اجزای یک محصول نرم افزاری و همچنین “رابطه زنجیره تامین” آنها است.
خط فقر امنیتی
وندی ناتر.
تجربه و تخصص: همه ما فشار ناشی از تلاش برای یافتن مهارتهای امنیت سایبری خوب را شنیدهایم یا احساس کردهایم. برخی پیشبینیها میگویند که تا پایان سال آینده یا زودتر، کمبود افراد ماهر برای پر کردن حدود 3 میلیون شغل وجود خواهد داشت. مشکل این است که حتی برای شرکتهایی که میدانند به چه امنیت ضروری نیاز دارند، فقدان مهارت ممکن است نصب و استفاده مؤثر از آن را مختل کند. باز هم، این نیز به هزینه راه حل ها و مهارت ها مربوط می شود. این در مورد آموزش آگاهی نیست، بلکه دانش عمیقتر مورد نیاز است تا سیستمها مطابق با نیاز عمل کنند.
حتی هنگام استفاده از نرمافزار متنباز، که اکثر سرورهای ابری جهان را اجرا میکند، ممکن است نرمافزار واقعی برای دانلود و استفاده رایگان باشد، اما برنامههای کاربردی در سطح سازمانی به افرادی نیاز دارند که آنها را اجرا کنند، بنابراین واقعاً «رایگان» نیست. هزینه و تلاش برای نگهداری آن (از جمله نگهداری امنیتی) عاملی است که باید در نظر گرفته شود.
نفوذ: مشتریان بزرگ با پول تمام توجه را به خود جلب می کنند و درخواست های آنها برای ویژگی های جدید یا قوانین جدید به سرعت برآورده می شود. نه خیلی بچه های کوچک، و این باید تغییر کند.
جاش فرولینگر در حال نوشتن برای CSO آنلاین توضیح می دهد: «دوران کدهای نرمافزاری اختصاصی و یکپارچه مدتهاست که به پایان رسیده است. برنامه های مدرن اغلب بر روی استفاده مجدد از کدهای گسترده ساخته می شوند که اغلب از کتابخانه های منبع باز استفاده می کنند. این برنامهها همچنین بهطور فزایندهای به اجزای عملکردی کوچکتر و مستقل به نام کانتینر تقسیم میشوند که توسط پلتفرمهای ارکستراسیون کانتینر مانند Kubernetes مدیریت میشوند و به صورت محلی یا در فضای ابری اجرا میشوند.
2. تخصص.
چهار عامل اصلی در ایجاد SPL وجود دارد:
سیسکو به عنوان نقطه شروعی برای شرکت هایی که به دنبال افزایش رتبه SPL خود هستند، آخرین مطالعه نتایج امنیتی خود را منتشر کرد. [2]، به دنبال “کشف 5 روش برتر امنیتی و نحوه بهینه سازی آنها” – و خیلی چیزهای دیگر است. ارزش خوندن رو داره
ناتر خاطرنشان می کند که SPL به نوعی از شکست اخلاقی از سوی سازمان هایی که با امنیت دست و پنجه نرم می کنند اشاره نمی کند، بلکه مفهوم «فقر» بیشتر پویایی های امنیتی سازمان را توصیف می کند. همانطور که در بالا ذکر شد، این خطی است که زیر آن یک سازمان دیگر نمی تواند از خود محافظت کند.
3. قابلیت.
نسخه چاپگر پسند
آیا زیر خط فقر امنیتی هستید؟
شماره 8 2022 انتخاب سردبیر
گفته می شود، امنیت همیشه برای سازمان ها، چه امنیت سایبری و چه امنیت فیزیکی، یک مشکل است. تصمیمات زیادی در مورد سیستم هایی که باید استفاده کرد، درک وضعیت (یا وضعیت) سایبری سازمان، دانستن اینکه چه چیزی به چه چیزی و چه کسی متصل است، چه برنامه هایی در حال استفاده هستند و کدام باید استفاده شوند، داده های شما در کجا هستند، وجود دارد. و بسیاری سوالات دیگر امنیت به معنای ارائه راهحلی است که بتواند با پاسخ به آن سؤالات مقابله کند (یا شرکت را برای سادهتر کردن پاسخها تغییر دهد، مانند کنترل دقیقتر دادهها) و باور نکردن هر گلوله نقرهای که آخرین تبلیغات فروش ارائه میدهد.
1. پول.
احتمالاً سختترین عامل از میان چهار عامل، تأثیر شامل ایجاد توازن بین آنهایی است که تأثیر بیشتری دارند (بزرگترین/بلندترین) و بقیه جامعه امنیتی و تجاری، در حالی که «امنیت سایبری عظیم چندجانبه، فرامرزی، نظامی/مدنی» را نیز مورد توجه قرار میدهد. مشکل سیاست.»
آنچه مورد نیاز است یک دفاع چند لایه است که مانع از تأثیر شکست یک کاربر بر کل سازمان شود. این تعریف ساده شده Zero Trust است: شما به یک کاربر خاص برای دسترسی و استفاده از داده های خاص برای یک زمان خاص اعتماد دارید، تمام.
قابلیت: وقتی صحبت از قابلیتها به میان میآید، Nather شیوههای بهروزرسانی و ادغام فناوری بهتر و همچنین انتقال عملکردهای تجاری غیر اصلی به ابر را توصیه میکند. او همچنین میخواهد «معماریهای مرجع امنیتی خاص عمودی» بیشتری ببیند، نه فهرستهای چک.
