Gartner
Руководители служб безопасности и управления рисками сталкиваются с кардинальными изменениями на нескольких фронтах: технологическом, организационном и человеческом. В этих условиях подготовка и прагматичное исполнение жизненно важны для реализации эффективной программы кибербезопасности. Ведущие аналитики компании Gartner выделили три главных направления в работе по обеспечению кибербезопасности организаций.
По мнению Gartner, инвестиции в эффективное управление рисками сторонних сервисов и ПО, усиление защиты идентификационных данных и постоянный мониторинг гибридных цифровых сред могут защитить организацию от атак и укрепить ее устойчивость.
Gartner также ожидает, что руководители служб ИТ-безопасности улучшат репутацию и производительность функции безопасности за счет использования GenAI в проактивном сотрудничестве с заинтересованными сторонами бизнеса. Это поможет заложить основу для этичного, безопасного и надежного использования этой прорывной технологии. Рекомендуется согласовать усилия по управлению безопасностью с использованием отчетности по кибербезопасности, ориентированной на бизнес, чтобы повысить эффективность работы службы безопасности и ее репутацию как надежного партнера и ключевого помощника в достижении стратегических целей организации.
Рассмотрим эти темы подробнее.
Генеративный ИИ
Как отмечает Gartner, приложения на базе больших языковых моделей (LLM), такие как ChatGPT, поставили на повестку дня вопрос о включения GenAI во многие дорожные карты бизнеса, ИТ и кибербезопасности. Термин GenAI описывает методы, которые учатся на основе представлений данных и модельных артефактов, чтобы генерировать новые артефакты.
GenAI создает новые поверхности для атак, которые необходимо защищать. Это требует изменений в практиках безопасности приложений и данных, а также в мониторинге пользователей. GenAI также изменит динамику рынка кибербезопасности.
С точки зрения рисков Gartner рекомендует руководителям служб ИТ-безопасности начать с борьбы с неуправляемым и неконтролируемым использованием ChatGPT, чтобы минимизировать риски. Наиболее заметными проблемами являются использование конфиденциальных данных в сторонних приложениях GenAI, а также потенциальное нарушение авторских прав и нанесение ущерба бренду в результате использования непроверенного контента, созданного ИИ. Требования к защите приложений GenAI, которые добавляют новые поверхности атак к тем, которые защищаются традиционными средствами безопасности приложений, обуславливают бизнес-инициативы.
Поставщики сервисов кибербезопасности запустили волну гиперболических ИИ-анонсов, призванных разжечь интерес к тому, на что способен GenAI. Эти ранние анонсы в основном связаны с интерактивными подсказками. Они породили ожидания, в основном со стороны руководителей, не связанных с безопасностью, о преимуществах ИИ для производительности команд безопасности, хотя большинство этих анонсов были лишь ранними превью, иногда граничащими с преувеличением возможностей ИИ.
Аналитики Gartner отмечают, что функции GenAI уже используются в операциях безопасности и защите приложений, но еще только предстоит увидеть, как продукты кибербезопасности напрямую используют методы GenAI для обнаружения или предотвращения угроз.
У руководителей служб ИТ-безопасности и управления рисками возникают закономерные вопросы о новых рисках и угрозах, связанных с вопросами конфиденциальности и доступом субъектов угроз к технологиям LLM.
Поскольку все больше команд — потенциально почти все команды — в организациях будут интегрировать возможности GenAI в свои системы, и командам по кибербезопасности крайне важно постоянно адаптироваться к изменениям в процессах.
Если организации с существующими проектами в области ИИ могут скорректировать свои существующие политики управления, то тем, кто только переходит на GenAI, придется создавать политики с нуля. Среди прочего, определение ответственности за конфиденциальность данных, погрешности и отклонений в результатах, нарушений авторских прав, достоверности и объяснимости приложений GenAI требует новых или обновленных принципов управления.
Программы CTEM набирают обороты
За последние годы поверхности атак организаций значительно расширились. По данным Gartner, этот рост был вызван, в частности, ускоренным внедрением ПО как сервиса, расширением цифровых цепочек поставок, увеличением присутствия компаний в социальных сетях, разработкой приложений на заказ, удаленной работой и взаимодействием с клиентами через Интернет.
Увеличение поверхности атак привело к тому, что у организаций появились потенциальные «слепые зоны», а также огромное количество потенциальных угроз, которые необходимо устранять.
Чтобы справиться с этой проблемой, руководители служб ИТ-безопасности и управления рисками внедрили экспериментальные процессы, которые регулируют объем и важность угроз, а также последствия их устранения с помощью непрерывного управления угрозами — CTEM-программами. Теперь они расширяют эти пилотные проекты за пределы деятельности по проверке кибербезопасности. Более зрелые организации начинают предлагать оптимизацию безопасности, чтобы лучше мобилизовать бизнес-лидеров, а не просто принять краткосрочные меры по исправлению ситуации.
