Корпоративная кибербезопасность все больше ставится под угрозу с тех пор, как в марте предприятия и организации начали внедрять политику работы на дому (WFH), поскольку пандемия продолжала распространяться.
Malwarebytes в июне поставил перед собой задачу измерить, как руководители ИТ-подразделений компаний отреагировали на пандемию; и какие стратегии запланированы на будущее. Фирма, занимающаяся разработкой программного обеспечения для защиты от вредоносных программ, опросила более 200 ИТ-специалистов в компаниях разного размера. Результаты этого опроса в сочетании с внутренней телеметрией компании показали, что многие ИТ-руководители могут быть чрезмерно самоуверенными в отношении используемых ими протоколов и процедур кибербезопасности.
Например, 44 процента респондентов не проводили обучение персонала по вопросам кибербезопасности, 45 процентов не проводили анализ безопасности и конфиденциальности в Интернете программных инструментов, которые считались необходимыми для перехода на WFH, а 18 процентов заявили, что кибербезопасность не является приоритетом. для своих сотрудников.
Несмотря на это, более 70 процентов респондентов опроса Malwarebytes дали своей организации оценку 7 из 10, когда их попросили определить их готовность перейти на WFH.
«Это может быть примером часто трудно поддающегося измерению явления, которое мы называем высокомерием безопасности, также известным как самоуверенность в ограниченных мерах безопасности», — говорится в исследовании.
Содержание статьи
Восприятие против реальности
Нет никаких сомнений в том, что тенденция WFH стала свидетелем увеличения активности хакеров.
«Мы наблюдаем значительный рост фишинговых атак из-за пандемии COVID-19», — сказал TechNewsWorld Хло Мессдаги, вице-президент по стратегии в Point3 Security.
«Например, мы наблюдаем рост попыток злоумышленников проникнуть в компании через личные адреса электронной почты их сотрудников и SMS-сообщения», — сказал Мессдаги. «Это почти непреодолимо для злоумышленников, потому что эта пандемия значительно упрощает их работу».
Корпоративные ИТ должны знать об этом, так почему же диссонанс между самооценкой респондентов и реальностью?
«В высокомерии безопасности есть проблема, которая существует во многих других сферах — мы не знаем того, чего не знаем», — сказал TechNewsWorld Дэвид Руис, защитник конфиденциальности в Интернете из Malwarebytes Labs.
Высокомерие в отношении безопасности широко распространено, «но не по злому умыслу», — сказал Руис. Иногда это происходит из-за сосредоточения внимания только на одном аспекте кибербезопасности, а не из-за игнорирования проблемы, например, из-за того, что ИТ-специалист сосредотачивается на внешних угрозах, но забывает об внутренних угрозах, или наоборот.
«Некоторые предприятия, заявляющие о своей готовности, действительно готовы — не обязательно полностью готовы, потому что идеальная безопасность — это миф, но в разумных пределах готовы», — сказал Энди Эллис, директор по безопасности Akamai Technologies, глобальной сети доставки контента, компания, занимающаяся кибербезопасностью и облачными услугами, сообщила TechNewsWorld.
«Другие организации могут подумать, что они готовы, но они ошибаются», — сказал Эллис. «Третьи могут знать, что они не готовы, но кто захочет нарисовать мишень на своей спине, признав это?»
Новый рубеж угроз
Возможно, у ИТ-специалистов не было достаточно времени, чтобы разобраться с новым аспектом охвата, добавленным феноменом WFH, поскольку компании очень быстро перешли на WFH.
Akamai обнаружила, что потребление интернет-услуг на корпоративных устройствах увеличилось на 40 процентов в марте, а трафик на веб-сайты, связанные с вредоносным ПО, вырос на 400 процентов. «Оба эти наблюдаемых изменения рассматриваются как результат изменений в привычках просмотра пользователями, когда они работали из дома», — заключил он
.
С тех пор ничего не изменилось, — отметил Эллис. «Рост, который мы видели, когда большая часть мира перешла на удаленную работу из дома, оставалось неизменным в течение нескольких месяцев с тех пор»
Опасности WFH «не обязательно структурно различны, но вместо этого могут представлять собой сдвиг в взвешивание атак ", — пояснил он. Например, фишинговые атаки существовали всегда, но теперь «стало больше фишинга, и в то же время одна из недооцененных мер защиты от фишинга — спросить вашего коллегу, выглядит ли электронное письмо странным — больше не доступна».
Кроме того, по словам Эллиса, многие антифишинговые решения являются реактивными, ищут известные типы атак, а не адаптивно идентифицируют изменяющиеся атаки или используют структурный подход, устраняя способы, которыми злоумышленник может использовать успешную фишинговую атаку.
Добавлены угрозы, исходящие от мобильных устройств
«Реализация надлежащей безопасности для обеспечения безопасной среды WFH требует затрат, которые дороги и представляют собой новые деньги, которые до сих пор никогда не включались в бюджет», — Матиас Кац , Сказал TechNewsWorld генеральный директор Byos.
