Поскольку ландшафт киберугроз постоянно меняется, плановые оценки кибербезопасности являются важным компонентом комплексной программы управления рисками. Ваша фирма должна постоянно следить за кибергигиеной всей своей экосистемы, включая сторонних и четвертых поставщиков. Оценка рисков кибербезопасности помогает вам сделать это, выявляя киберриски, влияющие на ваш уровень безопасности, что позволяет вам принимать более обоснованные решения о том, как распределять средства для реализации мер безопасности и защиты сети. Давайте рассмотрим некоторые из наиболее распространенных оценок рисков кибербезопасности и действия с инструментами, которые ваша компания может предпринять для проведения эффективной оценки:
Что такое оценка кибербезопасности?
Оценка кибербезопасности — это процесс, который определяет текущее состояние кибербезопасности вашей организации и рекомендует шаги для улучшения. Несмотря на то, что существует множество различных типов оценок, эта статья посвящена NIST SP 800-115: Внедрение мер безопасности для федеральных информационных систем (ICS) — Методология оценки безопасности, 2-е издание (SAM2). Цель здесь — предоставить некоторую справочную информацию о том, как работает SAM2, чтобы вы могли решить, подходит ли он для вашей конкретной ситуации.
Инструменты оценки кибербезопасности
Инструменты оценки кибербезопасности оценивают состояние кибербезопасности вашей компании. Оценка состоит из ряда вопросов, которые помогают определить текущее состояние кибербезопасности вашей организации, выявляют потенциальные риски и возможности и дают возможность оценить существующие средства контроля.
Оценка предназначена для проведения внешним оценщиком, который ранее не оценивал вашу организацию. На основе результатов оценки будет создан отчет об оценке, который может включать рекомендации по улучшению вашего состояния кибербезопасности.
Как вы проводите оценку кибербезопасности?
Первым шагом в проведении оценки кибербезопасности является понимание масштаба вашего проекта. Оценку кибербезопасности можно определить как анализ, учитывающий все аспекты информационной безопасности, включая сетевую и системную безопасность, разработку и внедрение приложений, модели авторизации пользователей (например, единый вход), а также политики и процедуры управления классификацией данных.
Объем вашей оценки должен включать следующее:
- Воздействие на бизнес в случае возникновения угрозы или уязвимости;
- Текущие уровни риска для каждой области, указанной выше;
- Насколько хорошо каждая область защищает от известных угроз? Если нет, определите, какие элементы управления, возможно, потребуется внедрить на основе действующих отраслевых стандартов/передовой практики;
- Какие еще области требуют внимания? Например: достаточно ли у нас возможностей для мониторинга нашего сетевого трафика? Достаточно ли видно, что клиенты делают в Интернете в рамках своей повседневной деятельности, не проходя через нас каждый раз, когда они входят в систему?
Контрольный список для оценки кибербезопасности
Вы можете использовать стандартный контрольный список оценки безопасности, чтобы убедиться, что вы охватываете все основы своей оценкой кибербезопасности. Это особенно важно при работе над большими проектами и командами, поскольку сокращает время, необходимое каждому человеку для выполнения своей части процесса.
Ниже приведен пример контрольного списка, который вы можете настроить и использовать по мере необходимости:
- NIST 800-53 (Computer Security Framework) — этот документ определяет минимальные требования к управлению информационной безопасностью на протяжении всего жизненного цикла организации. В нем описываются пять проблемных областей: оценка рисков, тестирование на проникновение, разработка и реализация плана реагирования на инциденты, разработка и реализация плана управления безопасностью объекта, возможность создания/обновления документа с руководящими принципами политики.
Что входит в оценку кибербезопасности?
Оценка безопасности — это процесс, в котором используются инструменты и методы для сбора информации о вашей сетевой среде. Хорошая оценка безопасности направлена на обеспечение максимальной безопасности данных, систем и приложений вашей организации.
Хорошая оценка безопасности включает в себя:
- Объем, график и стоимость оценки;
- Команда, которая будет ее выполнять;
- Подход, использованный для его проведения (например, ручное тестирование или сканирование уязвимостей);
- Инструменты/методы, используемые на этапах сбора, такие как сканирование портов или программное обеспечение для фаззинга;
- Люди, получающие результаты этой деятельности — т. е. конечные пользователи, которые проверяют свои машины один за другим (нет необходимости в ручном ведении журнала), партнеры/поставщики, которые получают отчеты непосредственно от нас через вложение(я) электронной почты.
Услуги по оценке кибербезопасности
Оценка безопасности — это систематический сбор данных для определения уровня риска и выявления слабых мест в информационной безопасности вашей организации. Цель оценки безопасности — выявить пробелы в текущих процессах и политиках вашей организации, а также оценить уязвимости, которыми могут воспользоваться хакеры.
