Проблемы и ожидания отдела безопасности
Специалисты в сфере кибербезопасности и ИT особенно склонны к лени, расслабленности, халатности, усталости или выгоранию на работе. Почему? Тому есть множество причин.
Самая главная причина - это треклятая человеческая натура: если никто не смотрит в монитор через плечо, многие работники просто перестают выполнять свои обязанности. Ленивые специалисты в области кибербезопасности могут совершенно незаметно заниматься ерундой. Их задачи в основном невидимы для коллег и даже для руководителей. Многие отделы безопасности находятся за закрытыми дверями, где их сотрудники могут работать, отдыхать или даже спать, а разницы никто и не заметит. Их сети и машины существуют в отдельных VLAN или исследовательских блоках, что позволяет им свободно пользоваться интернетом без регистрации, проверок или фильтрации.
Присущая отрасли чрезмерная зависимость от процесса постепенно приводит сотрудников в состояние халатности и самоуспокоения. После многократного повторения процедур у сотрудников службы безопасности вырабатываются привычки и суженные представления о том, из чего состоит процесс защиты организации. Эта тенденция проистекает из необходимых процедур повседневной работы, и она же приводит к появлению узкоспециализированных защитников, использующих один-единственный подход и не рассматривающих методы и инструменты злоумышленников за пределами собственного повседневного опыта. Такой ограниченный образ мышления оставляет значительные бреши в системе безопасности организации.
У увлеченных сотрудников возникает противоположная проблема. Для них работа в конкурентной сфере, требующей глубоких специализированных знаний, способностей и амбиций, повышает риск выгорания. После утомительных месяцев, потраченных на поиск угроз и инцидентов, очень легко потерять концентрацию, начать полагаться на известные концепции, ожидать появления предупреждений системы безопасности или программного обеспечения или узнавать только то, что необходимо для данного конкретного инцидента, когда он уже возник.
Не только специалисты по кибербезопасности должны обладать знаниями в области компьютерной грамотности и безопасности - это касается всех сотрудников. К сожалению, это также означает, что лень и халатность нетехнических сотрудников часто даже более опасна для организации, чем злонамеренные внешние субъекты. Такие сотрудники могут непреднамеренно подвергнуть сеть или системы своей компании угрозам, неосторожно щелкнув по фишинговому сообщению электронной почты или вставив в разъем USB-накопитель, найденный на парковке. Если руководство не усиливает бдительность и дисциплину, когда это необходимо, добросовестные сотрудники будут вынуждены работать среди множества нерадивых и даже получать за это премии. Успех в такой организации превращается в игру на истощение, в которой сотрудников повышают за то, что они просто выжили дольше всех, не выгорели и не уволились. Такая среда ставит под угрозу трудовую этику, дисциплину и репутацию эффективных работников и унижает персонал, позволяя злоумышленникам использовать многочисленные дыры, оставляемые беспечными сотрудниками.
Лидерские качества и компетентность значительно повышают моральный дух и бдительность сотрудников. А неправильные решения руководства или организационные стратегии могут ослабить безопасность и подорвать доверие сотрудников. Попытки укрепить слепые зоны или слабые места в защите обычно требуют общей работы отделов, совместного использования бюджетов, работы в выходные дни и причиняют другие неудобства, которые вызывают недовольство сотрудников и сопротивление инициативам. В результате измученные и не сумевшие ничего наладить инженеры по безопасности начинают безразлично относиться к улучшениям безопасности и закрывать глаза на существующие недостатки. Иногда они даже специально дожидаются возникновения инцидента, зная, что пассивность организации все равно не даст вносить улучшения, пока жареный петух не клюнет.
Злоумышленник может легко оценить бдительность организации по приведенным далее индикаторам.
Слишком много информации раскрывается в сообщениях об ошибках на веб-сайтах.
При входе в систему раскрываются детали политики паролей.
Отсутствует содержимое заголовка политики безопасности.
Используются неподходящие самоподписанные сертификаты.
Неправильно настроена проверка подлинности сообщений электронной почты, создание отчетов и определение соответствия по доменному имени (Domain-Based Message Authentication, Reporting and Conformance, DMARC) либо инфраструктура политики отправителя (Sender Policy Framework, SPF).
Неправильно настроены записи DNS.
Раскрывается информация об интерфейсах управления на серверах с выходом в интернет, устройствах безопасности или сетевом оборудовании.
Раскрывается информация об используемых версиях технологий или инструментах обеспечения безопасности.
Чтобы бороться со снижением бдительности, защитники должны постоянно оценивать свою работу и стремиться к ее совершенствованию. Менеджеры не всегда хвалят или награждают сотрудников, которые внедряют дополнительные меры безопасности, но поддержка высокой бдительности говорит злоумышленникам, что первая линия защиты организации серьезно укреплена, а значит, внутренняя защита может быть еще сильнее.
