in

Является ли сложность – врагом безопасности

Фраза “сложность — враг безопасности” десятилетиями витала среди ИТ-команд. Общее мнение таково, что чрезмерно сложный подход

Кибербезопасности приведет к усилению уязвимостей. Поскольку большинство организаций изо всех сил пытаются улучшить свою защиту от новых угроз, споры о том, правда ли это, важны сейчас как никогда.

Что означает “Сложность – враг безопасности”?

Мантра “сложность – враг безопасности” означает, что чем сложнее система, тем сложнее ее будет защитить от угроз. Чем больше компонентов, зависимостей, интеграций и конфигураций имеется у ИТ-команды, тем больше времени они будут тратить на обслуживание, управление и обеспечение безопасности всего.

Вместо того, чтобы восстанавливать устаревшие системы, многие организации продолжают расширять свой технологический стек. Многоуровневая безопасность для усиления защиты была стандартным подходом в отрасли в течение многих лет. Вместо того, чтобы ориентироваться в сложных зависимостях и конфигурациях, они внедряют больше технологий.

Хотя многие ИТ-команды считают, что адаптация необходима для обеспечения безопасности, большинство из них не могут обновить все свои технологии при появлении новой угрозы. Вместо этого они полагаются на хорошо зарекомендовавшие себя системы. Однако сочетание устаревших и современных устройств увеличивает риск кибератак, поскольку создает пробелы — одна из причин, по которой люди считают сложность врагом.

Почему существует сложность кибербезопасности

Большинство ИТ-команд управляют десятками программного обеспечения, оборудования, поставщиков и приложений. В 2022 году в глобальном масштабе каждое предприятие использовало в среднем 130 отдельных приложений SaaS. Это число ежегодно росло в течение почти десятилетия и, вероятно, будет продолжать расти в течение многих лет.

Несмотря на то, что общее мнение о пагубности сложности существует уже давно, ИТ-службы продолжают повышать уровень безопасности. В основном им приходилось это делать, потому что это единственный способ защититься от постоянно меняющихся киберугроз.

Организации должны постоянно адаптироваться, чтобы идти в ногу с постоянно меняющимся ландшафтом угроз. С внезапным развитием таких технологий, как искусственный интеллект и Интернет вещей, профессионалам пришлось модернизироваться, иначе они рисковали стать уязвимыми.

Как сложность кибербезопасности влияет на ИТ-команды?

Сложность кибербезопасности оказывает волновой эффект на восходящий и нисходящий потоки — она затрагивает конечных пользователей в той же степени, что и руководителей служб информационной безопасности. Тем не менее, ИТ-команда ощущает на себе основную тяжесть воздействия.

Они должны справляться с увеличенной поверхностью атаки, постоянными обновлениями, неправильными настройками, устранением неполадок, непреднамеренным взаимодействием компонентов и сложным мониторингом соответствия требованиям.

Следовательно, ИТ-специалисты испытывают усталость. Многие в ответ пренебрегают безопасностью, увеличивая свою уязвимость. Исследования показывают, что причиной 90% инцидентов кибербезопасности в Соединенных Штатах и Соединенном Королевстве являются человеческие ошибки. Люди уже склонны к небрежному и вредоносному поведению, поэтому такие постоянно большие рабочие нагрузки не идеальны.

Когда системы становятся слишком сложными для управления, люди, естественно, ищут удобные обходные пути. Например, они могут пропускать обновления, отказываться внедрять многофакторную аутентификацию или игнорировать важные оповещения. В результате страдает их общая безопасность.

Злоумышленники использовали сложность в своих интересах. Они использовали устаревшие системы, халатность и неправильные настройки для поиска пробелов и уязвимостей. Примечательно, что ИТ-специалистам также может быть сложнее обнаруживать угрозы при одновременном обслуживании десятков инструментов безопасности.

Верно ли утверждение “Сложность – враг безопасности”?

