Круглый стол: Оценка ИБ-рисков без постоянного самотестирования не работает

Круглый стол: Оценка ИБ-рисков без постоянного самотестирования не работает

В 2014 г., согласно исследованию EY, многие компании зафиксировали увеличение угроз информационной безопасности. Эксперты отмечают, что методология и инструментарий для обнаружения атак зачастую внедряется только после того, как компаниям нанесен значительный ущерб. Участники круглого стола CNews Analytics рассказали, что применяют различную методологию для оценок угроз, в том числе и в денежном выражении. Основные тенденции развития рынка ИБ в ближайшие 2–3 года будут связаны с защитой от угроз нулевого дня и таргетированных атак. Анализ больших объемов данных позволит быстрее и надежнее обнаруживать сложные и скрытые угрозы.

Согласно исследованию EY, проведенному в 2014 г., 67% предприятий в мире наблюдают увеличение киберугроз. Респонденты из России при этом отметили, что не в состоянии (40%) обнаружить комплексные целевые кибератаки, а более чем у трети компаний (35%) нет классификации инцидентов информационной безопасности в соответствии с уровнем угрозы. При этом 69% респондентов называют главной угрозой для информационной безопасности самих сотрудников организаций. 63% отечественных предприятий присвоили среднюю степень важности проведению расследований компьютерных преступлений и управлению уязвимостями. В круглом столе, проведенном CNews Analytics и посвященном отношению бизнеса к информационной безопасности, приняли участие Олег Волков, начальник управления информационной безопасности ЗАО «Компания объединенных кредитных карточек» (UCS); Константин Коротнев, менеджер по информационной безопасности компании «Эльдорадо»; Владимир Наймарк, старший менеджер отдела анализа и контроля рисков, группа по оказанию услуг в области кибербезопасности PwC в России; Алексей Плешков, начальник управления режима информационной безопасности Газпромбанка; Дмитрий Стуров, начальник управления информационной безопасности «Ренессанс Кредит», и Александр Хрусталев, директор департамента информационной безопасности МГТС.

CNews: Столкнулась ли ваша компания за последнее время с ростом киберугроз? Зафиксировали ли вы увеличение комплексных кибератак?

bezkr_korotnev.jpg

Константин Коротнев («Эльдорадо»): Вместе с увеличением оборота компании в онлайн-ритейле и, соответственно, повышения значимости ИТ-активов мы столкнулись с увеличением рисков ИБ в сегменте онлайн-торговли. Увеличилось количество атак на интернет-магазин с целью несанкционированного сбора информации или блокирования его деятельности с помощью распределенных DDoS-атак.

Владимир Наймарк (PwC): Мы наблюдаем рост кибератак, в том числе с использованием методов обхода средств защиты. В связи с чем рекомендуем клиентам обращать особое внимание на возможности быстрого обнаружения и эффективного сдерживания уже свершившихся нападений.

Алексей Плешков (Газпромбанк): В 2014 году нами зафиксировано существенное увеличение атак с применением высоких технологий в отношении активов и клиентов нашего банка: появились новые способы установки скимминговых устройств на банкоматы, выявлены попытки злоумышленников рассылать по электронной почте в адрес клиентов и контрагентов программы с потенциально опасными последствиями, установлены факты применения в отношении сотрудников методов социальной инженерии. По своей сути все выявленные нами атаки являются комплексом (последовательностью) взаимосвязанных шагов злоумышленников, цель которых – получить несанкционированный доступ к данным и/или активам клиентов и банка. Сегодня мы сталкиваемся с такими типами атак, о которых еще 10 лет назад в России никто не слышал.

Дмитрий Стуров («Ренессанс Кредит»): Лучшая защита – это использование комплекса мер, где технические инструменты должны быть лишь дополнением к четко выстроенным процессам.

CNews: Какие новые инструменты вы готовы внедрить для обнаружения таких атак?

