Периметр внутренней безопасности: компании сосредоточены на инфраструктуре и обучении

Недавний декрет-закон о периметре кибербезопасности является результатом новых размышлений об эволюции киберугрозы, технологического контекста и национальной и международной нормативно-правовой базы, а также тот факт, что она состоит из различных субъектов, государственных и частных, представляет собой положительный элемент. Даже критерии для определения действующих лиц являются элементом в пользу указа, поскольку они устанавливают, что:

• Субъект выполняет важную функцию государства, то есть обеспечивает основной сервис для поддержания гражданской, социальной или экономической деятельности, основополагающей для интересов государства;
• Выполнение этой функции или предоставление этой услуги зависит от сетей, информационных систем и ИТ-услуг, и чей отказ, прерывание, даже частичное или ненадлежащее использование может привести к ущербу для национальной безопасности.

С другой стороны, все еще существует сильное сомнение относительно сроков определения того, кто станет частью периметра, учитывая, что в DL их идентификация делегирована последующему указу (в течение 4 месяцев с момента вступления в силу закона о конверсии) Председателя Совета (статья 1, пункт 2, буква а). Поскольку по умолчанию делегированный указ все откладывается до последующих положений, которые должны быть изданы через несколько неопределенных месяцев после вступления в силу закона о преобразовании. Поэтому было бы важно, чтобы эти времена действительно соблюдались.

Кроме того, это сильно несбалансированный указ в отношении двух элементов:

1. Сети связи и тема 5G
2. CVCN, что:
   • Он поглощает половину и без того ограниченных финансовых ресурсов;
   • Это рискует стать узким местом, и, прежде всего, неясно, как оно возникает, с точки зрения оценок для поставщиков облачных услуг. В частности, в абзаце 7 пункт с называется «разработка и принятие схем кибернетической сертификации, где по соображениям национальной безопасности и в соответствии с конвенциями технического CISR существующие схемы сертификации не считаются адекватными требованиям защиты периметра кибернетической безопасности" Что это значит? Что даже если решения, будь то HW или SW, соответствуют международным стандартам, должны ли они пройти сертификацию CVCN и проверку на валидацию? Это вызывает беспокойство, потому что это будет как дальнейшее ожесточение, так и неизмеримое удлинение времен.

Высоко оценивая усилия по определению существенной организационной структуры, мы не идем к корню проблем, которые мешают нашей стране и возникают из очень конкретного вопроса «Почему наша страна является одной из первых в мире в отношении атак, как никогда раньше, когда наши компании подвергаются атакам с использованием технологий, которые не обязательно являются современными, но способны нанести одинаковый удар?»

Данные последнего кластерного отчета беспощадны. Исследование основано на выборке, которая на 31 декабря 2018 состоит из 8.417 известные атаки особой тяжести или которые оказали значительное влияние на жертв с точки зрения экономических потерь, ущерба репутации, распространения конфиденциальных данных (личных или иных), или которые в любом случае предвещают особенно тревожные сценарии, происходящие в мире ( включая Италию) с 1 января 2011, из которых 1.552 в 2018 (+ 77,8% по сравнению с 2014, + 37,7% по сравнению с 2017) е 5.614 зарегистрирован между 2014 и 2018.

В целом, по сравнению с 2017, количество серьезных атак, которые мы собрали из открытых источников для 2018, растет на 37,7%, В абсолютном выражении в 2018 категории «Киберпреступность» и «Кибершпионаж» фиксируют наибольшее количество атак за последние 8 года. Из выборки ясно видно, что, за исключением действий, относящихся к атакам категории «Хактивизм», которая все еще значительно уменьшается (-22,8%) по сравнению с 2017, в 2018 растет число серьезных атак с целью «Киберпреступность»(+ 43,8%), а также те, которые относятся к деятельностиCyber ​​Espionage»(+ 57,4%). Следует подчеркнуть, что по сравнению с прошлым сегодня труднее четко разграничить «кибершпионаж» и «информационную войну»: если добавить атаки обеих категорий, то в 2018 наблюдается увеличение 35,6% по сравнению с предыдущим годом (259 против 191)

