Совершенствование защиты на всех уровнях
Если посмотреть на сегодняшние тренды в области кибербезопасности с точки зрения бизнес-ориентированности, я бы выбрал семь.
1. Во-первых, регуляторика. Это то, что движет российским рынком информационной безопасности (ИБ) на протяжении многих лет, и это тенденция, которая будет только усиливаться.
Когда я 27 лет назад начал заниматься ИБ, нормативных актов было не больше двух десятков, а сейчас – несколько сотен самого разного уровня. Если раньше в обязательном порядке регулировались вопросы только государственной тайны и защиты информации в госорганах, то теперь число отраслей, на которые распространяется нормативная база, достаточно велико. Раньше за нарушения были штрафы, несерьезные для бизнеса, – в пределах 1000 руб., сегодня – миллионы рублей, и это обстоятельство не позволяет сбрасывать со счетов или откладывать в долгий ящик выполнение требований, что обходится подчас недешево. Но, подойдя к решению проблемы творчески, всегда можно найти способ удовлетворить требования регуляторов, но не тратить при этом всю прибыль или увеличивать себестоимость продуктов и сервисов, закладывая в нее огромные затраты на решения по ИБ. У Cisco есть такие проекты.
2. Вторая тенденция – это желание наконец-то измерить результат, отдачу. Было время, когда службу ИБ рассматривали как некое затратное подразделение, которое надо иметь просто потому, что так принято или требуется. И служба часто сама себя «измеряла» – по количеству инцидентов, которые она зафиксировала. Может быть, не всегда предотвратила, но как минимум обнаружила. Сегодня служба ИБ – это уровень исполнительного органа предприятия. Почему так? Потому что от кибербезопасности очень много зависит. Уровень кибербезопасности может влиять на операционную деятельность, или на маржинальность, или на долю рынка. Несоблюдение требований безопасности может повлечь снижение качества продукта или сервиса. У нас сейчас в рамках наших проектов, нашего консалтинга по ИБ немалую часть занимает в том числе выработка бизнес-метрик, чтобы вынести тему ИБ на уровень топ-менеджмента, чтобы наконец-то руководитель службы ИБ на одном языке общался с бизнесом и сидел за одним столом с генеральным директором, финансовым директором и т. д.
Один простейший пример, достаточно утрированный, но он очень хорошо показывает, как можно донести информацию до бизнеса. Допустим, у нас есть некий файрвол с системой предотвращения угроз, атак, отказов в обслуживании (в выступлении использовалась презентация). Cisco FirePower 9300 – достаточно мощное и недешевое железо, которое решает очень много задач, будучи установленным на периметре организации. В том числе перед ее интернет-витриной, сайтом, интернет-магазином, интернет-трейдинговой площадкой и т. д. Оценивать эффективность ее работы можно по количеству атак, которые она отражает, но можно, например, по количеству потерянных клиентов из-за простоя веб-сайта, которые происходят, если такого оборудования нет. Всегда есть статистика по предыдущим периодам, есть понимание, сколько минут, часов простаивал сайт, через который мы зарабатывали деньги. Если очень грубо, то, просто умножив время простоя на количество клиентов, мы можем оценить потери. Но можно сделать это правильно – с учетом пиковых сезонов, сезонности продаж, времени суток: по профилю поведения клиента мы всегда можем выйти на цифру недополученной прибыли из-за проблем, связанных с ИБ. Вот доказательство того, что безопасность тоже может быть бизнес-задачей, может влиять на бизнес-показатели.
Cisco Systems, Inc.
Телекоммуникационная компания.
Акционеры (данные Refinitiv): почти все акции – в свободном обращении, крупнейшие инвесторы – The Vanguard Group (8,01%), BlackRock Institutional Trust Company (4,99%), State Street Global Advisors (4,35%).
Капитализация (13 ноября 2020 г.) – $175,4 млрд.
Финансовые показатели (финансовый год, завершившийся 25 июля 2020 г.): выручка – $49,3 млрд, чистая прибыль – $11,2 млрд.
Основана в 1984 г., занимается производством сетевого оборудования.
