Что происходит с корпоративной ИБ в российских компаниях?
Отношение к значимости корпоративной информационной безопасности (ИБ) и к подходам ее построения меняется сегодня под влиянием двух факторов. С одной стороны, это быстрые и масштабные изменения в инфотелекоммуникационной (ИКТ) инфраструктуре. «Мобильный» и удаленный доступ, облачные технологии, интеграция корпоративной инфраструктуры с инфраструктурой поставщиков, партнеров и клиентов размыли представление о традиционном периметре корпоративной инфраструктуры — он просто перестал существовать. Стремление бизнеса сократить ради успешной конкуренции сроки ввода новаций породило пришедший в ИКТ из разработки программного обеспечения т. н. подход Agile, призванный ответить на этот вызов со стороны бизнеса.
С другой стороны, растет профессиональный уровень киберпреступников, а киберпреступность превращается в криминальную отрасль экономики со всеми присущими отраслям признаками: своими маркетингом и рекламой, развитием партнерских отношений, специализацией и интеграцией производителей и провайдеров услуг для предоставления сложных решений...
Сегодня можно купить на время проведения атаки готовую к этому инфраструктуру вместе с необходимым персоналом — останется только выбрать цель. К тому же продавать средства и услуги для проведения кибератак стало выгоднее, чем продавать оружие и услуги наемных солдат. По прибыльности и оборотам киберпреступления успешно конкурируют с торговлей наркотиками.
Недавние успешные атаки с помощью криптовымогателей своей масштабностью и наглядностью последствий заставили руководство многих компаний обратить более пристальное внимание на ИБ. Свой вклад в налаживание диалога между корпоративной службой ИБ и другими подразделениями вносят ИБ-специалисты, которые научаются общению с персоналом на понятном ему языке, а не на языке ИБ-технологий. В силу глубокой цифровизации бизнеса риски ИБ все более успешно и естественно трансформируются в риски бизнеса. Дело дошло до того, что российские законотворцы заговорили об обязательном страховании киберрисков в некоторых отраслях.
ИБ-бюджеты
Из сказанного выше следует, что задачи обеспечения ИБ становятся все более осознанными и актуальными, что положительно сказывается на ИБ-бюджетах. После спада в 2014 году наблюдается рост вложений в ИБ. Так, согласно прогнозу компании Gartner, расходы на ИБ в мире вырастут в этом году до 90 млрд. долл. Приходит понимание того, что восстановление после кибервзлома обходится гораздо дороже, чем превентивные меры защиты от атак и средства максимального нивелирования их последствий.
Современная стратегия корпоративной ИБ
Строить защиту своих ИКТ-ресурсов компаниям по-прежнему следует из расчета: стоимость средств защиты не должна превышать стоимость защищаемых ресурсов (при этом следует помнить про наказания за несоответствие требованиям регуляторов!).
Кстати, злоумышленники в своем неправедном деле руководствуются такими же экономическими соображениями: не взламывать то, что взломать непомерно затратно, а значит «типовые» средства защиты, несмотря на усложнение ландшафта угроз, никто не отменял, ибо именно они помогают не пасть жертвами нецелевых широкомасштабных атак, в которых взломщики используют «типовые» уязвимости.
Очень привлекательно выглядит стратегия предотвращения угроз. Однако в силу усложнения кибератак и роста квалификации киберперступников следовать ей сложно: преимущества всегда на стороне атакующего. Поэтому следует прислушаться к тем экспертам, которые предлагают делать акцент на максимально раннее обнаружение взломов и оперативное сглаживание их последствий, т. е. на стратегию реагирования.
Совершенствование средств защиты, в том числе за счет привнесения в них искусственного интеллекта и автоматизации процесса эксплуатации, не должно создавать иллюзий по поводу снижения требований к квалификации персонала, их эксплуатирующего. Наоборот, они ужесточаются, все чаще требуя от ИБ-специалистов понимания бизнес-процессов, расстановки приоритетов в защите, аналитических навыков, умения принимать ответственные решения (поскольку с рутинными ИБ-операциями средства защиты теперь справляются без участия человека).
