Эта публикация предоставляет руководство по стратегиям, которые организации могут применять во время слияний, поглощений и смены правительственного аппарата.
Серьезные организационные изменения создают значительные возможности для противников:
Во время серьезных организационных изменений сотрудники могут обнаружить, что они вынуждены принимать законность запросов на данные, платеж или доступ от людей, которых они не знают, и не могут легко проверить личность и полномочия. Злоумышленники используют это давление для увеличения вероятности успешного использования таких методов, как взлом деловой электронной почты и выдача себя за CXO.
Проблема еще больше усугубляется, если организации, участвующие в крупных организационных изменениях, географически разделены - тем более, если разделение пересекает национальные границы или культурные границы. Чтобы управлять этим риском безопасности, организациям следует:
Дополнительные советы по управлению людьми для организаций государственного сектора можно найти в руководстве APSC MoG [3].
Обмен результатами тестирования безопасности (например, тестирование на проникновение) и реестрами инцидентов кибербезопасности и последующая работа с ними часто обеспечивают более быстрое и точное понимание положений безопасности, чем обмен документами высокого уровня, такими как политики, стратегии и оценки рисков.
Организациям также следует рассмотреть возможность тестирования безопасности после серьезных организационных изменений, чтобы проверить состояние безопасности объединенных систем.
Напоминаем организациям, что Закон о конфиденциальности 1988 [5] (Закон о конфиденциальности) обязывает их принимать разумные меры, такие как описанные выше, для защиты частной информации, находящейся в их распоряжении.
Организации, осуществляющие физическую передачу, должны помнить, что носители, используемые для передачи, скорее всего, сохранят восстанавливаемую копию данных, хранящихся на них. Это особенно актуально, если организации не шифруют данные для передачи. Таким образом, носители должны быть продезинфицированы перед выпуском для общего использования или утилизации. ISM содержит руководство по санитарной обработке, уничтожению и утилизации носителей.
Перед импортом данных в существующую систему организациям следует изучить архитектуру системы и данных, бизнес-правила и архитектуру безопасности с учетом вновь импортированных данных и убедиться в том, что доступ остается в соответствии с бизнес-правилами и принципами кибербезопасности, такими как минимально возможные привилегии.
Организации, которые разрешают запуск только проверенных и утвержденных макросов, должны будут убедиться, что приходящие сотрудники понимают процесс проверки и утверждения макросов. Персонал, проверяющий макросы, должен быть готов к резкому скачку рабочей нагрузки в краткосрочной перспективе с масштабным увеличением рабочей нагрузки в зависимости от размера новой организации в долгосрочной перспективе. Для этой роли может потребоваться дополнительный персонал.
Организациям также может потребоваться определить любые критические макросы, которые поддерживают ключевые бизнес-функции, чтобы можно было поручить проверку и включение этих макросов как часть операции по передаче данных, чтобы минимизировать прерывание бизнеса.
Напоминаем организациям, что Закон о конфиденциальности обязывает их принимать разумные меры для защиты личной информации, находящейся в их распоряжении, включая оценку контекста безопасности любого партнера или другой организации, с которой они делятся частной информацией.
Напоминаем организациям, что Закон о конфиденциальности требует от них либо уничтожить, либо обезличить личную информацию, если у них больше нет уважительной причины для ее хранения. Организации должны ознакомиться с принципами конфиденциальности и Законом о конфиденциальности для получения дополнительной информации.
Для получения конкретных советов о том, как очистить средства массовой информации и избавиться от активов ИКТ, организациям следует ознакомиться с руководством в ISM. Организациям также следует подумать о том, как они обращаются со своими облачными активами. Для получения конкретных советов о том, как очистить облачное хранилище и вычислительные ресурсы, организации должны проконсультироваться у своего поставщика облачных услуг. Наконец, для уничтожения физических записей организациям следует обратиться за советом к PSPF.
Организации могут обнаружить, что они унаследовали значительный объем технического долга и связанный с этим риск безопасности во время серьезных организационных изменений. В то время как понимание на высоком уровне количества и типов различных платформ и приложений обеспечивает единое представление, изучение уровней исправлений и поддержки дает представление о внимании и внимании, уделяемом системам, работающим в обычном режиме.
