Что такое управление киберрисками?

Управление киберрисками — это проактивный подход к кибербезопасности, ориентированный на прогнозирование и снижение рисков по всей поверхности атаки.

Управление киберрисками — это способ повысить ситуационную осведомленность организации в сфере кибербезопасности путем выявления, приоритизации и устранения угроз. Управление поверхностью атаки (ASM) является важным элементом управления киберрисками.

Управление киберрисками можно разделить на четыре части:

  1. Выявление рисков. Понимание ИТ-инфраструктуры вашей организации, знание слабых мест и выявление угроз.
  2. Оценка рисков. Оценка вероятности эксплуатации уязвимостей вашей организации и оценка последствий такой эксплуатации.
  3. Снижение рисков. Реализация технических, административных и физических средств контроля для снижения воздействия угроз. Кроме того, повысить устойчивость к угрозам можно с помощью обучения сотрудников передовым методам кибербезопасности и соблюдения рекомендаций по управлению безопасностью и реагированию на инциденты.
  4. Мониторинг рисков. Непрерывное наблюдение и анализ ландшафта рисков посредством регулярных оценок, мониторинга и реагирования на инциденты для выявления новых угроз и оценки эффективности мер по снижению рисков

Управление киберрисками состоит из тех же трех этапов, что и управление поверхностью атаки: обнаружение, оценка и устранение рисков. Этап оценки включает балльную оценку рисков, на основе которой организация будет сопоставлять и отслеживать свой профиль риска с течением времени.

Что такое киберриски?

Национальный институт стандартов и технологий предлагает два разных, но связанных между собой определения:

  1. «Риск зависимости от киберресурсов (т. е. риск зависимости от системы или системных элементов, которые существуют в киберпространстве или периодически присутствуют в нем)».
  2. «Риск финансовых потерь, сбоев в работе или ущерба в связи со сбоем цифровых технологий, используемых для информационных и/или операционных функций, внедренных в производственную систему с помощью электронных средств в результате несанкционированного доступа, использования, раскрытия, сбоев, модификаций или разрушения производственной системы».

Оба определения демонстрируют необходимость реализации проактивной системы управления киберрисками.

Почему так важно управлять киберрисками?

Поверхность атаки расширяется, а значит организации сталкиваются с огромным количеством киберрисков. Масштаб и сложность ландшафта угроз в течение многих лет вынуждали специалистов по безопасности реагировать на уже случившиеся инциденты, поскольку у них не было ни функций, ни аналитических данных, ни достаточной наблюдаемости, чтобы предотвращать угрозы.

В рамках общего подхода к управлению поверхностью атаки управление киберрисками дает сотрудникам полное представление о рисках, с которыми сталкиваются их организации. Надежная система управления киберрисками также помогает определять наиболее актуальные риски и принимать решения на основе этой информации, чтобы защититься от угроз.

Аналитическая информация позволяет специалистам по безопасности укреплять защиту, минимизировать уязвимости и предоставлять информацию для управления рисками и стратегического планирования.

Какие последствия могут иметь киберриски с правовой или регуляторной точки зрения?

Организации, неспособные эффективно управлять киберрисками, будут наказаны штрафами или судебными исками вплоть до уголовного разбирательства и тюремного заключения. Многие законы и нормативно-правовые акты содержат требования к своевременному информированию об утечке данных, а также к обеспечению конфиденциальности и безопасности персональных и чувствительных данных. Общий регламент ЕС по защите данных (GDPR) и Закон США об ответственности и переносе данных о страховании здоровья граждан (HIPAA) являются одними из наиболее известных документов в этой сфере.

Организации, которые неправильно управляют киберрисками и допускают утечку данных, могут не только получить наказание от регулирующих органов, но и потерять доверие клиентов, партнеров и сотрудников и лишиться своей репутации.

Учитывая потенциальную серьезность последствий, советы директоров многих компаний заинтересованы в управлении киберрисками. Более того, многие директора несут прямую ответственность за эффективность кибербезопасности.

Как работает управление киберрисками?

Управление киберрисками требует стратегического подхода к кибербезопасности, который адаптирован к потребностям организации и способствует строгому комплаенсу. Стратегический подход включает в себя шесть обязательных компонентов, или областей. К ним относятся:

  • Идентификация и классификация активов на основе рисков. Необходимо получить полное представления обо всей поверхности атаки, чтобы узнать обо всех активах и данных, а затем защитить их от кибератак.
  • Анализ уязвимостей на основе рисков. Следует регулярно сканировать активы и тестировать их на наличие уязвимостей, особое внимание уделяя уязвимостям с наивысшим риском.
  • Оценка угроз на основе рисков. Требуется анализировать риски с учетом развивающегося ландшафта угроз и определять, какие угрозы потенциально наиболее опасны для критически важных активов организации.
  • Приоритизация рисков. При принятии решений и выборе продуктов по кибербезопасности следует учитывать разный уровень серьезности и срочности рисков.
  • Средства контроля на основе рисков и политики нулевого доверия. Применение фреймворков и архитектур на основе политики нулевого доверия позволяет сократить общую поверхность атаки и снизить риски.
  • Непрерывный мониторинг и совершенствование. Централизованная видимость по всей поверхности атаки поддерживает непрерывное управление рисками и адаптацию к развивающемуся ландшафту угроз.
proactive-risk

Что такое программа управления киберрисками?

