Управление киберрисками — это проактивный подход к кибербезопасности, ориентированный на прогнозирование и снижение рисков по всей поверхности атаки.
Управление киберрисками — это способ повысить ситуационную осведомленность организации в сфере кибербезопасности путем выявления, приоритизации и устранения угроз. Управление поверхностью атаки (ASM) является важным элементом управления киберрисками.
Управление киберрисками можно разделить на четыре части:
Управление киберрисками состоит из тех же трех этапов, что и управление поверхностью атаки: обнаружение, оценка и устранение рисков. Этап оценки включает балльную оценку рисков, на основе которой организация будет сопоставлять и отслеживать свой профиль риска с течением времени.
Национальный институт стандартов и технологий предлагает два разных, но связанных между собой определения:
Оба определения демонстрируют необходимость реализации проактивной системы управления киберрисками.
Почему так важно управлять киберрисками?
Поверхность атаки расширяется, а значит организации сталкиваются с огромным количеством киберрисков. Масштаб и сложность ландшафта угроз в течение многих лет вынуждали специалистов по безопасности реагировать на уже случившиеся инциденты, поскольку у них не было ни функций, ни аналитических данных, ни достаточной наблюдаемости, чтобы предотвращать угрозы.
В рамках общего подхода к управлению поверхностью атаки управление киберрисками дает сотрудникам полное представление о рисках, с которыми сталкиваются их организации. Надежная система управления киберрисками также помогает определять наиболее актуальные риски и принимать решения на основе этой информации, чтобы защититься от угроз.
Аналитическая информация позволяет специалистам по безопасности укреплять защиту, минимизировать уязвимости и предоставлять информацию для управления рисками и стратегического планирования.
Организации, неспособные эффективно управлять киберрисками, будут наказаны штрафами или судебными исками вплоть до уголовного разбирательства и тюремного заключения. Многие законы и нормативно-правовые акты содержат требования к своевременному информированию об утечке данных, а также к обеспечению конфиденциальности и безопасности персональных и чувствительных данных. Общий регламент ЕС по защите данных (GDPR) и Закон США об ответственности и переносе данных о страховании здоровья граждан (HIPAA) являются одними из наиболее известных документов в этой сфере.
Организации, которые неправильно управляют киберрисками и допускают утечку данных, могут не только получить наказание от регулирующих органов, но и потерять доверие клиентов, партнеров и сотрудников и лишиться своей репутации.
Учитывая потенциальную серьезность последствий, советы директоров многих компаний заинтересованы в управлении киберрисками. Более того, многие директора несут прямую ответственность за эффективность кибербезопасности.
Управление киберрисками требует стратегического подхода к кибербезопасности, который адаптирован к потребностям организации и способствует строгому комплаенсу. Стратегический подход включает в себя шесть обязательных компонентов, или областей. К ним относятся:
Программа управления киберрисками предоставляет организациям структурированный способ проактивного выявления, оценки и снижения рисков кибербезопасности. Она включает в себя политики и процедуры, для которых требуется корпоративная платформа кибербезопасности.
Национальный институт стандартов и технологий США (NIST) опубликовал свою программу кибербезопасности как пример для организаций. Программа NIST ориентирована на результат — она помогает организациям определить, чего именно они хотят достичь путем управления киберрисками, а не диктует, как следует управлять киберрисками.
Программа NIST помогает организациям понимать и оценивать текущий статус безопасности, определять приоритеты рисков и действий, а также устанавливать единый способ информирования о мерах в сфере кибербезопасности как внутри компании, так и за ее пределами.
Государственные органы во многих странах разрабатывают пошаговые подходы к реализации программ управления киберрисками. Например, Национальный центр кибербезопасности Великобритании предлагает восьмиэтапный метод:
Модель, предложенная в Великобритании, подчеркивает важность понимания не только поверхности атаки и ландшафта угроз, но и уникального контекста и условий в самой организации, включая сферу интересов и ценности бизнеса, ключевых заинтересованных лиц и конкретные риски. Например, компания в сфере финансовых услуг должна соблюдать требования по борьбе с мошенничеством и отмыванием денег, которые, скорее всего, не распространяются на промышленное предприятие. Зато предприятие управляет киберрисками в своей цепочке поставок.
Организации следует создать общую программу управления киберрисками и единое представление среды рисков (поверхности атаки). Для этого потребуется нескольких ключевых возможностей: во-первых, подход к кибербезопасности на основе нулевого доверия, а во-вторых — технология расширенного обнаружения и реагирования (XDR) для сбора и анализа данных о поверхности атаки.
Внедрение платформы кибербезопасности поможет реализовать принципы нулевого доверия. Комплексная платформа также включает в себя такие функции, как XDR, которые обеспечивает необходимые условия для управления киберрисками.
Как управление поверхностью атаки соотносится с управлением киберрисками?
Управление поверхностью атаки (ASM) является ключевым аспектом общего управления киберрисками. Как следует из названия, управление поверхностью атаки направлено на полный набор уязвимостей, точек доступа и векторов атак, через которые можно получить несанкционированный доступ к системам и данным организации.
Управление поверхностью атаки фокусируется на обнаружении, оценке и устранении рисков, связанных с поверхностью атаки, причем в идеале все три процесса выполняются непрерывно.
Обнаружение — это определение поверхности атаки и всех активов, которые ее составляют. Для этого требуется решение по управлению поверхностью атаки, которое будет сканировать ИТ-среду и выявлять все известные и неизвестные устройства, программное обеспечение, системы и точки доступа. Обнаружение также нацелено на выявление теневых ИТ-приложений, подключенных сторонних технологий и активов, которые ранее не оценивались.
Оценка — это процесс определения срочности и потенциальной серьезности рисков, связанных со всеми обнаруженными активами. Сюда входит количественная и балльная оценка рисков для расстановки приоритетов и объективного ранжирования уязвимостей и рисков.
Снижение рисков — это принятие мер по устранению обнаруженных уязвимостей. Для этого можно, например, обновить программное обеспечение или установить исправления, настроить средства безопасности и аппаратное обеспечение или реализовать защитную стратегию, например политику нулевого доверия. Кроме того, необходимо отказаться от старых систем и программного обеспечения.
Как найти помощь в управлении киберрисками?
Trend Micro Research и Институт Понемона разработали индекс киберрисков (CRI), предназначенный для исследования рисков и определения ключевых областей, в которых необходимо усовершенствовать систему кибербезопасности. Регулярно обновляемый CRI — показатель разности между текущим уровнем безопасности организации и вероятностью атаки. Используйте калькулятор CRI, чтобы оценить риски в вашей организации.
Trend Vision One™ предлагает революционное, централизованное и простое в использовании решение для управления киберрисками — Cyber Risk Exposure Management (CREM), объединяющее в себе такие ключевые возможности, как управление внешней поверхностью атаки (External Attack Surface Management, EASM), управление поверхностью атаки на киберактивы (Cyber Asset Attack Surface Management, CAASM), управление уязвимостями и управление состоянием безопасности — для облака, данных, идентификаторов, API, ИИ, комплаенса и SaaS-приложений. Оно позволяет не только управлять угрозами, но и обеспечивать устойчивость к реальным рискам.
Узнайте больше о том, как Cyber Risk Exposure Management поможет вам в выявлении, приоритизации и устранении угроз.