Разведка угроз – основа безопасности компании. Она помогает найти правильные ответы на такие критически важные вопросы, как: определение приоритетных рисков, формирование адекватной стратегии ответа на информационные угрозы, оптимальные инвестиции в систему безопасности.
С каждым годом все больше организаций начинают активно интересоваться рисками, с которыми внезапно может столкнуться бизнес, и способами им противодействовать. Один из показателей такой активности – рост инвестиций в исследование информационных инцидентов и разведку угроз. Как продемонстрировал опрос, проведенный в США, в 2014 году в анализ рисков было вложено 904 миллиона долларов. Прогнозы утверждают, что к 2018 эта цифра вырастет до 1,4 миллиардов долларов.
Разведка угроз – это система координат, позволяющая выявить наиболее незащищенные участки периметра безопасности, определить основные векторы атаки и грамотно распределить ресурсы для предотвращения утечек данных. Ни для кого не секрет, что не все информационные риски одинаково опасны. Все индивидуально и зависит как от специфики структуры компании, так и от сектора экономики, в котором она находится. Соответственно, последствия утечки информации или хакерской атаки могут быть абсолютно разными. Основная задача разведки угроз – дать возможность компании всегда быть на шаг впереди возможных опасностей, укрепить периметр именно в том месте, где его с наибольшей вероятностью постараются преодолеть, и где нанесенный урон может иметь наиболее значительные последствия.
В фундаменте разведки лежит анализ, основными составляющими которого являются: исследование текущих информационных инцидентов по всему миру, анализ инструментов, с помощью которых можно проникнуть сквозь систему безопасности, выявление максимально ценной секретной информации, определение мотивов атакующих, и оценка предыдущих действий компании. Подобное исследование позволяет выявить наиболее ценные коммерческие данные, защиту которых необходимо обеспечить в первую очередь. А также позволяет сфокусировать человеческие и материальные ресурсы на наиболее важных сегментах периметра безопасности.
Первым этапом внедрения разведки угроз является всесторонняя оценка среды, в которой «обитает» компания. Бизнес не существует в вакууме, он плотно погружен в меняющуюся объективную реальность, постоянно появляются и модифицируются технологии обмена информацией, которые непосредственно влияют на процессы взаимодействия внутри организации. Соответственно, изменяются и возможные каналы утечки данных. Оценка СМИ и анализ последних случаев утечек данных или громких «взломов» дает возможность сформировать правильное представление о новых способах и каналах, с помощью которых злоумышленники могут получить доступ к секретной информации.
Как бы странно это не звучало, но из всех способов утечки данных, изученных за последнее десятилетие, актуальными являются не более 20%. 80% — морально устарели и не используются злоумышленниками или инсайдерами на сегодняшний день. Это говорит о том, что спектр потенциальных «дыр», через которые информация может покинуть стены организации, не такой уж большой, и их вполне реально «закрыть». При этом, расходы на систему безопасности вполне можно сократить, заранее выявив наиболее вероятные способы прорыва информационного периметра.
Самое слабое место в системе безопасности любой компании – большие объемы как внутренней, так и внешней информации. Выявить наиболее ценные данные внутри компании далеко не так просто, как кажется на первый взгляд. Ну а постоянно меняющиеся внешние риски могут сбить с толку кого угодно. В такой ситуации очень легко упустить из виду появление критически важной уязвимости или принять стратегически неверные решения, которые повлекут за собой масштабный урон. Финальный этап внедрения разведки угроз – создание четкого алгоритма действий для службы безопасности, а также каждого сотрудника организации в случае возникновения рисковой ситуации.
IT-отдел или служба безопасности должна уметь оценивать и фильтровать рисковые ситуации в зависимости от ранее расставленных приоритетов. Например, для некоторых организаций или отделов, переписка в социальных сетях или отправка личных писем может быть допустима и не требует принятия немедленных действий и санкций. При этом большие объемы скопированных данных увольняющимся сотрудником явно свидетельствуют о нарушении норм безопасности.
Понимание того, что невольным инсайдером или соучастником кражи данных, может стать каждый – критически важно для обеспечения надежной защиты. Персонал должен внимательно относиться к любой входящей и исходящей информации. А в случае возникновения рисковой ситуации, понимать какие действия нужно совершить и кого уведомить о случившемся. А главное – чего делать категорически нельзя. Как демонстрирует рост атак с использованием социальной инженерии и фишинга, очень часто целостность периметра безопасности ложится на плечи рядовых сотрудников компании.
