Текущая ситуация такова: постоянные DDOS-атаки на российские сайты и творчество регуляторов стимулируют российские компании двигаться в направлении осознанной зрелости. Эта тенденция критична для целых сегментов рынка. Например, согласно аналитике Positive Technologies, в 2021 году из всех отраслей чаще всего атакам подвергались госучреждения и медицинские организации. Весь прошедший год наблюдался рост продаж ИБ-решений в данных сегментах.
В прошлой статье мы с Игорем Тюкачевым, руководителем отдела развития бизнеса продуктов ИБ Axoft, разбирались, все ли так плохо с ИБ-зрелостью в российском SMB. Сейчас поговорим о ситуации, сложившейся в enterprise-секторе. Каковы градации ИБ-зрелости в крупных компаниях? Что нужно сделать, чтобы «большой шкаф» не рухнул? Каковы шансы компаний «выжить», и можно ли все-таки достигнуть идеала в ИБ?
Ранее мы уже отмечали: шкалу зрелости Axoft создавал для того, чтобы со стороны объективно оценивать зрелость компаний-заказчиков своих партнеров, и понимать, что им можно и нужно предложить из решений своего портфеля. Данная шкала не константна и может трактоваться в достаточно широких пределах.
Уровень 4: российский enterprise. Размытый периметр сети и «файловые свалки»
Портрет бизнеса:
На этом уровне в компании работает наемный менеджмент, структура подчиненности – иерархическая, количество сотрудников – до 5000 человек
Организация располагает филиальной сетью по всей стране
Ключевые процессы бизнеса описаны и регламентированы на этапе внедрения ERP
- Для работы IT-инфраструктуры используется либо собственный ЦОД, либо арендуется коммерческий. Возможны оба варианта: для обеспечения отказо- и катастрофоустойчивости
- В компании есть собственный ИТ-департамент (выделенная тех.поддержка и helpdesk) и отдельное подразделение ИБ
Масштабная IT-инфраструктура и ее ежегодный рост приводит к:
- большому числу источников ИБ-событий, требующих обработки и реагирования. На этом этапе компании внедряют SIEM либо используют услуги коммерческих SOC
- необходимости администрирования IT-инфраструктуры. Для контроля админов требуется решение PAM (Privileged Access Manager). Это позволяет избежать утечки чувствительных данных, а также избежать злонамеренных действий сотрудников
Периметр корпоративной сети размыт из-за сотрудников, удаленно работающих на собственных телефонах, планшетах, ноутбуках. Безопасность критичных данных необходимо обеспечить при помощи систем MDM (Mobile Device Management).
Большое число сотрудников порождает:
- рост требований по защите периметра – требуются NGFW, обеспечивающие необходимый функционал и пропускную способность
- увеличение количества информационных систем и сотрудников, которым нужен доступ к этим системам. Контроль такого доступа – сложный и трудоемкий процесс, поэтому необходим IDM, который автоматизирует процесс управления доступом пользователей к информационным системам
- рост спроса на файловые хранилища компании для обмена документами, хранения отсканированных документов. Файловые хранилища всегда превращаются в «файловые свалки» с общим доступом, где легко могут оказаться копии паспортов сотрудников или чувствительная коммерческая информация. Поэтому необходимо внедрять системы класса DAG (Data Access Government) для управления доступом к неструктурированным данным. Это позволяет избежать утечки данных. Решение DAG эффективно использовать совместно с DLP
Что нужно сделать, чтобы повысить уровень ИБ-зрелости на этом этапе? Успешный руководитель ИБ-подразделения должен научиться разговаривать с бизнесом на языке бизнеса. Вот пример. Компания может инвестировать прибыль в развитие бизнеса, и это принесет ей увеличение доходов. А может потратить на ИБ. Это не принесет бизнесу увеличения доходов, но спасет от убытков и/или недополученной прибыли в случае атаки злоумышленников или непреднамеренной утечки критичных данных.
В текущих реалиях, когда использование только российских средств ИБ – в приоритете, мы можем помочь с оптимальным выбором ИБ-решения и его обоснованием.
Уровень 5: глобальный enterprise. В фокусе у злоумышленников. Выбор Anti-APT
Портрет бизнеса:
Компания растет и выходит за пределы РФ на глобальные рынки
- Она должна соответствовать требованиям как российских регуляторов (КИИ, ПД), так и регуляторов страны присутствия и международных стандартов (например, PCI DSS). Это подразумевает наличие отдельного департамента ИБ, который не подчиняется CIO (ИТ-директору), а возможно, находится в блоке безопасности (физическая безопасность, финансовая и информационная)
- В компании есть процесс бюджетирования – ИБ имеет собственный бюджет и конкурирует за бюджеты с другими подразделениями
- Число сотрудников, работающих в организации, – больше 5000 человек, и они находятся в разных странах
Такой бизнес заметен в информационном пространстве и вызывает фокусный интерес у злоумышленников. Это значит, что к атаке будут тщательно готовиться, проведут разведку, напишут специализированное ПО под конкретную компанию и будут использовать в том числе социальную инженерию. Стоимость такой атаки достаточно высока, но при ее успешности прибыль во много раз перекроет затраты. При этом остановка бизнес-процессов или недоступность информационных систем и сервисов для компании очень критична и означает значительные финансовые потери.