Поэтому в свете всего этого мы считаем, что указ должен также охватывать области страданий в нашей стране, которые я бы суммировал в следующих пунктах:

• Решения для повышения безопасности на основе облачных решений. Усовершенствованные, целенаправленные и уклончивые атаки другого рода чрезвычайно затрудняют эффективное предотвращение компьютерных взломов компаниями:

1. Киберпреступники используют расширенные атаки, чтобы обойти антивирус, IPS и межсетевые экраны следующего поколения и скрываться в компаниях в течение нескольких месяцев (в среднем 320 дней в 2015, когда извещаются извне)
2. Помимо 68% вредоносного ПО относится к конкретной компании, а 80% этого вредоносного ПО используется только один раз, поэтому средства защиты на основе сигнатур неэффективны против целевых атак.
3. Помимо 80% оповещений, генерируемых системами безопасности на основе критериев и сигнатур, ненадежны и вычитают ресурсы из анализа критических отчетов

Сегодняшняя трансформация ИТ-бизнеса, которая расширяет зону атаки компании, делает эту задачу еще более сложной:

1. Согласно 2020, общедоступные облачные приложения будут составлять более двух третей бизнес-расходов. Облачные операции увеличивают и уменьшают 40% корпоративный интернет-трафик (и потенциальные угрозы). Весь этот трафик должен контролироваться
2. В настоящее время устройства, отличные от Windows, поддерживаемые 96% компаний, обычно не имеют должной защиты.
3. Принятие 40% филиалов прямых подключений к Интернету увеличивает их подверженность атакам за пределами высокой защиты центрального офиса

Чтобы минимизировать риск дорогостоящих нарушений ИТ, компаниям любого размера необходимо эффективно защищать себя от атак. Что нужно сделать, можно суммировать в следующих четырех пунктах:

1. Обнаружение и блокирование угроз, которые традиционные продукты безопасности не обнаруживают
2. Быстро реагировать и сдерживать воздействие аварий
3. Постоянно адаптируясь к эволюции угроз
4. Масштабируйте и сохраняйте гибкость при росте компании или изменении режима предоставления ИТ-услуг

Технологии, которые могут гарантировать требуемый уровень безопасности, с логической точки зрения, не могут основываться на локальных архитектурах старого стиля, но основаны на системах машинного обучения и алгоритмах искусственного интеллекта и больше не основаны на сигнатурах, которые проверяют подозрительные объекты для выявления целевых, уклоняющихся и неизвестных угроз.