3. Следующая тенденция – это уход от предотвращения к обнаружению и реагированию. Руководитель компании очень часто говорит кибербезопаснику, имея в виду обычную службу безопасности: вот эти люди – у них стоит охрана на входе, я понимаю, что они делают. А что делаешь ты? Действительно, в отличие от физической безопасности в киберсфере хорошая работа службы ИБ не видна. Наоборот, чем лучше работает ИБ, тем меньше мы видим результат ее работы, потому что нет атак, нет простоев, нет спама, нет утечек. Но когда мы пытаемся последовать примеру [физической охраны] и поставить как можно больше «охранников» на уровне корпоративной сети, на уровне корпоративной инфраструктуры на периметре, то попытка предотвратить угрозы часто заканчивается неудачей. Потому что прошло то время, когда злоумышленники пытались проникать в корпоративную сеть напрямую через периметр, через точку входа/выхода в интернет. Сегодня многие атаки осуществляются в обход средств защиты периметра, файрволов и т. д. Либо это подброшенная флешка. Либо это технологии, связанные с атаками на незащищенный WiFi или на WiFi, который стоит в соседнем офисе, к которому подключаются наши сотрудники, для того чтобы обойти жесткие требования политики безопасности. Либо это личный ноутбук руководителя компании, который он заразил дома и принес, не зная об этом, на свое рабочее место. Примеров, когда технологии предотвращения не спасают, много. Не потому, что они плохие, а потому, что вредоносный код или хакеры их обходят и находят другие точки проникновения в корпоративную или ведомственную сеть. Поэтому сегодня весь рынок уходит от технологии предотвращения в сторону технологий обнаружения и реагирования.
Безусловно, не всегда приятно признавать, что мы не можем на 100% обеспечить безопасность и предотвратить угрозы. Но уж такова жизнь – нельзя на 100% это гарантировать. Как и в бизнесе нельзя сказать, что инвестиции на 100% вернутся. Это всегда определенная вероятность, зависящая от многих факторов. Так и в безопасности, главное здесь – не зарывать голову в песок, а признать, что да, возможно, что нас атаковали и атаковали успешно. Наша задача – вовремя это обнаружить, вовремя среагировать, вовремя локализовать проблему, не допустить расширения плацдарма в нашей инфраструктуре. И снизить масштаб потенциального или уже, может быть, реального ущерба. В этом сегодня заключается основная задача ИБ.
4. Еще один тренд – внимание к человеческому фактору. Надо признать, что самое слабое звено в области ИБ – это человек. И какие бы технические новинки и новации с искусственным интеллектом ни применялись, человека всегда можно обмануть. Поэтому помимо выстраивания некоего технологического стека обязательно надо использовать иные проходы, организационные меры по обеспечению безопасности. Одна из них – правильное обучение людей. Но не так, как это было раньше: мы отправляем сотрудников на 500 часов обучения или, наоборот, даем им посмотреть двухчасовой ролик, записанный на трясущуюся камеру, как человек (который еще и говорит плохо) начинает рассказывать про длину криптографического ключа и т. д. Современные подходы к обучению совершенно иные и направлены прежде всего на то, какие методы используют злоумышленники. То есть регулярно обновляемая контентная составляющая, которая позволяет нам не только с помощью технической составляющей, но и с помощью человека обнаружить, например, какие-то явные фишинговые сайты.
«Как мы проходили пентест»
Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта»: Что такое пентест – простыми словами. Это преднамеренный взлом инфраструктуры, который позволяет показать уровень защищенности компании. Мы покажем на реальном кейсе, как мы проходили пентест в нашей компании «Онланта». В пентесте участвует две стороны: сторона атаки и сторона защиты.
Давайте рассмотрим сторону атаки – как она готовится к нападению. Происходит сбор данных из открытых источников: деятельность компании, какие услуги она предоставляет, информация по сотрудникам. Штудируются социальные сети. Социальная инженерия: злоумышленник взаимодействует с сотрудниками компании. Это может быть фишинговая рассылка или звонок с целью получения конфиденциальной информации, логина и пароля. И здесь пригодится информация, собранная из открытых источников. После сбора данных злоумышленник выстраивает вектор атаки и готовит план нападения. Происходит целенаправленная атака на информационные ресурсы компании.
Что делает сторона защиты в это время? Конечно же, проводит внеплановый аудит IT-системы, выявляет узкие места. Идет работа с персоналом (напоминаем все политики, требования, регламент). Производим тонкую настройку антиспама, системы антивирусов, CM-систем и т. д. И конечно, готовим ловушки для злоумышленников.
Давайте приступим к самой атаке. Утро, кофе, отличная погода, ничего не предвещает беды, и срабатывает система мониторинга. Нас начинают атаковать. Мы понимаем, что игра началась. Злоумышленник сканирует инфраструктуру сканером, сторона защиты мониторит все объекты и моделирует прогноз взлома. Злоумышленник производит атаку на слабо защищенный ресурс. Сторона защиты проводит аудит по такому ресурсу и усложняет его взлом. Злоумышленник использует все методы взлома из своего арсенала и специализированное ПО для ощупывания инфраструктуры с целью получить к ней доступ, а сторона защиты с помощью расставленных ловушек уже готова к отражению атак.
