Varje organisation är i riskzonen för en cyberattack, men varje organisation hanterar risker på olika sätt. Ingen förväntar sig att små och medelstora företag ska ha samma inställning till cybersäkerhet som ett stort företag eller en äldre organisation ska ha samma riskaptit som en startup. På samma sätt beror hur en organisation försvarar sig från attacker på olika faktorer, inklusive dess storlek, typ av bransch, leveranskedjans resurser, inställning till outsourcing och distansarbete och global närvaro.
Säkerhetsledare från tre väldigt olika branscher satte sig ner med Dark Reading för att diskutera sina respektive cybersäkerhetsprogram.
John McClure är CISO på Sinclair Broadcast, en stor nyhets- och sportleverantör i USA, med nästan 200 tv-stationer, strömmande och digitala plattformar, och nära två dussin sportsändningar. McClure säger att även om Sinclair står inför många av samma cybersäkerhetshot som vilken organisation som helst, anses den också vara en del av den kritiska infrastrukturen eftersom den bär nödsändningssignaler. En av utmaningarna som McClure har sett under de senaste fem åren är de försvinnande nätverksgränserna och att hitta sätt att skydda nätverket som människors sätt att arbeta fortsätter att förändras.
Doug Shepherd är senior chef för det offensiva säkerhetstjänstteamet på Jones Lang LaSalle (JLL), ett världsomspännande kommersiellt fastighetsbolag med 90,000 60 anställda i mer än XNUMX länder. JLL var länge mer ett varumärke än ett företag, förklarar Shepherd, men på senare år har det blivit mer sammanhållet och samarbetat under JLL-modellen. Företagets cybersäkerhetsproblem kretsar kring att integrera alla olika kontorsnätverk i en enhetlig modell och konsolidera individuella säkerhetspraxis till en företagsomfattande policy, säger han.
Luis Cunha är chef för säkerhetsteknik på Aptiv, ett fordonsteknikföretag med 170,000 165 anställda i XNUMX fabriker runt om i världen. Drifttekniksäkerhet är lika viktigt för Aptiv som informationsteknologi, med slutpunktssäkerhet för alla teknologier ett stort problem, säger Cunha.
Säkerhetsteamets storlek
Det finns ingen "rätt" storlek när det kommer till säkerhetsteamet. Vissa organisationer har stora team, och andra samarbetar med tredjepartsleverantörer för att kompensera för små team. Den skillnaden är mycket tydlig hos Sinclair, JLL och Aptiv.
När Shepherd först kom till JLL lades det mesta av säkerheten ut, men nu är det 100 personer i säkerhetsteamet, säger han. Shepherd anser dock att laget är lite underdimensionerat med tanke på företagets storlek.
Outsourcing i ett sådant distribuerat företag innebar att varje kontor satte sina egna policyer. JLL:s fokus på att förena säkerhet driver dess beslut att gå bort från outsourcing. Målet är att minska sitt beroende av outsourcing och så småningom få in entreprenörer som arbetar direkt med säkerhetspersonalen, säger Shepherd.
Sinclairs McClure gav inga exakta siffror – han säger bara att hans säkerhetsteam uppfyller branschgenomsnittet. Hos Sinclair hanteras säkerheten både internt och outsourcad. Sinclair förlitar sig på outsourcing för kompetens som är svår att rekrytera och behålla internt, som t.ex. hotjakt, säger McClure.
Och så finns det Aptiv, med 35 personer i sitt säkerhetsteam – upp från fem i ingenjörsteamet för ett år sedan, enligt Cunha. Cunha tycker att Aptiv har lagt ut för mycket på entreprenad, vilket påverkar organisationens smidighet och flexibilitet. När man lägger ut på entreprenad tappar man förmågan att förändra och reagera på säkerhetsproblem snabbt, säger han.
Investera i säkerhetsteknik
Vilken typ av säkerhetsteknik en organisation investerar i beror på faktorer som regulatoriska och efterlevnadskrav, vilken typ av hot organisationen ser och dess teknikstack. När organisationer flyttar mer av sin verksamhet till molnet, investerar de i molnsäkerhet. Med övergången till distribuerad datoranvändning blir identitet ett ännu mer kritiskt fokusområde.
McClure säger att Sinclair investerar i ett antal tekniker, inklusive endpoint detection and response (EDR), utökad detektion och respons (XDR), och slutpunktssäkerhet, med tonvikt på identitets- och molnsäkerhet.
Sändningsleverantören förlitar sig också på automatisering för att stödja volymen och hastigheten på data som drivs över dess nätverk, säger McClure. Även om vissa av automationsfunktionerna är inbyggda i den teknik som används, använder företaget också säkerhetsorkestrering, automatisering och respons (SOAR) teknik över flera plattformar.
Däremot är automatisering i sina "mycket tidiga dagar" för JLL, säger Shepherd, när organisationen går bort från outsourcing till intern säkerhet. Företaget fokuserar på endpoint- och molnsäkerhet, och det är också där fokus ligger på automatisering. Shepherd designar automatisering som hämtar data från varje slutpunkt var 15:e minut för att leta efter riskindikatorer i realtid.
Tidigare var säkerheten tystad vid Jones Lang LaSalle, så det nuvarande fokuset är att sätta upp teknik som gör att säkerhetsteamet får bättre insyn i hela miljön, säger Shepherd.
Aptivs fokus är lite annorlunda, eftersom företaget vill ta till sig teknik som ger mer säkerhetseffektivitet och kvalitet, med ett större fokus på säker åtkomst service edge (SASE), säger Cunha. Aptiv investerar också i driftteknisk säkerhet för sina tillverkningsanläggningar. Det finns många olika leverantörer för båda typerna av säkerhet, och ett mål för Cunha är bättre konsolidering av teknik och leverantörslösningar. Orkestererings- och automationsverktyg spelar en mycket viktig roll när det gäller att integrera säkerhetsverktyg.
Vägen till datadriven säkerhet
När det gäller Aptivs Cunha kan du inte ha orkestrering och automatisering utan solid dataanalys. Ingenjörsteam använder dataanalys för att förbättra säkerhetsverktygen, säger Cunha, och ger sökmöjligheter till SOC. Cunhas team utför sin egen dataanalys istället för att förlita sig på en plattform.
Precis som automatisering är dataanalys fortfarande i ett tidigt skede på JLL, men data är fortfarande användbar, säger Shepherd. JLL använder analyser för att avgöra vad som händer i omkretsen, säger han.
Dataanalys används för att kontrollera täckning och kontrollera effektivitet, eftersom det hjälper Sinclair att förstå verksamheten och de tillgångar som behöver skyddas, säger McClure.
Största säkerhetsproblem
Ransomware är hotet som håller Shepherd uppe på natten. Det är det största bekymret för JLL på grund av hur det stör affärsverksamheten, säger han.
Aptivs Cunhas oro kretsar kring hot som påverkar dataansvar och organisationens rykte, säger han. Även om nätfiske är en vanlig attackvektor, måste Cunha också brottas med mindre kända hot mot operativ teknik.
För McClure är ransomware och cyberbrott de största problemen, men han påpekar att cyberhoten inte har blivit mer sofistikerade. Istället tycker han att inträdesbarriären för angripare har blivit lägre, varför det är fler attacker. Själva attackvektorerna, säger han, har inte förändrats mycket under åren, och cyberbrottslingar använder samma metoder för att komma in i systemet.
Volymen av attacker är den största utmaningen för organisationer, säger McClure, inte ökad sofistikering i attacker.