Константин Коротнев («Эльдорадо»): Мы проводим регулярный анализ защищенности, эмулирующий действия различных категорий злоумышленников и различные атаки в отношении критичных для бизнеса ИТ-активов, по результатам которого и планируем обработку рисков ИБ, превышающих приемлемый уровень рисков и несоответствующих риск-аппетиту компании. Таким образом, мы действуем превентивно и прикладываем свои усилия в большей степени предотвращению атак, а не их выявлению. Хотя естественно для выявления атак и расследования инцидентов мы используем систему сбора и корреляции событий ИБ, позволяющую собрать воедино информацию о событиях ИБ из различных источников и проанализировать их с учетом их взаимного влияния.

bezkr_naimark.jpg

Владимир Наймарк (PwC): PwC обладает богатым опытом использования новейших решений по обнаружению вторжений. Эти решения основаны на анализе как входящего, так и исходящего сетевого трафика, анализе изменений данных и процессов, происходящих в системах, аномалий в действиях сотрудников. Кроме того, мы используем уникальные методы обнаружения уже свершившихся вторжений по следам, оставшимся незамеченными внедренными в компании системами мониторинга. Это позволяет максимально объективно оценить подверженность компании кибератакам.

Алексей Плешков (Газпромбанк): К сожалению, методология и инструментарий для обнаружения и предотвращения современных атак по понятным причинам появляются на рынке существенно позднее момента первых реализаций атаки. За время, пока разрабатываются подходы, «создатели» атаки и лица, ее реализующие, успевают получить доходы, существенно превышающие расходы на реализацию.

Именно поэтому мы стараемся придерживаться комплексного подхода в обеспечении информационной безопасности и применяем целый набор инструментов для раннего обнаружения атаки и минимизации ее последствий. К ним относятся: эшелонированная защита программно-аппаратными комплексами межсетевого экранирования, применение систем сбора и анализа инцидентов информационной безопасности, систем e-mail и SMS-информирования о наступлении критичных событий, аналитических модулей для экспертизы методов и инструментов проведения атак и прочее.

CNews: Есть ли в вашей компании классификация киберугроз? В чем сложность применяемой методики при квалификации рисков?

bezkr_volkov.jpg

Олег Волков (UCS): Да, мы классифицировали киберугрозы, это было нетрудно сделать и отразить в модели угроз информационной безопасности. Сложность применяемой методики скорее состоит в том, что необходимо идентифицировать угрозы для каждого информационного актива, а это достаточно кропотливая работа, требующая значительных трудозатрат.

Константин Коротнев («Эльдорадо»): Для оценки рисков ИБ мы используем разработанную нами корпоративную методику управления рисками ИБ, соответствующую требованиям лучших мировых практик (СУИБ Эльдорадо сертифицирована на соответствие ISO 27001:2005) и оцениваем риски ИБ в деньгах, опираясь на вероятность и оценку потенциального влияния угроз ИБ (размер ущерба) непосредственно на бизнес-процессы компании. В дальнейшем эта оценка используется нами для обоснования экономической эффективности внедрения тех или иных механизмов и средств ИБ, для бюджетирования инвестиций в ИБ и защиты бюджета.

Владимир Наймарк (PwC): Конечно, мы используем методику оценки рисков. Основную сложность я вижу в том, что сейчас уже не работает подход «определили риск – внедрили контроль», необходимо постоянно проверять эффективность, достаточность и релевантность контролей, причем проверять не на бумаге, а эмулировать настоящие кибератаки, чтобы видеть компанию глазами злоумышленников. В этом заключается проблема перехода от традиционной ИБ к кибербезопасности – оценка рисков без практики постоянного самоконтроля и самотестирования больше не работает.

Алексей Плешков (Газпромбанк): Для построения эффективных процессов по сбору и анализу инцидентов информационной безопасности в нашей организации на уровне внутреннего нормативного документа зафиксированы классификаторы (справочники) основных угроз информационной безопасности, адаптированные под крупную финансовую организацию, предложенные регуляторами модель угроз и модель нарушителя, а также утвержден перечень способов по минимизации рисков реализации данных угроз. Формализованные классификаторы и справочники используются как для автоматического выявления и назначения инцидентов экспертам для расследования, так и при ручном анализе возникающих инцидентов.