Высокая вероятность целевой атаки требует внедрения:
- EDR (endpoint detection and response) – решения, которое позволяет выявлять и обнаруживать подозрительную активность на рабочих станциях
- Anti-APT-решений, которые в минимальном наборе состоят из песочницы (Sandbox) и анализатора сетевого трафика (NTA), позволяют обнаружить подозрительную активность, сомнительные письма и другие объекты
Deception – ложные цели для хакеров, которые имитируют целевую инфраструктуру для атаки и позволяют ИБ-специалистам обнаружить присутствие кибервзломщиков.
DAM/DBF – защита баз данных как от внешних злоумышленников, так и внутренних администраторов- BAS (breach and attack simulation) – система моделирования кибератак – автоматизирует рутинные операции по сканированию уязвимостей и пентестов. Это симуляция, которая позволяет увидеть, как будут «отрабатывать» установленные средства защиты
Нужно понимать, что APT – сложный тип атаки, который фактически невозможно блокировать. Его нужно обнаружить и расследовать. Поэтому, чем больше ИБ-решений входит в комплексное anti-APT, тем лучше. На текущий момент – это трудная, но одна из самых важных задач ИБ-подразделения.
На этом уровне важно понимать, что атака рано или поздно произойдет и защититься на 100% не получится. Важно работать над обнаружением атак и реагированием на них. Плюс работать в связке с ИТ- и другими подразделениями над восстановлением данных и процессов в случае успешности атаки.
Уровень 6: ТОП-enterprise. В зоне внимания – time to market и АСУ ТП
Портрет бизнеса:
- На этом уровне компании выходят или вышли на IPO
- Силы организации направлены на увеличение инвестиционной привлекательности, автоматизацию, роботизацию и улучшение качества сервисов. Это касается в том числе и автоматизации ИТ и ИБ. В части ИБ автоматизация подразумевает внедрение SOAR/IRP (Security Orchestration, Automation and Response) – системы для автоматизации процессов обнаружения и реагирования на инциденты ИБ
Для многих отраслей, таких как финансы, ритейл, телеком, очень важен time to market – время вывода ИТ-продукта на рынок силами собственных разработчиков. В идеале – безопасного продукта без дополнительных временных затрат на проверку безопасности. На это направлены решения DevSecOps:
· Анализ кода (SAST, DAST, IAST).
· Защита облачных сред.
· Защита контейнеров.
· Контроль Open Source.
Если у компании существует производство, на нем, скорее всего, развернута АСУ ТП. Поэтому ИБ-директору необходимо обеспечить ее безопасность. К сожалению, АСУ ТП в большинстве своем – это отдельный мир, куда ИБ не пускают. Здесь принято считать, что наложенные средства ИБ влияют на работу АСУ ТП и основная защита – это воздушный зазор и физический контроль сотрудников. Для того, чтобы эффективно обеспечивать защиту промышленных сетей и АСУ ТП, в ИБ-подразделении должен работать специалист, который разбирается в этих системах, технологических протоколах и процессах. Либо компании необходимо искать эту экспертизу вовне – у интеграторов.
В мире ИБ как на ринге . Каковы шансы выжить?
Что дальше? Есть куда стремиться компаниям уровня ТОП-enterprise? Или это предел ИБ-зрелости? Ответ однозначен: компаниям всегда есть, к чему и куда стремиться. Не встречалась ни одна компания, у которой всё идеально, всё внедрено, всё автоматизировано и работает как часы. Потому что:
- В нашем несовершенном мире нет места идеалу – есть место компромиссам
- В мире ИБ как на ринге – средства нападения развиваются, средства защиты совершенствуются. Нужно постоянно держать руку на пульсе и обеспечивать защиту в условиях недостатка ресурсов и денег
Информационная безопасность – это не только технические средства и ИБ-компетенции. Это еще понимание каждого сотрудника, что пароль не надо записывать на бумажке, не надо открывать подозрительные письма, нажимать на ссылки, переходить по QR -кодам и т.д.
Enterprise более готов к текущей реальности и более устойчив к внешним потрясениям, чем SMB. Но, повторю, верхней планки зрелости нет, она постоянно повышается. Зрелость – это когда есть люди, который знают, как надо выстроить систему, и ресурсы, чтобы это реализовать. У enterprise-компаний в этом плане возможностей больше. Но с другой стороны – большой шкаф громче падает. На большие компании чаще направлены атаки. В случае ее успешности крупному бизнесу придется сложнее и финансовые потери будут выше. Делать прогнозы – справится компания с ними или нет – неблагодарное занятие. Я думаю, что в текущей ситуации есть шансы у компаний с любым уровнем зрелости.