Организациям, унаследовавшим системы, также может потребоваться выходить за рамки того, что сообщается в инвентаризационных базах данных или базах данных управления конфигурациями, поскольку наибольшая техническая задолженность часто скрывается в системах, которые должным образом не включены в системы мониторинга и управления.
Использование возможностей обнаружения, таких как автоматический сканер уязвимостей, может помочь организациям составить более полное представление о том, что им нужно приспособить, включая состояние безопасности рассматриваемых систем.
Системы часто бывают сложными. В дополнение к приложениям, системы также полагаются на операционные системы и платформы серверов приложений, которые могут быть неизвестны существующим техническим кадрам организации.
Организации должны учитывать, есть ли у них:
Организациям также может потребоваться рассмотреть необходимость проверки и обновления существующей документации по безопасности. Например, может потребоваться обновление политик и стандартных операционных процедур, чтобы согласовать обязанности и полномочия с новой организационной структурой. Планы реагирования на инциденты также могут нуждаться в обновлении с учетом новых контактов, команд и точек эскалации.
Организациям также следует учитывать риски доступности, связанные с невозможностью восстановления данных. Организации, которые не могут восстановить свои данные после инцидента кибербезопасности, часто терпят неудачу. Essential Eight предоставляет дополнительные советы по резервному копированию, в том числе о важности автономных, неперезаписываемых и не стираемых резервных копий, чтобы предотвратить ущерб от программ-вымогателей и аналогичных злоумышленников.
Если организации планируют присоединиться к средам, и одна из этих сред уже взломана, то боковое перемещение в другую среду может быть тривиальным в зависимости от внутреннего доверия, встроенного в базовую технологию. Если среды должны быть объединены, организациям, возможно, придется подумать о том, как они будут развивать разумные гарантии того, что ни одна среда не является предметом активного компромисса. Организации могут обнаружить, что проще и безопаснее создавать новые версии существующих сервисов в новой сети и переносить пользователей и данные, чем пытаться «поднять и сдвинуть» серверы, которые находятся в неизвестном состоянии и существуют в организации с низким уровнем доходов. позиция кибербезопасности.
Организации должны рассмотреть возможность использования шлюзовых технологий, таких как прокси, а также инфраструктуры сканирования и мониторинга каналов связи между организациями. ISM и Стратегии смягчения инцидентов кибербезопасности предоставляют дополнительные рекомендации по этому поводу.
Во всех случаях организациям необходимо учитывать, что механизмы защиты систем не всегда являются неотъемлемой частью самой системы. Например, решение для многофакторной аутентификации может полагаться на интеграцию через каталог корпоративной идентичности, который нельзя перемещать в рамках серьезных организационных изменений.
Однако большую озабоченность вызывают не очевидные меры безопасности (поскольку они влияют на взаимодействие с пользователем и / или доступность), а скорее те, которые не видны пользователю, например, те, которые отслеживают и реагируют при обнаружении подозрительной активности. Например, мониторинг для обнаружения злоупотребления идентификационными данными, которое произошло в Центре операций безопасности предыдущего владельца, или средства управления безопасностью, которые полагались на возможности, которые не являются частью технологического стека целевой системы, например, различные агенты безопасности конечных точек, технологии шлюза и прокси.
Чтобы максимально приспособиться к этим ситуациям, организациям следует проанализировать:
Введение
Крупные организационные изменения, такие как слияния, поглощения и изменения в правительственном аппарате (МГ), создают значительные и уникальные проблемы для кибербезопасности, поскольку они создают серьезные потрясения и нарушают нормальный поток бизнеса. В короткие периоды времени необходимо установить новые отношения, интегрировать новые бизнес-процессы, а системы нужно подготовить, объединить, переместить и вывести из эксплуатации по мере перемещения и консолидации возможностей.Серьезные организационные изменения создают значительные возможности для противников:
- Налаженные взаимоотношения и бизнес-процессы заменяются новыми договоренностями, создающими возможности для противников использовать социальную инженерию и другие невысокие методы для нанесения значительного вреда.
- Различные среды угроз, аппетиты к риску и положения безопасности в организациях приводят к предположениям о качестве и полноте мер безопасности при снижении рисков безопасности.
- Системы могут быть неправильно настроены, что сделает их уязвимыми для компрометации.
