60 дней кино и сериалов за 0 ₽
Условия подписки: clck.ru/dnhea. 18+
VC60
Забрать
60 дней подписки Яндекс Плюс бесплатно для новых пользователей, ранее не оформлявших подписку Яндекс Плюс либо подписки, её включающие, при условии привязки банковской карты. Далее — автопродление: 199 ₽/месяц. Действует на территории РФ. Активировать до 01.09.22 г. включительно на сайте https://hd.kinopoisk.ru/gift. Условия: clck.ru/FMQND.
Личный опыт
Axoft

Большой шкаф громче падает: поговорим о зрелости ИБ в Enterprise

Текущая ситуация такова: постоянные DDOS-атаки на российские сайты и творчество регуляторов стимулируют российские компании двигаться в направлении осознанной зрелости. Эта тенденция критична для целых сегментов рынка. Например, согласно аналитике Positive Technologies, в 2021 году из всех отраслей чаще всего атакам подвергались госучреждения и медицинские организации. Весь прошедший год наблюдался рост продаж ИБ-решений в данных сегментах.

В прошлой статье мы с Игорем Тюкачевым, руководителем отдела развития бизнеса продуктов ИБ Axoft, разбирались, все ли так плохо с ИБ-зрелостью в российском SMB. Сейчас поговорим о ситуации, сложившейся в enterprise-секторе. Каковы градации ИБ-зрелости в крупных компаниях? Что нужно сделать, чтобы «большой шкаф» не рухнул? Каковы шансы компаний «выжить», и можно ли все-таки достигнуть идеала в ИБ?

Ранее мы уже отмечали: шкалу зрелости Axoft создавал для того, чтобы со стороны объективно оценивать зрелость компаний-заказчиков своих партнеров, и понимать, что им можно и нужно предложить из решений своего портфеля. Данная шкала не константна и может трактоваться в достаточно широких пределах.

Уровень 4: российский enterprise. Размытый периметр сети и «файловые свалки»

Портрет бизнеса:

  • На этом уровне в компании работает наемный менеджмент, структура подчиненности – иерархическая, количество сотрудников – до 5000 человек

  • Организация располагает филиальной сетью по всей стране

  • Ключевые процессы бизнеса описаны и регламентированы на этапе внедрения ERP

  • Для работы IT-инфраструктуры используется либо собственный ЦОД, либо арендуется коммерческий. Возможны оба варианта: для обеспечения отказо- и катастрофоустойчивости
  • В компании есть собственный ИТ-департамент (выделенная тех.поддержка и helpdesk) и отдельное подразделение ИБ

Масштабная IT-инфраструктура и ее ежегодный рост приводит к:

  • большому числу источников ИБ-событий, требующих обработки и реагирования. На этом этапе компании внедряют SIEM либо используют услуги коммерческих SOC
  • необходимости администрирования IT-инфраструктуры. Для контроля админов требуется решение PAM (Privileged Access Manager). Это позволяет избежать утечки чувствительных данных, а также избежать злонамеренных действий сотрудников

Периметр корпоративной сети размыт из-за сотрудников, удаленно работающих на собственных телефонах, планшетах, ноутбуках. Безопасность критичных данных необходимо обеспечить при помощи систем MDM (Mobile Device Management).

Большое число сотрудников порождает:

  • рост требований по защите периметра – требуются NGFW, обеспечивающие необходимый функционал и пропускную способность
  • увеличение количества информационных систем и сотрудников, которым нужен доступ к этим системам. Контроль такого доступа – сложный и трудоемкий процесс, поэтому необходим IDM, который автоматизирует процесс управления доступом пользователей к информационным системам
  • рост спроса на файловые хранилища компании для обмена документами, хранения отсканированных документов. Файловые хранилища всегда превращаются в «файловые свалки» с общим доступом, где легко могут оказаться копии паспортов сотрудников или чувствительная коммерческая информация. Поэтому необходимо внедрять системы класса DAG (Data Access Government) для управления доступом к неструктурированным данным. Это позволяет избежать утечки данных. Решение DAG эффективно использовать совместно с DLP

Что нужно сделать, чтобы повысить уровень ИБ-зрелости на этом этапе? Успешный руководитель ИБ-подразделения должен научиться разговаривать с бизнесом на языке бизнеса. Вот пример. Компания может инвестировать прибыль в развитие бизнеса, и это принесет ей увеличение доходов. А может потратить на ИБ. Это не принесет бизнесу увеличения доходов, но спасет от убытков и/или недополученной прибыли в случае атаки злоумышленников или непреднамеренной утечки критичных данных.
В текущих реалиях, когда использование только российских средств ИБ – в приоритете, мы можем помочь с оптимальным выбором ИБ-решения и его обоснованием.

Уровень 5: глобальный enterprise. В фокусе у злоумышленников. Выбор Anti-APT

Портрет бизнеса:

  • Компания растет и выходит за пределы РФ на глобальные рынки

  • Она должна соответствовать требованиям как российских регуляторов (КИИ, ПД), так и регуляторов страны присутствия и международных стандартов (например, PCI DSS). Это подразумевает наличие отдельного департамента ИБ, который не подчиняется CIO (ИТ-директору), а возможно, находится в блоке безопасности (физическая безопасность, финансовая и информационная)
  • В компании есть процесс бюджетирования – ИБ имеет собственный бюджет и конкурирует за бюджеты с другими подразделениями
  • Число сотрудников, работающих в организации, – больше 5000 человек, и они находятся в разных странах

Такой бизнес заметен в информационном пространстве и вызывает фокусный интерес у злоумышленников. Это значит, что к атаке будут тщательно готовиться, проведут разведку, напишут специализированное ПО под конкретную компанию и будут использовать в том числе социальную инженерию. Стоимость такой атаки достаточно высока, но при ее успешности прибыль во много раз перекроет затраты. При этом остановка бизнес-процессов или недоступность информационных систем и сервисов для компании очень критична и означает значительные финансовые потери.