Дмитрий Стуров («Ренессанс Кредит»): Что касается оценок рисков, то основная сложность состоит в корректности оценок, причем оценка должна быть понятна не только специалистам в области ИБ, но и руководству. В идеале риски должны оцениваться в деньгах, но на практике такое случается не часто, поскольку ценность информации сложно измерить в конкретных величинах.

CNews: Согласно результатам исследования, в большинстве российских компаний главным источником киберугроз является персонал. Согласны ли вы с этим утверждением? Проходят ли ваши сотрудники семинары или обучение информационной безопасности? Готовы ли вы инвестировать в обучающие программы для сотрудников?

Олег Волков (UCS): Одним из актуальных нарушителей у нас является внутренний персонал. Поэтому мы создали специальную программу обучения персонала вопросам информационной безопасности. Помимо этого, на регулярной основе проводятся соответствующие тренинги по повышению уровня знаний и навыков в вопросах информационной безопасности. Инвестиций такая программа не требует, так как мы разрабатываем учебные материалы самостоятельно. В нашей отрасли достаточно много угроз. Очень сложно выделить из них основные. Наиболее опасная категория нарушителей, высококвалифицированные сотрудники – системные администраторы.

Константин Коротнев («Эльдорадо»): Бизнес – это люди. Именно люди реализуют бизнес-процессы и зарабатывают деньги для компании. В такой крупной компании, как «Эльдорадо», человеческий фактор значит очень много. Это и сотрудники ДИТ, отвечающие за эксплуатацию информационных систем и проектный офис, занимающийся организацией изменений; и сотрудники бизнес-подразделений, взаимодействующие непосредственно с покупателями. Для различных категорий сотрудников нами разработаны специализированные курсы по ИБ, обновляемые при изменении политики ИБ компании или в законодательстве в области защиты персональных данных. Данные курсы имеют как онлайн-форму в специализированной системе дистанционного обучения сотрудников, содержащей теоритическую часть и контроль знаний, так и очную форму, когда сотрудник подразделения ИБ выезжает в удаленное подразделение и несколько дней проводит там тренинги для сотрудников. Данный подход мы применяем, например, для обучения персонала контакт-центра, когда в одном месте можно собрать большое количество сотрудников, непосредственно работающих с покупателями и выполняющих схожие задачи.

Владимир Наймарк (PwC): Да, данные последнего глобального исследования PwС по вопросам кибербезопасности подтверждают эту тенденцию. Если говорить о программах обучения, то здесь наиболее передовым подходом является тренировка сотрудников – как правильно реагировать на угрозы, исходящие как извне компании, так и от коллег. Приходится признать, что безопасность в современном киберпространстве требует тренировки здоровой подозрительности – нельзя слепо верить каждому пришедшему письму, даже, казалось бы, от известного адресата. Поэтому сотрудников нужно не только обучать, но и тренировать – регулярно заставлять сталкиваться с кибермошенничеством, социальной инженерией и прочими угрозами, чтобы научить их подозревать и проверять надежность источников информации. Так, все популярнее становятся внутренние фишинг-кампании с последующим повторным обучением особо отличившихся.

Алексей Плешков (Газпромбанк): Модель нарушителя информационной безопасности в финансовой организации, в соответствии с требованиями стандартов Банка России, должна предполагать рассмотрение как внешнего нарушителя (хакеры, подрядные организации, иностранные эксперты и пр.), внутреннего нарушителя (сотрудники, лица, допущенные к внутренним ресурсам, и пр.), так и сговор двух указанных выше субъектов доступа.

Для минимизации рисков информационной безопасности, связанных с действиями внутреннего нарушителя, мы применяем комплект организационных мер – обучение, инструктажи, регулярное информирование, применение системы штрафов и прочее – и технические способы контроля и выявления – агентский контроль на рабочих местах, контроль сетевого доступа и работы с периферийным оборудование, контроль доступа в банковские системы. Руководство банка регулярно принимает решения о проведении обучающих семинаров по информационной безопасности для сотрудников головного офиса и региональной сети, согласовывает разработку и актуализацию внутреннего курса повышения информированности сотрудников по вопросам обеспечения защиты информации. Все эти факты, мы уверены, позволят в перспективе снизить количество инцидентов, связанных с действиями внутреннего нарушителя.

bezkr_hrustalev_2.jpg

Александр Хрусталев (МГТС): МГТС стала одной из первых компаний на рынке, внедрившей подход, где информационная безопасность является частью корпоративной культуры, в которую вовлечены все сотрудники. Его применение позволило снизить риски утечки конфиденциальной информации, сформировать уровень осведомленности и компетентности персонала, повысить его способность справляться с будущими угрозами.