«Вдобавок ко всему, многие компании все еще отрицают это и думают, что это скоро закончится, и поэтому не хотят вкладывать деньги».
WFH здесь, чтобы остаться, — сказал Кац. «Компании должны понимать, что, несмотря ни на что, они должны будут укреплять свою инфраструктуру, чтобы оставаться в безопасности в новую эру».
Компании все чаще позволяют сотрудникам WFH использовать свои собственные мобильные устройства, и это способствует проблема.
Почти 70 процентов из 303 ИТ-специалистов, ответивших на июньский опрос, проведенный компанией Bitglass, занимающейся облачной безопасностью, заявили, что их компании позволяют сотрудникам использовать личные устройства для выполнения своей работы, а некоторые заявили, что их компании позволяют подрядчикам, партнерам, клиентам и поставщикам приносить собственные устройства.
Однако они не принимают надлежащих мер для защиты корпоративных данных — например, около половины респондентов заявили, что их организации не имеют доступа к приложениям для обмена файлами. Несанкционированный доступ к данным и системам, а также заражение вредоносным ПО были основными проблемами безопасности примерно для половины респондентов.
ИТ-отделы разрослись
Быстрый переход на WFH, возможно, сместил приоритеты для многих предприятий, по словам Руиса из Malwarebytes Labs. «Это может означать, во-первых, обеспечение того, чтобы бизнес оставался успешным, а, во-вторых, обеспечение того, чтобы он мог безопасно оставаться успешным».
Другими словами, убедитесь, что сначала бизнес продолжает работать, а затем заключать сделки с проблемами безопасности.
Другой причиной может быть нехватка ИТ-персонала. Увольнения широко распространены из-за пандемии, и некоторые из уволенных могли быть сотрудниками службы безопасности ИТ и кибербезопасности.
Другая причина может заключаться в том, что в наши дни у многих компаний нет выделенного ИТ-персонала на месте, а большинство удаленных ИТ-сотрудников почти всегда перегружены работой, предположил Руис. «Может просто не хватить времени на создание и развертывание онлайн-курса обучения для всех сотрудников».
Напряжение ИТ-специалистов, чьи отделы недоукомплектованы и недофинансированы, усилилось с пандемией, и это может способствовать как неадекватности мер предосторожности в области кибербезопасности, так и непризнанию того, являются ли эти меры адекватными.
«Во время этой пандемии команды безопасности работают усерднее, чем когда-либо и изолированно», — отметил Мессдаги из Point3 Security, добавив, что руководители высшего звена должны инвестировать в психическое здоровье этих команд.
ИТ-персонал уже находился в состоянии сильного стресса перед пандемией — воздействие стресса на психическое здоровье удвоилось в 2020 году, согласно отчету Nominet UK, реестра доменных имен .uk в Великобритании.
Nominet опросил 800 руководителей службы информационной безопасности и руководителей высшего звена о проблемах, связанных с ролью директора по информационной безопасности. Респонденты, поровну разделенные между Великобританией и США, работали в компаниях со штатом не менее 3000 сотрудников в различных государственных и частных секторах.
В отчете, опубликованном в феврале, говорится, что 88 процентов руководителей по информационной безопасности остаются в состоянии умеренного или сильного стресса; 48 процентов респондентов заявили, что это влияет на их психическое здоровье — вдвое больше, чем в предыдущем году. Стресс влияет на их отношения с партнерами и детьми, а также на их способность выполнять свою роль и приводит к выгоранию. Средний срок пребывания в должности директора по информационной безопасности составляет всего 26 месяцев.
Старшие руководители согласились с тем, что директора по информационной безопасности работают сверхурочно, но 97 процентов из них считают, что команда безопасности могла бы улучшить соотношение цены и качества с учетом их бюджета.
Предотвращение высокомерия безопасности
«Хорошее упражнение, чтобы продемонстрировать всю полноту высокомерия безопасности, — это спросить себя по шкале от 1 до 10, насколько вы кибербезопасны?» — предложил Руиз. «Теперь задайте себе еще несколько вопросов:
— Вы подключаетесь к домашнему маршрутизатору, который по-прежнему использует пароль по умолчанию?
— Вы повторно используете пароли для некоторых учетных записей в вашем доме?
— Требовалось ли вашей компании использовать VPN для доступа к ресурсам компании?
— Щелкаете ли вы по ссылкам в сообщениях электронной почты от новых контактов или по ссылкам в текстах? Что если эта ссылка является предположительно из FedEx, а вы все-таки заказали что-то в Интернете? »
Подобные вопросы« через некоторое время «отменит оценку собственной безопасности большинства людей», — сказал Руис.
«Никто не пытается ошибаться, но трудно уследить за всеми способами, которыми мы должны быть правы».