By: Christine Vanderpool
September 19, 2019
Niedawno zapytano mnie, dlaczego w bieżącym miesiącu nastąpił wzrost liczby alertów o incydentach.
Podczas udzielania odpowiedzi zauważyłam, że skupiam się na powodach „dlaczego” liczby wzrosły i stało się dla mnie oczywiste, że kiedy wyjaśniam ryzyka, mam tendencję do skupiania się na motywie, dlaczego ryzyko może wystąpić.
Wierzę, że wynika to z mojego sposobu myślenia. Nawet kiedy mówię lub proszę kogoś, aby coś zrobił, skupiam się na tym, „co z tego będzie dla niego”, ponieważ wierzę, że ostatecznie większość ludzi potrzebuje motywacji, zanim zacznie działać. Za wszystkim musi stać powód, a jeśli zrozumiemy powód, możemy zająć się środkami i możliwościami, które pozostawiają ten motyw możliwą do działania możliwością.
Gdy przestępstwo zostaje popełnione i jest oceniane na rozprawie, prokurator jest proszony o dostarczenie środków, motywu i możliwości podejrzanego o popełnienie przestępstwa. Zdolność kogoś do popełnienia przestępstwa jest środkiem. Powód, dla którego ktoś popełnia przestępstwo, jest motywem. Szansa lub dostępność zasobów do popełnienia przestępstwa to możliwość.
Tak właśnie jako CISO myślimy o ryzyku i o tym, jak się nim zająć. Nie oznacza to, że jeden sposób myślenia jest lepszy, ponieważ aby być w pełni skutecznym, należy rozważyć wszystkie trzy czynniki, ale wszyscy będą domyślnie wybierać jeden z dwóch pozostałych. Jeśli jesteś CISO, pytanie brzmi: czy jesteś CISO środków, motywów czy możliwości?
CISO „Środków”
Jeśli jesteś CISO, który koncentruje się na „środkach” ryzyka, najprawdopodobniej jesteś wysoce technicznym CISO z silnymi podstawami technicznymi i zapleczem. Twój umysł będzie miał tendencję do natychmiastowego myślenia o tym, „jak” atak zostanie przeprowadzony. Skupisz się na technicznych środkach, za pomocą których atak mógłby lub mógłby nastąpić. Twoje podejście skupi się na narzędziach i procesach, które mogą być użyte do ochrony przed tymi środkami. Jeśli powiążemy to z pięcioma obszarami NIST, naszym głównym obszarem działania, na którym lubimy się skupiać, będą obszary „ochrony i wykrywania”. Jest to bardzo ważny obszar, na którym należy się skupić, ponieważ jeśli ktoś ma motyw i możliwość, ale nie ma środków do przeprowadzenia przestępstwa, należy zadać sobie pytanie, czy atak w ogóle miałby miejsce?
„Motyw” CISO
Gdzie jest wola, zawsze znajdzie się sposób. Tak właśnie będzie myślał CISO „motywacyjny”. Ten typ umysłu będzie koncentrował się na tym, dlaczego atak może się wydarzyć. CISO, który woli skupić się na „dlaczego”, skoncentruje się na psychologii ataku. Taka osoba koncentruje się na obszarze identyfikacji w modelu NIST. Przyjrzy się każdemu możliwemu „dlaczego”, a następnie określi środki i możliwości w celu ochrony, wykrycia lub odpowiedzi na taki atak. Osoba ta zazwyczaj uważa, że nie ma możliwości poznania każdej metody lub możliwości, więc zamiast próbować zatrzymać wszystko, zatrzymaj to, co jest najbardziej prawdopodobne, bazując na tym, co byłoby najbardziej prawdopodobnym powodem przeprowadzenia ataku. Jeśli zrozumiesz dlaczego, wtedy zobaczysz jak ktoś mógłby zorganizować atak i zablokuj jego zdolność do tego.
The „Opportunity” CISO
Kiedy drzwi się zamykają, ktoś inny otwiera okno. To jest sposób myślenia CISO „możliwości”. Ten typ lidera bezpieczeństwa będzie koncentrował się na idei, że jest więcej niż jeden sposób, aby obedrzeć kota ze skóry. Skupi się na zagrożeniach, które leżą nie tylko w ich własnym zakresie i pod ich kontrolą, ale również na tych, które leżą poza nimi. Nacisk zostanie położony na dostępność wszystkich zasobów do dyspozycji atakującego. Ten CISO będzie koncentrować się na odpowiedzi i odzyskać innych organizacji w celu zapewnienia, że są one zbieranie wszystkich danych na temat różnych dostępnych zasobów lub możliwości ataku. Czerpią z doświadczeń innych i stosują je, aby zawęzić dostępne zasoby, które mogą być wykorzystane w ataku. Zabierz komuś możliwość czynienia zła, a nie wyrządzi szkody.
Doskonała obrona
W rzeczywistości, nie ma doskonałej zbrodni i odwrotnie, nie ma doskonałej obrony. Wszystkie trzy czynniki muszą być brane pod uwagę podczas opracowywania strategii bezpieczeństwa, a CISO musi skupić się na wszystkich trzech. Ważne jest, aby zidentyfikować się jako lider bezpieczeństwa, który jest preferowanym lub domyślnym celem ryzyka, ponieważ można wtedy określić, gdzie potrzebny jest personel do wypełnienia lub skoncentrowania się na pozostałych dwóch. To jest jak trójkąt. Nie ma właściwego lub niewłaściwego kąta, pod którym można na niego spojrzeć. Doświadczony CISO będzie w stanie dostrzec i zidentyfikować wszystkie trzy aspekty w projekcie swojej strategii. Będzie w stanie wyrazić, jak program odnosi się do środków, motywów i możliwości w realistycznych i możliwych do podjęcia działań warunkach i sposobach.
Jeden punkt ciężkości nie jest lepszy od drugiego, wszystkie są równie ważne. Jest to jedynie sposób myślenia i identyfikacji sposobu, w jaki wolisz najpierw spojrzeć na ryzyko.
Jeden punkt ciężkości nie jest lepszy od drugiego, wszystkie są równie ważne.