Оценки безопасности могут проводиться с использованием программного обеспечения с открытым исходным кодом, такого как Nessus или Qualys' Vulnerability Management Suite (VMS), которое прямо сейчас дает вам моментальный снимок конфигурации вашей сети, или они могут быть переданы на аутсорсинг (например, посредством оценки кибербезопасности). Этот процесс имеет много преимуществ: он дешевле; обеспечивает обратную связь в режиме реального времени; нет проблем с привязкой к поставщику, потому что вы получаете доступ ко всем инструментам одновременно, и если у вас возникнут проблемы с каким-либо конкретным инструментом на этапе оценки, то может быть еще один, доступный бесплатно!
Пример отчета об оценке кибербезопасности
Отчет об оценке кибербезопасности — это документ, описывающий текущий уровень безопасности вашей организации и пробелы в нем. В нем также содержатся рекомендации по улучшению кибербезопасности вашей организации, включая внедрение передового опыта и технологий.
Отчет об оценке кибербезопасности должен включать следующее:
- Цель отчета (например, «Предоставить информацию о нашем текущем уровне защиты»)
- Описание того, какая информация будет включена (например, «Будут рассмотрены следующие темы:»)
- Список ссылок, используемых в этом документе, включая любые внешние ресурсы, к которым обращались во время его создания (например, «Доктор Джон Доу написал эту статью»).
Сколько времени занимает оценка кибербезопасности?
Это зависит от размера вашего бизнеса, типа оценки, которую вы хотите провести, и того, сколько времени у вас есть. Скорость, с которой будет выполняться каждая часть, также влияет на то, насколько быстро вы можете получить результаты от третьих лиц, поэтому, если они медленны с ответами или вообще не предоставляют никаких результатов, это может задержать другие проекты. на несколько дней или недель (в зависимости от того, сколько ресурсов задействовано). Если это произойдет, то иногда лучше попробовать еще раз с другим провайдером, пока не появится тот, который соответствует вашим потребностям!
Что такое оценка безопасности NIST?
NIST — это Национальный институт стандартов и технологий (NIST). Это нерегулирующее агентство в Министерстве торговли США, что означает, что оно не принимает законы и не обеспечивает соблюдение правительственных постановлений. Вместо этого NIST создает и публикует стандарты для зданий, электроники и программного обеспечения, включая стандарты информационной безопасности!
Слово «оценка» относится к процессу оценки, при котором организация оценивает свое текущее состояние по одному или нескольким указанным критериям или целям; затем принимает меры на основе этих выводов. Оценка безопасности может помочь организациям узнать об их уязвимостях, изучив прошлые нарушения или текущие угрозы, исходящие от киберпреступников; определить, достаточно ли у них ресурсов для предотвращения атак в будущем; определить области, в которых можно сделать улучшения, чтобы хакеры снова не потерпели неудачу — и многое другое!
Каковы три этапа плана оценки безопасности?
Оценка безопасности — это процесс, который включает сбор информации о вашей сети и клиентах, определение целей оценки, разработку подхода к сбору данных из разных источников и анализ результатов.
Первым этапом любой оценки безопасности является планирование. На этом этапе вы решите, какую информацию собирать для оценки состояния кибербезопасности вашей организации. Вы также можете подумать, кто будет участвовать в выполнении этой задачи и сколько времени потребуется каждому человеку (и их команде) для ее выполнения.
Как только ваш план был создан, пришло время для выполнения! На этом этапе все задачи, поставленные во время планирования, начнут работать над ними независимо или вместе, в зависимости от их уровня знаний.
Как начать оценку кибербезопасности?
Первым шагом в постановке целей является определение проблемы. Это может быть сложно, если вы никогда раньше этого не делали, но вы должны начать с четкого понимания того, чего ваша организация пытается достичь и каково ее текущее состояние.
После того, как вы определили проблему, пришло время установить измеримые результаты, чтобы помочь вашим сотрудникам понять, как они продвигаются к этим целям. Если возможно, старайтесь не полагаться на мнение других о том, насколько хорошо они справляются — вы всегда должны признавать ошибки и неудачи как отдельный человек или член команды (и не забывайте о себе!). Быть амбициозным, но реалистичным поможет добиться успеха здесь; подумайте о таких вещах, как: «Я хочу, чтобы уровень физической подготовки членов моей команды повысился на 20% в течение следующих шести месяцев».
Бесплатные инструменты для оценки кибербезопасности
Бесплатные инструменты могут быть полезны, если вам нужен быстрый обзор оценки кибербезопасности. Они покажут вам важную информацию о вашей сети и предоставят снимок того, где что находится. Однако эти инструменты не так подробны и надежны, как платные, поэтому они не дадут вам всех подробностей о том, насколько безопасна ваша среда.
Платные инструменты оценки кибербезопасности ценятся на вес золота, потому что они содержат больше деталей, чем бесплатные. Кроме того, они намного точнее оценивают уровни риска в различных частях инфраструктуры вашей компании (например, настольные и мобильные).
Ниже приведены лучшие бесплатные инструменты оценки кибербезопасности, которые вы должны проверить.
