Przedsiębiorcy, którzy chcą zadbać o bezpieczeństwo swojej firmy, muszą zmienić paradygmat podejścia do cyberbezpieczeństwa. Pytaniem, które powinni sobie zadać jest “jak zminimalizować negatywne skutki ataku hakerskiego?” a nie “jak uchronić się przed atakiem?”. Tak sformułowane pytanie pozwala w praktyczny sposób podejść do inwestycji w tworzenie mechanizmów zabezpieczeń.

Zbudowanie nieprzekraczalnej bariery jest niemożliwe, więc nowoczesne i skuteczne systemy bezpieczeństwa w coraz większym stopniu odpowiadają za maksymalne utrudnienie hakerowi poruszania się po wewnętrznym systemie i uniemożliwienie zdobycia wartościowych danych. Oznacza to, że atakujący dłużej szuka punktu wejścia, ma ograniczone możliwości wyrządzenia szkody, czas dostępu do danych jest dużo krótszy, a ich skuteczne wykorzystanie jest dla niego kosztowne - a często niemożliwe. Organizacja, której zależy na wysokim standardzie bezpieczeństwa, w swojej strategii musi uwzględnić edukację pracowników i ochronę przeciwko atakom socjotechnicznym. Symulując techniczne ataki hakerskie musi znaleźć luki wymagające załatania. Dla zapewnienia ciągłości bezpieczeństwa kluczowy jest stały monitoring infrastruktury, ograniczający czas w którym atakujący może negatywnie wpłynąć na zdrowie i reputację biznesu.

Jednym z ważnych kroków podejmowanych przez świadome organizacje, jest przeprowadzenie analizy ryzyk bezpieczeństwa ich firmy. Jeśli obejmuje ona testy penetracyjne infrastruktury oraz aplikacji tworzonych wyłącznie przez firmę, audyt będzie niekompletny. Nowoczesne firmy optymalizują swoje działania poprzez użycie zewnętrznych narzędzi do komunikacji i zarządzania projektami, zapominając o audycie bezpieczeństwa, który zabezpiecza dane znajdujące się w platformie trzeciej. Wspominając o bezpieczeństwie usług trzecich oraz supply chain, należy pamiętać, że zabezpieczenia firmy są tak silne jak jej najsłabszy element. Bardzo często są nim właśnie elementy zewnętrzne. Niejednokrotnie spotkaliśmy się z sytuacją w której stabilność i bezpieczeństwo producenta oprogramowania używanego przez naszego klienta była niska.

Świadomość istniejących luk i problemów jest istotnym elementem, który pozwala wytyczyć praktyczną ścieżkę rozwoju dla firmy. Wraz z rosnącą dojrzałością organizacji, gdy wdrożone zostały kluczowe komponenty zabezpieczające, jak np. polityki haseł i oprogramowanie antywirusowe, należy zaplanować holistyczne spojrzenie na bezpieczeństwo organizacji. Wyżej wymienione podstawy są w obecnym świecie koniecznością, która zabezpiecza przed najprostszymi atakami. Nie są to jednak mechanizmy będące w stanie skutecznie spowolnić próby przeprowadzane przez fachowych i zdeterminowanych atakujących.

W sytuacji firm software’owych, należy skupić się na zabezpieczaniu własnej infrastruktury oraz wytwarzanego oprogramowania, gdyż atakujący mają podwójną motywację do ataku na te systemy. Skuteczne przełamanie zabezpieczeń firmy wytwarzającej oprogramowanie dostarcza atakującym możliwości wyrządzenia znacznie większych szkód niż tylko w obrębie jej zasobów. Taki atak często otwiera drzwi do ogromnej ilości innych firm, które bazując na modelu zaufania wykorzystują oprogramowanie pierwotnie zaatakowanej firmy. Firmy chcące zabezpieczyć w takich scenariuszach siebie oraz swoich klientów nie mogą skupiać się wyłącznie na manualnych procesach audytów bezpieczeństwa. Ich środki powinne zostać zainwestowane przede wszystkim w integrację automatycznych systemów stale kontrolujących stan bezpieczeństwa. Są to np. narzędzia do wychwycania błędów programistycznych i projektowych, które poprzez analizę wytwarzanego kodu i symulację dynamicznych ataków hakerskich testują solidność zbudowanej aplikacji. Ich kolejnym zadaniem jest ciągły monitoring wzorców ruchu w ekosystemie firmy. Mowa o ekosystemie, ponieważ obecnie, skuteczni liderzy bezpieczeństwa nie skupiają się tylko na monitoringu infrastruktury sieciowej firmy, ale również na obserwacji i reagowaniu na anomalie w którymkolwiek systemie wykorzystywanym przez organizację. Dotyczy to zarówno systemów wirtualnych jak i fizycznych. Przykładem tych drugich niech będzie implementacja i ciągła adaptacja programów do edukacji pracowników w zakresie rozpoznawania incydentów bezpieczeństwa takich jak ataki na samego człowieka tj. ataki socjotechniczne.

Cyberprzestępcy prowadzą specyficzny biznes polegający na wykorzystywaniu już istniejących biznesów i zarabianiu na ich niedopatrzeniach. Warto o tym pamiętać, ponieważ obecnie każda firma ma coś, co zwinny kryminalista może przekuć w zarobek. Każdy jest celem, bo każdemu można coś ukraść. Nikt nie może się ukryć, bo technologicznie nie ma już gdzie się ukryć. Dlatego właśnie należy skupiać się na poznaniu swojego profilu firmy i jej atrakcyjności w oczach atakującego. Po zdobyciu takiej wiedzy, należy inwestować w zabezpieczenie kluczowych zasobów i zniechęceniu atakujących do głębokiej eksploitacji biznesu, aniżeli w unikanie ataków, które powinny być już traktowane jako spodziewane prawo natury świata w którym żyjemy. W rękach firm i ich eksperckich partnerów leży optymalna kosztowo implementacja mechanizmów, które dla danej organizacji będą najlepsze. Zakres takiej współpracy jest praktycznie nieograniczony i zaczyna się od instalacji kamery monitorującej wejścia do biura, a kończy na autonomicznych systemach przewidywania i reagowania na incydenty bezpieczeństwa w wirtualnej infrastrukturze sieciowej.

Chcesz zabezpieczyć swoją firmę? Wejdź na cyberforces.com