Требуются пастырские сердца
Несколько лет назад нам с женой оплатили поездку в Турцию и Грецию. Во время того путешествия один турист спросил другого: «Какое мясо мы ели на обед?» Тот ответил: «Не знаю, но оно было оч-ч-чень даже неплохое». В разных местах мы ели рыбу, цыплят и говядину, но чаще всего — баранину. В тех странах люди разводят, главным образом, овец. Тем же самым в тех краях народ занимался и в библейские времена.
Женщины и обучение
Павел, наставляя молодых проповедников распространять евангелие, советует им также обучать членов церкви. В Тит. 2 он конкретизирует, чему Тит должен учить старцев и стариц, молодых женщин и юношей. Тит должен был учить этих людей, чтобы и они тоже могли стать учителями. Более старшие женщины должны были помогать учить более молодых: “...добру, чтобы вразумляли молодых любить мужей, любить детей, быть целомудренными, чистыми, попечительными о доме, добрыми, покорными своим мужьям, да не порицается слово Божие” (Тит. 2:3-5).
Кто может быть лучшим учителем для молодых женщин, чем более старшая, более опытная женщина? Любой благовестник поступит наилучшим образом, если предложит зрелым женщинам в церкви вести регулярные занятия с более молодыми женщинами, а также индивидуально консультировать их, когда возникает в этом потребность.
Достаточно одного стиха, который говорит нам, что женщинам нельзя проповедовать, то есть со всей властью обращаться к общему собранию церкви. В 1 Тим. 2:11, 12 мы читаем: “Жена да учится в безмолвии, со всякою покорностью; а учить жене не позволяю, ни властвовать над мужем, но быть в безмолвии”. Женщине велено быть хипотаге, “подвластной”, или “подчиненной”, когда она получает наставление “со всякою покорностью”. “Властвует”, или имеет “всю власть” (греч. эпитаге) - диаметрально противоположная идея - только проповедник, стоящий за кафедрой.
Многие христианки - замечательные учителя других женщин и детей, но их место - не за кафедрой. Бог определенно высказался по этому вопросу.
Руководство по выбору безопасных и доверенных технологий
Ещё один документ о методах обеспечения кибербезопасности — ведь миру нужно больше рекомендаций, так ведь? «Выбор безопасных и поддающихся проверке технологий» — это руководство для организаций, которые по уши в цифровых продуктах и услугах, но, похоже, не могут самостоятельно разобраться во всех аспектах безопасности. В нем есть все: от радостей навигации по прозрачности производителей (потому что они всегда так откровенны) до катания на американских горках, связанных с рисками цепочки поставок (внимание, спойлер: это потрясающе!).
И кто целевая аудитория документа? Не только лишь всё! Но ключевая — руководители высокого уровня, которым необходимо обосновать свой бюджет на кибербезопасность, ИТ-менеджерах, которые живут ради расшифровки очередной матрицы оценки рисков, и специалистах по закупкам, у которых голова идёт кругом от контрольных списков соответствия. Но давайте не будем забывать о производителях — им будет интересно узнать обо всех трудностях, которые им придётся преодолеть, чтобы доказать, что их технология так же безопасна, как говорит их маркетинговый отдел и отдел продаж.
Поэтому, независимо от того, хотите ли вы обеспечить национальную безопасность или просто не допустить, чтобы данные вашей компании попали в заголовки газет, этот документ обещает провести вас по джунглям кибербезопасности. Просто помните, что это не контрольный список — это образ жизни, ведь не будут же авторы документа брать на себя какую бы то ни было ответственность.
-----
документ «Choosing Secure and Verifiable Technologies» содержит анализ основных аспектов выбора защищённых цифровых продуктов и услуг и охватывает различные области, включая принципы безопасности при проектировании, прозрачность производителя, управление рисками, риски цепочки поставок и рекомендации после покупки, такие как политика технического обслуживания и окончания срока службы. Каждый раздел предлагает подробное изучение стратегий и практик, повышающих безопасность и достоверность технологических закупок.
Этот документ особенно полезен специалистам по кибербезопасности, ИТ-менеджерам и специалистам по закупкам в различных отраслях. Он служит ценным ресурсом, поскольку в нем описываются необходимые шаги для обеспечения того, чтобы приобретённые технологии не только соответствовали текущим стандартам безопасности, но и соответствовали текущим методам обеспечения безопасности для уменьшения будущих уязвимостей. Этот анализ направлен на принятие обоснованных решений, защищающих данные организации и инфраструктуру от потенциальных киберугроз, тем самым повышая общую устойчивость бизнеса. Интегрируя эти методы, специалисты из различных секторов могут значительно снизить риски, связанные с цифровыми технологиями, и повысить безопасность их эксплуатации.