Как правило, в компаниях забывают именно про обучение персонала азам грамотности по части информационной безопасности. Мало ввести правила и проинформировать сотрудника о них, необходимо донести до сотрудника практическую необходимость соблюдения этих правил для защиты конфиденциальной информации и обозначить его персональную ответственность за их нарушение. В МГТС существует практика создания обучающих курсов для сотрудников по ИБ с последующим прохождением тестирования. Кроме того, каждый сотрудник может проконсультироваться с нашими специалистами по вопросам ИБ и получить квалифицированную помощь. Применение обучающих курсов позволило сократить в 2 раза риски утечек конфиденциальной информации.

CNews: Планируете ли вы увеличить финансирование проектов в сфере информационной безопасности?

Константин Коротнев («Эльдорадо»): Как я уже говорил, планирование затрат на ИБ в «Эльдорадо» осуществляется на основе анализа рисков ИБ, установления топ-менеджментом приемлемого уровня рисков и риск-аппетита. Таким образом, увеличение или уменьшение финансирования будет завесить именно от этих факторов.

Владимир Наймарк (PwC): Мы планируем повышать эффективность защиты информации. Если для этого потребуются дополнительные инвестиции, они будут сделаны.

Алексей Плешков (Газпромбанк): С целью минимизации последствия наступления инцидентов информационной безопасности в автоматизированных банковских системах, при поддержке руководства банка, в период с 2009 по 2014 год в Газпромбанке на плановой основе внедряются и развиваются программно-аппаратные составляющие комплекса систем, направленных на выявление и предотвращение инцидентов. В 2010 году создан ситуационный центр информационной безопасности, на базе которого построены системы выявления и мониторинга возникновения инцидентов в масштабах всего банка. Сотрудниками центра успешно внедрены и применяются такие решения, как система патч-менеджмента, система выявления уязвимостей, а также инструменты анализа исходных кодов на предмет наличия недокументированных возможностей.

CNews: Планируете ли вы внедрение аналитических инструментов для оперативного выявления потенциальных инцидентов и дыр в системе безопасности?

Константин Коротнев («Эльдорадо»): Одним из процессов системы управления ИБ компании является управление уязвимостями, в ходе которого мы и осуществляем поиск «потенциальных инцидентов и дыр в системе безопасности», используя для этого различные механизмы и инструментальные средства анализа защищенности.

Александр Хрусталев (МГТС): Средства аналитики позволяют выявлять подозрительное поведение объекта корпоративной инфраструктуры, анализировать собранные данные о безопасности, используя имеющиеся сведения об угрозах, полученные из внешних источников с помощью механизма оперативного обновления аналитического контента системы. В зависимости от уровня подписки пользователь получает обновления шаблонов отчетов, корреляционных правил, отчеты о безопасности, данные исследований аналитических сообществ информационной безопасности, данные о выявленных серверах управления и конфигурирования ботнетов, черные списки адресов, домены с метками APT, списки подозрительных серверов прокси. Полученная информация привязывается к бизнес-контексту компании, используется для обновления программ защиты, настройки политик и помогает аналитикам правильно расставить приоритеты и выявить возможные цели злоумышленников.

В МГТС эксплуатируется ряд аналитических систем для выявления потенциальных угроз. Эти решения позволяют аналитику системы информационной безопасности обнаруживать и исследовать угрозы. Сочетая возможности анализа сетевого трафика и журналов событий, автоматически дополняемых информацией об угрозах со средствами визуализации и технологиями обработки больших данных, сотрудники отделов информационной безопасности получают возможность выявлять и исследовать угрозы, которые раньше было сложно увидеть и понять. В конечном счете, это помогает службам ИБ лучше понимать сетевые угрозы, сокращать срок реагирования на инциденты и времени их расследования.

