Как «починить» ИТ-безопасность?

Технический директор VMware Владимир Ткачев поделился результатами исследования информационной безопасности и своим взглядом на текущую ситуацию в этой сфере.

Несмотря на то что компании уделяют все больше внимания ИТ-безопасности, недавнее исследование VMware, проведенное совместно с Forbes Insights, показало:

Только 25% руководителей бизнеса в регионе EMEA уверены в своих средствах кибербезопасности и лишь 18% считают, что их специалисты готовы решать проблемы безопасности.

Это явно не связано с отсутствием инвестиций: 83% компаний планируют увеличить число приобретенных или установленных продуктов безопасности в следующие три года. Компания IDC прогнозирует, что в 2019 году расходы на оборудование, ПО и услуги для обеспечения безопасности во всем мире составят 103,1 млрд долларов, что на 9,4% больше, чем было в 2018 году. Однако при этом наблюдается все больше нарушений безопасности с серьезными последствиями. По данным ЕС, экономический ущерб от киберпреступности с 2013 по 2017 год вырос в пять раз.

Возникает закономерный вопрос: инвестируют ли компании в эффективные средства ИТ-безопасности? Проблема заключается в том, что при растущей сложности современной инфраструктуры, перемещении данных между разными облаками и подключении к сети миллиардов устройств используемые стратегии безопасности практически не изменились. В условиях, когда цифровая трансформация уже выполнена, компаниям необходимо кардинально изменить подход к обеспечению безопасности данных, приложений, сетей и сред в целом.

Так что же нужно сделать?

Традиционно средства всегда выделялись на решения, обеспечивающие реагирование на угрозы после их обнаружения. Наш анализ показывает, что 80% инвестиций в средства безопасности в сфере ИТ направляются исключительно на меры по реагированию на возникшие угрозы. Именно на такие меры выделяется 72% венчурного капитала начинающих компаний. Более половины (54%) респондентов планируют увеличить расходы на обнаружение и определение атак с помощью устаревших технологий.

Андрей Головин, директор департамента информационной безопасности компании Oberon считает, что большинство подходов к обеспечению ИБ перекочевали из физического окружения в сети передачи данных в рамках виртуальных комплексов: «Это обусловлено переносом в виртуальную среду не только элементов программно-аппаратной платформы, но и практически всех угроз и уязвимостей вместе с ними. Помимо традиционных, появились такие новые угрозы, как, например, атаки на гипервизор, средства администрирования виртуальной инфраструктуры».

Эксперт Центра информационной безопасности компании «Инфосистемы Джет», Александр Асмолов, поделился мнением о том, что во многих компаниях приветствуется подход «работает — не трогай». «Пока компания не сталкивается с реальными актуальными угрозами, потребности в усилении информационной безопасности она чаще всего не испытывает. Также во многих крупных организациях очень сложно обосновать необходимость замены даже end-of-life/end-of-support решений», — отметил специалист.

Если постоянно пытаться определить, какими будут новые угрозы, вас наверняка ждет неудача. Киберугрозы развиваются так быстро, что попытку определить, как будет выглядеть следующий из почти бесконечного числа возможных вариантов, можно сравнить с поиском иголки в стоге сена. Важно понять, что тактика предотвращения нарушений любой ценой не должна быть единственным подходом к обеспечению безопасности. Сегодня, когда нарушения безопасности периметра неизбежны, требуется более прагматичный подход — в нынешних условиях имеет значение то, как быстро можно обнаружить нарушения безопасности и насколько оперативно и эффективно можно предпринять нужные действия, чтобы не допустить ущерба для бизнеса. Необходимо сосредоточиться именно на тех мерах, которые помогают уменьшить площадь атаки.

«К системам безопасности для виртуальных облачных сетей предъявляются дополнительные требованиях по вопросам защиты хранения данных: виртуальные машины (ВМ) вместе с операционными системами, установленным на них ПО, информацией по аутентификации и многими другими важными данными будут располагаться в одном разделе хранилища. Вместе с контролем над этим виртуальным хранилищем злоумышленник получит и доступ сразу ко всей группе ВМ. Также не следует забывать про организацию доступа по безопасному протоколу (хотя бы SSL), но особое внимание необходимо уделить защите элементов управления виртуальной средой и инфраструктурой. Для этого стоит использовать специально разработанное ПО, которое соответствует требованиям ФСТЭК России, а в отдельных случаях— и ФСБ России», — подчеркнул Андрей Головин.

Вам по-прежнему следует инвестировать в средства обнаружения нарушений, но намного больше инвестиций нужно направить в средства предотвращения угроз.