• Инвестиции для обучения. В далеком 2015 профессор Балдони написал в Белой книге кибербезопасности следующее: «Профессиональные деятели, связанные с безопасностью, имеют мировой рынок, и часто в Италии мы сталкиваемся с реалиями, которые, с другой стороны, предлагают гораздо лучшие условия оплаты труда. Число профессиональных деятелей, связанных с кибербезопасностью, созданных нашими университетами, все еще слишком мало, в том числе из-за того, что в этом конкретном секторе в Италии мало учителей. Это одна из причин, которая, по сути, препятствует запуску новых трехлетних курсов и курсов магистратуры во многих итальянских университетах: курсы степени, которые на данный момент, к сожалению, считаются на кончиках пальцев. В связи с объединенной целью побега из Италии с целью получения важных возможностей для получения заработной платы и недостаточного создания профессиональных деятелей, адекватных этой потребности, необходимо и срочно разработать стратегии удержания мозга, которые делают работу по вопросам безопасности более привлекательной ЭТО в нашей стране. Например, Израилю удалось обуздать кровотечение путем создания экосистемы «Индустриальный университет - правительство», основанной на технопарках и стимулирующей политике для побочных компаний, и таким образом преуспеть в превращении эндемической слабости в фактор роста. , В дополнение к этим программам нам необходимо создать условия для того, чтобы наши лучшие мозги в науке и предпринимательстве в секторе безопасности вернулись в Италию. Мобильность рынка труда является эндемической проблемой в этом секторе, которая затрагивает не только Италию: некоторые крупные страны перемещаются, с одной стороны, для того, чтобы через несколько лет получить необходимую рабочую силу и, с другой стороны, создать условия, чтобы держать его в своих границах. Это касается, в частности, политики предоставления кредитов чести студентам: например, политики, уже проводимой Францией и Германией и которая также может быть принята во внимание в нашей стране, чтобы сохранить новых выпускников в наших государственных структурах, в ПА и в национальной промышленной системе. Если не будут приняты адекватные меры, ситуация в ближайшие годы значительно ухудшится. В связи с этим обратите внимание, что такие страны, как Германия, проводят очень агрессивную политику, направленную на привлечение не только ученых и предпринимателей, но и простых иностранных студентов к обучению на курсах в своих университетах.». Прошло четыре года, и мало что изменилось, но тот факт, что в некоторых университетах, таких как Политехнический университет Милана, Ла Сапиенца, Тор Вергата, Кальяри, были созданы курсы магистратуры по кибербезопасности, но в стране нет национального плана по созданию адекватных профессиональных фигур и следовательно, ему по-прежнему не хватает культуры, необходимой для изменения чувствительности к проблеме, которая стала одной из самых важных на планете.

• Инвестиции на устранение технологического устаревания. Атаки, которым подвергается Италия, зависят не столько от способности злоумышленников использовать новые методы, что происходит в точных случаях и с целевыми кампаниями (APT), но от устаревших инфраструктур и приложений, которые именно из-за отсутствия налоговых льгот для частные компании, в основном МСП, а также инвестиции для государственных компаний, не могут обновлять и защищать свои платформы.

• Усиление CERT. Если мы посмотрим на международную арену с точки зрения организации подразделений безопасности, мы найдем несколько моделей. Именно благодаря нашему опыту и нашему сотрудничеству с правительствами других стран (Великобритания, Дания, Франция, Германия, Чешская Республика и другие) мы считаем необходимым создать постоянное кризисное подразделение в CERT. Национальное председательство или председательство в совете, состоящее из техников из частного и государственного секторов, которые работают в интересах страны. Центральное подразделение по кибербезопасности, которое функционирует как всегда активная ячейка, чтобы единообразно реагировать на атаки на государственную администрацию и критически важные инфраструктуры национального интереса, отвечающее за обучение и осведомленность внутри государства и, наконец, способное оперативно реагировать на кибернетическая угроза в абсолютной синергии с DIS и полицией и почтовыми отделениями, отвечающими за противопоставление и подавление этого явления. Фактически, центральная ячейка, сила которой заключается в наборе следственных навыков, которые получают от полиции, и тех, которые более строго компьютеризированы, что является характеристикой тех, кто работает в компаниях, которые делают безопасность отличительным элементом. Эта инициатива соответствует чувству чрезвычайной ситуации и эффективному реагированию, требуемому директивой ЕС по кибербезопасности (NIS), которая вскоре будет утверждена Европейским парламентом, и, следовательно, как и Италия, мы должны будем реализовать ее в нашем Европейском сообществе. законодательная система. Все это обязательно должно пройти через увеличение знаний и относительных навыков подразделения кибербезопасности, как уже упоминалось, через привлечение специалистов, которые действительно имеют более непосредственный опыт работы на рынке и которые могут работать вместе с теми, кто обладает знаниями и более "военный / правительственный" опыт.

Я считаю, что если бы наши лица, принимающие решения, пошли по этому пути, мы могли бы наконец-то выбраться из этих зыбучих песков и с новым энтузиазмом взглянуть на настоящую цифровую революцию.