[Перевод] Проактивный подход – рецепт по управлению киберрисками
Как компаниям противостоять растущим киберугрозам
Бизнес все больше зависит от цифровых технологий, а вместе с этим растет и поток киберугроз. Хотя методы атак эволюционируют, их суть остается прежней, меняясь лишь в деталях. Для команд безопасности (Supplier Relationship Management, SRM) задача не сводится лишь к устранению рисков — важно правильно расставлять приоритеты, особенно в условиях ограниченных ресурсов. Эксперты Gartner подчеркивают: пассивная защита больше неэффективна, необходим проактивный подход.
Отработка новых угроз безопасности
Как приоритезировать риски, управлять ими и минимизировать киберугрозы
Организации постоянно сталкиваются с новыми киберугрозами, но самые опасные из них давно известны: фишинговые атаки, уязвимости в программном обеспечении и утечки данных.
Три способа эффективного управления киберрисками с учетом потребностей бизнеса
Командам по безопасности и управлению рисками (SRM) часто мешают работать нехватка ресурсов, несогласованность действий и неэффективные инструменты. Однако подход, основанный на оценке рисков, помогает справиться с этими проблемами.
Он позволяет SRM-командам:
согласовывать меры безопасности с бизнес-задачами и ожиданиями руководства;
оптимизировать процессы и использовать ресурсы более эффективно;
расставлять приоритеты, чтобы быстрее реагировать на инциденты.
Эффективная отработка наиболее вероятных киберугроз
Из-за роста онлайн-активности и постоянных изменений в технологиях увеличиваются риски кибератак. Чтобы защитить цифровые активы, в обязанность ИБ-директора входит отслеживание этих изменений и оперативное реагирование.
Для большей эффективности отслеживание может строиться по следующему алгоритму.
1. Приоритезация угроз.
2. Выделение:
— основных угроз;
— развивающихся угроз;
— неопределенных угроз.
3. Переход от выявления угроз к непрерывному управлению ими (концепция CTEM — Continuous Threat Exposure Management).
Приоритезация угроз
Как определить самые опасные киберугрозы и сосредоточить ресурсы на них
-ИБ-отделы никогда не могли закрыть все возможные уязвимости, а с цифровой трансформацией, облачными технологиями и гибридным форматом работы риски только выросли. Поэтому руководителям SRM-команд важно сфокусироваться на угрозах, которые с наибольшей вероятностью реализуются и нанесут серьезный ущерб.
Такие угрозы можно разделить на три группы:
Основные — знакомые всем угрозы, которые остаются актуальными, потому что атакующие меняют тактику.
Развивающиеся — угрозы, которые набирают силу, но пока известны меньше, чем основные.
Неопределенные — малоизученные риски, которые могут оказаться как критически важными, так и переоцененными.
Чтобы решить, стоит ли вкладываться в защиту от конкретной угрозы, SRM-команды должны учитывать несколько факторов:
Релевантность: может ли угроза нарушить работу компании?
Срочность: как сильно она повлияет на операционные процессы?
Зрелость: есть ли у команды готовый план реагирования?
Стоимость: что окажется дороже — защита или устранение последствий?
Измеримость: можно ли доказать бизнесу пользу от инвестиций в кибербезопасность?
Для эффективного управления рисками важно анализировать прошлые инциденты, выявлять закономерности и учитывать изменения в бизнесе. Это поможет правильно расставить приоритеты: определить, какие меры защиты нужно усилить, какие стоит развивать, а от каких инвестиций лучше отказаться.
При этом важно закладывать резерв на неожиданные угрозы — новые риски могут резко изменить ситуацию.
1. Основные угрозы
Известные риски, которые остаются актуальными благодаря постоянной эволюции атак
Последние десять лет самые разрушительные кибератаки остаются неизменными: вредоносное ПО, фишинг и кража учетных данных. Однако убедить руководство инвестировать в защиту от этих угроз непросто — многие считают, что риски уже под контролем.
