Защитники не оцениваются по чистым победам или поражениям. Вторжения будут происходить, и их задача — не допустить ухудшения ситуации.
Филипп Тур/Getty Images Plus через Getty Images
Успех — это непостоянная и часто неосязаемая цель в области кибербезопасности. В конце концов, не так уж много профессий работают с позиции слабости.
Правозащитники с готовностью признают, что вопрос не в том, подвергнется ли организация нападению, а в том, когда именно. Это определяет нюансы успеха в кибербезопасности — плохие вещи могут и будут происходить, но всегда может быть и хуже.
Конечной целью защитников является предотвращение наихудших сценариев — чем менее значимым становится инцидент, тем лучше.
“Реальность такова, что большинство организаций, к сожалению, сталкиваются с инцидентами того или иного типа. По-настоящему важно, во что превращаются подобные инциденты”, — сказал генеральный директор Arctic Wolf Ник Шнайдер.
На первый взгляд, это предположение может показаться не самым оптимистичным, но с ним готов согласиться каждый специалист по кибербезопасности.
Каждый раз, когда защитник может снизить риск или остановить кровотечение до того, как инцидент превратится в гноящуюся рану, это хороший день для защиты. кибербезопасность.По словам технического директора CrowdStrike Элии Зайцева, очень изощренные киберпреступники или злоумышленники из национальных структур, обладающие практически неограниченными ресурсами, которым достаточно один раз все исправить, смогут преодолеть определенный уровень безопасности или контроля. “Скорость — это, в конечном счете, секрет успеха, если ты захочешь. Именно так вы предотвращаете перерастание инцидента в нарушение правил. Вы должны действовать быстрее противника”, — сказал Зайцев.
Инвестиции могут укрепить оборону
То, как бизнес распределяет ресурсы и расставляет приоритеты в области безопасности во всей организации, играет важную роль в достижении постепенного успеха, поскольку это относится к конечным результатам, считают эксперты «Успешные руководители в области безопасности могут неразрывно связать усилия и инвестиции своего подразделения с результатами бизнеса», — говорит Джесс Берн, главный аналитик Forrester.По словам Берна, крайне важно продемонстрировать, как инвестиции в безопасность способствуют увеличению доходов таким образом, чтобы это находило отклик у коллег-руководителей.
Необходимость доказать, что кибербезопасность — это центр прибыли, а не затрат, растет по мере того, как CISO продвигаются вверх по организационной структуре, а бюджеты на обеспечение безопасности продолжают расти, в то время как другие сокращаются, заявили аналитики Forrester в ежегодном отчете о рекомендациях по программам безопасности, опубликованном в прошлом месяце.Согласно последнему прогнозу Gartner по этому сектору, глобальные расходы на безопасность и управление рисками, по прогнозам, достигнут 210 миллиардов долларов в 2024 году, что на 13% больше, чем в 2023 году.
Gartner ожидает, что глобальные расходы на безопасность также увеличатся почти на 13% в 2025 году, приблизившись к 237 миллиардам долларов.
Главная задача руководителей и защитников безопасности в целом — определить, как и где эти затраты оборачиваются ценными выгодами для бизнеса.
Доля технологических средств, выделяемых на кибербезопасность, также растет. Организации заявили, что в 2023 году они выделили 8% своих технологических бюджетов на кибербезопасность, по сравнению с 5% в 2019 году, согласно данным Moody’s cyber survey за 2023 год.
Поддержание всесторонней и надлежащей системы безопасности отвечает требованиям клиентов и требованиям киберстрахования, которые, по словам Forrester, составляют основу бизнес-моделей корпоративной безопасности.По словам Форрестера, руководители служб безопасности также могут использовать соблюдение нормативных требований в своих интересах, подсчитав, во сколько обходится выполнение перекрестных нормативных требований и какой доход приносит каждая вертикаль, регион или сегмент рынка, которым удовлетворяют эти правила.
Администрирование программы пропорциональной безопасности имеет важное значение. Хитрость бизнес-лидеров заключается в том, чтобы правильно выбрать время.
“Один из принципов бизнеса заключается в том, что вы не тратите ничего, что вам абсолютно не нужно, до тех пор, пока это вам не понадобится”, — сказала Венди Натер, директор по стратегическому взаимодействию в Cisco.
Когда специалисты по безопасности подталкивают руководство тратить больше денег и времени на защиту, Натер говорит, что руководители обычно спрашивают, является ли необходимость срочной, стоит ли инвестировать или в данный момент может быть достаточно половинчатой меры.“Вот почему успех так трудно поддается определению”, — сказал Нейтер. “Внедрение — это действительно сложная часть”.
Измерение успеха с помощью нюансов
Простых ответов для определения или измерения успеха в области кибербезопасности не существует, и это во многом зависит от каждого конкретного случая. конкретный домен, по словам Фила Венейблса, вице-президента Google Cloud и CISO.
“Лично я смотрю на это так: в этом нет ничего удивительного», — сказал Венейблс.“Что расстраивает меня как руководителя, так это когда случается что-то плохое, и это совершенно неожиданно, и мне кажется, что мы должны были об этом знать”, — сказал он. “Я всегда расстраиваюсь из—за неожиданностей”.
Еще одним ключевым показателем является среднее время реагирования организации — сколько времени требуется предприятию, чтобы полностью определить масштабы вторжения, загрузить злоумышленника из среды и провести анализ первопричин, чтобы определить, как злоумышленник отреагировал. взломал их систему.Согласно ежегодному отчету Google Cloud Security о тенденциях M-Trends, опубликованному на этой неделе компанией Mandiant, время обнаружения вторжений в прошлом году сократилось до самого низкого уровня более чем за десятилетие и составило в среднем 10 дней по сравнению с 16 днями в 2022 году.
“Если я смогу идентифицировать, охватить, рассортировать и обезвредить противника до того, как он успеет сбежать, я все равно выиграю как защитник”, — сказал Зайцев. “Противник не достиг того, что он называет своими действиями по достижению цели”.
Работа по очистке после нападения имеет не меньшее значение. Как только точка проникновения выявлена, организации должны быстро устранить ее, чтобы злоумышленники не смогли вернуться и начать последующие атаки.
“Кибербезопасность, как и большинство вещей в жизни, связана с риском», — сказал Шнайдер. “Мы считаем, что если вы можете свести к минимуму вероятность и последствия, то вы делаете очень хорошую работу”.