Большинство организаций в своих усилиях по управлению угрозами слишком сосредоточены на поиске и устранении технологических уязвимостей. Такой подход поощряется инициативами по соблюдению требований SecOps, но часто не учитывает значительные изменения в операционной практике современных организаций, такие как переход на облачные приложения и контейнеры. Команды безопасности должны усовершенствовать свою текущую модель, в которой основной задачей является исправление и обеспечение безопасности физических и самоуправляемых программных систем, и выйти за ее рамки.
Руководители служб ИТ-безопасности и управления рисками осознали, что существующие практики недостаточно широки, а кадровые ограничения лимитируют объем выполняемой работы. Gartner рекомендует им сосредоточиться на актуальных вопросах, согласовав масштабы CTEM с бизнес-целями.
Руководители служб безопасности и управления рисками должны стремиться к тому, чтобы обеспечить видимость угроз и привлечь интерес других руководителей высшего звена, выделяя проблемы, оказывающие наибольшее потенциальное влияние на критически важные операции организации. Они должны определить более узкую область применения CTEM, согласованную с бизнес-целями, используя знакомый бизнесу язык и объясняя влияние на бизнес, а не на технологии.
Gartner также призывает руководителей служб ИТ-безопасности и управления рисками сократить количество приоритетных проблем с помощью валидации. Внедрение этапов проверки и вспомогательных технологий, таких как моделирование взлома и атак и автоматизированные средства тестирования на проникновение, может снизить нагрузку, налагаемую результатами работы инструментов оценки воздействия, таких как решения для оценки уязвимостей, путем выделения обнаруженных проблем, которые могут быть результатом реальной компрометации с использованием реальных методов.
В рамках плана CTEM руководители служб безопасности должны расширить взаимодействие с руководителями других подразделений, владельцами активов и третьими сторонами, чтобы иметь четкие пути мобилизации ответных мер и мер по устранению последствий. Они также должны заручиться поддержкой бизнес-подразделений и владельцев активов, четко сформулировав и обсудив остаточный риск, связанный с отсрочкой мер по устранению последствий, и предложив краткосрочные и долгосрочные варианты снижения или устранения риска.
Развитие IAM для повышения уровня кибербезопасности
Подход к безопасности, основанный на идентификации, смещает акцент с сетевой безопасности и других традиционных средств контроля на управление идентификацией и доступом — IAM. Это делает управление идентификацией и доступом ключевым фактором, влияющим на результаты обеспечения кибербезопасности организаций, а значит, и на результаты бизнеса.
Gartner призывает организации, использующие этот подход, уделять больше внимания фундаментальной IAM-гигиене и укреплению систем IAM для повышения устойчивости. Это включает в себя устранение давних пробелов в возможностях предотвращения, например, путем расширения контроля над облачными правами и машинными идентификаторами, а также внедрения передовых возможностей для обнаружения угроз идентификации и реагирования на них (ITDR).
Архитектура IAM эволюционирует в сторону ткани идентификации (identity fabric) и приобретает новые функции, позволяющие контролировать идентификацию в режиме реального времени на основе композитного подхода.
Чтобы поддержать эти тенденции, по мнению Gartner, руководители служб ИТ-безопасности должны удвоить усилия по внедрению надлежащей гигиены идентификации и сделать ее приоритетом для программы безопасности, используя показатели, основанные на результатах, для обеспечения направленности и установления планки для улучшения.
Рассматривая ITDR, Gartner советует руководителям служб ИТ-безопасности внедрить оценку состояния безопасности и возможности обнаружения и реагирования на угрозы для ключевых корпоративных систем идентификации, таких как Active Directory и облачные службы управления доступом.
Gartner также рекомендует группам ИТ-безопасности перестроить инфраструктуру идентификации для поддержки принципов безопасности, ориентированных на идентификацию, и перейти к созданию ткани идентификации. Руководителям служб ИТ-безопасности следует начать с улучшения интеграции между инструментами IAM, используя стратегию композитных инструментов.
План на 2024 год
В целом Gartner советует руководителям служб ИТ-безопасности повышать устойчивость организаций к внешним воздействиям, внедряя непрерывные, прагматичные, ориентированные на бизнес меры по управлению рисками в цифровых и партнерских экосистемах своих организаций. Это включает расширение роли IAM в снижении рисков кибербезопасности.
Для поддержки децентрализованных технологических проектов руководителям служб ИТ-безопасности потребуется координировать принятие решений по кибербезопасности. Gartner рекомендует измерять эффективность работы службы безопасности с помощью показателей, согласованных с бизнесом и ориентированных на результаты, в соответствии с соглашениями об уровне защиты.
Они также должны применять стратегический, ориентированный на человека подход к повышению эффективности работы службы безопасности путем переквалификации имеющихся специалистов по безопасности, использования GenAI для дополнения, а не замены усилий человека, и внедрения программ по формированию поведения и культуры безопасности, учитывающих конкретные условия.
