Спецпроекты

Обзор скоро выйдет
Что должна включать в себя дорожная карта защиты ИТ-инфраструктуры?

Инструменты киберпреступников постоянно меняются и модернизируются, но основные методы несанкционированного проникновения были и остаются неизменными. О методах борьбы с ними рассказывает Кирилл Тимофеев, руководитель управления эксплуатации инфраструктуры и сервисов «Обит».

Социальная инженерия

Одним из актуальных по-прежнему является социальная инженерия. При таком методе не требуется сложных технических решений, поэтому он активно эксплуатируется и в отношении сотрудников компании, и для корпоративных взломов. Злоумышленники действуют посредством социального взлома людей, используя фишинговые ссылки, распространяя вредоносное ПО, получая доступы, пароли и другие данные. Неоднократно было замечено, что в компаниях, которые ранее не сталкивались с подобными взломами, отсутствует организация регулярных мероприятий по соблюдению минимальной цифровой гигиены, не разрабатываются методики и регламенты, определяющие, как безопасно работать с информацией и информационными системами. Однако именно эти меры являются базовой необходимостью для снижения влияния человеческого фактора на корпоративную безопасность.

Человек — одно из самых узких мест в защите

Второе обширное направление ИБ угроз — технические методы атак. И если к развитию инструментов социальной инженерии подталкивают новые технологии (использование ИИ и в частности дипфейков), то количество технических атак кратно возрастает за счет повсеместного импортозамещения и острого дефицита ИТ-кадров.

Рынок информационной безопасности страдает от серьезного дефицита специалистов

Для защиты информационных систем от неправомерной эксплуатации уязвимостей в различных компонентах ИТ-инфраструктуры критически важно регулярно отслеживать ее состояние: какое программное обеспечение используется, есть ли соответствующие лицензии, исправно ли функционирует мониторинг подозрительной активности, своевременно ли обновляются все системы.

Раньше базово контролировать работоспособность всех систем было легче, даже небольшими собственными ресурсами. Сейчас же глубокий анализ ИТ-инфраструктуры на предмет наличия «узких мест» требует от компаний того уровня насмотренности и экспетизы, которого попросту нет.

У большинства организаций, включая малый и средний бизнес, чаще всего есть свой круг специалистов, компетентных в определенных решениях (инфраструктурных, аналитических, организационных), но этого ресурса обычно не хватает, и схема точечного закрытия дыр рано или поздно дает трещину. Вместе с тем запрос на квалифицированные кадры в области ИБ растет, а предложение этот спрос не покрывает.

Рынок информационной безопасности страдает от серьезного дефицита специалистов, который согласно данным Positive Technologies вырос до 45% по итогам прошлого года. Потребность в специалистах значительно превышает число молодых профессионалов в 2-3 раза, особенно в узкоспециализированных областях: архитекторы, инженеры, аудиторы и аналитики.

Ситуацию усугубляет импортозамещение — локализация бизнеса на базе российских решений. Притирка продуктов к пользователю и пользователя к продукту происходит уже не первый год и до сих пор продолжается. Возьмем базовый пример: компаниям, которые всю жизнь работали с Cisco, переходят на решения UserGate, «Кода Безопасности» и других разработчиков средств защиты — при таком, неизбежном для многих, раскладе всегда необходимо время для «входа», чтобы освоить новую инфраструктуру и научиться работать с новым оборудованием, а безопасность и тем более комплексный подход к ее организации уходит на второстепенный план. Это приводит к накоплению уязвимостей, которые могут быть использованы в любой момент для проникновения в системы, нанося серьезный имиджевый, финансовый и иной ущерб.

Аудит и контроль ИТ-инфраструктуры становятся критически необходимы в условиях прекращения обновлений, отсутствия поддержки со стороны зарубежных поставщиков и вытекающим из этого накоплением критической массы уязвимостей.

В действительности, обрисованная ситуация не настолько патовая: с новыми вызовами оперативно появляются и инструменты для их решения. В этой ситуации — компании-интеграторы и партнеры вендоров-разработчиков, которые способны за счет опыта внедрения различных решений и насмотренности в разных отраслях заменить внутреннюю ИБ-службу компании, выступая и аудитором, и поставщиком средств защиты, и беря на себя поддержку отказоустойчивости всех систем внутри ИБ-контура.