- Данные могут быть раскрыты людям без необходимости знать, храниться в местах без надлежащей защиты или использоваться таким образом, чтобы подвергать их новым и ранее не рассмотренным рискам безопасности.
- Злоумышленники могут использовать компромисс одной организации до слияния, чтобы поставить под угрозу обе организации, если происходит обмен данными или системы связаны.
Человеческий фактор
Злоумышленники нацелены на организации, в которых происходят серьезные организационные изменения, потому что они знают, что это нарушение облегчает атаки социальной инженерии. Персоналу внутри организации, претерпевающей серьезные организационные изменения, потребуется быстро наладить эффективные отношения с новым набором коллег, часто работая в условиях значительной неопределенности и нехватки времени.Во время серьезных организационных изменений сотрудники могут обнаружить, что они вынуждены принимать законность запросов на данные, платеж или доступ от людей, которых они не знают, и не могут легко проверить личность и полномочия. Злоумышленники используют это давление для увеличения вероятности успешного использования таких методов, как взлом деловой электронной почты и выдача себя за CXO.
Проблема еще больше усугубляется, если организации, участвующие в крупных организационных изменениях, географически разделены - тем более, если разделение пересекает национальные границы или культурные границы. Чтобы управлять этим риском безопасности, организациям следует:
- Информируйте персонал о рисках для человека как можно скорее после объявления о крупных организационных изменениях. Для организаций государственного сектора, в соответствии с руководством APSC MoG, это должно быть частью раннего консультирования и помощи персоналу.
- Напомните всем сотрудникам, что они должны отклонять запросы на доступ, оплату или данные до тех пор, пока они не смогут подтвердить личность и полномочия запрашивающего. Личность следует установить лично или по телефону, используя заведомо правильные контактные данные.
- Принять меры, чтобы сотрудники могли легко проверять личность и полномочия новых коллег и информировать их об этом механизме в первоначальной записке (например, онлайн-диаграммы организаций и действующие адреса электронной почты). Персонал также следует поощрять к использованию доверенных третьих лиц (например, знакомого им коллеги, который может проверить другое лицо), чтобы помочь справиться со специальной идентификацией.
- Организуйте знакомство между новыми сотрудниками как можно быстрее, чтобы помочь всем понять, с кем им следует иметь дело.
Дополнительные советы по управлению людьми для организаций государственного сектора можно найти в руководстве APSC MoG [3].
Понимание положений безопасности
Понимание позиций безопасности между различными организациями может быть сложной задачей. Ключ к быстрому и точному пониманию контекста - максимально эффективный обмен откровенной информацией.Обмен результатами тестирования безопасности (например, тестирование на проникновение) и реестрами инцидентов кибербезопасности и последующая работа с ними часто обеспечивают более быстрое и точное понимание положений безопасности, чем обмен документами высокого уровня, такими как политики, стратегии и оценки рисков.
Организациям также следует рассмотреть возможность тестирования безопасности после серьезных организационных изменений, чтобы проверить состояние безопасности объединенных систем.
Перенос данных
Во время серьезных организационных изменений данные часто перемещаются для согласования с новой операционной моделью. Примеры включают:- Миграция файловой системы - перемещение типичных электронных папок, содержащих документы, электронные таблицы, отчеты, изображения и т.д.
- Извлечение, преобразование и загрузка данных - строго типизированные данные, например данные, хранящиеся в базе данных, извлекаются и затем загружаются в новую систему. Это могут быть данные из бизнес-приложений, систем электронной почты, персонала, заработной платы и т.д.
Управление рисками безопасности во время миграции данных
Если данные переносятся с использованием онлайн-передачи, организации должны:- Убедитесь, что среда назначения и коммуникационная инфраструктура, используемая для передачи данных, надлежащим образом защищены (например, с помощью шифрования) с точки зрения уязвимости и классификации передаваемых данных.
- Используйте двух доверенных сотрудников для наблюдения за передачей и проверки того, что данные отправляются по назначению. При передаче значительных данных стоит вложить средства в дополнительный набор глаз, чтобы дважды проверить детали.
- Используйте одобренный управлением сигналов (ASD) криптографический алгоритм, указанный в Руководстве по информационной безопасности (ISM) для генерации контрольной суммы до и после передачи, чтобы гарантировать, что данные не были повреждены или изменены при передаче.
