Оскільки ландшафт кіберзагроз постійно змінюється, регулярні оцінки кібербезпеки є важливим компонентом комплексної програми управління ризиками. Ваша фірма повинна весь час стежити за кібергігієною всієї своєї екосистеми, включаючи сторонніх і четвертих постачальників. Оцінка ризиків кібербезпеки допомагає вам це зробити, визначаючи кіберризики, які впливають на вашу безпеку, дозволяючи вам приймати більш обґрунтовані рішення про те, як розподілити кошти для впровадження заходів безпеки та захисту мережі. Давайте розглянемо деякі з найпоширеніших оцінок ризиків кібербезпеки та дії з інструментами, які ваша компанія може вжити для проведення ефективної оцінки:
Що таке оцінка кібербезпеки?
Оцінка кібербезпеки – це процес, який визначає поточний стан кібербезпеки вашої організації та рекомендує кроки для покращення. Хоча існує багато різних типів оцінювання, ця стаття зосереджена на NIST SP 800-115: Впровадження заходів безпеки для федеральних інформаційних систем (ICS) – Методика оцінки безпеки, 2-е видання (SAM2). Мета тут полягає в тому, щоб надати певну довідкову інформацію про те, як працює SAM2, щоб ви могли вирішити, чи підходить він для вашої конкретної ситуації.
Інструменти оцінки кібербезпеки
Інструменти оцінки кібербезпеки оцінюють стан кібербезпеки вашої компанії. Оцінка складається з низки запитань, які допомагають визначити поточний стан кібербезпеки вашої організації, визначити потенційні ризики та можливості, а також надають можливість оцінити існуючі засоби контролю.
Оцінювання призначено для виконання стороннім експертом, який раніше не оцінював вашу організацію. На основі результатів оцінки буде створено звіт про оцінку, який може включати рекомендації щодо покращення стану вашої кібербезпеки.
Як ви проводите оцінку кібербезпеки?
Першим кроком у проведенні оцінки кібербезпеки є розуміння масштабів вашого проекту. Оцінку кібербезпеки можна визначити як аналіз, який розглядає всі аспекти інформаційної безпеки, включаючи мережеву та системну безпеку, розробку та впровадження додатків, моделі авторизації користувачів (наприклад, єдиний вхід), а також політики та процедури керування класифікацією даних.
Обсяг вашої оцінки має включати наступне:
- Вплив на бізнес у разі виникнення загрози або вразливості;
- Поточний рівень ризику для кожної сфери, зазначеної вище;
- Наскільки добре кожна область захищає від відомих загроз? Якщо ні, визначте, які засоби контролю необхідно запровадити на основі поточних галузевих стандартів/найкращої практики;
- Які ще сфери потребують уваги? Наприклад: чи маємо ми достатньо можливостей для моніторингу нашого мережевого трафіку? Чи є достатня інформація про те, що клієнти роблять онлайн у своїй повсякденній діяльності, не звертаючись до нас кожного разу, коли вони входять у систему?
Контрольний список для оцінки кібербезпеки
Ви можете скористатися стандартним контрольним списком оцінки безпеки, щоб переконатися, що ви охоплюєте всі основи вашої оцінки кібербезпеки. Це особливо важливо під час роботи над великими проектами та командами, оскільки це скорочує час, необхідний кожній людині для виконання своєї частини процесу.
Нижче наведено зразок контрольного списку, який можна налаштувати та використовувати за потреби:
- NIST 800-53 (Структура комп’ютерної безпеки) – цей документ визначає мінімальні вимоги до управління безпекою інформації протягом життєвого циклу організації. У ньому описано п’ять проблемних областей: оцінка ризиків, тестування на проникнення, розробка та реалізація плану реагування на інциденти, розробка та впровадження плану управління безпекою об’єкта, можливість створення/оновлення документу про політику
Що входить в оцінку кібербезпеки?
Оцінка безпеки – це процес, який використовує інструменти та методи для збору інформації про ваше мережеве середовище. Хороша оцінка безпеки має на меті гарантувати, що дані, системи та програми вашої організації є максимально захищеними.
Хороша оцінка безпеки включає:
- Обсяг, графік і вартість оцінки;
- Команда, яка її виконуватиме;
- Підхід, використаний для його проведення (наприклад, тестування пера або сканування вразливостей);
- Інструменти/техніки, що використовуються на етапах збору, наприклад сканування портів або програмне забезпечення для фаззингу;
- Люди, які отримують результати від цієї діяльності – наприклад, кінцеві користувачі, які переглядають свої машини по черзі (не потрібно реєструвати вручну), партнери/постачальники, які отримують звіти безпосередньо від нас у вигляді вкладень електронної пошти.
Послуги з оцінки кібербезпеки
Оцінка безпеки — це систематичний збір даних для визначення рівня ризику та виявлення слабких місць в інформаційній безпеці вашої організації. Метою оцінки безпеки є виявлення прогалин у поточних процесах і політиках вашої організації, а також оцінка вразливостей, якими можуть скористатися хакери.
