Продолжаем традицию — напишу про то, что было на лондонском Gartner Security & Risk Management Summit. Я сам там не был, но посмотрел, о чем говорили в Туманном Альбионе и могу кратко пересказать, что занимает умы глобальных консультантов, устанавливающих мировые тенденции и новые аббревиатуры. Итак, тезисно звучали следующие мысли:
Гартнер предложил CISO уйти от стратегии «нулевой толерантности к сбоям и инцидентам» и призвал уравнять важность реагирования и восстановления с профилактическими мерами.
Строительство системы, устойчивой к сбоям.
Минимизация используемых инструментов до наиболее эффективного набора.
Развитие устойчивой киберкоманды, способной избегать выгорания, и стимулировать инновации.
45% организаций столкнулись с увеличением киберинцидентов, связанных с подрядчиками, но дополнительные инвестиции не приводят к снижению этих рисков. Для повышения устойчивости рекомендуется:
Создание четких планов на случай завершения работы с поставщиками.
Проведение регулярных киберучений по реагированию на инциденты, включая и штабных.
Усиление сотрудничества с третьими сторонами, а не просто контроль.
Zero Trust заменяет статическую и подразумеваемую модель ИБ на динамическую и четко определенную.
Начинайте с кто, а не где. Заведите каталог активов. Учитывайте уже сделанные сетевые инвестиции
ZT базируется на идентификации и контексте; особенно динамических!
Gartner прогнозирует, что к 2026 году более 500 миллионов пользователей смартфонов будут использовать цифровые идентификационные кошельки, что подчеркивает быстрое развитие цифровых методов идентификации. Гартнер отмечает, что восстановление учетных записей становится уязвимым местом для атак, и IDV (Identity Verification) может снизить этот риск. Однако нынешние подходы к верификации имеют следующие проблемы:
Высокая стоимость и неэффективность для каждой организации, проводящей верификацию самостоятельно.
Плохой пользовательский опыт (UX), когда каждый сервис требует повторной верификации.
Недостаток механизмов согласия и контроля со стороны пользователей за их данными.
Гартнер предложил двигаться в сторону переносимых цифровых идентичностей, которые могут сосуществовать с существующими решениями. Это может улучшить безопасность и упростить процессы аутентификации.
Gartner предлагает, чтобы CISO трансформировались из тактических лидеров в бизнес-экспертов и рассказчиков (сторителлинг наше все). Они подчеркивают важность использования технологий, таких как ИИ, для принятия быстрых и обоснованных решений, но при этом надо учитывать:
Конфликт целей и высокую нагрузку на CISO.
Этические вопросы, связанные с использованием ИИ для оптимизации процессов.
Необходимость создания бизнес-кейсов перед запуском программ по внедрению дополненных технологий.
Аналитики Гартнера сделали сенсационное заявление, что не каждый внутренний риск превращается в угрозу, но каждая угроза начинается с риска. А к ссновным причинам внутренних угроз отнесли:
63% — невнимательные пользователи.
23% — злонамеренные пользователи.
14% — компрометация учетных данных.
Поэтому предлагается автоматизировать меры по предупреждению ошибок пользователей, такие как мгновенные уведомления и обучение политике безопасности.
Большое внимание было уделено теме ИИ. Гартнер перечисляет ключевые риски, связанные с использованием генеративного ИИ:
Потерю данных, генерацию ложной информации (галлюцинации), и вредоносный контент.
Рекомендовано применять разделение GenAI-приложений и LLM для минимизации рисков при смене моделей.
Упомянута необходимость проводить тесты на проникновение (red-team) для внешних GenAI-приложений, чтобы выявить уязвимости до того, как это сделают злоумышленники.
Перед внедрением GenAI важно обеспечить харденинг облаков, данных и приложений, а затем добавить GenAI-специфические меры защиты.
В Лондоне рассказали о важности защиты инфраструктуры разработки программного обеспечения, которая часто остается незамеченной. Основные моменты:
Безопасности цепочки поставок ПО требует учета компонентов, зависимостей и окружения разработки.
Для защиты цепочки поставок нужно:
Проводить анализ состава ПО на постоянной основе.
Обеспечить многофакторную аутентификацию и защиту от утечек конфиденциальных данных.
Проверять целостность компонентов в процессе разработки.
Gartner также дал рекомендации для CISO, как управлять внедрением GenAI:
Установить четкие ожидания и цели использования GenAI, включая управление рисками и измерение динамики внедрения ИИ.
Разработать правила и политику использования GenAI для прозрачного управления, а также наказания за неправильное использование.
Обеспечить прозрачность процессов GenAI, включая отслеживание отправляемых в ИИ данных и сгенерированных на их основе решений.
Управлять навыками и ожиданиями команды — GenAI поддерживает сотрудников, но не заменяет их.
Измерять успешность внедрения GenAI с помощью показателей эффективности, таких как бизнес-ценность, риски и затраты.
Скажу прямо, не ахти какие прозвучали сенсации и выводы. Все достаточно стандартно и не так чтобы интересно. По крайней мере мне так показалось из того, что рассказал Gartner в паблике. Исключая тему IDV все остальное не ново и уже озвучивалось либо Gartner’ом ранее, либо просто звучит из каждого утюга (например, тема ИИ или погружения в бизнес-контекст).
Заметка Обзор лондонского Gartner Security & Risk Management Summit была впервые опубликована на Бизнес без опасности.
Сообщения блогов группы «Личные блоги» (www.securitylab.ru)