IT ManagerБезопасностьУправление ИБ

На защите цифрового мира

| 07.01.2020

На защите цифрового мира

Михаил Кадер имеет звание заслуженного системного инженера Cisco, и он – первый сотрудник компании в России и СНГ, кто удостоился этого титула. Титул заслуженного системного инженера присуждают профессионалам, которые определяют техническое развитие компании, внедряют новейшие технологии в бизнес-процессы и изобретают оригинальные технические решения для основных инновационных продуктов Cisco. Мы поговорили с Михаилом о балансе ИТ и ИБ в компании, рисках и защите бизнеса, а также о том, может ли информационная безопасность не только сберечь имеющиеся данные, но и преумножить их.

Расскажите о себе и о том, как менялась ваша профессиональная деятельность с течением времени.

Я начал заниматься ИT в 1986 году. Моей первой работой стало обслуживание больших машин класса мейнфреймов – то, что тогда называлось ЕС ЭВМ. Затем я учился в РГУ нефти и газа (НИУ) имени И. М. Губкина по специальности «автоматизированные системы управления», попутно работая программистом и занимаясь автоматизацией финансовой деятельности концерна «Газпром». После того как моя учеба успешно завершилась, я поменял работу и с 1993 года начал заниматься сетевыми технологиями. Вначале это были технологии на базе решений компании Novell, именно тогда я стал заниматься вопросами маршрутизации и систем удаленного доступа.

Начиная с 1994 года работаю с оборудованием Cisco: например, был участником самого первого технического тренинга компании, который проводился на территории Российской Федерации. Далее, до 1997 года, работал в российских компаниях-интеграторах, где, опять же, реализовывал сетевые проекты и базовые проекты по информационной безопасности, в том числе на основе решений компании Cisco. В 1997 году перешел в Cisco, где начал заниматься вопросами маршрутизации, удаленного доступа и информационной безопасности. С течением времени технологии по информационной безопасности стали стремительно развиваться, и объем продуктов и информации оказался настолько велик, что постепенно данное направление вытеснило все остальные. Поэтому с начала 2000-х я специализируюсь только на ИБ.

Технологии и продукты сегодня уже слишком сложны, их становится слишком много. Наша задача – оперативно отслеживать ситуацию в отношении разных продуктов, каждый из которых использует огромное число и пересекающихся, и уникальных технологий.

Как ИТ-департаменту соблюсти баланс – использовать инструменты автоматизации, но не подвергать инфраструктуру опасности?

В момент проектирования любой системы, в том числе системы управления технологическими процессами, либо при планировании ее модернизации необходимо изначально закладывать в нее комплекс технологий и решений по ИБ. Помимо этого, важно иметь регламент проведения аудита и анализа функционирования системы ИБ, ее модернизации в соответствии с модернизацией автоматизированных систем. Нужно брать в расчет, что существует методологическая помощь со стороны Федеральной службы технического и экспортного контроля, которая публикует нормативные документы по обеспечению ИБ в критических ИТ-инфраструктурах и, соответственно, там же выдвигает требования по проектированию и внедрению определенного набора механизмов обеспечения информационной безопасности. Периодичность проведения аудита зависит от политики организации, стандартная рекомендация – раз в год или раз в полгода. Вместе с тем, безусловно, должен проводиться анализ при внедрении новых или модернизации существующих процессов.

Почему важно разрабатывать необходимые регламенты даже при наличии современного и эффективного ИБ-оборудования? Что они должны содержать в первую очередь?

Образно выражаясь, современное ИБ-оборудование остается актуальным примерно в течение двух минут после установки. Через две минуты в мире появляется несколько тысяч вариантов нового вредоносного ПО, находятся несколько сотен новых уязвимостей, злоумышленники придумывают новые методы обхода систем ИБ. Поэтому, во-первых, когда мы говорим об организационных мерах, которые существуют на предприятии, они обязательно должны охватывать и вопросы своевременной модернизации программных и аппаратных средств. Например, установку соответствующих обновлений, закрывающих те либо иные уязвимости с точки зрения ИБ, установку модулей обновления для систем обнаружения и предотвращения вторжений, своевременную поддержку вновь устанавливаемых приложений межсетевыми экранами нового поколения и т. п. Вот почему сейчас, осознавая, что это сложная задача, многие современные продукты напрямую взаимодействуют с центрами анализа угроз компаний-разработчиков, чтобы оперативно и в автоматизированном режиме получать информацию о новых угрозах и, соответственно, данные для механизмов безопасности этих продуктов, содержащие способы защиты от имеющихся угроз. Но в любом случае должен существовать регламент управления программно-аппаратными средствами на предприятии, если компания хочет эффективно противостоять атакам.

