Безопасность является сегодня главным приоритетом автоматизации среди мировых ИТ-лидеров — вот почему она должна быть и у вас.

Автор: Кевин Кейси, автор The Enterprisers Project

 

Уже недостаточно заявлять, что безопасность важна для вашей организации. Если это правда, вы также максимально автоматизируете свою работу — в противном случае вы теряете позиции перед киберпреступниками и другими угрозами.

 

«Если безопасность является приоритетом для вас, автоматизация этой безопасности также должна быть приоритетом», — говорит Гордон Хафф, евангелист Red Hat.

 

Это не мрачная история. Это больше похоже на призыв к действиям для ИТ-лидеров и руководителей служб безопасности. И хорошая новость заключается в том, что все большее число из них определенно слушают.

 

Безопасность стала общим главным приоритетом финансирования ИТ в Global Tech Outlook 2023 компании Red Hat на 2023 год, и Хафф отмечает, что она также стала главным приоритетом цифровой трансформации.

 

В опросе также рассматривались приоритеты автоматизации ИТ-операций — категория, в которой, как отмечает Хафф, в прошлом обычно доминировали такие вещи, как управление конфигурацией.

 

5 причин отдать приоритет автоматизации безопасности в 2023 году

 

В 2023 году автоматизация безопасности стала главным приоритетом автоматизации. Давайте разберем основные причины, а также почему вам следует рассмотреть возможность автоматизации безопасности, если вы еще этого не делаете.

 

1. Существует слишком много угроз, чтобы бороться с ними вручную

 

Достаточно сказать, что крупнейшие организации с самыми большими ресурсами уже давно не в состоянии обеспечивать ИТ-безопасность одними человеческими усилиями и изобретательностью. Объем и разнообразие угроз и рисков просто слишком масштабны и слишком динамичны.

 

«Без автоматизации не получится справиться с масштабированием, добиться повторяемости и сделать процессы безопасности непрерывными», - говорит Хафф.

 

Даже старые столпы ИТ-безопасности — скажем, защита конечных точек или обнаружение вторжений — требуют повышенной автоматизации, чтобы быть эффективными сегодня, отчасти потому, что скорость и серьезность потенциальных нарушений продолжают опережать возможности только лишь людей.

 

«Существует слишком много возможностей для взлома системы безопасности и конечных точек, чтобы у организаций было какое-либо оправдание медленному внедрению необходимой автоматизации прямо сейчас», — говорит Дэн Маким, инженер-программист Beachhead Solutions, добавляя, что автоматизация безопасности должна быть внедрена в процессы как можно раньше. «Правильная стратегия здесь может быть особенно важна для предотвращения инцидентов, когда ручное вмешательство было бы слишком запоздалым, чтобы быть эффективным».

 

Правильно выполненная автоматизация безопасности обычно не означает замену человеческого интеллекта и способностей — скорее, она направлена на то, чтобы дать людям необходимые полномочия для укрепления системы безопасности организации и смягчения угроз.

 

Автоматизация безопасности не обязательно должна быть экзотической. Особенно, если вы только начинаете, некоторые из простейших средств автоматизации могут оказать значительное влияние.

«Например, при серии неудачных попыток входа в систему на ноутбуке сотрудника автоматические и заранее принятые меры могут предупредить ИТ-персонал или предоставить рекомендации пользователю в виде диалогового окна или, если все остальное не удается, автоматически отключить доступ с этого устройства, если неудачные попытки продолжаются», — говорит Маким.

В качестве другого примера Маким описывает устройство, которое выходит за пределы заданной геозоны. Автоматизированные действия могут немедленно отключить доступ к данным и/или отправить пользователю сообщение с просьбой вернуться к соблюдению требований — или любые другие автоматизированные действия, соответствующие политикам организации.

 

Дело не в том, что люди не могут отслеживать сетевой трафик или блокировать подозрительную активность — просто автоматизация может делать это намного быстрее, а скорость имеет решающее значение в игре с безопасностью.

