Autor: Joanna Dąbrowska, Sales Engineer w Trend Micro
Wskaźnik CRI (ang. Cyber Risk Index – CRI) jest miarą stanu bezpieczeństwa organizacji wyliczaną, jako różnica pomiędzy gotowością organizacji na odpieranie ataków a prawdopodobieństwem wystąpienia zagrożeń. Ostatnia ewaluacja obrazująca obecny poziom ryzyka w organizacjach obejmuje regiony Europy oraz Azji i Pacyfiku. Ta wiedza daje nam możliwość udoskonalenia strategii bezpieczeństwa i zaplanowania skuteczniejszych zabezpieczeń cybernetycznych. Najistotniejszym elementem tak wprowadzanych zmian w mechanizmach i procedurach bezpieczeństwa będzie poprawa wykrywalności zagrożeń i możliwość natychmiastowej reakcji na nie w całej organizacji (XDR – Cross platform Detection and Response).
Indeks ryzyka cybernetycznego
Podjęliśmy współpracę z Ponemon Institute, aby zbadać poziom ryzyka cybernetycznego
w organizacjach i stworzyć indeks tegoż ryzyka (ang. Cyber Risk Index – CRI). Wnioski z przeprowadzonego badania zostały opublikowane w najnowszej wersji raportu Trend Micro „Indeks ryzyka cybernetycznego” (ang. Cyber Risk Index ― CRI). Wynika
z nich, że w ciągu minionego roku 23% przedsiębiorstw padło ofiarą co najmniej siedmiu ataków infiltrujących ich sieci lub systemy. Zdecydowana większość (83%) badanych firm oceniła, że w ciągu najbliższych 12 miesięcy prawdopodobieństwo wystąpienia takich ataków jest „umiarkowane” lub „duże”. Zespoły ds. bezpieczeństwa będą musiały wytężyć swoje działania w zakresie kształcenia użytkowników, szerzej zakrojonego wykrywania zagrożeń i reagowania na nie oraz elastycznej kontroli dostępu.
Indeks CRI jest coraz częściej wykorzystywanym narzędziem przez dyrektorów ds. bezpieczeństwa informatycznego, w celu oceny gotowości organizacji do podejmowania reakcji na ataki cybernetyczne. W tym roku do wyliczenia globalnego indeksu CRI zostały dodane dane z Europy oraz Dalekiego Wschodu (APAC). Pomoże to przedsiębiorstwom na całym świecie w rozwiązywaniu złożonych problemów, ograniczeniu zagrożeń wewnętrznych, pozyskiwaniu wykwalifikowanych pracowników oraz lepszym zabezpieczeniu chmury w celu ograniczenia ryzyka cybernetycznego do minimum. Wszystko to ułatwi powrót na ścieżkę wzrostu po zakończeniu pandemii.
Indeks CRI jest oparty na skali liczbowej od -10 do 10, gdzie -10 reprezentuje najwyższy poziom ryzyka. Obecny globalny indeks wynosi -0,41, co oznacza „ryzyko podwyższone”. Największe ryzyko występuje w Stanach Zjednoczonych (-1,07), gdzie stwierdzono znacznie mniejszą gotowość do reagowania na zagrożenia cybernetyczne niż w innych regionach. Z kolei w Europie ten wskaźnik wynosi -0.13.
Największe zagrożenia i obawy
Organizacje, które wzięły udział w badaniu, za największe globalne zagrożenia cybernetyczne uznały:
- wyłudzanie informacji (phishing) i inżynierię społeczną,
- clickjacking,
- ataki ransomware,
- ataki bezplikowe,
- botnety,
- ataki typu „man-in-the-middle”.
Wśród przedsiębiorstw z całego świata największe obawy budzi:
- utrata danych klientów,
- utrata dostępu do danych finansowych i danych stanowiących własność intelektualną,
- utrata klientów,
- kradzież lub uszkodzenia sprzętu.
Indeks CRI Trend Micro jest użytecznym narzędziem, które pomaga firmom w analizie ryzyka cybernetycznego. Rozszerzenie w 2020 roku zasięgu indeksu na cały świat, ma na celu dostarczenie firmom użytecznych informacji. Firmy każdej wielkości i z różnych branż na całym świecie mogą wykorzystać indeks CRI, aby udoskonalić swoje strategie ochrony i przygotować skuteczniejsze zabezpieczenia cybernetyczne na kolejny rok.
