Створення нового, надійного, стійкого і справді цілісного підходу до кібербезпеки

Поспілкуйтеся з будь-яким експертом з кібербезпеки або менеджером з IT-безпеки, і вони скажуть вам, що їм вже набридли сповіщення та проблеми. Вже деякий час галузь повільно усвідомлює, що існує кращий спосіб покращити кібербезпеку та вирішити проблеми безпеки в ІТ, ніж братися до справи з кожним з окремих випадків.

Нещодавно я прочитав цікаву статтю, написану співзасновником Crash Override, Марком Курпей, про цю саму проблему в кібербезпеці. У цьому матеріалі підкреслюється, як наша галузь довго залишалася у безкінечному циклі реактивної гри зі загрозами, витрачаючи весь час на невідкладні ситуації і майже не звертаючи уваги на системні проблеми, які їх викликають. Це призводить до того, що люди «потопають у проблемах і втомлюються від сповіщень».

Що не так з підходом ‘whack-a-mole’ у кібербезпеці?

Головна проблема підходу «одна проблема – одна уразливість» або CVE-дослідження полягає в тому, що це неефективно, повторюється і несе ризики. Не всі вразливості однакові: деякі є серйозними і потребують негайних дій, інші незначні, але вимагають великих зусиль для виправлення.

Прикладом є CVE-2025-32462: ця уразливість має CVSS 3 поговорці і показник серйозності MITRE на рівні лише 2.8 (низький); але при оцінці на NIST NVD вона має показник 8.8 (високий). Наша власна команда безпеки оцінила цю конкретну уразливість як високу пріоритетність для Ubuntu.

Чому виникає така різниця? Вона пов’язана з тим, наскільки складно оцінити та оцінити пріоритетність тих пунктів, які надходять вам для «термінового розгляду». Зазвичай це призводить до того, що вразливість помилково класифікується, або її не можна виправити елементами, на які вона вказує.

Який підхід кращий, ніж ‘whack-a-mole’ у кібербезпеці?

На щастя, існують кращі підходи до кібербезпеки, ніж ‘whack-a-mole’. У своїй статті Марк рекомендує переходити від роботи з «кротами» (непередбачуваними проблемами безпеки) до усунення «комах» (системних причин, які приваблюють «кротів»). Його ідея полягає в тому, щоб будувати проактивний ландшафт через базові принципи безпеки і систему контролю.

Принцип простий: боріться з «черв’яками», і ви зможете впоратися з «кротами». Ми бачили, як формалізація цього підходу призвела до чудових результатів. Наприклад, «Patch Tuesday» компанії Microsoft підвищила рівень безпеки, перетворивши хаос оновлень кінцевих користувачів на стратегічну операцію.

В оновленнях Ubuntu ми також створюємо надійну базу, що не тільки вирішує проблеми CVE, але й формує більш безпечне середовище. Наприклад, Ubuntu Pro став доступним у 2023 році, що розширює безпеку нашого портфоліо продуктів.

Проблеми з підходом кіберінсектициду

Продовжуючи аналогію з кротами і комахами, давайте згадаємо про середовище: воно складається з багатьох видів рослин. Справа у тому, що ситуація вимагає безлічі підходів і методів. Наприклад, ви не використовуватимете той самий засіб проти кореневих черв’яків, яким би ви обробляли попелиць.

Інсектицид може бути занадто узагальненим

Зусилля з безпеки можуть впливати на все середовище, викликаючи незручності у користувачів.

Інсектицид може бути недостатньо специфічним

Надто широкі зусилля можуть виявитися неефективними для специфічних загроз.

Інсектициди не є універсальним контролем

Концентрація на базових ризиках не враховує загрози, що не пов’язані з ІТ.

Інсектицид не вирішує інші системні проблеми

Просто застосування засобів захисту не усуває всеохопні проблеми, які існують в системі.

Найкраща модель для кібербезпеки: агрономія

Давайте повернемося до аналогії, щоб обговорити, як професійні фермери підходять до проблем у своїй сфері.

Фермери розуміють, що хороший сад займає більше, ніж просто управління шкідниками. Тому вони розглядають весь агрокомплекс цілісно, спостерігаючи за такими факторами, як склад ґрунту і навколишнє середовище. Це складний підхід, що називається агрономією.

Агрономія розуміє, що поле — це не моноліт, а складна екосистема. Вона використовує необхідні техніки для підвищення врожайності, зменшуючи ресурси.

Кібер-агрономія застосовує ці принципи в кібербезпеці, фокусуючись на зменшенні впливу CVE та створенні операційного середовища, що підтримує інноваційні практики.

Отже, як застосувати агрономію до кібербезпеки?

Інсектицид важливий

Посилення основ зал залишається критично важливим.

… але вам також завжди доведеться боротися з кротами

Вразливості як податки з’являтимуться у будь-який момент.

Думайте як науковець щодо ризиків

Необхідно оцінювати ризики відповідно до ресурсів.

Зменшуйте варіації середовища

Зосередьтеся на зменшенні операційної складності, використовуючи базові моделі.

Підкресліть важливість навчання для всіх

Безпека є відповідальністю кожного, тому компанії повинні мати комплексне навчання для всіх співробітників.

Перехід від гри з CVE до агрономії — це новий, комплексний і науковий підхід, який допоможе покращити ваш кіберпростір.