Задача SRM-команд — объяснить, что угрозы не исчезают, а лишь трансформируются. Незначительные, на первый взгляд, изменения в тактике атак могут привести к серьезным последствиям.
Вредоносное ПО и программы-вымогатели
Модель «вымогатель как услуга» (RaaS) дает злоумышленникам доступ к готовым инструментам для атак. Даже если государственные органы блокируют крупные инфраструктуры вредоносных программ, киберпреступники быстро находят новые способы воздействовать на компании.
Сегодня они используют не только шифрование данных, но и:
— Полное уничтожение информации, делая ее восстановление невозможным.
— Выведение оборудования из строя, что ведет к дополнительным финансовым потерям.
— Кражу и анализ данных, чтобы оказывать давление на жертву.
С ужесточением стандартов кибербезопасности риски от таких атак только растут. При этом полисы киберстрахования не всегда способны покрыть все убытки.
Развитие тактики фишинга
Фишинговые атаки давно вышли за пределы электронной почты. Сегодня злоумышленники используют:
Платформы для совместной работы (корпоративные мессенджеры и сервисы).
Социальные сети и SMS («смишинг»).
Голосовые сообщения («вишинг»).
QR-коды, подменяя ссылки и формы ввода данных.
Фишинг часто становится отправной точкой для серьезных инцидентов: утечек данных, кражи учетных записей, финансовых потерь и репутационного ущерба. Методы атак постоянно совершенствуются:
— Контент адаптируется под конкретные цели.
— Автоматизация ускоряет атаки и делает их массовыми.
— Социальная инженерия делает обман все более убедительным.
Фишинг остается одной из главных причин утечек данных, а его новые формы усложняют защиту и делают атаки менее заметными.
Злоупотребление учетными данными
Один из самых распространенных типов атак — когда злоумышленник выдает себя за сотрудника, используя украденные логины и пароли или перехватывая активный сеанс. По данным ежегодных отчетов Verizon, такие атаки чаще всего связаны с компрометацией учетных данных.
Хотя киберпреступники уже научились обходить многофакторную аутентификацию, она остается одним из самых эффективных средств защиты, особенно если применять ее современные варианты.
2. Развивающиеся угрозы
О них пока говорят мало, но игнорировать их нельзя
Развивающиеся угрозы представляют высокий риск для бизнеса, однако чаще всего о них узнают только после первых жертв в отрасли. Чтобы не оказаться в их числе, SRM-командам важно понимать, какие активы компании наиболее уязвимы.
Захват учетной записи клиента
Злоумышленники входят в систему от имени клиента, получая доступ к платежным данным, криптокошелькам или программам лояльности. Особенно часто такие атаки нацелены на финансовый сектор и e-commerce.
Сейчас мошенники все чаще используют методы социальной инженерии. Вместо кражи пароля они убеждают жертву самостоятельно перевести деньги (авторизованный push-платеж, APP). Выявить такие атаки сложно, поскольку клиенты сами авторизуются в своих аккаунтах.
Другой метод — поддельные сайты, соцсети и мобильные приложения известных B2C-компаний для распространения вредоносного контента.
Риски облачных сервисов
Облака продолжают набирать популярность, но и атаки на них растут. Главная проблема — ошибки в настройке, которые делают инфраструктуру уязвимой.
При этом массовые сбои у крупных облачных провайдеров случаются редко. Многие компании выбирают облачные решения именно из-за их надежности и доступности, но человеческий фактор остается слабым звеном.
Злоупотребление API
Злоумышленники могут использовать API (Application Programming Interface) не по назначению, эксплуатируя технические уязвимости или слабые места бизнес-логики, чтобы добыть данные. Среди популярных методов атак — массовое извлечение информации и подбор учетных данных.
Хотя рекомендации по защите API уже включены в программы безопасности, большинство компаний еще не проработали эту проблему в полной мере. Ситуацию усугубляет быстрый рост API-трафика, за которым службы безопасности просто не успевают. А ведь API — это теперь ключевой канал доступа к данным и функционалу корпоративных систем.