Prawdopodobieństwo udanego cyberataku
Badanie pokazało również różnice między poszczególnymi krajami. Respondenci ze Stanów Zjednoczonych jako jedyni stwierdzili, że do głównych negatywnych skutków ataku należą koszty zaangażowania konsultantów zewnętrznych. Z kolei dla przedsiębiorstw na Dalekim Wschodzie najdotkliwsze okazały się uszkodzenia infrastruktury o znaczeniu krytycznym.
Respondenci stwierdzili, że największymi globalnymi zagrożeniami dotyczącymi infrastruktury informatycznej są:
- duży stopień złożoności i brak koordynacji organizacyjnej,
- zaniedbania pracowników,
- infrastruktura przetwarzania w chmurze i jej dostawcy,
- brak wykwalifikowanego personelu,
- wewnętrzne ataki cybernetyczne.
Zachwiana triada bezpieczeństwa
Pandemia wymusiła na wszystkich firmach drastyczne zmiany organizacyjne i bardzo często technologiczne. W wielu przypadkach wprowadzane zmiany przechodziły znacznie skrócony i uproszczony cykl dopuszczenia w organizacji, co wprost przełożyło się na wzrost ryzyka. Jeśli popatrzymy na rozwiązania wdrażane w dobie kryzysu, podstawową przesłanką było utrzymanie ciągłości działania. Pozostałe elementy budujące triadę bezpieczeństwa (tj. poufność, integralność), często były pozostawiane do rozważań na dalszy etap analiz, już po wdrożeniu, bądź też zidentyfikowane na wstępnym etapie ryzyko było czasowo akceptowane. Sytuacja była prostsza w przypadku „uchmurowionych” organizacji (wiązała się ze znacznie mniejszym ryzykiem), gdzie „uzdalnienie” pracowników miało minimalny wpływ na ciągłość działania. Te firmy mogły pozwolić sobie na analizowanie aktualnych zagrożeń i modyfikację posiadanych mechanizmów, a nie gaszenie pożarów.
Jak zminimalizować ryzyko?
Wprowadzane zmiany skutkują zwiększoną ekspozycją na ryzyko, a cyberprzestępcy nie śpią, każda sytuacja kryzysowa jest wykorzystywana. Każdy chaos pozwala na ukrycie działań przestępczych i skuteczniejsze wykorzystanie najsłabszego elementu organizacji – człowieka. Jak zatem radzić sobie w dobie kryzysu i wzmożonych ataków? Przede wszystkim podjąć działania zmierzające do identyfikacji własnych słabości, w czym może pomóc nasz kalkulator CRI.
Kolejnym elementem jest odpowiednio szerokie monitorowanie środowiska, w trybie ciągłym, przy zastosowaniu maksymalnej automatyzacji. Przy ograniczaniu kosztów nie możemy liczyć na zwiększanie zespołów analitycznych, a nawet jeśli jest to możliwe, to w dalszym ciągu borykamy się ze znaczącym niedoborem wyspecjalizowanej kadry na rynku. Już od lat analitycy Trend Micro przewidywali podobne problemy, choć oczywiście nie w tak skrajnej sytuacji, w jakiej znaleźliśmy się wszyscy w minionym roku. Te przewidywania doprowadziły do powstania rozwiązania klasy XDR – multiplatformowy system wykrywania i reakcji na incydenty. System opiera się na wielu sondach zlokalizowanych w różnych obszarach przetwarzania – na poziomie poczty elektronicznej, sieci, stacji roboczych i serwerów. Tak zlokalizowane elementy pozwalają na zbieranie danych niezbędnych do zidentyfikowania i odtworzenia przebiegu danego zagrożenia. Każdy alert generowany jest jako już skorelowany zestaw zdarzeń, do którego przypisano poziom ryzyka i typ zagrożenia. Takie podejście pozwala na zmniejszenie zasobów niezbędnych do identyfikacji incydentu, skraca analizę i pozwala na podejmowanie reakcji z jednego centralnego punktu. Tym samym ryzyko, jakie wystąpiło w organizacji w wyniku wprowadzanych zmian, jest minimalizowane.