Во время посещения выставки Infosec Europe я обнаружил множество компаний, которые занимаются обеспечением безопасности. Эти компании, которые я обнаружил, занимаются безопасностью, пока дела идут в гору. Некоторые из этих компаний хорошо укомплектованы высококвалифицированными специалистами и работают в правильном направлении. Другие же нет, и они лишь стригут деньги за консультации, т.к. оказались в нужном месте и в нужное время. Консенсус заключается в том, что обычно те компании, которые снимают сливки на рынке безопасности, объединяются в антивирусные компании, которые затем становятся предметом потребления.
Причина, по которой я говорю вам об этом, заключается в том, что вы должны знать о таких вещах при выборе поставщика услуг по безопасности, с которым вы собираетесь иметь дело. Опасайтесь тех компаний, занимающихся безопасностью, которые неизвестны или малоизвестны на рынке.
Кто защитит стражей? Бродя по Infosec, я спрашивал поставщиков, какой продукт для шифрования диска они используют. Я был удивлен обнаружив, что даже поставщики, продающие продукты шифрования, не шифруют свои мобильные устройства. То же самое касалось некоторых консультантов PCI и сотрудников компаний по QSV сканированию. Что же происходит? Советчики не следуют своим собственным советам?
Я выяснил, что многие организации для общественного сектора использовали зашифрованные USB устройства. Кажется, что это устойчивая тема на Infosec Europe в этом году. Но из-за большого количества поставщиков, предлагающих большое количество решений, рынок выглядит ошеломленным и сбитым с толку. Будем надеяться, рынок зашифрованных USB станет объединенным и общим, как рынок антивирусных продуктов.
Все мы слышали об ISO 17799 и ISO 27001 и серии документов в интервале 27000. Это базис минимальных требований для ведения бизнеса. Однако, очень немногие западные организации реализовали или даже видели эти стандарты. В Японии свыше 2000 компаний прошли сертификацию, что означает на 300% больше совместимости, по сравнению с UK и US вместе взятых.
Читая о преимуществах и недостатках устройств, управляемых безопасностью, я выяснил, что многие организации отказались от этой возможности, т.к. им кажется, что их среда станет менее безопасной, если они будут использовать нечто, наподобие шифрования. В действительности, хорошо работающее управляемое устройство позволит освободить персонал, снизить нагрузку по поддержке и увеличить безопасность организации. В некоторых случаях улучшения еще более значительны, чем если организация самостоятельно управляет продуктами безопасности. В такой ситуации централизованное управление становится ключевым, и вы убедитесь, что управляемое устройство является гораздо более продвинутым решением, чем покупка продукта у поставщика.
В том случае, если все правильно реализовано, то ответ на этот вопрос — да. Но хороших людей сложно найти. На мой взгляд, что из 10 консультантов по безопасности, по крайней мере половина являются новичками, менее 5 лет в отрасли. Еще часть из оставшихся, являются узко специализированным. В результате остаются двое, которые имеют достаточно опыта, чтобы покрыть весь спектр. This means that a team is needed to make you compliant, or a seasoned individual. This is why compliance in some form or other is helping. There are quite a few security companies that begrudge PCI DSS and standards like it, but I feel that the standard is helping as there was nothing before it that helped organisations focus in a prerequisite way.
Большинство из того, о чем говорится в стандарте – лишь общий смысл, однако, когда общий смысл нас покидает, нужно иметь некоторые рамки, которых следуют придерживаться. Именно по этой причине очень важно использовать глобальный стандарт вроде ISO 27001.
Существует много точек для начала, но лучше всего начать с того, чтобы выписать набор требований, а затем пытаться их удовлетворить. Документ, с которого вы начнете, а затем будите отслеживать изменения, будет не только отражать вашу зрелость в качестве профессионала IT, но также может использоваться для измерения производительности вашей команды. Существует много бесплатных инструментов, которые вы можете использовать для того, чтобы стать более безопасными. Ничто не может заменить опытного профессионала, но приложения позволяют сделать это проще.
Когда проектируют убежище, то, как вы можете увидеть из схемы, делают лишь одну точку входа. Остальная комната изолирована и хорошо защищена с помощью толстого сплава металла, чтобы злоумышленники не смогли прорваться внутрь. Единственная точка входа позволяет проще и дешевле защититься от неавторизованного проникновения. Усиленные стены являются сдерживающим фактором, но что один человек сделал, другой сможет сломать.
Работая с одной и ведущих компаний по шифрованию, я задал главному программисту вопрос: «Почему пользователь не может использовать несколько ключей для аутентификации?» Программист подтвердил концепцию уменьшения количества дверей. Уменьшение поверхности для атак в большинстве случаев является наилучшим подходом.
В целом технический контроль, включающий шифрование, фильтрацию электронной почты, сканирование и мониторинг, все еще находится на ранней стадии своего развития. Это значит, что многие организации все еще работают над разработкой и реализацией таких решений, а большинство даже не имеют таких технологий на своем радаре. Подсчитано, что менее 1% организаций шифруют свои мобильные данные. Это не просто пугающая статистика. Я уверен, что вы согласитесь, что вы не будете использовать поставщика, который не обеспечивает безопасность ваших персональных данных.
На первый взгляд кажется, что такие технологии, как контроль над устройствами, должны стоять в списке приоритетов, но как быть с бумажными документами и камерами в мобильных телефонах? Безопасность – это немного больше, чем просто программный и аппаратный контроль и управление. Образование является часть защитной стратегии.
Образование является ключевым. Тратьте меньше времени на установку технических средств контроля и больше времени на обучение людей, и вы увидите, что изменится не только поведение ваших людей, они станут более заинтересованными в том, что они делают, что облегчит вашу задачу. Знание – сила. Awareness can go a long way. Попробуйте это, и, может быть, это спасет вашу организацию от следующей атаки.
Обновления Windows, обновления приложений, обновления шаблонных файлов – все это помогает, когда дело касается безопасности. Однако, хотя это всем хорошо известно, многие организации по-прежнему игнорируют эти аспекты. Необходимо вспомнить об основных шагах, которые позволяют реализовать технический контроль вроде шифрования и двухфакторной аутентификации. Я обнаружил, что организации не справляются с простыми задачами, не говоря уже о продвинутых технологиях, которые требуют значительных навыков в области безопасности.
Не важно сколько вы читаете или обсуждаете безопасность, считается лишь то, что вы делаете для своей организации. Эта статья будет полезна для вас, если вы способны классифицировать содержимое и применить эти знания для вашей организации. Я надеюсь, что эта информация была полезна для вас.
Источник www.windowsecurity.com