Оцінку безпеки можна проводити за допомогою програмного забезпечення з відкритим вихідним кодом, наприклад Nessus або Vulnerability Management Suite (VMS) від Qualys, яке дає вам моментальний знімок конфігурації вашої мережі прямо зараз, або їх можна передати аутсорсингу (наприклад, за допомогою оцінки кібербезпеки). Цей процес має багато переваг: він дешевший; забезпечує зворотній зв'язок у реальному часі; немає проблем з блокуванням постачальника, тому що ви отримуєте доступ до всіх інструментів одночасно, і якщо у вас виникнуть проблеми з будь-яким конкретним інструментом на етапі оцінки, можливо, буде інший доступний безкоштовно!
Приклад звіту про оцінку кібербезпеки
Звіт про оцінку кібербезпеки – це документ, який описує поточний стан безпеки вашої організації та прогалини в ньому. Він також містить рекомендації щодо покращення кібербезпеки вашої організації, зокрема впровадження найкращих практик і технологій.
Звіт про оцінку кібербезпеки повинен містити наступне:
- Мета звіту (наприклад, «Надати інформацію про наш поточний рівень захисту»)
- Опис того, яку інформацію буде включено (наприклад, «Будуть розглянуті наступні теми»)
- Список посилань, використаних у цьому документі, включно з будь-якими зовнішніми ресурсами, які використовувалися під час його створення (наприклад, «Доктор Джон Доу написав цю статтю»).
Скільки часу займає оцінка кібербезпеки?
Це залежить від розміру вашого бізнесу, типу оцінки, який ви хочете зробити, і того, скільки часу у вас є. Швидкість, з якою буде виконана кожна частина, також впливає на те, наскільки швидко ви зможете отримати результати від третьої сторони, тому, якщо вони повільно відповідають або взагалі не надають жодних результатів, це може затримати інші проекти триває кілька днів або тижнів (залежно від того, скільки ресурсів задіяно). Якщо це станеться, іноді краще спробувати знову з іншим постачальником, поки не з’явиться той, хто відповідає вашим потребам!
Що таке оцінка безпеки NIST?
NIST — Національний інститут стандартів і технологій (NIST). Це нерегуляторне агентство Міністерства торгівлі США, що означає, що воно не створює законів і не забезпечує виконання державних постанов. Натомість NIST створює та публікує стандарти для будівель, електроніки та програмного забезпечення, включаючи стандарти інформаційної безпеки!
Слово «оцінка» відноситься до процесу оцінювання, коли організація оцінює свій поточний стан за одним або декількома визначеними критеріями чи цілями; потім вживає заходів на основі цих висновків. Оцінка безпеки може допомогти організаціям дізнатися про свої вразливі місця, дивлячись на минулі порушення або поточні загрози, створені кіберзлочинцями; визначити, чи мають вони достатньо ресурсів для запобігання майбутнім атакам; визначте області, де можна було б зробити покращення, щоб хакери знову зазнали невдач – і багато іншого!
Які три етапи плану оцінки безпеки?
Оцінка безпеки – це процес, який передбачає збір інформації про вашу мережу та клієнтів, визначення цілей оцінки, розробку підходу до збору даних із різних джерел та аналіз результатів.
Першим етапом будь-якої оцінки безпеки є планування. На цьому етапі ви вирішуєте, яку інформацію збирати, щоб оцінити стан кібербезпеки вашої організації. Ви також можете розглянути, хто буде залучений до виконання цього завдання та скільки часу знадобиться кожній людині (і їхній команді) для його виконання.
Коли ваш план створено, настав час його виконання! На цьому етапі всі ті, хто отримав завдання під час планування, почнуть працювати над ними незалежно або разом, залежно від рівня їхньої кваліфікації.
Як розпочати оцінювання кібербезпеки?
Першим кроком у постановці цілей є визначення проблеми. Це може бути важко, якщо ви ніколи раніше цього не робили, але ви повинні почати з чіткого розуміння того, чого ваша організація намагається досягти, і який її поточний стан.
Коли ви визначите проблему, настав час встановити вимірні результати, щоб допомогти вашим співробітникам зрозуміти, як вони просуваються до цих цілей. Якщо це можливо, намагайтеся не покладатися на те, наскільки добре вони почувають себе, — ви завжди повинні визнавати помилки та невдачі як окрема особа чи член команди (і не забувайте про себе!). Будучи амбіційним, але реалістичним, ви досягнете успіху тут; подумайте про такі речі, як: «Я хочу, щоб рівень фізичної підготовки членів моєї команди підвищився на 20% протягом наступних шести місяців».
Безкоштовні інструменти оцінки кібербезпеки
Безкоштовні інструменти можуть бути корисними, якщо вам потрібен короткий огляд кібербезпеки. Вони покажуть вам важливу інформацію про вашу мережу та нададуть короткий знімок того, де вони знаходяться. Однак ці інструменти не такі детальні та надійні, як платні, тому вони не дадуть вам усіх деталей про те, наскільки безпечним є ваше середовище.
Платні інструменти оцінки кібербезпеки на вагу золота, оскільки вони містять більше деталей, ніж безкоштовні. Вони також набагато точніші при оцінці рівнів ризику в різних частинах інфраструктури вашої компанії (наприклад, комп’ютер чи мобільний).