С одной стороны, фраза “сложность – враг безопасности” верна, потому что чрезмерно сложные настройки требуют больше усилий для обслуживания. Они по своей сути создают увеличенную поверхность атаки и имеют более высокую вероятность сбоя. Вероятность человеческой ошибки возрастает, потому что люди находят обходные пути, чтобы сделать свою жизнь более удобной.

Кроме того, сложность означает увеличение накладных и операционных расходов. Чем больше организации тратят на обслуживание своих систем и управление ими, тем меньше у них будет необходимости более осмысленно укреплять безопасность. Та же концепция применима и к времени — чем дольше сотрудники сосредотачиваются на обновлениях и устранении неполадок, тем меньше внимания они могут уделять более насущным проблемам.

С другой стороны, сложность не превращается автоматически в сложность. Часто сложные конфигурации приводят к более простому управлению для конечных пользователей. Кроме того, многоуровневая безопасность обеспечивает комплексную защиту от любой потенциальной угрозы.

Более того, наличие большего количества оборудования, программного обеспечения и приложений позволяет ИТ-командам адаптироваться к любой угрозе. Постоянное повышение уровня безопасности по мере развития ландшафта кибербезопасности помогает им совершенствовать свою защиту. Даже если у них есть только резервные системы, они автоматически становятся более защищенными, потому что у них есть резервные копии.

Сложность по своей сути не вредна для ИТ-команд. Вместо этого реальной угрозой является некачественное планирование. Профессионалы, которые сочетают свои технологические потребности с управляемостью и удобством, могут лучше защитить себя. Иногда многоуровневая безопасность приводит к простоте.

Сложность не приводит к повышению безопасности

На протяжении многих лет ИТ-команды увеличивали свои инвестиции в безопасность. Мировые расходы на кибербезопасность достигли 219 миллиардов долларов в 2023 году, увеличившись на 12,1% по сравнению с 2022 годом. Однако ни одна из этих затрат не привела к значительному замедлению киберугроз.

Скорее, киберпреступники стали более наглыми и предприняли больше атак. Ежегодные утечки данных выросли с 1279 случаев в 2019 году до 1802 в 2022 году. Тот факт, что количество инцидентов в сфере кибербезопасности увеличилось на 40% за тот же период, когда расходы выросли на 30,3 миллиарда долларов, доказывает, что подход отрасли к многоуровневой безопасности работает не так, как ожидалось.

Несмотря на то, что большинство организаций годами тратили больше, они не внесли существенного изменения в ландшафт угроз. Похоже, сложность сама по себе не приводит к заметному улучшению. Хотя некачественное планирование является реальной угрозой, ИТ-командам не следует повышать уровень безопасности только для модернизации или адаптации.

Организации могут усилить безопасность с помощью надлежащего планирования. Вместо постоянного внедрения многоуровневого подхода, потому что это проще, чем реконфигурация или поэтапный отказ от устаревших систем, они должны расставить приоритеты. Независимо от того, нужно ли им защищать личную информацию, служебные данные или критически важные системы, они должны строить свою стратегию на защите основных систем, а не расширяться, чтобы заполнить каждый потенциальный пробел.

Организации могут заставить сложность работать на себя

Организации стали чувствовать себя слишком комфортно, чрезмерно усложняя свои системы, чтобы компенсировать свои уязвимости. Вместо того, чтобы распыляться, расширяя свои средства защиты, чтобы охватить каждую конечную точку, им следует серьезно подумать о смене приоритетов. Укрепление наиболее важных систем и отказ от ненужного оборудования могут принести большую пользу.

Несмотря на то, что наличие десятков инструментов и систем по своей сути не сопряжено с риском, упрощение подхода к обеспечению безопасности, несомненно, улучшит качество работы ИТ-специалистов и повысит безопасность организации. Хотя многие ИТ-руководители считают, что они должны продолжать внедрять новые технологии, чтобы защитить себя от постоянно меняющегося ландшафта угроз, сбалансировать сложность и управляемость гораздо безопаснее в долгосрочной перспективе.

What do you think?

Начинающий

Written by Даниил

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

GIPHY App Key not set. Please check settings