- Убедитесь, что данные должным образом защищены в целевой среде, включая любое хранилище, в котором они временно размещаются.
Использование публичного облака в качестве посредника
Организации также могут пожелать использовать общедоступное облачное хранилище в качестве посредника при передаче данных. В таких случаях организациям следует:- использовать одобренный ASD криптографический алгоритм для шифрования данных перед их передачей
- убедитесь, что облачное хранилище имеет соответствующие средства управления доступом
- ограничивать доступ только тем сотрудникам и системам, которые участвуют в передаче данных.
Напоминаем организациям, что Закон о конфиденциальности 1988 [5] (Закон о конфиденциальности) обязывает их принимать разумные меры, такие как описанные выше, для защиты частной информации, находящейся в их распоряжении.
Физическая передача данных
Для физической передачи данных организациям следует:- шифровать данные с помощью одобренного ASD криптографического алгоритма с ключом, передаваемым по альтернативному безопасному пути
- передавать носители, содержащие данные, от человека к человеку с помощью доверенных сотрудников
- во время транспортировки защищайте носители в надежно защищенном портфеле или контейнере.
Организации, осуществляющие физическую передачу, должны помнить, что носители, используемые для передачи, скорее всего, сохранят восстанавливаемую копию данных, хранящихся на них. Это особенно актуально, если организации не шифруют данные для передачи. Таким образом, носители должны быть продезинфицированы перед выпуском для общего использования или утилизации. ISM содержит руководство по санитарной обработке, уничтожению и утилизации носителей.
Подготовка к рискам безопасности после переноса данных
Сохранение разрешений файловой системы
При передаче файловых систем организациям может потребоваться предпринять дополнительные шаги для сохранения списков управления доступом. Во многих случаях нет встроенной поддержки для перемещения списков управления доступом между разными системами (например, между двумя серверами Microsoft Windows в разных доменах). При необходимости доступны инструменты вторичного рынка и другие процессы для поддержки этого требования.Новые правила ведения бизнеса
Если данные импортируются в новую систему, они могут регулироваться другим набором бизнес-правил, и организации могут непреднамеренно предоставить больший доступ, чем требуется.Перед импортом данных в существующую систему организациям следует изучить архитектуру системы и данных, бизнес-правила и архитектуру безопасности с учетом вновь импортированных данных и убедиться в том, что доступ остается в соответствии с бизнес-правилами и принципами кибербезопасности, такими как минимально возможные привилегии.
Импорт неверных данных
Организация, импортирующая данные файловой системы, должна предпринять разумные меры для защиты данных от вредоносных программ. Организации должны сканировать импортированные данные с помощью двух высококачественных антивирусных продуктов с обновленными сигнатурами. Это должно включать сканирование импортированных ящиков электронной почты, независимо от того, имеют ли они формат базы данных или нет.Безопасность макросов Microsoft Office
Организациям, которые внедрили макробезопасность Microsoft Office в соответствии с Essential Eight [7] , возможно, потребуется подумать о том, как они будут проверять и одобрять любые файлы с поддержкой макросов, поступающие как часть передачи данных.Организации, которые разрешают запуск только проверенных и утвержденных макросов, должны будут убедиться, что приходящие сотрудники понимают процесс проверки и утверждения макросов. Персонал, проверяющий макросы, должен быть готов к резкому скачку рабочей нагрузки в краткосрочной перспективе с масштабным увеличением рабочей нагрузки в зависимости от размера новой организации в долгосрочной перспективе. Для этой роли может потребоваться дополнительный персонал.
Организациям также может потребоваться определить любые критические макросы, которые поддерживают ключевые бизнес-функции, чтобы можно было поручить проверку и включение этих макросов как часть операции по передаче данных, чтобы минимизировать прерывание бизнеса.
Другой контекст безопасности
Данные, поступающие как часть передачи данных, могут подвергаться большему риску безопасности, если они размещены в среде с более низким уровнем кибербезопасности. Организации должны уделять особое внимание активам с высокой стоимостью, включая:- конфиденциальные данные о людях
- ключевая интеллектуальная собственность
- коммерчески конфиденциальные данные.
Напоминаем организациям, что Закон о конфиденциальности обязывает их принимать разумные меры для защиты личной информации, находящейся в их распоряжении, включая оценку контекста безопасности любого партнера или другой организации, с которой они делятся частной информацией.