№1. Кали Линукс
Kali Linux — популярная операционная система для тестирования на проникновение, также известного как этический взлом. Он основан на Debian Linux и имеет более 600 предустановленных инструментов безопасности. Это делает его идеальным для тестирования безопасности сети или веб-приложения.
Kali может проверять безопасность сети или веб-приложения, проводя против него различные атаки (например, сканирование портов).
№ 2. Перейти на фишинг
Go phish — это набор фишинговых инструментов для тестировщиков на проникновение и обучения по вопросам безопасности. Он предоставляет возможность создавать реалистичные фишинговые электронные письма, веб-страницы и SMS-сообщения, которые можно использовать в оценивании или в классе.
Инструмент был создан Адриенн Портер Фелт, которая также создала популярную среду для пен-тестирования Metasploit Framework (MSF). Этот проект был направлен на то, чтобы облегчить людям, не имеющим большого опыта программирования, создание своих инструментов на основе API-интерфейсов MSF без необходимости сначала изучать, как эти API работают, — и именно это они и сделали!
№3. Защита
Defending — это веб-сканер безопасности, который использует OWASP Top 10, чтобы помочь вам найти и исправить уязвимости в ваших веб-приложениях. Его можно использовать для тестирования на проникновение и безопасность веб-приложений. Тем не менее, он написан на Python и имеет открытый исходный код, поэтому, если вам интересно узнать больше о его функциях, загляните на GitHub!
№ 4. Aircrack-нг
Aircrack-ng — это набор инструментов, которые можно использовать для аудита беспроводных сетей. Он используется для аудита безопасности WiFi и восстановления сетевых ключей и паролей.
Этот инструмент был первоначально разработан Саймоном Пашкой, который обнаружил, что шифрование WPA/WPA2 уязвимо для атак типа «отказ в обслуживании» (DoS) с использованием автоматизированного сценария, известного как «Aircrack». Первая версия Aircrack была выпущена в 2002 году Вихертом Аккерманом и Михалом Залевски.[4] В 2004 году Микко Хиппёнен создал новую версию под названием Airmon, которая поддерживает mon0 вместо mon0/1.[5] К 2007 году aircrack-ng был интегрирован в подключаемый модуль Kismet для Linux Shodan (первоначально выпущенный в 2006 году).
№ 5. Люкс «Отрыжка»
Burp Suite — это интегрированная платформа для тестирования безопасности веб-приложений. Он содержит набор инструментов, поддерживающих весь процесс тестирования, от перехвата и мониторинга трафика до создания отчетов о звонках.
Burp Suite может перехватывать, манипулировать и регистрировать HTTP, а также запросы и ответы для обеспечения безопасности веб-сайта или приложения. Он включает в себя такие функции, как:
- Прокси - Внедряет произвольные полезные нагрузки в живые сетевые подключения без специальных разрешений; также полезен при тестировании третьих сторон, таких как Twitter или LinkedIn (которые часто требуют специальных разрешений).
- Репитер – Позволяет легко повторять запросы несколько раз, используя разные входные данные; полезно при тестировании различных комбинаций параметров/заголовков и т. д., например, при изменении параметров GET между двумя разными URL-адресами путем повторения одного запроса несколько раз!
Обзор
В заключение следует отметить, что оценка кибербезопасности — это процесс, который помогает предприятиям оценить свою уязвимость к взлому и кражам. Оценка включает в себя проведение инвентаризации вашей сетевой инфраструктуры, оценку рисков, связанных с каждой системой, тестирование на наличие уязвимостей в этих системах и разработку, разработку плана действий по устранению любых проблем, прежде чем они станут более серьезными проблемами. Кроме того, важно постоянно проходить обучение, чтобы сотрудники знали, как лучше всего защитить себя от хакеров, которые могут попытаться украсть конфиденциальную информацию из систем вашей компании.
Часто задаваемые вопросы об оценке кибербезопасности
Что такое оценка кибербезопасности?
Автономное настольное приложение, которое помогает владельцам активов и операторам систематически оценивать операционные и информационные технологии.
Что такое контрольный список оценки рисков безопасности?
Предоставляет список угроз, влияющих на целостность, конфиденциальность и доступность активов организации.
Как вы выполняете оценку рисков кибербезопасности за 5 шагов?
- Шаг 1: Определите объем оценки рисков
- Шаг 2. Как определить риски кибербезопасности
- Шаг 3. Проанализируйте риски и определите потенциальное влияние
- Шаг 4: Определите риски и приоритезируйте их
- Шаг 5: Документируйте все риски
- ОЦЕНКА РИСКОВ КИБЕРБЕЗОПАСНОСТИ: все, что вам нужно знать
- КИБЕР ВЫМОЧИВАНИЕ: определение, освещение и примеры
- СИСТЕМА БЕЗОПАСНОСТИ БИЗНЕСА: что это такое, виды и стоимость
Рекомендации