Подробный разбор
Risk-Based Approach to Vulnerability Prioritization by Health-ISAC
Основное внимание в документе «Health-ISAC: Risk-Based Approach to Vulnerability Prioritization» уделяется пропаганде более тонкого и риск-ориентированного подхода к бесполезно-полезной задаче управления уязвимостями. И всё это в мире, где количество уязвимостей настолько велико, что это может довести любого, кто попытается их все исправить, до нервного срыва. Решение видится «радикальным» и инновационным — расставлять приоритеты на основе реального риска, а не просто бегать, как безголовый всадник, пытаясь справиться с оценкой CVSS пока с неба падают апокалиптичные коты.
В документе признается абсурдность традиционного подхода «это надо было исправить ещё вчера», учитывая, что только 2–7% опубликованных уязвимостей когда-либо эксплуатировались. Это все равно что каждый день готовиться ко всем возможным стихийным бедствиям, а не только к тем, которые, скорее всего, обрушатся на ваш район. В документе представлен набор методов, в том числе EPSS и SSVC, которые призваны помочь организациям разобраться в хаосе уязвимостей со снайперской точностью (ну или обесточить всё).
По сути, документ представляет собой призыв к организациям принять более стратегический, целенаправленный подход, учитывающий такие факторы, как фактическая возможность использования уязвимости, стоимость активов, подверженных риску, и то, находится ли уязвимый объект в Интернете или скрывается за уровнями контроля безопасности. Документ в очередной раз пытается продать идею работать умнее, а не усерднее, в кибербезопасном эквиваленте бесконечной игры в тетрис, где кубики просто летят все быстрее и быстрее.
Ключевые выводы
Итак, давайте погрузимся в захватывающий мир управления уязвимостями. Если вы молодая организация, у вас может возникнуть соблазн устранить все критические и близкие к ним уязвимости с помощью системы оценки в выбранном инструменте сканирования. Это все равно что пытаться купить весь фондовый рынок в попытке диверсифицироваться.
Не всегда требуется пользоваться самые критичными уязвимостями; вместо этого набор из менее критичных уязвимостей могут объединить в цепочку эксплойтов, чтобы получить доступ к системам.
Документ напоминает, что также необходимо учитывать сетевое расположение «активов». Уязвимости и неправильные настройки всегда должны быть в приоритете, иначе вашей компании стоит обратиться к дизайнерам за неоновой вывеской приглашающей зайти в клуб повеселиться.
Также не будем забывать об игре в «Монополию», т. е. о стоимости активов, только вместо собственности вы имеете дело с активами организации. Если устройство, имеющее первостепенное значение для функционирования бизнеса или содержащее критически важную информацию, будет скомпрометировано, вас мало будут беспокоить остальное (поэтому уберите бутылку виски с кнопки DELETE).
В то же время, важно думать о снижении риска в случае применения уязвимости. В идеале — уязвимость должна сработать в песочнице и не оказать никакого эффекта на другие узлы и устройства. Так что нанимайте серьёзных ребят, которые будут яростно выкидывать железо из окон в качестве компенсационных мер.
Наконец, есть система оценки прогнозирования эксплойтов (EPSS) и классификация уязвимостей для конкретных заинтересованных сторон (SSVC). EPSS подобен хрустальному шару, предсказывающему вероятность того, что уязвимость будет использована в реальности. SSVC, с другой стороны, подобен персонализированной дорожной карте, ориентированной на ценности, включая статус использования уязвимости в системе безопасности, её влияние на неё и распространённость затронутых продуктов.
Такой подход позволяет высвободить больше времени и на другие задачи и проблемы организации ну, или же, весело провести время на американских горках.
Подробный разбор
«Navigating the Maze of Incident Response» by Microsoft Security
Документ Microsoft под названием «Navigating Incident Response» содержит руководство по эффективной стратегии и тактике реагирования на инциденты (IR). В нем подчёркивается важность людей и процессов при реагировании на инцидент в области кибербезопасности.
Инциденты кибербезопасности так же неизбежны, как разрядка аккумулятора телефона в самый неподходящий момент. И точно так же, как нужен план на случай, если телефон выйдет из строя (может быть, купить power bank?), нужен план на случай возникновения кибератак. Данное руководство полностью посвящено этому плану, уделяя особое внимание людям и процессам, задействованным в эффективном реагировании на инцидент.
Сейчас, когда корпоративные сети увеличиваются в размерах и становятся сложнее, обеспечить их безопасность становится довольно-таки трудной задачей (а ведь можно просто забить). А процесс реагирования на инциденты превращается в игру лабиринт из которых, ну вы поняли, выход — это руководство Microsoft (а ведь только у четверти организаций есть план реагирования на инциденты, и вы ещё не в их числе).
