Ocenjevanje vase varnostne zrelosti: Kje ste?

Pred izboljsanjem varnosti morate razumeti, kje trenutno stojite. Sodeloval sem z organizacijami na vsaki stopnji spektra zrelosti, od startupov brez kakrsnega koli varnostnega programa do mednarodnih podjetij z namenskimi varnostnimi operativnimi centri. Najpogostejsa napaka, ki jo vidam, je, da organizacije vlagajo v napredna orodja in storitve, ki ne ustrezajo njihovi ravni zrelosti. Ne bi najeli rdece ekipe, ce niste namestili zaznave na koncnih tockah. Tukaj je prakticni okvir zrelosti, ki izhaja iz mojih izkusenj, skupaj z usmeritvami o tem, kaj je prednostno na vsaki stopnji.

Raven 1: Ad Hoc

• Brez formalnega varnostnega programa ali namenskega varnostnega osebja
• Reaktivni na incidente: varnost dobi pozornost sele, ko gre kaj narobe
• Brez popisa virov: organizacija ne ve, katere sisteme ima ali katere podatke hranijo
• Krpanje je nedosledno ali neobstojece, pogosto odvisno od posameznih administratorjev
• Brez varnostnih politik ali pa politike obstajajo na papirju, a se ne uveljavljajo

Na to raven naletim pogosteje, kot bi pricakovali, zlasti v srednje velikih podjetjih, ki so hitro rasla. IT infrastrukturo so zgradila za podporo rasti in se nikoli niso vrnila, da bi jo zavarovala. Med enim projektom na tej ravni sem pridobil administratorski dostop domene v tridesetih minutah z privzetimi poverilnicami na pozabljenem storitvenem racunu.

Raven 2: V razvoju

• Obstajajo osnovne varnostne politike, ki se vsaj delno uveljavljajo
• Nekatera varnostna orodja uvedena: protivirusna zascita, požarni zid, morda filtriranje poste
• Letno penetracijsko testiranje, pogosto poganjano z zahtevami skladnosti
• Nekdo je odgovoren za varnost, ceprav to ni njegova primarna vloga
• Osnovna kontrola dostopa: uporabniski racuni, politike gesel, neka segmentacija

Vecina malih in srednjih organizacij je na tej ravni. Kljucna prednostna naloga je gradnja temeljnih kontrol: vecfaktorska avtentikacija, redno krpanje, segmentacija omrežja in osnovno spremljanje. Ti neblesceci temelji preprecijo veliko vecino uspesnih napadov.

Raven 3: Definirana

• Formalni varnostni program z dolocenimi vlogami, odgovornostmi in proracunom
• Redno penetracijsko testiranje in upravljanje ranljivosti s sledenim odpravljanjem
• Postopki odziva na incidente dokumentirani in vsaj delno preizkuseni
• Usposabljanje za ozavescenost s ciljnim usposabljanjem za visoko tvegane vloge
• Centralizirano beleženje in varnostno spremljanje

Organizacije na ravni 3 so presle od reaktivnega k proaktivnemu pristopu. Izziv je zagotavljanje doslednosti: pogosto ugotovim mocno varnost v primarnem okolju, a vrzeli v podružnicnih sistemih ali oblacnih namestitvah. Fokus se mora premakniti k celoviti pokritosti in preverjanju kontrol z rednim testiranjem.

Raven 4: Upravljana

• Varnost, ki temelji na metrikah, z dolocenimi KPI-ji in rednim porocanjem vodstvu
• Neprekinjeno upravljanje ranljivosti z roki odprave na podlagi SLA
• Varnost integrirana v razvojne procese prek DevSecOps
• Aktivno spremljanje s SOC-em ali upravljano storitvijo zaznave in odziva
• Redne namizne vaje in preizkuseni navodila za odziv na incidente

Organizacije ravni 4 merijo svojo varnostno držo in dokazujejo izboljsanje skozi cas. Na tej ravni priporocam angažmaje rdece ekipe za stresno testiranje zaznave in odziva ter osredotocenost na obveščevalne podatke o grožnjah za predvidevanje nastajajocih tveganj.

Raven 5: Optimizirana

• Proaktivno lovljenje groženj na podlagi obveščevalnih podatkov in vedenjske analitike
• Vodilne prakse v industriji s prispevki v varnostno skupnost
• Varnost kot poslovni omogočitelj, ne le stroskovno mesto
• Napredne zmogljivosti: tehnologije zavajanja, avtomatiziran odziv, prilagojene zaznave

Zelo malo organizacij doseze raven 5. Te predvidevajo nove grožnje, namesto da se le branijo pred znanimi. Izvajajo vaje vijolicne ekipe, razvijajo prilagojena pravila zaznave in aktivno iscejo kazalnike kompromisa. Varnost na tej ravni je konkurencna prednost.

Kako oceniti svojo trenutno raven

Bodite posteni sami s seboj. Ocenjujte po vec dimenzijah: upravljanje, tehnicne kontrole, spremljanje, odziv na incidente ter ljudje. Mogoce ste na razlicnih ravneh po teh dimenzijah in to je normalno. Osredotocite prizadevanja na najsibkejso dimenzijo, ker bodo napadalci nasli in izkoriščali vrzel.

Napredovanje po lestvici zrelosti

Izboljsanje je postopno. Vsaka raven gradi na temelju prejsnje. Na ravni 1 vložite v osnovno higieno: popis virov, krpanje, avtentikacijo. Na ravni 2 zgradite formalen program z rednim testiranjem. Na ravni 3 se osredotocite na spremljanje in odziv. Na ravni 4 optimizirajte in merite. Organizacije, ki se najucinkoviteje izboljsujejo, dosledno vlagajo skozi cas, namesto da vržejo denar v varnost po vdoru. Pomagal sem podjetjem napredovati z ravni 1 na raven 3 v osemnajstih mesecih in razlika je bila dramaticna.