Целевые атаки на киберфизические системы
Киберфизические системы (КФС) — это IoT, IIoT, роботы и другие интеллектуальные устройства, взаимодействующие с физическим миром. Они подключаются к корпоративным системам и друг к другу, расширяя поверхность атаки и создавая угрозы не только для данных, но и для безопасности людей и окружающей среды.
Раньше такие атаки были под силу только структурам, которые обладали очень значительными ресурсами и техническими знаниями. Но теперь этим стали достаточно активно заниматься и хакерские группировки, специализирующиеся на вымогательском ПО. Они становятся все изобретательнее: разрабатывают инструменты для обхода обнаружения и выпускают все более разрушительное вредоносное ПО, которое эволюционирует стремительными темпами.
3. Неопределенные угрозы
Как разобраться, стоит ли их бояться
Неопределенные угрозы — это те, о которых говорят много, но толком ничего не ясно. У них нет четкой доказательной базы, но они могут привлекать внимание, меняться каждый год и вызывать больше паники, чем реальной опасности.
Неопределенные угрозы делятся на четыре типа:
— Зарождающиеся. Связаны с технологиями, которые еще не используются массово. В большинстве случаев они пока не страшны.
— Нашумевшие. О них говорят из-за громких инцидентов, но в реальности они часто преувеличены. Они могут представлять опасность, но чаще лишь отвлекают руководителей ИБ-подразделений от основной работы. Хороший пример — атаки на основе ChatGPT в начале 2023 года.
— Возникающие. Связаны с новыми технологиями, которые уже начали применять, но на них еще нет отработанных мер защиты.
— Скрытые. У скрытых угроз есть общая черта: большинство организаций их не замечает, потому что считает, что злоумышленники найдут более легкие цели для эксплуатации.
Примеры неопределенных угроз:
Злоумышленники, использующие ИИ
Искусственный интеллект помогает не только компаниям, но и хакерам. Они используют его для взлома паролей, обхода систем защиты и создания более убедительного фишинга. Однако пока таких атак немного, и реальные примеры
появляются в основном на форумах, которые посещают сами злоумышленники.
Тем не менее, киберпреступники уже используют ИИ для различных атак. Среди наиболее опасных методов:
— социальная инженерия с использованием фейкового видео- и аудиоконтента;
— фишинг с рассылкой писем, сгенерированных ИИ, которые сложно отличить от настоящих;
— автоматизация создания вредоносного ПО, ускоряющая разработку вирусов и повышающая их незаметность;
— обход систем безопасности: машинное обучение помогает адаптировать вредоносное ПО под защитные механизмы или обмануть системы распознавания изображений;
— взлом паролей с помощью ИИ, который подбирает комбинации быстрее и точнее, чем традиционные методы.
Атаки на ИИ
Модели искусственного интеллекта тоже можно атаковать — например, подменяя данные, на которых они обучаются, или манипулируя их выводами. На сегодняшний день защита моделей ИИ оставляет желать лучшего.
Нетехнологические угрозы
Не все кибератаки связаны с использованием кода, над которым у организации нет автоматизированного контроля. Иногда источником киберпроблем могут стать сотрудники компании.
К таким типам угроз относятся:
— Прямые внутренние угрозы, исходящие от злонамеренных сотрудников. Получив деньги от хакеров, сотрудник может запустить вирус-вымогатель, используя свои учетные данные; или сотрудник может сам попытаться украсть информацию или коммерческие секреты.
— Косвенные внутренние угрозы: случайно отправленный доступ, утечка данных или неправильная настройка корпоративной системы.
— Дезинформация, выложенная в открытом доступе (например, в социальных сетях), чтобы нанести ущерб репутации компании или манипулировать рынками.
— Ошибки пользователя, приводящие к сбою системы и потере или утечке данных.
От выявления угроз к непрерывному управлению ими (концепция CTEM)
Переход от управления уязвимостями к непрерывному управлению рисками
Защита от киберугроз — это не просто выбор приоритетных рисков, а управление всей атакуемой поверхностью, включая локальную и облачную инфраструктуру. По прогнозам экспертов Gartner, к 2026 году более половины корпоративной ИТ-инфраструктуры будет уязвимой для атак, которые невозможно предотвратить обычными патчами безопасности. Традиционные методы управления уязвимостями уже не справляются с этой реальностью.