Второй важный момент заключается в том, что, насколько бы современными и качественными ни были технические средства, в любом случае слабым элементом является человек. Именно поэтому очень многие атаки проходят с использованием веб-ресурсов или мейл-ресурсов. И для того чтобы люди могли пользоваться столь нужными для работы средствами, но не подвергать свою организацию риску, необходимы и политики безопасности на предприятии, и соответствующее обучение сотрудников, и методы обработки возникающих инцидентов – все эти организационные меры процесса обеспечения и управления информационной безопасностью на предприятии.

Как ИТ-менеджеру могут помочь аналитические отчеты в области ИБ, подготовленные корпорациями, и аналитика рисков и угроз, которую предоставляет собственная система защиты данных?

Общие аналитические отчеты дают специалистам понимание, где находится их предприятие с точки зрения риска. К примеру, если это предприятие малого и среднего бизнеса, выращивающее огурцы и не продающее их через Интернет, то риски для его бизнеса достаточно малы. А если это банк, который активно развивает свою систему дистанционного обслуживания, то риски для него могут быть огромны. Следовательно, общие аналитические отчеты дают возможность понять, как устроен современный ландшафт угроз и в какой зоне с точки зрения риска находится предприятие, а затем определить, какие риски предприятие хочет минимизировать. И уже на основании этого можно планировать необходимые как организационные, так и технические меры, потому что в любом случае те и другие меры требуют и человеческих ресурсов, и бюджета. Если мы не контролируем общие аналитические отчеты, то можем пропустить возникновение нового класса угроз. В таком случае мы не оценим, защищают ли применяемые нами продукты от этого класса угроз, и, как следствие, можем оказаться уязвимыми.

Собственная система защиты данных фактически позволяет «приземлить» общий взгляд на ситуацию. То есть вы не просто понимаете, что где-то в мире существует та или иная угроза, а можете выяснить, присутствует ли конкретная угроза в сети вашей организации. Может быть, прямо сейчас в компании проходит распространение вредоносного ПО, может быть, кто-то из сотрудников похищает данные и т. п. Собственная система аналитики информации предприятия дает понимание того, существуют какие-то актуальные угрозы в определенный момент или нет.

На что нужно обращать внимание? Во-первых, на то, чтобы применяемые нами продукты по ИБ оперативно получали новую информацию о возможных атаках и умели останавливать самые современные угрозы, о которых большие аналитические компании пишут в своих отчетах. Далее, когда мы мониторим и контролируем работу этих продуктов, то получаем данные о том, что происходит непосредственно на нашем предприятии. Как можно применить полученные вводные на практике? Очень просто. Например, наши продукты должны поддерживать оперативное получение аналитической информации от внешних источников аналитики угроз – как от одной компании, так и от нескольких.

Неслучайно сейчас многие компании строят центры оперативного реагирования – Security Operations Centers (SOC). С их помощью они, с одной стороны, получают информацию о функционировании всех своих продуктов по информационной безопасности, а с другой – получают в автоматизированном режиме аналитические данные от внешних систем аналитики угроз.

На каком этапе создания нового бизнеса/запуска стартапа предприниматель должен озаботиться построением ИБ-системы? Какие обязательные компоненты она должна содержать изначально? Как оценить возможности масштабирования ее составляющих по мере роста бизнеса?

В момент создания стартапа и в момент его развития, вплоть до уровня крупного предприятия, компания должна анализировать, каким рискам с точки зрения информационной безопасности этот стартап или предприятие подвергается, и закладывать необходимый набор механизмов безопасности по мере развития компании, причем, опять же, закладывать их на этапе проектирования. Например, компания говорит: «Я – стартап, мне необходимо очень быстро написать софт, но я очень не хочу, чтобы мой софт украли». В таком случае ей необходимо озадачиться вопросами защиты разрабатываемого программного обеспечения, защиты удаленного доступа к нему сотрудников и надежной аутентификации и авторизации этих сотрудников.

Потом, в какой-то момент, компания начинает предлагать новые услуги, например, в виде облачного сервиса. Следовательно, она должна озаботиться вопросами надежной аутентификации пользователей этого сервиса, бесперебойности его работы и обеспечения конфиденциальности информации, им обрабатываемой. И вновь следующий класс задач по информационной безопасности и технические средства для решения этих задач должны закладываться не после того, когда произошел инцидент, а на этапе проектирования системы. Функционирование подобных средств должно проверяться на этапе ввода системы в промышленную эксплуатацию. Думать о защите данных нужно с самого начала, потому что может выясниться, что именно некий инцидент, связанный с брешью в системе ИБ, и помешал компании вырасти.