 

Сравните автоматизированные действия с действиями сотрудника службы безопасности или ИТ-отдела, которому необходимо выполнять действия вручную — разница во времени отклика (мгновенного или не мгновенного) имеет решающее значение, говорит Маким. «К тому же, те, кто отвечает за безопасность, не могут быть везде одновременно, и автоматизация правильных задач безопасности может в мгновение ока сделать безобидными сценарии угроз, которые в противном случае казались бы пугающими».

 

2. Вы уже внедряете автоматизацию повсюду

 

Безопасность цепочки поставок программного обеспечения также остается в центре внимания в 2023 году. Соответственно, программные конвейеры полны возможностей для автоматизации безопасности, особенно потому, что очень многие команды автоматизировали большую часть остальных этих конвейеров.

 

«За последние несколько лет инженерные команды автоматизировали почти все свои процессы разработки и развертывания через API в конвейерах CI/CD, и, к сожалению, о безопасности часто думали слишком поздно», — говорит Пол Нгуен, соучредитель и со-генеральный директор Permiso. «Соответственно, злоумышленники использовали украденные ключи API и скомпрометированные служебные токены в качестве методов проникновения в сеть или сервис и перемещения в боковом направлении».

 

Исправление курса, очевидно, заключается не в том, чтобы сбросить DevOps и CI/CD конвейеры, а в том, чтобы лучше защитить их, и автоматизация является ключевым фактором. .

 

«Командам безопасности пора внедрить автоматизацию и укрепить свою защиту, чтобы иметь возможность реагировать на современные тактики злоумышленников», — говорит Нгуен.

Стратегии безопасности обычно фокусируются на человеческом факторе, и это правильно — люди совершают ошибки, и это может привести к всевозможным рискам. Фишинговые электронные письма все еще существуют, потому что они работают.

 

Но в контексте все более автоматизируемых программных конвейеров — и все более автоматизируемых организаций в целом — межмашинное взаимодействие не менее важно.

 

«Если мы сделаем шаг назад и подумаем об этом, большая часть коммуникаций внутри сети, через облака и через Интернет на самом деле осуществляется от системы к системе и от машины к машине, где этими системами могут быть облачные рабочие нагрузки, контейнеры, виртуальные машины, микросервисы, датчики, более традиционные локальные серверы, промышленное оборудование Интернета вещей и многое другое», — говорит Ануша Айер, соучредитель и генеральный директор Corsha.

 

Обеспечение безопасности в таких динамичных и автоматизированных средах практически невозможно без автоматизации безопасности, и взаимодействие машина-машина (или система-система) необходимо рассматривать как столь же важный вектор, как и взаимодействие человек-машина.

 

«Машинная идентификация должна быть повышена до уровня «гражданина первого класса», чтобы выйти за рамки традиционных периметров безопасности и автоматизированным способом обеспечить безопасное перемещение данных и контроль во всех этих гибридных средах в любом масштабе», — говорит Айер.

 

3. Злоумышленники тоже используют автоматизацию

 

Вы, вероятно, слышали выражение «бороться с огнем огнем». В современном мире ИТ-безопасности это означает борьбу с автоматизацией с помощью автоматизации.

 

«Злоумышленники все чаще сами используют более автоматизированные и мощные инструменты», — отмечает Шахар Биньямин, генеральный директор и соучредитель Inigo. «Выполняемые вручную средства защиты безопасности просто не смогут справиться с растущим объемом и изощренностью этих угроз».

 

Например, в особом уголке вселенной безопасности Inigo — GraphQL API security — злоумышленники автоматизировали поиск слабых конечных точек GraphQL.

