Согласно исследованию, опубликованному в прошлом месяце, на меры по защите от киберпреступности в этом году было потрачено на 19% больше, чем в 2014. А по сравнению с 2009 годом расходы компаний на системы интернет-безопасности выросли в среднем на 82%. И на этом рост не остановится.
Финансируемые государствами хакерские атаки на корпоративные сети участились, а применяемые киберпреступниками схемы и технологии значительно усложнились. Недавнее расследование случаев атак на JPMorgan выявило хорошо развитую и скоординированную международную сеть киберпреступности, которая способна выкачивать миллионы долларов. Организовать кибератаку сегодня стало проще и дешевле. Мишенью для хакерского взлома могут стать даже детские игрушки, что дает злоумышленникам доступ к персональной информации миллионов семей с детьми.
В результате технологические компании вынуждены постоянно быть начеку. Недавний опрос, проведенный институтом Ponemon, показал, что большинство современных информационных угроз устраняются в течение 98-197 дней с момента обнаружения. Этого времени более чем достаточно, чтобы проникнуть в систему и нанести значительный ущерб. Более того, многие факты хакерских атак и вовсе не раскрываются годами.
Добавьте к этому данные, недавно обнародованные в издании SC Magazine, согласно которым в США от 300 тысяч до 1 миллиона вакансий в сфере кибербезопасности остаются невостребованными. Точнее, в стране просто нет такого количества специалистов, чтобы полностью обеспечить информационную защиту компаний.
Чтобы залатать все дыры в корпоративной системе безопасности, уже недостаточно просто использовать правильные технологические решения. Ниже приведены 4 главных принципа построения надежной интернет-защиты.
-
Никому не доверять
Охрана корпоративных границ требует применения решений, которые позволяют активно следить за всем происходящим даже в тех секторах cети, которые считаются надежными. Google и другие компании уже работают над созданием протоколов безопасности по принципу «нулевого доверия», в основе которых лежит априорное предположение, что все пользователи и все устройства, использующие корпоративную сеть, не заслуживают доверия.
Впрочем, по той же логике нельзя доверять и Google. Ведь хотя у поставщиков облачных сервисов и есть хорошие базовые средства защиты, у них остаются слабые места, из-за которых данные пользователей подвергаются опасности. И ответственность за безопасность клиенты разделяют с поставщиками облачных услуг. Например, если IT-отдел компании не проявит должную бдительность, то уволенный сотрудник может продолжать иметь доступ к общим документам в Google или к данным на Salesforce. И либо сам уволенный сотрудник, либо хакеры могут легко воспользоваться таким недосмотром и нелегально проникнуть в корпоративную сеть.
Компании несут ответственность за собственную безопасность, даже если (особенно если) они применяют облачные сервисы. Среди компаний, предлагающих решения по обеспечению дополнительной безопасности облачных сервисов, можно назвать FireLayers, Adallom (недавно приобретен Microsoft), Netskope, Skyhigh Networks, Elastica (недавно приобретен Blue Coat), CipherCloud и BitGlass.
-
Хранить меньше данных
Компании должны хранить как можно меньше персональных данных клиентов. Например, если нужно провести платежную транзакцию, лучше пользоваться сервисами вроде PayPal, которые не хранят данных банковских карт клиентов. Таким образом, забота о защите данных клиентов ляжет на PayPal, а не на IT-отдел компании. Конечно, кроме PayPal есть другие подобные сервисы с таким же набором услуг: Google Wallet, Dwolla, Stripe и т. д.
Если же компания не может обойтись без хранения уязвимых данных на своих серверах, нужно позаботиться о дополнительных мерах защиты. Например, все конфиденциальные сведения можно зашифровать. При этом нужно постоянно обновлять соответствующие средства идентификации и доступа. Кроме того, следует следить за поведением пользователей, из чего вытекает следующий принцип.
-
Быстро реагировать
Компании могут реагировать гораздо быстрее за счет использования автоматизации. Мы считаем, что правила безопасности на основе автоматизации могут закрыть до 80% текущих хакерских вторжений, в то время как высокооплачиваемые специалисты могут сосредоточиться на более сложных случаях и не тратить свое время и силы на ложные срабатывания и устранение рутинных проблем. Таким образом, автоматизация повышает производительность труда специалистов по безопасности. Среди поставщиков систем автоматизации можно назвать компании Hexadite, Resilient Systems, Invotas, Swimlane, Bit9 + Carbon Black, Access Data, и Guidance Software.
-
Задействовать руководство
Ни один из этих принципов неосуществим без прямого участия высшего руководства компании. Если топ-менеджмент компании не ставит интернет-безопасность в число своих приоритетов, то проблемы в этой части так и останутся не решенными. В конце концов, это может привести к непоправимым последствиям, в чем все мы могли убедиться на примере компаний Target, JPMorgan и Sony Pictures.
О том, что многие топ-менеджеры сегодня лично обеспокоены проблемами киберзащиты, говорит и быстрый рост рынка страхования кибербезопасности. Еще несколько лет назад этот рынок только зарождался, а уже к 2020 году, по прогнозам консалтинговой фирмы PwC, его объем достигнет $7.5 млн.
Несмотря на растущие угрозы и вызовы, можно назвать множество компаний, которые обеспечивают своим клиентам и партнерам достойный уровень киберзащиты. Среди них — Box, Cadence Design Systems, Netflix, Graham Holdings, Morgan Stanley и PayPal. Их пример доказывает, что построение сильной системы безопасности — задача трудная, но выполнимая. Если начать работу сейчас, то в будущем можно избежать серьезных проблем.
Об авторах: Йоав Ляйтерсдорф и Офер Шрайбер — партнеры компании YL Ventures, которая занимается ранним финансированием стартапов в сфере кибербезопасности, облачных вычислений, больших данных и SaaS.
Читайте по теме:
Защита от хакеров может стоить мировой экономике $120 трлн к 20305 советов по безопасности для создателей интернета вещей
Умная Барби может угрожать безопасности ребенка
Я отключил JavaScript на неделю, и это было славно
Хакеры впервые удаленно взломали iPhone с iOS 9
Как обезопасить интернет вещей?
Видео по теме:
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025