Программа управления киберрисками предоставляет организациям структурированный способ проактивного выявления, оценки и снижения рисков кибербезопасности. Она включает в себя политики и процедуры, для которых требуется корпоративная платформа кибербезопасности.

Национальный институт стандартов и технологий США (NIST) опубликовал свою программу кибербезопасности как пример для организаций. Программа NIST ориентирована на результат — она помогает организациям определить, чего именно они хотят достичь путем управления киберрисками, а не диктует, как следует управлять киберрисками.

Программа NIST помогает организациям понимать и оценивать текущий статус безопасности, определять приоритеты рисков и действий, а также устанавливать единый способ информирования о мерах в сфере кибербезопасности как внутри компании, так и за ее пределами. 

Как реализовать управление киберрисками?

Государственные органы во многих странах разрабатывают пошаговые подходы к реализации программ управления киберрисками. Например, Национальный центр кибербезопасности Великобритании предлагает восьмиэтапный метод:

  1. Определение организационного контекста.
  2. Определение лиц, принимающих решения, процессов управления и ограничений.
  3. Определение проблем, связанных с кибербезопасностью.
  4. Выбор подхода.
  5. Понимание рисков и способов управления ими.
  6. Информирование и консультации.
  7. Реализация и контроль выполнения.
  8. Мониторинг и пересмотр.

Модель, предложенная в Великобритании, подчеркивает важность понимания не только поверхности атаки и ландшафта угроз, но и уникального контекста и условий в самой организации, включая сферу интересов и ценности бизнеса, ключевых заинтересованных лиц и конкретные риски. Например, компания в сфере финансовых услуг должна соблюдать требования по борьбе с мошенничеством и отмыванием денег, которые, скорее всего, не распространяются на промышленное предприятие. Зато предприятие управляет киберрисками в своей цепочке поставок.

Организации следует создать общую программу управления киберрисками и единое представление среды рисков (поверхности атаки). Для этого потребуется нескольких ключевых возможностей: во-первых, подход к кибербезопасности на основе нулевого доверия, а во-вторых — технология расширенного обнаружения и реагирования (XDR) для сбора и анализа данных о поверхности атаки.

Внедрение платформы кибербезопасности поможет реализовать принципы нулевого доверия. Комплексная платформа также включает в себя такие функции, как XDR, которые обеспечивает необходимые условия для управления киберрисками.

Как управление поверхностью атаки соотносится с управлением киберрисками?

Управление поверхностью атаки (ASM) является ключевым аспектом общего управления киберрисками. Как следует из названия, управление поверхностью атаки направлено на полный набор уязвимостей, точек доступа и векторов атак, через которые можно получить несанкционированный доступ к системам и данным организации.

Управление поверхностью атаки фокусируется на обнаружении, оценке и устранении рисков, связанных с поверхностью атаки, причем в идеале все три процесса выполняются непрерывно.

Обнаружение — это определение поверхности атаки и всех активов, которые ее составляют. Для этого требуется решение по управлению поверхностью атаки, которое будет сканировать ИТ-среду и выявлять все известные и неизвестные устройства, программное обеспечение, системы и точки доступа. Обнаружение также нацелено на выявление теневых ИТ-приложений, подключенных сторонних технологий и активов, которые ранее не оценивались.

Оценка — это процесс определения срочности и потенциальной серьезности рисков, связанных со всеми обнаруженными активами. Сюда входит количественная и балльная оценка рисков для расстановки приоритетов и объективного ранжирования уязвимостей и рисков.

Снижение рисков — это принятие мер по устранению обнаруженных уязвимостей. Для этого можно, например, обновить программное обеспечение или установить исправления, настроить средства безопасности и аппаратное обеспечение или реализовать защитную стратегию, например политику нулевого доверия. Кроме того, необходимо отказаться от старых систем и программного обеспечения.

Как найти помощь в управлении киберрисками?

Trend Micro Research и Институт Понемона разработали индекс киберрисков (CRI), предназначенный для исследования рисков и определения ключевых областей, в которых необходимо усовершенствовать систему кибербезопасности. Регулярно обновляемый CRI — показатель разности между текущим уровнем безопасности организации и вероятностью атаки. Используйте калькулятор CRI, чтобы оценить риски в вашей организации.

Trend Vision One™ предлагает революционное, централизованное и простое в использовании решение для управления киберрисками — Cyber Risk Exposure Management (CREM), объединяющее в себе такие ключевые возможности, как управление внешней поверхностью атаки (External Attack Surface Management, EASM), управление поверхностью атаки на киберактивы (Cyber Asset Attack Surface Management, CAASM), управление уязвимостями и управление состоянием безопасности — для облака, данных, идентификаторов, API, ИИ, комплаенса и SaaS-приложений. Оно позволяет не только управлять угрозами, но и обеспечивать устойчивость к реальным рискам.

Узнайте больше о том, как Cyber Risk Exposure Management поможет вам в выявлении, приоритизации и устранении угроз.