 

«Злоумышленники будут исследовать многие из этих конечных точек одновременно, начиная с наиболее распространенных местоположений», — говорит Биньямин. «Если автоматизация не сочетается с автоматизацией, вы напрашиваетесь на неприятности. Начиная с обнаружения атак и смягчения их последствий до защиты поверхностей атак и контроля доступа, организациям необходимо автоматизировать все, что они могут, прямо сейчас».

 

Действительно, этот принцип широко применим к различным системам и поверхностям угроз, а не только к безопасности API. Автоматизированные методы атаки нуждаются в автоматизированной защите.

 

«Искусственный интеллект безопасности, аналитика и автоматизация жизненно важны для того, чтобы идти в ногу с автоматизированными атаками, которые создаются и выполняются хакерами и преступниками ежечасно», — говорит Амир Орад, генеральный директор Sisense.

 

Орад отмечает, что автоматизация и искусственный интеллект помогают злоумышленникам использовать методы старой школы, такие как фишинговые электронные письма, с еще большей скоростью и изощренностью. Он даже ожидает, что злоумышленники начнут использовать ChatGPT для создания более эффективных фишинговых сообщений.

 

Так что, если вы хотите бороться с огнем огнем, как говорится, автоматизация безопасности становится все более актуальной. Автоматизированные методы атаки в сочетании с информационной перегрузкой — невероятное количество входящих каналов, оповещений, нотификаций, новостей и необработанных данных — создают ошеломляющую комбинацию, когда команды пытаются справиться со всем этим вручную.

 

4. Автоматизация помогает соблюдать требования

 

Биньямин считает растущую сложность соответствия требованиям для многих организаций одним из главных факторов автоматизации безопасности в 2023 году, наряду с растущим использованием автоматизации злоумышленниками.

«Что касается соблюдения требований, то все более строгие и специфические правила в разных отраслях означают, что остается все меньше и меньше места для ошибок», — говорит Биньямин.

 

Хотя соблюдение требований — это отдельная область, она, безусловно, связана с безопасностью. Помимо прочих причин, если вы столкнетесь с нарушением безопасности, вскоре может последовать аудит, особенно если речь идет о конфиденциальных данных клиентов.

 

Автоматизация безопасности может помочь организациям продемонстрировать, что они предпринимают надлежащие шаги для защиты своих систем и данных.

 

«Если произойдет нарушение и ваша организация подвергнется аудиту, вам нужно будет доказать, что у вас есть необходимые процессы безопасности», — говорит Биньямин. «Автоматизация как можно большего числа этих процессов делает отчетность гораздо более управляемой. И это должно помочь вам лучше спать по ночам».

 

5. Автоматизация помогает в нападении, а не только в обороне

 

Многое из вышесказанного сосредоточено вокруг усиления защитных позиций и реагирования или смягчения последствий в случае инцидента. Но автоматизация безопасности может помочь и при нападении.

 

Это особенно важно, потому что в прошлом команды иногда компенсировали отсутствие автоматизации безопасности, удваивая наступательные стратегии, такие как поиск угроз — практика упреждающего поиска проблем, которые могут создать значительные риски для организации, говорит Нгуен.

 

В целом это хорошая практика, но многим командам не хватает надлежащих инструментов, времени или опыта, чтобы эффективно выполнять это в современных динамичных ИТ-средах, если только они не используют автоматизацию.

 

«Большинство команд перегружены попытками управлять оповещениями с помощью существующего набора инструментов, которые освещают информационные панели, как рождественскую елку», — добавляет Нгуен.

 

Если смешать метафору с сравнением: когда вы ищете опасную иголку в огромном стоге сена, разве вы не хотели бы, чтобы машина помогла вам расчистить сено?

 

«Организациям необходимо начать внедрять автоматизацию для выявления и контекстуализации угрозы, чтобы гарантировать, что безопасность вашей сети не зависит от времени реагирования человека или его набора навыков, и организовать ответные действия, которые могут расширить возможности службы безопасности по обнаружению в масштабе, — говорит Нгуен.

 

Ссылка на источник