Почему участились атаки на компании?

На сегодняшний день атакам хакеров подвергаются информационные ресурсы абсолютно разных компаний, в большинстве случаев посредством DDoS и использованием вирусов-шифровальщиков для заметания следов. Следует понимать, что при этих методах шансы, что атака была успешно совершена, увеличиваются кратно.

DDoS-атака — во многих случаях маскирующий элемент для проведения комплекса других противоправных действий.

Предположим, злоумышленник проник в целевую систему и должен провести определенные действия, выгрузить базу данных или запустить вирусную программу. На другой стороне находятся администраторы, которые могут заметить его действия через систему мониторинга. В такой ситуации DDoS-атака переключает их внимание на внешнюю угрозу: системы начинают сбоить, сервисы выходить из строя, и вероятность того, что злоумышленника заметят, снижается. Понятно, что существуют системы мониторинга и прочие защитные механизмы, но аналогия с военной тактикой «дымовых шашек» применима и здесь: вероятность прицельного огня по атакующим снижается.

Также, DDoS-атаки часто являются инструментом конкурентной борьбы или вымогательства, направленных на временное отключение сервисов с определенной целью. Например, относительно давний, но громкий случай с мессенджером WhatsApp (принадлежит Meta, которая признана в России экстремистской организацией, ее деятельность запрещена), когда сервис не работал некоторое время, и за два часа Telegram приобрел миллион новых пользователей. Независимо от того, будут ли они продолжать пользоваться Telegram, факт остается фактом: они уже зарегистрировались и познакомились с продуктом. Аналогично, если вы регулярно совершаете покупки на «Яндекс.Маркете», а в момент одного из ваших посещений сервис лег, вы пойдете на тот же Ozon и, возможно, обнаружите там более выгодные для себя предложения.

Шифровальщики используются в основном в двух сценариях по аналогии с DDoS: первый сценарий используется для сокрытия каких-либо действий. Грубо говоря, после получения доступа к базе данных хакер запускает шифровальщика, чтобы замести следы. Второй сценарий связан с вымогательством: злоумышленник шифрует конфиденциальную информацию и требует выкуп за предоставление ключа для расшифровки.

Для защиты от шифровальщиков необходима правильная организация резервного копирования. Резервные копии не должны храниться на том же сервере, поскольку их могут сразу зашифровать. Доступ к резервным копиям из внутренней сети должен быть недоступен и размещен на отторгаемых носителях данных. Конкретные практики и методики работы с резервным копированием выявляются в разрезе аудита ИТ-инфраструктуры: что именно копируется, каким образом, и все ли необходимые данные охвачены. В идеале, стратегия резервного копирования должна включать несколько уровней защиты, чтобы защититься не только от киберугроз, но и от рисков техногенного фактора.

Как изменился подход к организации системы ИБ?

Если раньше многие недооценивали значимость защиты данных, то с ростом киберугроз и ужесточением штрафных мер эта динамика изменилась.

Из ключевого — в начале этого года был одобрен законопроект о введении оборотных штрафов за утечку данных, размер которых теперь может достигать до трех процентов от годовой выручки компании. По данным Kaspersky, многие хакеры, обладающие конфиденциальной информацией, не публиковали эти данные и не требовали выкупа у пострадавших компаний — так как ожидали введения оборотных штрафов. Таким образом, компании сталкиваются с выбором: либо платить многомиллионные штрафы, либо выплатить меньшую сумму вымогателям. Это может стимулировать большой рост вымогательств у компаний, ранее игнорируемых хакерами, и в целом создать серьезные угрозы в будущем.

Цена данных постоянно растет, что накладывает более серьезные обязательства и побуждает к более серьезному стремлению к информационной безопасности.

Организация системы ИБ должна быть комплексной, системной и непрерывной — такое отношение к безопасности, уже имеющееся у крупных технологических гигантов и госсектора, появляется и у других компаний.

Что должна включать в себя дорожная карта защиты ИТ-инфраструктуры?

C одной стороны, можно констатировать, что дорожная карта, которая включает в себя целый комплекс мероприятий, позволяет максимально минимизировать потери от атак различного масштаба и характера.

Но если опускаться в плоскость частных случаев, то нет одной волшебной пилюли для всех. Как и 100% гарантии, что вы будете защищены раз и навсегда.