Эксперты отмечают, что во многих компаниях корпоративная ИБ все еще похожа на «лоскутное одеяло»: есть антивирусы, межсетевые экраны, средства обнаружения вторжений, есть даже «песочницы», системы DLP, MDM, защита от DDoS... Однако без выстраивания этих «островков» безопасности в систему интегрированных между собою компонентов, в постоянно действующий процесс в современном цифровизированном мире не выжить.
Что отдать на аутсорсинг
Этот процесс, помимо денежных средств, требует наличия высококлассных специалистов, которые стоят очень дорого и к тому же сегодня в дефиците. Единственным выходом для большинства компаний является аутсорсинг оборудования и специалистов, а в итоге потребление ИБ как сервиса. Что же российские компании уже используют в ИБ на аутсорсинге, а если не делают этого сегодня, то сделают завтра?
Внешние шлюзовые песочницы работают на стороне провайдера с большими базами данных о заражениях, атаках, вредоносах, они обладают гораздо более мощными (по сравнению с внутрикорпоративными) вычислительными ресурсами, используют искусственный интеллект, машинное обучение, экспертизу продвинутых аналитиков, содержать которых в штате компании нерентабельно.
Атаки DDoS по мощности могут превышать сегодня 1 Тбит/с. Справиться с такими атаками внутрикорпоративными средствами невозможно — нужна защита на уровне операторов связи, а значит, заказываем ее тоже как внешнюю услугу.
Центры управления ИБ (SOC), как инструментарий автоматизации обработки ИБ-данных и принятия решений по реагированию на ИБ-инциденты, тоже требуют высококвалифицированного персонала, имеющего выход на большие коммерческие базы данных и кооперацию с центрами реагирования на компьютерные инциденты (CERT), в том числе и международными. Организовать собственный SOC по средствам только очень крупным компаниям. Остальным вполне подойдут SOC-услуги внешних провайдеров.
Расследование инцидентов ИБ с подключением правоохранительных структур и специалистов в юриспруденции (т. е. форензику) тоже целесообразно доверить внешним компаниям, которые на этом специализируются. Соображения здесь те, что и в случае с SOC.
Для тестирования ИКТ-инфраструктуры на проникновение корректнее привлекать сторонние организации — вряд ли пентесты, проведенные своими силами, дают вполне объективные результаты.
Ошибки, которые следует исправить в первую очередь
Как утверждают эксперты, в российских компаниях все еще распространены ошибки в построении корпоративной ИБ, исправление которых более чем на 90% повышает защищенность ИКТ-инфраструктуры.
- Слабая сегментация внутренней сети приводит к тому, что, взломав наименее защищенный компьютер, злоумышленник легко получает доступ к самым чувствительным ресурсам компании.
- Межсетевое экранирование, ориентированное только на контроль трафика уровней L1-L4, не учитывает то, что «живущие» в средней корпоративной ИКТ-инфраструктуре примерно 200-300 приложений могут сегодня работать практически через любой порт, использовать туннелирование друг через друга и шифрование. Это означает, что без межсетевых экранов нового поколения (NGFW), контролирующих трафик уровня L7 и способных исследовать данные приложений, уже не обойтись. Нужно также помнить о том, что до 10% приложений используются персоналом по схеме «программное обеспечение как услуга” (SaaS), и нередко это не попадает в зону контроля службы ИБ, что открывает для злоумышленников двери для атак через SaaS.
- При защите корпоративной почты нельзя ограничиваться только защитой протокола SMTP, игнорируя безопасность таких почтовых протоколов, как POP3, IMAP, защитой веб-почты, передаваемой по протоколу HTTPS.
- Несвоевременное обновление ПО и данных для средств защиты (новые сигнатуры вредоносов, обновления «черных» списков, корректировка настроек) может стать причиной пропуска атаки, защититься от которой было бы несложно при налаживании управления обновлениями.
- Неактуальная настройка средств защиты означает их практическое отсутствие в инфраструктуре. В то же время эксперты отмечают, что зачастую на введенных в эксплуатацию средствах защиты остаются заводские настройки, включая пароли доступа для администраторов.