Нижче наведено найкращі добірки безкоштовних інструментів оцінки кібербезпеки, якими варто ознайомитися.
#1. Kali Linux
Kali Linux — це популярна операційна система для тестування на проникнення, також відома як етичне хакерство. Він заснований на Debian Linux і має понад 600 попередньо встановлених інструментів безпеки. Це робить його ідеальним для перевірки безпеки мережі або веб-програми.
Kali може перевірити безпеку мережі або веб-програми, здійснюючи різні атаки на них (наприклад, сканування портів).
#2. Ідіть на фішинг
Go phish — це набір інструментів для фішингу для тестувальників проникнення та навчання з питань безпеки. Він надає можливість створювати реалістичні фішингові електронні листи, веб-сторінки та SMS-повідомлення, які можна використовувати під час оцінювання чи навчання в класі.
Інструмент був створений Едріенн Портер Фелт, яка також створила популярну структуру для тестування пера Metasploit Framework (MSF). Цей проект мав на меті полегшити людям, які не мають великого досвіду програмування, створення своїх інструментів на основі API MSF без необхідності попередньо вивчати, як ці API працюють, і це саме те, що вони зробили!
#3. Захищаючись
Defending — це веб-сканер безпеки, який використовує топ-10 OWASP, щоб допомогти вам знайти та усунути вразливості у ваших веб-додатках. Його можна використовувати для тестування безпеки проникнення та веб-додатків. Тим не менш, він написаний на Python і з відкритим вихідним кодом, тож якщо вам цікаво дізнатися більше про його функції, перегляньте їхню зовнішню станцію на GitHub!
#4. Aircrack-ng
Aircrack-ng — це набір інструментів, які можна використовувати для аудиту бездротових мереж. Він використовується для перевірки безпеки WiFi і відновлення мережевих ключів і паролів.
Інструмент був спочатку розроблений Саймоном Пашкою, який виявив, що шифрування WPA/WPA2 було вразливим до атак відмови в обслуговуванні (DoS) за допомогою автоматизованого сценарію, відомого як «Aircrack». Перша версія Aircrack була випущена в 2002 році Віхертом Аккерманом і Міхалом Залевським.[4] У 2004 році Мікко Гіппьонен створив нову версію під назвою Airmon, яка підтримує mon0 замість mon0/1.[5] До 2007 року aircrack-ng було інтегровано в плагін Kismet для Linux Shodan (спочатку випущений у 2006 році).
#5. Burp Suite
Burp Suite — це інтегрована платформа для тестування безпеки веб-додатків. Він містить набір інструментів, які підтримують весь процес тестування, від перехоплення та моніторингу трафіку до створення звіту ding.
Burp Suite може перехоплювати, маніпулювати та реєструвати HTTP, а також запити та відповіді для забезпечення безпеки веб-сайту чи програми. Він включає такі функції, як:
- Проксі - Впроваджує довільні корисні дані в живі мережеві з’єднання без спеціальних дозволів; також корисно для тестування третіх сторін, таких як Twitter або LinkedIn (для яких часто потрібні спеціальні дозволи).
- Повторювач – Дозволяє легко повторювати запити кілька разів, використовуючи різні вхідні дані; корисно під час випробування різних комбінацій параметрів/заголовків тощо, наприклад, зміни параметрів GET між двома різними URL-адресами, повторюючи один запит кілька разів!
Підсумки
На завершення слід зазначити, що оцінка кібербезпеки – це процес, який допомагає підприємствам оцінити свою вразливість до злому та крадіжки. Оцінка включає проведення інвентаризації вашої мережевої інфраструктури, оцінку ризиків, пов’язаних із кожною системою, перевірку вразливостей у цих системах і розробниках, розробку плану дій для вирішення будь-яких проблем, перш ніж вони стануть більш серйозними. Крім того, дуже важливо мати постійне навчання, щоб співробітники знали, як найкраще захистити себе від хакерів, які можуть спробувати викрасти конфіденційну інформацію з систем вашої компанії.
Поширені запитання щодо оцінки кібербезпеки
Що таке оцінка кібербезпеки?
Окрема настільна програма, яка проводить власників і операторів активів через систематичний процес оцінки операційних та інформаційних технологій.
Що таке контрольний список оцінки ризиків безпеки?
Надає список загроз, що впливають на цілісність, конфіденційність і доступність активів організації.
Як виконати оцінку ризиків кібербезпеки за 5 кроків?
- Крок 1: Визначте обсяг оцінки ризику
- Крок 2: Як визначити ризики кібербезпеки
- Крок 3: Проаналізуйте ризики та визначте потенційний вплив
- Крок 4: Визначте та визначте пріоритети ризиків
- Крок 5: Документуйте всі ризики
- ОЦІНКА РИЗИКУ КІБЕРБЕЗПЕКИ: усе, що вам потрібно знати
- КІБЕРЗИГАРСТВО: визначення, покриття та приклади
- СИСТЕМА БЕЗПЕКИ ПІДПРИЄМСТВА: що це таке, види та вартість
посилання
