Sikkerhedsfagfolk foreslår løbende validering af kontroller, procesautomatisering og integration af sikkerheds- og it-teknologier.
Som ledelsesguruen Peter Drucker har sagt: ”Du kan ikke styre det, du ikke kan måle.” Det er bestemt sandt, når det kommer til sikkerhedshygiejne og -kultur. Organisationer skal vide, hvilke aktiver der implementeres på den eksterne/interne kontaktflade, forstå tilstanden af aktiverne her, identificere eksponeringer, prioritere afhjælpningshandlinger baseret på risiko og arbejde med it-operationer omkring løbende risikoreduktion.
Dette gøres mere udfordrende, da organisationens kontaktflade bliver større og mere kompleks hver dag, hvilket kræver nye krav til dataindsamling, behandling og analyse sammen med procesautomatisering. Desværre sker disse ændringer ikke rigtig – eller i det mindste ikke hurtigt nok. Sikkerhedsprofessionelle fortsætter med at nærme sig sikkerhedshygiejne og -kultur ved hjælp af punktværktøjer, samle data i statiske regneark, stole på manuelle processer og arbejde tilfældigt med deres kolleger i it-drift.
Mens forsvarere forvirrer sig igennem for at holde trit med kravene til sikkerhedshygiejne og -kultur, bruger hackerne automatiserede værktøjer og arbejdsdeling og udliciterer aspekter af angrebskampagner til specialister.
Dette er en alarmerende situation, men heldigvis anerkender sikkerhedsfagfolk alvoren. Ifølge ESG-forskning (Environmental, Social and Governance) planlægger 80% af organisationerne at øge udgifterne til sikkerhedshygiejne og kropsholdningsstyring i år.
Det er værd at bemærke, at ESG’s data blev indsamlet før Log4j-sårbarhederne og den russiske invasion af Ukraine, så det er meget sandsynligt, at de vil være endnu mere investering i sikkerhedshygiejne og -kultur.
Som en del af forskningsprojektet bad ESG også sikkerhedsfagfolk om at identificere handlinger, der mest kunne forbedre deres organisationers sikkerhedshygiejne og holdningsstyring. Her er de bedste svar:
- Udførelse af løbende validering af sikkerhedskontrol for at opdage huller i eksisterende sikkerhedsværktøjer (38 %). Dette er især værdifuldt, når organisationer kan evaluere deres sikkerhedsforsvar og -processer mod angribertaktikker, teknikker og procedurer (TTP’er) i kombination med rammer som MITRE ATT & CK. ESG ser stærk vækst i kontinuerlige testværktøjer (f.eks. AttackIQ, Cymulate, Randori, SafeBreach, XMCyber osv.) og interesse for skybaserede cyber-ranges (CloudRange, Cyberbit, Fifth Domain, SimSpace osv.) af netop denne grund.
- Automatisering af processer i forbindelse med sikkerhedshygiejne og holdningsstyring (36%). God tanke som sikkerhedshygiejne og kropsholdningsstyring afhænger af for mange mennesker, værktøjer og datakilder. Men før organisationer automatiserer sikkerhedshygiejne og holdningsstyringsprocesser, skal de sikre, at processerne selv er sunde. Husk Bill Gates berømte observation om, at “automatisering anvendt på en ineffektiv operation vil forstørre ineffektiviteten.” Med andre ord kan effektiv automatisering af sikkerhedshygiejne og kropsholdningsstyringsproces tage et stykke tid.
- Implementering af et dedikeret værktøj til styring af sikkerheds-/IT-aktiver, der kan interoperere og hente data fra andre eksisterende systemer (35 %). Tænk Axonius, Balbix, JupiterOne eller Sevco her. Sikkerhedsprofessionelle vil have ét sted at se og analysere ALLE aktivdata. Dette alene kan forbedre sikkerhedshygiejnen og effektiviteten af holdningsstyringen.
- Øget personale dedikeret til sikkerhedshygiejne og holdningsstyring (31%). Svært at gøre i betragtning af den globale mangel på cybersikkerhedsfærdigheder. Som et alternativ til flere ansættelser skaber førende CISO’er, jeg har talt med, et dedikeret budget til sikkerhedshygiejne og kropsholdningsstyring og arbejder sammen med deres CIO-kolleger for at forbedre samarbejdet mellem sikkerheds- og it-driftsteams.
- At tage en mere kontradiktorisk/ offensiv tilgang til cybersikkerhed, så vi kan tilpasse vores forsvar som modforanstaltninger til moderne angrebs-TPP’er (29%). Nogle gange omtalt som et ‘trusselsinformeret forsvar’, involverer dette operationalisering af MITRE ATT & CK-rammen, vedtagelse af kontinuerlig test, udvikling af ‘lilla team’ -kapaciteter osv. Dette vil naturligvis kræve uddannelse, skabelse af processer omkring kontinuerlig testning og investeringer i cybertrusselsefterretninger.
Disse og andre forslag fortjener overvejelse så hurtigt som muligt. Når alt kommer til alt, vil den voksende kontaktoverflade ikke beskytte sig selv.
Kilde: CSOonline