Поэтому все больше SRM-команд переходят на непрерывное управление угрозами (Continuous Threat Exposure Management, CTEM). Это системный, итеративный подход, который позволяет постоянно адаптировать защитные механизмы и эффективно расставлять приоритеты. Главное его преимущество — создание понятного и выполнимого плана защиты, который поддерживают и топ-менеджеры, и архитекторы безопасности.
Программа CTEM состоит из пяти основных этапов:
Определение области применения
Поверхность атаки — это не только устройства, приложения и программы, но и менее очевидные активы: корпоративные соцсети, репозитории кода, интеграции с партнерами.
Прежде чем внедрять CTEM, важно понять, какие риски действительно критичны для бизнеса и на что обращают внимание другие топ-менеджеры. Для этого можно рассмотреть:
— Поверхность атаки в случае внешнего вторжения;
— Состояние безопасности SaaS;
— Защиту от цифровых рисков;
— Источники в дипнете и даркнете для выявления потенциальных угроз для критически важных активов.
Обнаружение
Прежде чем анализировать угрозы, важно определить область их распространения, включая все активы и их профиль риска. При этом необходимо учитывать не только киберугрозы, но и другие потенциальные факторы уязвимости:
ошибки в настройках систем безопасности;
поддельные активы;
компрометацию сотрудников, не распознавших тестовые фишинговые сообщения.
Без комплексного анализа этих факторов невозможно получить полную картину киберрисков.
Приоритизация
Процесс обнаружения часто выявляет уязвимости, которые выходят за рамки первоначального фокуса. Чтобы не распылять ресурсы, важно выделить действительно критичные угрозы.
При расстановке приоритетов в рамках CTEM учитываются:
срочность — насколько быстро угроза может реализоваться;
критичность — насколько серьезные последствия она может иметь;
возможность устранения — насколько реально устранить уязвимость в разумные сроки;
общий уровень риска — как угроза влияет на бизнес.
Системный подход к приоритизации позволяет сфокусироваться на действительно важных уязвимостях и эффективно распределять ресурсы безопасности.
Проверка
На этом этапе с помощью контролируемой симуляции или эмуляции атаки анализируют, как злоумышленники могут воспользоваться уязвимостями. Проверку можно проводить вручную — силами экспертов, имитирующих реальные атаки («red team») или через тестирование на проникновение, либо автоматически, используя системы имитации атак. В рамках CTEM также оценивается эффективность предложенных мер защиты и их реалистичность с точки зрения внедрения в организации.
Мобилизация
Автоматизировать защиту полностью невозможно: не существует универсального инструмента для предотвращения атак, а окончательное решение о действиях принимают не только специалисты по безопасности, но и подразделения, на которые угроза повлияла. Цель этапа мобилизации — ускорить процесс согласования и внедрения мер защиты. Для этого организация должна эффективную коммуникацию и задокументировать кросс-функциональные процессы согласования.
До конца 2025 года руководители ИБ-подразделений, успешно реализующие этап кросс-функциональной мобилизации в рамках CTEM, смогут повысить эффективность защиты на 50% по сравнению с теми, кто делает ставку исключительно на автоматизацию.
Вывод
Для эффективного управления рисками в условиях роста киберугроз организациям нужно внедрить проактивный подход, ориентированный на своевременную расстановку угроз по степени важности и критичности. С цифровой трансформацией, облачными технологиями и гибридной работой риски значительно увеличиваются. Поэтому SRM-командам важно не только оперативно реагировать на инциденты, но и заранее планировать защиту, используя концепцию непрерывного управления угрозами (CTEM). Этот подход позволяет создавать гибкие и адаптируемые системы безопасности, что особенно важно при постоянных изменениях в киберугрозах.
Habrahabr.ru прочитано 6388 раз
