Video: Kovalentna veza (Studeni 2024)
Godišnja konferencija o informacijskoj sigurnosti Black Hat udaljena je samo nekoliko kratkih tjedana. Sigurnosni profesionalci, rukovoditelji, dobavljači i hakeri konvergirat će se u Las Vegas kako bi naučili i podijelili najnovije ranjivosti, obranu, sigurnosne rupe i tehnike hakiranja. Uoči konferencije, Black Hat je objavio rezultate ankete koja je ispitivala vrhunske sigurnosne stručnjake u vezi s njihovim problemima i stavovima. U rezultatima možete pročitati različita značenja, ali moj je takav potez: Vi ste najslabija veza. (Da, mislim na tebe.)
Popis ispitanika za anketu odabran je za ekspertizu i iskustvo u stvarnom svijetu. Od 460 sigurnosnih profesionalaca i menadžera, gotovo dvije trećine dolaze iz tvrtki s najmanje 1.000 zaposlenih. Naslovi za više od 60 posto njih uključuju riječ "sigurnost", a potpuno četvrtina grupe služi kao menadžer za sigurnost njihove organizacije. Ovi ljudi su u rovovima, neumorno rade na održavanju sigurnosti svojih tvrtki.
Zabrinjava stvarnost
Glavni dio ankete predstavio je ispitanike s 15 sigurnosnih prijetnji i izazova. Od njih se tražilo da označe tri glavna izazova koja ih najviše brinu, prva tri koja zauzimaju njihovo vrijeme i tri najbolja koji dobivaju najveći udio u proračunu. Logično bi pomislili da bi to pomno pratili; u praksi to nije slučaj.
Najveća briga od svih, 57 posto, bila je obrana od ciljanih napada, sofisticirani pokušaji narušavanja sigurnosti. Međutim, samo 20 posto ispitanika izvijestilo je da pripreme i rješavanje takvih napada potrošači provode puno svog vremena.
Sljedeći je zabrinjavajući izazov bio phishing i ostali napadi društvenog inženjeringa. S 46 posto, to je daleko iznad svih ostalih problema u istraživanju, osim ciljanih napada. Najbolji sigurnosni sustav na svijetu neće pomoći ako lažna poruka uvjeri jednog od vaših zaposlenika da ga isključi, a čišćenje nakon takvih problema može biti pravi medvjed. Što se tiče, kako profesionalci za sigurnost troše svoje vrijeme, dvije od tri glavne brige uključuju ljudsku grešku. Društveno umrežavanje je jedno, ali najveći vrh vremena se suočava sa sigurnosnim problemima koje uvode interni razvojni timovi.
Ostale zabrinutosti, poput nadzora od strane naše vlade ili nekog drugog, insajderski napadi i digitalni napadi na uređaje Interneta stvari (IoT), samo ne troše isti stupanj mentalnih ili financijskih sredstava. U stvari, najveći trošak za ispitanice u ovoj anketi uključuje slučajna propuštanja podataka od strane neslavnih korisnika - opet. Također se među prvih nekoliko skupih briga bave ljudskim pogreškama koje tvrtku stavljaju van zakona i popravljaju probleme uzrokovane zaposlenicima koji su pali zbog napada na društveni inženjering.
Hoćemo li postati pametniji?
Ispitanici su također zamoljeni da poduzmu isti skup od 15 izazova i odaberu tri koja bi bila najveća briga za dvije godine. Zanimljivo je da su se svi problemi koji se bave ljudima našli znatno niže na ovom popisu. Sigurnosni problemi uvedeni internim razvojem nalaze se na dnu, sa 7 posto. Slijede pogreške koje tvrtku stavljaju izvan zakona, sa 8 posto. A krađa podataka od strane zlonamjernih insajdera dolazi sljedećih 9 posto. Zabrinutost za socijalni inženjering i dalje je velika, ali nigdje nije na vrhu.
Za dvije godine stručnjaci (njih 36 posto) smatraju da će najveća briga biti napadi IoT-a, nakon čega će uslijediti ciljani napadi (do 33 posto sa sadašnjih 57 posto). Nijedno od prvih šest pitanja ne uključuje ljudsku grešku. Čini se da ćemo postati pametniji!
Vi ste najslabija veza
Velik dio ostatka opsežnog istraživanja uključuje zaposlenike u službi sigurnosti, zapošljavanje i rast karijere, a teme su manje zanimljive onima koji nisu izravno uključeni u sigurnosnu zajednicu. Cijelo izvješće možete pročitati ovdje.
Jedna točka definitivno zaslužuje pažnju. Na pitanje koja je najslabija veza u trenutnoj IT sigurnosti, ispitanici stavljaju web-prijetnje, sigurnosne alate koji ne razgovaraju jedni s drugima i ranjivosti krajnjih točaka na dno liste, a svaki je dobio samo 3 posto glasova. Što je na vrhu? Preko trećine je izjavilo: "Krajnji korisnici koji krše sigurnosnu politiku i lako ih zavaraju napadi socijalnog inženjeringa."
Izvještaj zaključuje da većina organizacija nema dovoljno sigurnosnog osoblja i ne usredotočuje vrijeme i proračun osoblja na najvažnije probleme. S obzirom na karijeru u sigurnosti? Vaša budućnost izgleda ružičasto! Ali morat ćete smisliti kako spriječiti zaposlenike da slučajno ili lijeno iznevjere vaše napore.
