Люди, несомненно, являются самым ценным активом вашей компании. Но если вы спросите экспертов по кибербезопасности, разделяют ли они это мнение, большинство ответит, что люди - это ваша самая большая ответственность. Но зарождающаяся дисциплина в кибербезопасности, сосредоточенная на анализе поведения пользователей, может помочь. Она использует сочетание больших данных и машинного обучения, позволяя командам безопасности быстро определять, когда происходят события, выходящие за рамки нормы. Такие данные, как типичное местоположение IP-адреса сотрудника, время суток, в которое он обычно входит в сеть, использование нескольких машин/IP-адресов, файлы и информация, к которым он обычно получает доступ, и многое другое, могут быть собраны и отслежены для создания профиля общего поведения. Например, если сотрудник отдела кадров вдруг пытается получить доступ к инженерным базам данных сотни раз в минуту, об этом можно быстро сообщить службе безопасности, чтобы предотвратить инцидент. Сочетание понимания повседневного взаимодействия сотрудников с ИТ и возможности анализа всех возможных сценариев в режиме реального времени может помочь командам безопасности определить более подходящие уровни аутентификации для всего персонала.
Люди, несомненно, являются самым ценным активом вашей компании. Но если вы спросите экспертов по кибербезопасности, разделяют ли они это мнение, большинство ответит, что люди - это ваша самая большая ответственность.
Исторически сложилось так, что независимо от того, сколько денег организация тратит на кибербезопасность, как правило, существует одна проблема, которую технологии не могут решить: люди как люди. Компания Gartner ожидает, что в 2017 году мировые расходы на информационную безопасность достигнут 86,4 млрд долларов, а в 2018 году вырастут до 93 млрд долларов, и все это в попытке улучшить общую безопасность и образовательные программы, чтобы люди не смогли подорвать самые смелые планы безопасности. Но этого все еще недостаточно: человеческая ошибка продолжает оставаться главной угрозой.
Согласно индексу IBM Cyber Security Intelligence Index, ошеломляющие 95% всех инцидентов безопасности связаны с человеческой ошибкой. Это шокирующая статистика, и в большинстве случаев это происходит из-за того, что сотрудники переходят по вредоносным ссылкам, теряют или крадут свои мобильные устройства или компьютеры, или администраторы сетей делают простую неправильную конфигурацию. В последнее время мы стали свидетелями распространения последней проблемы: в этом году из-за неправильной конфигурации серверов было раскрыто более миллиарда записей. Организации могут рассчитывать на то, что ошибки будут совершаться, а киберпреступники будут стоять наготове, готовые воспользоваться этими ошибками.
< <
Инсайт-центр
-
Человеческий элемент кибербезопасности
Спонсор - Varonis Берегите первую линию обороны вашей компании.
Так как же организации не только отслеживают подозрительную активность, исходящую из внешнего мира, но и смотрят на поведение своих сотрудников, чтобы определить риски безопасности? Как говорится в пословице, "ошибаться свойственно человеку" - люди будут совершать ошибки. Поэтому нам необходимо найти способы лучше понять людей и предвидеть ошибки или поведение, выходящее за рамки привычного - не только для того, чтобы лучше защититься от рисков безопасности, но и для того, чтобы лучше обслуживать внутренние заинтересованные стороны.
В сфере безопасности появилась новая дисциплина, связанная с аналитикой поведения пользователей, которая обещает помочь устранить угрозы извне, а также обеспечить понимание, необходимое для решения проблемы людей. Она предполагает использование новых технологий, использующих комбинацию больших данных и машинного обучения, что позволяет командам безопасности лучше узнать своих сотрудников и быстро определить, когда происходят события, выходящие за рамки нормы.
Для начала можно собрать и отследить поведенческие и контекстные данные, такие как типичное местоположение IP-адреса сотрудника, время суток, в которое он обычно входит в сеть, использование нескольких машин/IP-адресов, файлы и информация, к которым он обычно получает доступ, и многое другое, чтобы создать профиль общего поведения. Например, если сотрудник отдела кадров вдруг пытается получить доступ к инженерным базам данных сотни раз в минуту, об этом можно быстро сообщить службе безопасности, чтобы предотвратить инцидент.
Настоящая ценность заключается в том, что компании применяют полученные знания для создания системы аутентификации, основанной на оценке рисков, для предоставления сотрудникам доступа к данным или системам. По сути, это означает настройку уровня доступа, предоставляемого сотрудникам, на основе оценки риска их прошлого поведения в сравнении с пониманием данных или систем, к которым они запрашивают доступ. Такой тип аутентификации на основе оценки риска позволяет лучше выявлять пользователей, склонных к ошибкам, или тех, кто в прошлом открывал возможности для киберпреступников, помогая решить "человеческую" проблему кибербезопасности.
Для достижения этой цели мы должны сначала понять, что все пользователи не находятся на одном игровом поле. Существует множество различных уровней "подкованности", когда речь идет о каждом человеке в компании: некоторые из них прекрасно разбираются в технологиях и применяют меры защиты, такие как биометрия и многофакторная аутентификация. Другие могут быть не столь осторожны или делать такие вещи, как повторное использование паролей (дрожь) от общих учетных записей, которые легко могут быть утечены или взломаны, или загрузка документов с подозрительного адреса электронной почты.
Кроме того, в каждой компании существует множество различных ролей и потребностей, от пользователей с базовыми компьютерными средами до тех, кому для выполнения своей работы может понадобиться до пяти различных машин. По этим причинам не существует "универсального" подхода к управлению человеческим фактором безопасности, и организации больше не могут полагаться на традиционные автоматизированные технологии, которые работают по принципу "установил и забыл".
Хотя это может противоречить традиционным представлениям о безопасности, которые обычно сосредоточены на контроле и ограничениях для борьбы с человеческими ошибками, лучше всего позволить сотрудникам быть самими собой - и проектировать свои системы с учетом этого. Сочетание понимания повседневного взаимодействия сотрудников с ИТ и возможностей анализа всех возможных сценариев в режиме реального времени может помочь командам безопасности определить более подходящие уровни аутентификации для всего персонала, от технически подкованных разработчиков до луддитов в зале заседаний. Это обеспечит правильный баланс безопасности, конфиденциальности и удобства для пользователей, защищая организации и людей в них от самих себя.
Об авторе
Рави Шринивасан - вице-президент по стратегии и управлению предложениями в IBM Security.
- Hbr.org
Поделиться