Во время пентеста проверку проходит не только инфраструктура, но и сотрудники – в режиме 24/7. Участвуют все подразделения – и инженеры, и эксперты, руководители проекта. Как я уже говорил, поскольку пентест – это инсценировка взлома инфраструктуры, при его проведении не допускаются отказы в обслуживании, ну и, разумеется, падение [IT-инфраструктуры] компании. Все мы джентльмены, и у нас есть строгие правила игры. Мы не блокируем жестко IP-адреса атакующей стороны, а они не допускают отказа в обслуживании.
Для того чтобы своевременно реагировать на нестандартное поведение информационной системы компании, конечно же, необходимо мониторить события ИБ в реальном времени. Это позволяет сделать SIEM-система, которая собирает, обрабатывает события с разных информационных систем. О ней расскажет мой коллега из группы «Эшелон».
Дмитрий Донской, директор по развитию ГК «Эшелон»: Сейчас все знают, что такое SIEM-система. Спасибо большое 187-му ФЗ («О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 г., вступил в силу 1 января 2018 г. – «Ведомости»), который предусматривает использование SIEM-системы.
Каждую секунду на нас идут атаки, идут со всех сторон. Чтобы мониторить этот громадный поток событий, и нужна SIEM-система. Она позволяет собирать с источников все необходимые логи как таковые. Это необходимо парсить (собирать информацию на сайтах с помощью программ по заданным параметрам. – «Ведомости») и уже на основании правил корреляции понимать, есть ли какое-то событие, на которое должны отреагировать сотрудники ИБ (это событие уже инцидент ИБ или это все-таки событие IT).
Мы проводили пентест вместе с партнерами из «Онланты» и выступали в качестве вендора, разработчика SIEM-системы. В этом тесте мы не только использовали SIEM-систему как средство мониторинга событий ИБ, но еще и в инфраструктуре коллег зафиксировали, что все средства защиты информации, которые присутствовали в компании, были настроены штатно, в соответствии с эксплуатационной документацией. И когда пошла атака, мы уже из SIEM-системы видели ее вектор. Если бы не было правильной настройки, возможно, злоумышленники могли бы пройти дальше.
Мурад Мустафаев: Бессонные ночи позади, пентест пройден. С легким сердцем мы меняем на домашнюю кровать наши раскладушки в офисе, на которых прожили три недели. Жена и дети рады, что мы вернулись домой. Получаем отчет: инфраструктура не взломана. Сплоченная команда профессионалов и комплексный подход к защите инфраструктуры могут гарантировать непрерывность IT-сервисов вашего бизнеса.
Cisco в начале этого года анонсировала новое решение под названием Cisco Security Awareness – платформу для обучения. Причем современного обучения и с элементами геймофикации, и с технологиями нано- и микрообучения. «Нано» означает короткое обучение, ролики на 1–2 минуты. Микрообучение – это ролики на 7–10 минут, которые можно прослушать в перерыве, когда человек отдыхает от работы. На такие небольшие ролики разбивается целая программа обучения. В течение определенного времени мы можем дать сотрудникам очень интересные знания и навыки в области безопасности. С помощью данной платформы можно организовывать фишинговые симуляции для проверки сотрудников, насколько они усвоили полученные знания.
5 Следующий тренд – возрастание количества событий безопасности. В качестве примера могу сказать, что во внутренней инфраструктуре Cisco ежедневно фиксируется более 1 трлн событий. Понятно, что работать с таким количеством событий очень сложно. Необходимо использовать различные средства продвинутой аналитики.
6. Еще одна тенденция [касается контроля IT-продуктов]. Доверие – это мать провала в области ИБ. Просто чтобы вы помнили, что сегодня доверять никому нельзя, даже своим поставщикам. Поэтому всегда перепроверяйте технологии, приложения, доступ к ним. Потому что злоумышленники научились атаковать и поставщиков IT-решений. Даже если продукт очень хороший, обладает сертификатами и т. д., надо помнить, что именно на этом доверии злоумышленники зачастую строят свои атаки.
7. И последняя тенденция, очень важная – что наши регуляторы начали обращать внимание не только на средства защиты, но и на требования по безопасной разработке прикладного программного обеспечения, с помощью которого компании сегодня в рамках цифровой трансформации зарабатывают деньги. Поэтому если раньше мы под безопасностью понимали в основном только отдельные железки или софт, которые выполняют функции файрвола, IPS, антивирусы и т. п., то сегодня безопасность – это еще и выполнение требований по безопасной разработке. Это тренд, который будет усиливаться. И сегодня регуляторы – и ФСТЭК, и ФСБ – установили очень жесткие требования к тому, чтобы используемое прикладное ПО содержало все необходимые механизмы защиты. И подтверждено это было соответствующими документами либо сертификатами.
Текст подготовлен по материалам конференции «Умные решения – умная страна: инновационные технологии для новой реальности», проведенной 21–22 октября 2020 г. ГК «Ланит» и газетой «Ведомости» в Москве