Высокая вероятность целевой атаки требует внедрения:

  • EDR (endpoint detection and response) – решения, которое позволяет выявлять и обнаруживать подозрительную активность на рабочих станциях
  • Anti-APT-решений, которые в минимальном наборе состоят из песочницы (Sandbox) и анализатора сетевого трафика (NTA), позволяют обнаружить подозрительную активность, сомнительные письма и другие объекты
  • Deception – ложные цели для хакеров, которые имитируют целевую инфраструктуру для атаки и позволяют ИБ-специалистам обнаружить присутствие кибервзломщиков.

    DAM/DBF – защита баз данных как от внешних злоумышленников, так и внутренних администраторов
  • BAS (breach and attack simulation) – система моделирования кибератак – автоматизирует рутинные операции по сканированию уязвимостей и пентестов. Это симуляция, которая позволяет увидеть, как будут «отрабатывать» установленные средства защиты

Нужно понимать, что APT – сложный тип атаки, который фактически невозможно блокировать. Его нужно обнаружить и расследовать. Поэтому, чем больше ИБ-решений входит в комплексное anti-APT, тем лучше. На текущий момент – это трудная, но одна из самых важных задач ИБ-подразделения.

На этом уровне важно понимать, что атака рано или поздно произойдет и защититься на 100% не получится. Важно работать над обнаружением атак и реагированием на них. Плюс работать в связке с ИТ- и другими подразделениями над восстановлением данных и процессов в случае успешности атаки.

Уровень 6: ТОП-enterprise. В зоне внимания – time to market и АСУ ТП

Портрет бизнеса:

  • На этом уровне компании выходят или вышли на IPO
  • Силы организации направлены на увеличение инвестиционной привлекательности, автоматизацию, роботизацию и улучшение качества сервисов. Это касается в том числе и автоматизации ИТ и ИБ. В части ИБ автоматизация подразумевает внедрение SOAR/IRP (Security Orchestration, Automation and Response) – системы для автоматизации процессов обнаружения и реагирования на инциденты ИБ

Для многих отраслей, таких как финансы, ритейл, телеком, очень важен time to market – время вывода ИТ-продукта на рынок силами собственных разработчиков. В идеале – безопасного продукта без дополнительных временных затрат на проверку безопасности. На это направлены решения DevSecOps:

· Анализ кода (SAST, DAST, IAST).

· Защита облачных сред.

· Защита контейнеров.

· Контроль Open Source.

Если у компании существует производство, на нем, скорее всего, развернута АСУ ТП. Поэтому ИБ-директору необходимо обеспечить ее безопасность. К сожалению, АСУ ТП в большинстве своем – это отдельный мир, куда ИБ не пускают. Здесь принято считать, что наложенные средства ИБ влияют на работу АСУ ТП и основная защита – это воздушный зазор и физический контроль сотрудников. Для того, чтобы эффективно обеспечивать защиту промышленных сетей и АСУ ТП, в ИБ-подразделении должен работать специалист, который разбирается в этих системах, технологических протоколах и процессах. Либо компании необходимо искать эту экспертизу вовне – у интеграторов.

В мире ИБ как на ринге . Каковы шансы выжить?

Что дальше? Есть куда стремиться компаниям уровня ТОП-enterprise? Или это предел ИБ-зрелости? Ответ однозначен: компаниям всегда есть, к чему и куда стремиться. Не встречалась ни одна компания, у которой всё идеально, всё внедрено, всё автоматизировано и работает как часы. Потому что:

  • В нашем несовершенном мире нет места идеалу – есть место компромиссам
  • В мире ИБ как на ринге – средства нападения развиваются, средства защиты совершенствуются. Нужно постоянно держать руку на пульсе и обеспечивать защиту в условиях недостатка ресурсов и денег
  • Информационная безопасность – это не только технические средства и ИБ-компетенции. Это еще понимание каждого сотрудника, что пароль не надо записывать на бумажке, не надо открывать подозрительные письма, нажимать на ссылки, переходить по QR -кодам и т.д.

Enterprise более готов к текущей реальности и более устойчив к внешним потрясениям, чем SMB. Но, повторю, верхней планки зрелости нет, она постоянно повышается. Зрелость – это когда есть люди, который знают, как надо выстроить систему, и ресурсы, чтобы это реализовать. У enterprise-компаний в этом плане возможностей больше. Но с другой стороны – большой шкаф громче падает. На большие компании чаще направлены атаки. В случае ее успешности крупному бизнесу придется сложнее и финансовые потери будут выше. Делать прогнозы – справится компания с ними или нет – неблагодарное занятие. Я думаю, что в текущей ситуации есть шансы у компаний с любым уровнем зрелости.

0
Комментарии
Читать все 0 комментариев
null