Вывод из эксплуатации старых хранилищ данных
После подтверждения того, что данные были успешно переданы между организациями, организациям может потребоваться удалить все исторические копии. В таких случаях организации должны помнить о том, что им необходимо хранить официальные записи в соответствии с законодательством, находящимся под их юрисдикцией, и обращаться за советом в свои архивы.Напоминаем организациям, что Закон о конфиденциальности требует от них либо уничтожить, либо обезличить личную информацию, если у них больше нет уважительной причины для ее хранения. Организации должны ознакомиться с принципами конфиденциальности и Законом о конфиденциальности для получения дополнительной информации.
Для получения конкретных советов о том, как очистить средства массовой информации и избавиться от активов ИКТ, организациям следует ознакомиться с руководством в ISM. Организациям также следует подумать о том, как они обращаются со своими облачными активами. Для получения конкретных советов о том, как очистить облачное хранилище и вычислительные ресурсы, организации должны проконсультироваться у своего поставщика облачных услуг. Наконец, для уничтожения физических записей организациям следует обратиться за советом к PSPF.
Миграция системы
Создание исчерпывающего списка проблем кибербезопасности, возникающих в результате миграции системы, выходит за рамки этого документа. Однако организациям следует рассмотреть следующие вопросы высокого уровня.Основы кибербезопасности
Поддерживаются ли системы поставщиком? Обновлены ли системы и установлены ли они? Какие системы не отслеживаются или отсутствуют в инвентаре?Организации могут обнаружить, что они унаследовали значительный объем технического долга и связанный с этим риск безопасности во время серьезных организационных изменений. В то время как понимание на высоком уровне количества и типов различных платформ и приложений обеспечивает единое представление, изучение уровней исправлений и поддержки дает представление о внимании и внимании, уделяемом системам, работающим в обычном режиме.
Организациям, унаследовавшим системы, также может потребоваться выходить за рамки того, что сообщается в инвентаризационных базах данных или базах данных управления конфигурациями, поскольку наибольшая техническая задолженность часто скрывается в системах, которые должным образом не включены в системы мониторинга и управления.
Использование возможностей обнаружения, таких как автоматический сканер уязвимостей, может помочь организациям составить более полное представление о том, что им нужно приспособить, включая состояние безопасности рассматриваемых систем.
Подходящая экосистема
Как будут обновляться, резервироваться, контролироваться и управляться новые системы?Системы часто бывают сложными. В дополнение к приложениям, системы также полагаются на операционные системы и платформы серверов приложений, которые могут быть неизвестны существующим техническим кадрам организации.
Организации должны учитывать, есть ли у них:
- Достаточный опыт для поддержки приложений, включая разработчиков, знакомых с языками, фреймворками, интерфейсами программирования приложений и облачными сервисами, используемыми для их разработки.
- Существующая возможность поддержки базовой операционной системы, базы данных, сервера приложений, сетевых технологий, облачной инфраструктуры и других зависимостей. Поддержка должна включать:
- экспертиза
- совместимая платформа исправлений и возможности
- инфраструктура резервного копирования
- мониторинг и управление конфигурацией (включая управление журналами и обзор).
Управление кибербезопасностью
Организации должны будут подумать, кто станет новым владельцем перенесенных систем. Им также необходимо будет рассмотреть, кто возьмет на себя риски безопасности, прежде чем разрешить работу системы в соответствии с структурой кибербезопасности организации, включая любые дополнительные риски безопасности и технический долг, возникшие в результате миграции.Организациям также может потребоваться рассмотреть необходимость проверки и обновления существующей документации по безопасности. Например, может потребоваться обновление политик и стандартных операционных процедур, чтобы согласовать обязанности и полномочия с новой организационной структурой. Планы реагирования на инциденты также могут нуждаться в обновлении с учетом новых контактов, команд и точек эскалации.