Руководство, разработанное группой реагирования на инциденты Microsoft, призвано помочь избежать распространённых ошибок и предназначено не для замены комплексного планирования реагирования на инциденты, а скорее для того, чтобы служить тактическим руководством, помогающим как группам безопасности, так и старшим заинтересованным сторонам ориентироваться в расследовании реагирования на инциденты.
В руководстве также описывается жизненный цикл реагирования на инциденты, который включает подготовку, обнаружение, локализацию, ликвидацию, восстановление и действия после инцидента или извлечённые уроки. Это как рецепт борьбы со стихийными бедствиями, где каждый шаг столь же важен, как и следующий.
В руководстве также подчёркивается важность управления и роли различных заинтересованных сторон в процессе реагирования на инциденты.
Ключевые выводы:
❇️Инциденты кибербезопасности неизбежны: Документ начинается с новаторского заявления о том, что инциденты кибербезопасности, по сути, неизбежны. Как будто мы живём в мире, где киберугрозы не являются ежедневным явлением
❇️Только 26% организаций имеют постоянно применяемый IR-план: в документе приводится исследование IBM согласно которому у 26% организаций есть постоянно применяемый план реагирования на инциденты. Отрадно сознавать, что почти три четверти организаций решило эффективно сэкономить материальные ресурсы
❇️Важность реагирования на инциденты, ориентированного на людей: в документе подчёркивается важность подхода к реагированию на инциденты. Речь идёт не только о технологиях, но и о людях, которые их используют. Хорошо, что у нас есть это руководство, которое напоминает нам, как люди вовлечены в процессы и что всегда найдётся чем людей занять и HR-отдел для поиска новых людей под новые вовлечения
❇️Необходимость чётких ролей и обязанностей: в документе подчёркивается важность чётких ролей и обязанностей при реагировании на инциденты. Люди работают лучше, когда знают, что они должны делать, а ведь руководство до сих пор верит, что сотрудники могут обо всём догадаться, но Microsoft учтиво напоминает прописные истины.
❇️«Лабиринт реагирования на инциденты»: в документе процесс реагирования на инциденты сравнивается с перемещением по лабиринту. Потому что ничто так не говорит об «эффективном процессе», как структура, созданная для того, чтобы сбивать с толку и направлять по ложному пути (отдел продаж уже получил премию за IR-руководство, а вы?)
❇️Важность сохранения доказательств: в документе подчёркивается важность сохранения доказательств после нарушения. Хорошо, что они упомянули об этом, иначе мы могли бы просто выбросить все эти ценные данные
❇️Необходимость в модели реагирования: в документе предлагается, чтобы организации определили модель реагирования для управления инцидентом (займитесь делом уже).
❇️Потребность в выделенных ресурсах: в документе предлагается, чтобы организации выделяли ресурсы для реагирования на инциденты. Потому что, очевидно, просить свою ИТ-команду разобраться с крупным инцидентом в сфере кибербезопасности в свободное время, как подход, уже не прокатывает.
❇️Важность коммуникации: В документе подчёркивается важность коммуникации во время инцидента кибербезопасности. Людей важно держать в курсе событий во время кризиса или и других значимых событий (но, если бы они хотели, они бы сами догадались).
Итак, как организации могут гарантировать, что их план реагирования на инциденты будет достаточно гибким, чтобы адаптироваться к меняющимся обстоятельствам? Очевидно, что никак, как с погодой, но вы можете подготовиться к ней.
❇️Регулярно пересматривать и обновлять план: ландшафт угроз меняется быстрее, чем модные тенденции. Регулярные проверки и обновления могут помочь гарантировать, что план остаётся актуальным, а вы станете более уверенным в себе
❇️Протестировать план: регулярное тестирование может помочь выявить пробелы и области для последующего их улучшения. Это как репетиция пьесы — нужно знать свои реплики до того, как поднимется занавес (а оправдываться всё придётся, так почему сразу не придумать ответы на все случаи жизни)
❇️Вовлечение всех заинтересованных участников: от ИТ-специалистов до юристов и пиарщиков, каждый должен знать свою роль в IR-плане (никто не уйдёт от сверхурочной работы).
Сохранение улик во время реагирования на инцидент похоже категорически важно, иначе зачем вы покупали столько дисков в RAID0 решения (и сотрите оттуда уже ваше аниме).
❇️Непреднамеренное уничтожение улик: В спешке с исправлением ситуации организации часто (и не случайно) уничтожают улики.
❇️Отсутствие криминалистики: Сохранение цифровых доказательств требует специальных знаний и навыков (теперь, очевидно, зачем существует RAID1)
❇️Несоблюдение требований закона: В зависимости от характера инцидента могут существовать юридические требования к сохранности доказательств (Microsoft уже в терминале даже встроила хеш-функции)
Управление инцидентами это дикий, сложный и часто разочаровывающий мир, но с правильным планом (только от Microsoft) и людьми вы сможете ориентироваться в нем как профессионал.
Подробный разбор