همانطور که مشاهده می شود، بسیاری از شرکت هایی که فکر می کنند اقدامات لازم را برای آمادگی سایبری انجام داده اند، نه به دلیل عدم تلاش، بلکه به دلیل پیچیدگی چشم انداز امنیت سایبری، خود را زیر SPL می بینند. ترسناک تر این است که بسیار محتمل است که فقط تیم امنیتی بدانند که آیا شرکت زیر SPL است، مگر اینکه به مدیریت اطلاع دهند – و چه کسی این خطر را می پذیرد؟
به طور کلی، این تغییرات برای توسعه نرمافزار موهبتی بوده است و مطمئناً بهرهوری توسعهدهندگان را افزایش داده و هزینهها را کاهش داده است. اما از بسیاری جهات آنها یک کابوس برای امنیت بوده اند. توسعهدهندگان با تکیه بر کدهای شخص ثالث که ممکن است به طور کامل با کارکردهای داخلی آن آشنا نباشند، زنجیرهای از اجزای نرمافزاری را ایجاد کردهاند که پیچیدهتر از اجزای سازندههای فیزیکی هستند. و از آنجایی که یک برنامه کاربردی به اندازه کمایمنترین مؤلفه آن امن است، نرمافزار ساخته شده به این روش دارای آسیبپذیریهای منحصربهفردی است که صنعت عمیقاً با آن دست و پنجه نرم میکند.» [1]
برای احتیاط در صورت مرتکب اشتباه خود یا راننده دیگری در وسایل نقلیه کمربند ایمنی را می بندیم، البته در بیشتر مواقع نیازی به آن نیست. با این حال، در صورت نیاز، عواقب نپوشیدن آن می تواند شدید باشد. بنابراین، سازمانها باید کمربند ایمنی Zero Trust را نیز ببندند تا مطمئن شوند سیستمهایشان از اشتباهات کاربران (یا فعالیتهای مخرب) ایمن است. سرزنش کردن کاربر همیشه گزینه خوبی برای محافظت از مشاغل تیم های سایبری است، اما در درازمدت واقعاً هیچ فایده ای ندارد. در بهترین حالت، همه به مدت یک هفته یا یک ماه قبل از شروع دوباره «کسب و کار طبق معمول» در حالت آماده باش خواهند بود.
در حالی که MFA به کاهش تعداد نقضهای ناشی از حدس زدن یا سرقت رمز عبور کمک میکند، درخواستهای مداوم برای احراز هویت در طول زمان منجر به «خستگی MFA» میشود که کاربران را در تلاش برای یافتن راهی هوشمندانه برای جلوگیری از آن یا صرفاً موافقت میکند. همه و همه درخواست ها، همانطور که در سال 2022 برای Uber و دیگرانی که فکر می کردند توسط وزارت امور خارجه محافظت می شوند، اتفاق افتاد.
نوشته اندرو سلدون
بستن کمربند ایمنی Zero Trust
واقعیت این است که حتی شرکتهای بزرگ راهحلهای امنیتی زیادی دارند (کمتر از ۴ تا ۳۱ مورد) و بودجههای امنیتی اغلب میتوانند تا چهار برابر کاهش یابند (یعنی خیلی کم) و هنوز هیچ تضمینی برای شما وجود ندارد. نقض نخواهد شد علاوه بر آن، میتوانید «چیزهای کوچک» مانند فرهنگ شرکت و بحثهای بیپایان ایمنی در مقابل امنیت و حریم خصوصی در مقابل امنیت را وارد کنید تا مسائل را حتی بیشتر پیچیدهتر کنید.
پول: مشکل پول هر شرکتی به این موضوع اشاره دارد که آیا سازمان قادر به تهیه ابزار و افراد مناسب برای محافظت موثر از خود است؟ این موضوع همچنین سوالاتی را در مورد ماهیت جهانی امنیت سایبری ایجاد می کند. برای مثال، آیا برخی از زیرساختها یا کنترلهای اساسی امنیت سایبری باید بهعنوان یک سرویس یارانهای ارائه شوند، زیرا به ندرت اتفاق میافتد که یک نقض فقط بر یک شرکت تأثیر بگذارد؟ علاوه بر این، چه امنیتی باید «ساختشده» باشد و بنابراین بدون هزینه اضافی در دسترس باشد؟
Nather پیشنهاد میکند که محصولات امنیت سایبری به گونهای طراحی شوند که به «تخصص امنیتی مخفیانه» کمتری نیاز داشته باشند، و صنعت باید بیشتر از همه مسیرهای ورود به صنعت حمایت کند. به طور انتقادی، او همچنین توصیه میکند که «تمرکز تخصص مبتنی بر بازار در فروشندگانی که میتوانند برای استعدادها پیشی بگیرند» متوقف شود.
بهترین جمله از Nather در این رویداد این بود: “امنیت باید به راحتی استفاده از یک قاشق باشد.” یادگیری استفاده از قاشق آسان است و مهم نیست که کجا می روید، می دانید چگونه از قاشق بدون “آموزش آگاهی از قاشق” استفاده کنید.
امنیت سایبری چیزی است که صنعت به عنوان یک کل باید به آن توجه کند، نه صرفاً با انگیزه سود بلکه به عنوان یک پروژه پایدار، زیرا کسانی که مرتکب جرایم سایبری می شوند، از نظر اینکه چه کسی از تأثیر جنایات خود متحمل می شود، هیچ ابهامی ندارند. و این صرفاً یک موضوع صنعتی نیست – دولتها باید با بخش خصوصی همکاری کنند (و بالعکس) در ایجاد قابلیتها و امکانات پایهای که به کسانی که قادر به خرید جدیدترین و بهترین محصولات و افراد ماهر نیستند اجازه میدهد تا در حداقل شانس محافظت از خود را دارند.