Ответ на инцидент
Организации могут столкнуться с необходимостью реагировать на инциденты кибербезопасности во время или после серьезных организационных изменений в результате зависимостей между системами, которые пересекают границы организации. Если это произойдет, будет очень полезно, если между оперативными группами кибербезопасности в каждой организации уже существуют хорошо развитые отношения. Организациям следует подумать о том, как они могут установить эти отношения на раннем этапе планирования и продвигать их использование во время изменений.Доступность
При планировании миграции обычных систем обычно решаются вопросы, связанные с перебоями в работе во время серьезных организационных изменений. Однако организациям следует учитывать любое снижение защиты доступности, происходящее в рамках миграции системы. Например, некоторые организации применяют значительные распределенные меры по смягчению отказов в обслуживании с использованием общедоступного облака, в то время как другие могут использовать менее эффективные локальные решения. Защиту, обеспечиваемую системой, следует снижать только в том случае, если риск для безопасности осознан и принят.Организациям также следует учитывать риски доступности, связанные с невозможностью восстановления данных. Организации, которые не могут восстановить свои данные после инцидента кибербезопасности, часто терпят неудачу. Essential Eight предоставляет дополнительные советы по резервному копированию, в том числе о важности автономных, неперезаписываемых и не стираемых резервных копий, чтобы предотвратить ущерб от программ-вымогателей и аналогичных злоумышленников.
Присоединение к сети
Присоединение к сетям дает злоумышленникам значительную возможность перейти в среду другой организации, если одна сеть уже взломана. Организации должны позаботиться о том, чтобы разрешить только те сетевые услуги, которые требуются через любую организацию к каналам связи организации.Если организации планируют присоединиться к средам, и одна из этих сред уже взломана, то боковое перемещение в другую среду может быть тривиальным в зависимости от внутреннего доверия, встроенного в базовую технологию. Если среды должны быть объединены, организациям, возможно, придется подумать о том, как они будут развивать разумные гарантии того, что ни одна среда не является предметом активного компромисса. Организации могут обнаружить, что проще и безопаснее создавать новые версии существующих сервисов в новой сети и переносить пользователей и данные, чем пытаться «поднять и сдвинуть» серверы, которые находятся в неизвестном состоянии и существуют в организации с низким уровнем доходов. позиция кибербезопасности.
Организации должны рассмотреть возможность использования шлюзовых технологий, таких как прокси, а также инфраструктуры сканирования и мониторинга каналов связи между организациями. ISM и Стратегии смягчения инцидентов кибербезопасности предоставляют дополнительные рекомендации по этому поводу.
Идентификация и контроль доступа
Вопросы, связанные с предоставлением идентификационной информации, обычно рассматриваются как часть планирования миграции системы. Например, удостоверение может быть предоставлено приложению внутри (удостоверение записывается в подключенной базе данных), через внешний каталог (например, корпоративный активный каталог) или через третью сторону (например, решение для федеративной идентификации).Во всех случаях организациям необходимо учитывать, что механизмы защиты систем не всегда являются неотъемлемой частью самой системы. Например, решение для многофакторной аутентификации может полагаться на интеграцию через каталог корпоративной идентичности, который нельзя перемещать в рамках серьезных организационных изменений.
Однако большую озабоченность вызывают не очевидные меры безопасности (поскольку они влияют на взаимодействие с пользователем и / или доступность), а скорее те, которые не видны пользователю, например, те, которые отслеживают и реагируют при обнаружении подозрительной активности. Например, мониторинг для обнаружения злоупотребления идентификационными данными, которое произошло в Центре операций безопасности предыдущего владельца, или средства управления безопасностью, которые полагались на возможности, которые не являются частью технологического стека целевой системы, например, различные агенты безопасности конечных точек, технологии шлюза и прокси.
Чтобы максимально приспособиться к этим ситуациям, организациям следует проанализировать:
- документация по безопасности системы
- билеты на изменение конфигурации системы в течение срока ее эксплуатации
- персонал, обслуживающий систему, включая персонал шлюзов и специалистов по кибербезопасности, для определения внешних средств контроля безопасности, которые защищают эту систему.
Выводы
Кибербезопасность - критически важный аспект в рамках крупных организационных изменений. Чтобы управлять повышенными рисками безопасности, организациям следует сосредоточить внимание на следующих трех областях:- минимизировать накопление и усложнение технического долга
- убедиться, что данные и системы хорошо интегрированы в новую организацию, чтобы гарантировать, что они должным образом исправлены, поддерживаются и контролируются
- понимать меры безопасности, которые защищали данные и системы в их предыдущей операционной среде, и обеспечивать соответствующую и идеально эквивалентную или лучшую защиту в новой операционной среде.
