Во многих отношениях кибербезопасность характеризуется очень разрозненными приоритетами. Организации сосредоточены на защите периметра своей сети, систем и данных и поэтому имеют право разрабатывать узкоспециализированные и персонализированные стратегии. В результате компании, которые на первый взгляд кажутся очень похожими и конкурируют за одних и тех же клиентов в одной отрасли, могут применять совершенно разные подходы к предотвращению, сдерживанию и восстановлению.
Вся экосистема кибербезопасности поддерживается множеством динамичных сообществ, в которых сотрудничество играет фундаментальную роль. Однако идея о том, что организации могут работать вместе на более глубоком уровне для обеспечения «коллективной защиты», встречается реже.
В сфере кибербезопасности коллективная защита означает, что организации совместно используют наиболее полезные ресурсы, информацию и процессы для повышения устойчивости между разрозненными организациями. Многим людям она, возможно, более знакома как геополитическая и военная концепция. Например, статья 5 НАТО гласит, что нападение на одно государство-член будет рассматриваться как нападение на всех. Это посылает четкий и объединяющий сигнал потенциальным противникам, одновременно значительно увеличивая ресурсы, доступные каждой отдельной стране.
Организации, которые используют коллективную защиту для защиты своих ИТ-ресурсов и данных, обычно сосредотачиваются на обмене информацией об угрозах и координации усилий по реагированию на угрозы для противодействия злонамеренным субъектам угроз. Успех зависит от определения и реализации совместной стратегии кибербезопасности, в которой организации работают вместе, как внутри, так и снаружи, в разных отраслях для защиты от целевых киберугроз. Если все сделано правильно, это может быть чрезвычайно эффективным.
Вице-президент по коллективной защите Cyware.
Наращивайте темп
Но как все это выглядит в реальном мире? Примеров становится все больше, включая совместный иск, поданный в прошлом году Microsoft, Fortra LLC и Health-ISAC. Этот альянс был нацелен на лиц, которые развертывали взломанные версии Cobalt Strike или грубо нарушали условия обслуживания Microsoft, в частности, злонамеренное развертывание API-интерфейсов, защищенных авторским правом. Как тогда отмечалось в медиа-анализе, «этот сбой не остановит деятельность киберпреступников, но приведет к напряжению их ресурсов». Дело в том, что вместе организации смогут лучше выявлять, оспаривать и разрушать инфраструктуры, лежащие в основе рисков кибербезопасности.
В своем недавнем отчете о цифровой обороне Microsoft также подчеркнула необходимость более широких усилий по повышению коллективной киберустойчивости. Например, в докладе отмечается, что перед лицом сложных киберугроз сотрудничество и единый фронт имеют решающее значение для создания более безопасного цифрового ландшафта. В этом контексте уязвимости открытого исходного кода и цепочек поставок могут быть значительно устранены посредством коллективных действий.
Возьмем, к примеру, Open Source Security Foundation (OpenSSF), межотраслевой форум, который занимается решением возникающих проблем безопасности. В ее обязанности входит разработка рамок для решения проблем, таких как лучшее понимание угроз цепочки поставок и эффективных стратегий по их смягчению.
Коллективную оборону поддерживают и другие организации, такие как Open Cybersecurity Alliance (OCA), некоммерческая коалиция под эгидой OASIS Open. OCA поддерживает открытую экосистему, в которой инструменты кибербезопасности работают вместе без специальной интеграции. Это позволяет киберзащитникам более эффективно работать вместе за счет снижения технических барьеров для обмена.
На правительственном уровне еще одной важной частью коллективной защиты являются нормативные политики, такие как правила сообщения о киберинцидентах Комиссии по ценным бумагам и биржам (SEC), Закон об отчетности о киберинцидентах для критической инфраструктуры (CIRCIA) и Закон ЕС о кибербезопасности. Общим для этих различных инициатив является то, что они продвигают совместный, ориентированный на сообщество подход к укреплению цифровой экосистемы против постоянно меняющихся киберрисков.
От теории к реализации
Чтобы реализовать это на практике, организации должны взять на себя обязательство координировать свои стратегии кибербезопасности для выявления, смягчения и устранения угроз и нарушений безопасности. Это должно начаться с процесса определения заинтересованных сторон, которые будут участвовать в инициативе коллективной обороны. К ним могут относиться, помимо прочего, частные компании и государственные учреждения, некоммерческие организации и центры обмена информацией и анализа (ISAC).
Этот подход работает только в том случае, если он основан на взаимном доверии. Поэтому использование таких механизмов, как соглашения о неразглашении, четко определенные роли и обязанности, а также приверженность операционной прозрачности, играют важную роль. Оперативно безопасные каналы связи в режиме реального времени являются ключом к обмену разведданными об угрозах и обороне. Аналогичным образом, сообщество должно разработать процессы для распространения индикаторов компрометации (IoC), тактик, методов и процедур (TTP), подкрепленных информацией о передовом опыте и отчетами об инцидентах.
Сообщества коллективной защиты также могут использовать модель Cyber Fusion Center для объединения соответствующих возможностей безопасности, включая разведку угроз, автоматизацию безопасности, реагирование на угрозы, оркестровку безопасности и реагирование на инциденты, в единый подход. Практический пример того, как это может работать, — это когда группы управления уязвимостями и реагирования на инциденты работают вместе, чтобы управлять инцидентом, в котором используется брешь безопасности, более эффективно, чем это было бы возможно, работая изолированно.
Учитывая множество рисков кибербезопасности, с которыми мы сталкиваемся сегодня, коллективная защита — это не только разумный подход к улучшению защиты, но также может улучшить состояние безопасности организаций, которые в настоящее время пытаются справиться с этой проблемой в одиночку. По существу, эта модель идеально соответствует идее о том, что «целое больше, чем сумма его частей».
Перечисляем лучшие облачные антивирусы.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