CNews: На ваш взгляд, как изменится рынок решений для информационной безопасности в вашей сфере в ближайшие два-три года?

Олег Волков (UCS): На мой взгляд, с развитием рынка информационных технологий число традиционных кибератак, скорее всего, будет уменьшаться, так как уровень зрелости процессов обеспечения информационной безопасности в современных компаниях растет. Для этого используется множество современных инструментов. Разрабатываются документы, регулирующие процессы обеспечения информационной безопасности, и внедряются процессы управления рисками в этой области. Вектор киберпреступности изменяется в сторону целевых атак, направленных на конкретную компанию с конкретной инфраструктурой. Таких атак может становиться все больше. Следовательно, рынок решений будет развиваться в эту сторону.

Константин Коротнев («Эльдорадо»): На мой взгляд, основными направлениями развития рынка будут следующие: обеспечение соответствия требованиям законодательства при защите ПДн, в том числе обрабатываемых в облачных сервисах; сбор и корреляция событий ИБ; защита от угроз нулевого дня и таргетированных атак; объединение бизнеса и ИБ и управление рисками ИБ как подмножеством бизнес-рисков компании.

Владимир Наймарк (PwC): Мы ожидаем роста возможностей по сбору и автоматизированному анализу больших объемов данных о различных изменениях в инфраструктуре и процессах компании, что позволит более быстро и надежно обнаруживать сложные и скрытые атаки. Будет происходить сращивание внешних и внутренних источников данных. Службы ИБ будут уделять больше внимания проверке эффективности защиты компании от кибератак. Мобильные решения станут более защищенными и управляемыми.

Алексей Плешков (Газпромбанк): Прогнозы изменений на рынке решений для информационной безопасности появляются достаточно часто. Традиционно, в связи с изменением политической ситуации, повсеместным проявлением стратегии импортазамещения, ужесточением требований регуляторов в части применения сертифицированных средств криптографической защиты информации, допускаю смещение акцентов рынка в сторону отечественных решений, появление на рынке новых конкурентноспособных систем в области информационной безопасности российских разработчиков, постепенный и неизбежный отказ от дорогостоящих решений крупных иностранных поставщиков, снижение оттока квалифицированных специалистов в западные компании, и, как следствие, расширение внутреннего «кадрового рынка» специалистов по информационной безопасности в России.

bezkr_sturov.jpg

Дмитрий Стуров («Ренессанс Кредит»): Общий тренд по рынку в целом заключается в росте киберугроз. Объемы мошеннических операций с использованием информационных технологий продолжат расти. Думаю, это удачное время для отечественных производителей: если они продемонстрируют эффективность своих решений, предоставят качественный продукт и сервис, то многие в погоне за снижением затрат могут переориентироваться на российский рынок.

Александр Хрусталев (МГТС): Основные тенденции развития рынка ИБ на ближайшие 2–3 года будут связаны с набирающими популярность трендами в области информационных технологий, а именно: популяризацией решений на базе интранет/интернет-порталов; распространение технологий мобильного доступа; распространение виртуализации, а также перенос ИТ-инфраструктуры в «облака» (частные и публичные). Поэтому мы думаем, что будет расти спрос на решения вендоров для обеспечения безопасности данных на пользовательских устройствах; системы предотвращения утечек DLP; системы обнаружения и предотвращения вторжений IDS/IPS; системы идентификации и управления доступом к информационным ресурсам IDM; комплексные системы управления информационной безопасностью СУИБ.

В целом, российский рынок ИБ остается очень разнородным, и если одни компании готовы к внедрению комплексных систем управления безопасностью (в составе систем управления предприятием), то другие довольствуются применением средств фильтрации пакетов и антивирусных программ. Недостаточный спрос на более многофункциональные решения обусловлен, прежде всего, их дороговизной. Но использование их в комплексе в совокупности с организационными мерами внутри самой компании позволит обеспечить достаточный уровень информационной безопасности. Перед внедрением того или иного инструмента необходимо оценить риски и возможные потери. То, что применимо для компании среднего уровня, неприемлемо для крупной компании, где риски могут быть достаточно велики.

Виталий Мосеев

Вернуться на главную страницу обзора