Допомога компаніям визначити пріоритетні інвестиції в кібербезпеку

Однією з причин того, що кібератаки продовжували зростати в останні роки, є те, що ми насправді ніколи не дізнаємось так багато про те, як вони відбуваються. Компанії побоюються, що повідомлення про напади заплямують їхній загальнодоступний імідж, і навіть ті, хто повідомляє про них, не діляться багатьма подробицями, оскільки вони переживають, що їх конкуренти отримають розуміння їх практики безпеки.

"Це справді приємний подарунок, який ми подарували кіберзлочинцям", — говорить Тейлор Рейнольдс, директор з питань технологічної політики в Інституті досліджень політики в Інтернеті (IPRI). "В ідеальному світі ці атаки не повторюватимуться знову і знову, оскільки компанії зможуть використовувати дані атак для розробки кількісних вимірів ризику безпеки, щоб ми могли запобігти подібним інцидентам у майбутньому".

В економіці, де більшість галузей затягують пояс, багато організацій не знають, які типи атак призводять до найбільших фінансових втрат, а отже, як найкраще задіяти обмежені ресурси безпеки.

Але нова платформа від Лабораторії комп'ютерних наук та штучного інтелекту MIT (CSAIL) має на меті змінити це, кількісно оцінюючи ризики безпеки компаній, не вимагаючи від них розкривати конфіденційні дані про свої системи дослідницькій групі, тим більше — своїм конкурентам.

Платформа, розроблена Рейнольдсом разом з економістом Ендрю Ло і криптографом Вінодом Вайкунтанатананом, допомагає компаніям робити кілька речей:

  • кількісно визначити, наскільки вони безпечні;
  • зрозуміти, як їх безпека порівнюється з однолітками; і
  • оцініть, чи витрачають вони правильну суму грошей на безпеку, і якщо і як їм слід змінити свої конкретні пріоритети безпеки.

Команда отримала внутрішні дані від семи великих компаній, середня чисельність яких складала 50 000 працівників, а річний дохід становив 24 мільярди доларів. Безпечно об’єднавши 50 різних інцидентів з безпекою, що мали місце в компаніях, дослідники змогли проаналізувати, які конкретні кроки не були зроблені, що могло б їх запобігти. (В їх аналізі було використано добре встановлений набір із майже 200 заходів безпеки, які називаються Центром підконтролів безпеки Інтернету.)

"Ми змогли скласти справді ретельну картину, з точки зору якої збої в безпеці коштували компаніям найбільших грошей", — говорить Рейнольдс, який є співавтором статті з професорами Ло і Вайкунтанатана, аспірантом Массачусетського технологічного університету Лео де Кастро, головним науковим співробітником. Даніель Дж. Вайтцнер, доктор філософії студентка Франсіска Сьюзен та аспірант Ніколас Чжан. "Якщо ви є керівником служби інформаційної безпеки в одній з цих організацій, це може бути надзвичайним завданням спробувати захистити абсолютно все. Вони повинні знати, куди їм слід направити свою увагу".

Команда називає свою платформу "SCRAM" для "Безпечного об'єднання та вимірювання кібер-ризиків". Серед інших висновків вони встановили, що три наступні уразливості безпеки мали найбільші загальні втрати, кожна перевищуючи 1 мільйон доларів:

Помилки запобігання атакам шкідливих програм

Атаки на шкідливе програмне забезпечення, подібно до минулого місяця, що змусило компанію Garmin виплатити 10 мільйонів доларів викупу, все ще є перевіреним методом отримання контролю над цінними споживчими даними. Рейнольдс каже, що компанії продовжують боротися за запобігання подібним атакам, покладаючись на регулярне резервне копіювання своїх даних та нагадуючи своїм працівникам не натискати на підозрілі електронні листи.

Зв'язок через несанкціоновані порти

Цікаво, що команда виявила, що кожна фірма у своєму дослідженні заявила, що насправді запровадила заходи безпеки, блокуючи доступ до несанкціонованих портів — цифровий еквівалент компаній, які замикають усі свої двері. Навіть все-таки атаки, які передбачали отримання доступу до цих портів, призвели до великої кількості дорогих втрат.

"Втрати можуть виникнути навіть тоді, коли є захист, який добре розроблений і зрозумілий", — каже Вайтцнер, який також є директором MIT IPRI. "Важливо визнати, що не можна нехтувати вдосконаленням існуючих оборонних засобів на користь розширення нових областей оборони".

Помилки в управлінні журналами для інцидентів безпеки

Щодня компанії накопичують докладні "журнали", що позначають діяльність у їхніх системах. Старші співробітники служби безпеки часто звертаються до цих журналів після нападу, щоб перевірити інцидент і подивитися, що сталося. Рейнольдс зазначає, що існує багато способів, за допомогою яких компанії можуть ефективніше використовувати машинне навчання та штучний інтелект, щоб допомогти зрозуміти, що відбувається — в тому числі, що найважливіше, під час або навіть до нападу на безпеку.

Дві інші ключові сфери, що вимагають подальшого аналізу, включають проведення інвентаризації обладнання, щоб отримати доступ лише авторизовані пристрої, а також захисні межі, такі як брандмауери та проксі-сервери, які мають на меті керувати потоком трафіку через межі мережі.

Команда розробила свою платформу для агрегування даних спільно з експертами з криптографії MIT, використовуючи існуючий метод, який називається багатостороннім обчисленням (MPC), що дозволяє їм виконувати обчислення даних, не маючи змоги їх прочитати або розблокувати. Після обчислення своїх анонімних висновків система SCRAM потім просить кожну компанію-учасника допомогти їй розблокувати лише відповідь, використовуючи власний секретний криптографічний ключ.

"Потужність цієї платформи полягає в тому, що вона дозволяє фірмам надавати заблоковані дані, які в іншому випадку були б надто чутливими або ризикованими для передачі третім сторонам", — говорить Рейнольдс.

Наступним кроком дослідники планують розширити пул компаній-учасниць із представництвом з різних секторів, що включають електроенергетику, фінанси та біотехнології. Рейнольдс каже, що якщо команда зможе зібрати дані понад 70 або 80 компаній, вони зможуть зробити щось безпрецедентне: поставити фактичну цифру в доларах на ризик того, що певні засоби захисту не зможуть.

Facebook Comments