Сейчас не так просто найти продукт, который не «учитывает требования приложений». Однако, что это означает на самом деле?

Данные о требуемом поведении приложений становятся чрезвычайно важными. Благодаря этой информации можно лучше понять те несколько десятков процессов, которые должны происходить, вместо того чтобы пытаться защититься от бесконечного числа потенциальных проблем. Безопасность приложений зависит от понимания их текущего и требуемого состояния. Благодаря такому пониманию можно обеспечить их эффективную эксплуатацию.

Александр Асмолов считает, что при сканировании трафика приложений система безопасности должна обеспечивать низкие вносимые задержки из-за обработки потенциально вредоносного трафика и адекватную работу при наличии пакетов разных размеров: «Система безопасности не должна «умирать» на мелких UDP-пакетах (протоколах пользовательских программ) и поддерживать Jumbo-frame (передачу данных через кадры сети Ethernet) при передаче больших объемов информации приложения. Среди обязательных функций можно также отметить возможность «тюнинга» правил защиты в связи с ложными срабатываниями, возможность исключения определенных типов трафика из инспекции и архитектуру fail-open, благодаря которой приложение будет оставаться работоспособным даже в случае отказа системы безопасности».

Наше исследование показало, что более 55% компаний используют не менее 11 продуктов для обеспечения безопасности, при этом почти половина из них приобретают их у 11 и более поставщиков.

Андрей Головин рассказал о факторах влияния на эту статистику: «С точки зрения обеспечения безопасности мультивендорный подход становится необходимостью: лавинообразный рост скорости передачи информации и внедрения новых технологий стимулируют появление все большего числа неизученных угроз. Чтобы эффективно защитить все возможные уязвимости инфраструктуры современной организации, продуктов какого-то одного вендора может быть недостаточно».

Чтобы избежать сложностей, связанных с администрированием и интеграцией слишком большого числа продуктов и управлением множеством поставщиков, попытайтесь оценить, как вы используете имеющиеся средства для обеспечения безопасности в организации.

Такой подход поможет вам отказаться от приобретения, установки, эксплуатации и администрирования дополнительных продуктов или агентов. Вместо этого вы сможете использовать уже имеющееся базовое программное обеспечение, общее для приложений и данных во всех ваших средах.

Андрей Головин также отмечает, что при использовании большого количества продуктов возрастает нагрузка на персонал в вопросе экспертизы: «Управлять большим парком разрозненных решений достаточно сложно. Обеспечение требуемого уровня защиты инфраструктуры без привлечения дополнительных интеграционных продуктов достигается за счет внедрения комплекса организационных мер ИБ. Крайне важно регулярно повышать осведомленность персонала, формализовать ИБ-процессы, внедрять регламенты и политики безопасности, парольные политики и, конечно же, непрерывно развивать компетенции профильных сотрудников компании».

По мнению Александра Асмолов, для небольших организаций вектором развития ИБ является «защита по подписке», и такой подход будет укрепляться, так как снижает затраты на обслуживание и покупку современных средств защиты и содержание ИБ-специалистов. Эксперт также подчеркнул, что тренд на мультивендорность в крупных компаниях положительно сказывается на развитии конкурентной среды производителей средств защиты.

Благодаря повышению уровня безопасности самой сети — единственного общего элемента, который связывает все в инфраструктуре — открываются возможности для защиты всех остальных компонентов. То есть создается встроенная система безопасности для инфраструктуры. Аспекты ИТ-безопасности и работы сети становятся все более взаимосвязанными. Благодаря развертыванию «виртуальных облачных сетей», созданных на основе этого принципа, компании получают доступ к универсальной и безопасной сетевой матрице, которая отличается повышенной эффективностью и удобством управления. Поскольку эта матрица реализуется в программном виде, вы также можете автоматизировать ее эксплуатацию, что даст вашему персоналу возможность уделять больше времени выполнению важных для бизнеса задач.

Три стратегии, описанные выше, представляют собой новый многоуровневый подход к ИТ-безопасности, в рамках которого внимание уделяется не только обнаружению угроз, но и упреждающему предотвращению нарушений. Кроме того, при применении этого подхода учитывается требуемое поведение приложений и используются преимущества облачной инфраструктуры для защиты организации.

К сожалению, в современную эпоху повсеместного подключения к сети нарушения безопасности неизбежны. Необходимо учитывать этот факт при создании новых систем безопасности, чтобы обеспечить уверенность пользователей в наших политиках и процедурах защиты данных, устранить излишние расходы и значительно уменьшить ущерб от киберугроз.

Полную версию краткого обзора для региона EMEA по результатам опроса, проведенного VMware и Forbes Insights, можно скачать здесь.