ИТ-ландшафт каждого предприятия уникален, даже если речь идет о компаниях схожего размера и деятельности в одном и том же секторе. Их системы и ИТ-инфраструктура могут значительно различаться. Поэтому для разработки эффективной дорожной карты в первую очередь необходимо провести аудит, проанализировать риски, разработать соответствующие контрмеры, а также обладать точными данными и пониманием имеющихся ресурсов. Аудит ИТ-инфраструктуры является основой для принятия обоснованных решений и выработки эффективных мер защиты.

​​Компании, в случае отсутствия собственного ИТ-штата, не всегда имеют полную и прозрачную картину о состоянии своей системы защиты. Аудит инфраструктуры помогает понять уровень бедствия. Если на двери нет замка, а по аналогии с безопасностью это означает несоблюдение базовых мероприятий, то внедрение сложных систем по типу мониторинга на первом этапе нелогично.

В практическом плане дорожная карта представляет собой конкретный список мер — трек последовательности движений. Она обязательно включает в себя работу с данными, работу с доступами, регламенты ИБ и другие блоки, опять же, в зависимости от рекомендаций аудитора.

Способствует ли аудит более эффективной превентивной защите?

И да, и нет. Желание быть превентивно защищенным от всех угроз вполне понятно, однако это утопическое желание. В ИБ важно не столько, какой у тебя «щит», сколько быстрая и успешная реакция на попытки или факты проникновения, которые не всегда предугадаешь. Тут эффективнее говорить о контроле периметра с помощью систем мониторинга безопасности, которые подсвечивают аномальную активность внутри периметра в режиме реального времени.

Например, при обнаружении уязвимости в системе ПО на фаерволе, не всегда можно сразу определить, что именно происходит, следовательно, скорость реакции и устранения снижается. В таких случаях на помощь приходят системы SIEM, которые отслеживают и подсвечивают аномальную активность. Аудит подсвечивает необходимость внедрения такой системы и показывает, какую конкретно систему нужно установить. SIEM система позволяет собрать события со всех источников для их дальнейшего анализа за счет двух технологий: SEM централизует интерпретацию и хранение журналов, а SIM собирает данные для анализа для составления отчетов. Благодаря чему обеспечивается быстрый анализ и идентификация событий безопасности.

Зачем нужен аудит и каким он бывает?

Аудит помогает компаниям менять подход к ИБ от точечного и реактивного к системному и проактивному.

Аудирование в общем смысле — метод проверки. Почему заказывают финансовый аудит — не потому, что бухгалтер где-то ошибся, и нужно устранить возможные риски вследствие ошибки. Ключевое преимущество аудита заключаются в том, что он обеспечивает независимую проверку состояния конкретного процесса. Сторонний аудитор, обладая свежим взглядом и широкой насмотренностью решений, может обратить внимание на те аспекты, которые остаются незамеченными внутренними специалистами.

Помимо этого, аудитор действует как консультант, предлагая рекомендации по улучшению существующих практик информационной безопасности и внедрению новых. Частая история, когда у компании задействовано много публичных сервисов или есть подозрения в незащищенности какого-то элемента своей инфраструктуры, в таком случае она превентивно обращается за консультацией. Аудитор использует различные методики: пентесты на выявление слабых мест (анализ внутренней и внешней защищенности систем и сервисов), тестирование методом социальной инженерии. По результатам аудита готовится отчет с описанием текущего состояния инфраструктуры, перечнем и описанием выявленных уязвимостей, а также организационные и технические рекомендации по доработке систем, включая конкретные рекомендации ПО и аппаратно-программного комплекса для повышения уровня защищенности (NGFW, антивирусы, системы контент-фильтрации, VPN и т.д.).

Партнерство аудитора с разработчиками средств в области информационной безопасности позволяет покрывать все аспекты безопасности через единое окно и действовать через одну зону ответственности. «Обит», в частности, является партнером ряда ведущих вендоров средств ИБ: Kaspersky (антивирусное ПО), Usergate (межсетевые экраны), Positive Technologies (SIEM системы MaxPatrol), «Стахановец» (DLP системы). Таким образом, имея в своем активе широкий спектр партнеров с различными решениями, аудитор может подбирать оптимальные модели и комплектации, организуя индивидуальный ИБ-ландшафт под конкретную задачу и компанию.

Интервью обзора