Часто источником высокой уязвимости компании становится не несовершенство системы защиты информации, а поведение пользователей, которые, несмотря на многочисленные разъяснения, продолжают следовать по вредоносным ссылкам. Есть ли какие-то новые методы воздействия на сотрудников, помимо тренингов, фишинговых тестов и т. д.?

К сожалению, нет. Глобально мы движемся по двум направлениям. С одной стороны, мы, безусловно, должны повышать уровень компетентности сотрудников, знакомить их с политиками, проводить тренинги, фишинговые тесты и тому подобное. С другой – должны продолжать повышать эффективность работы механизмов и решений по информационной безопасности. Это и многофакторная аутентификация, и система защиты от известных угроз, и система защиты от специализированного вредоносного программного обеспечения, и системы анализа поведения пользователей и приложений. И сейчас можно уже говорить о том, что в связи со стремительным ростом числа угроз есть легко доступные механизмы модификации средств злоумышленников. Именно поэтому очень большое значение имеет развитие именно аналитических средств обнаружения несанкционированных действий. То есть обнаружение вторжения злоумышленника либо несанкционированных действий сотрудника на базе тех или иных нештатных ситуаций или нетипичных моментов в их поведении. Особое место занимает аналитика, в том числе аналитика с применением систем искусственного интеллекта и машинного обучения. Она нужна, чтобы по множеству разнообразных факторов попытаться идентифицировать ту или иную попытку вредоносного воздействия.

Может ли система информационной безопасности не только сберечь имеющиеся данные, а следовательно, ресурсы, но и преумножить их? За счет какого функционала?

Это вечный вопрос, который обсуждается много лет, – посчитать инвестиционную отдачу от внедрения решений по информационной безопасности. На самом деле все просто. Мы можем рассматривать информационную безопасность с двух сторон. Мы внедряем некоторые бизнес-процессы, позволяющие нам оптимизировать производство или еще что-то, имеющее отношение к нашему прямому бизнесу. И соответственно, внедряем решения по информационной безопасности, потому что без них был бы риск, что все вновь внедряемые системы и процессы рухнули бы вместо оптимизации. Соответственно, мы могли бы получить прямые убытки, а не повышение эффективности.

С другой стороны, это можно расценивать таким образом. Раньше мы не могли внедрять дополнительные либо новые процессы в управление производством, но за счет развития технологий по информационной безопасности мы можем это делать. По сути это обратная сторона медали. Инвестиции в системы обеспечения информационной безопасности позволяют нам внедрять новые бизнес-процессы и решения, в свою очередь они приносят прибыль, которую без этого мы бы не получили.

Что вы думаете о цикличности в отношении многократного повторения одних и тех же атак? Как злоумышленникам удается раз за разом маскировать одни и те же методы? По какой причине бизнес может повторно пострадать от той же самой угрозы, которая повредила ему прежде?

И вновь мы говорим о человеческом факторе. Очень интересно посмотреть на цикл современной атаки. Например, какая-то компания узнала об уязвимости в своем продукте, о ней она узнала от внешних хороших исследователей или при обработке какого-то запроса пользователя в службу технической поддержки – не принципиально. Что делает компания? Анализирует обнаруженную уязвимость, после этого выпускает обновление, закрывающее эту уязвимость, а далее публикует официальную информацию для предупреждения своих пользователей о том, что необходимо установить соответствующую, уже выпущенную версию программного обеспечения. Подавляющее число пользователей это обновление программного обеспечения не поставят. А у злоумышленников будет информация, что есть уязвимость. Достаточно быстро будет разработан или найден код для эксплуатации такой уязвимости и, соответственно, мы столкнемся с очередным валом атак. Мы это наблюдали на примере эпидемии WannaCry, которая использовала протокол SMB. В любой компании он просто не должен «светиться» в Интернете, а между тем у подавляющего числа компаний его можно было легко найти в сети. То есть люди не соблюдали базовые гигиенические правила с точки зрения обеспечения информационной безопасности.

И снова мы возвращаемся к важности наличия политик и процедур, а также их выполнения. Если их нет, то люди не будут реализовывать даже базовые принципы ИБ, пока ни пострадают. Либо они будут внедрять их по остаточному принципу, и в таком случае опять же окажутся подвержены тем же угрозам, которые уже были осуществлены ранее. На днях я читал о том, что хотя эпидемия WannaCry случилась два года назад, варианты WannaCry до сих гуляют по миру, и люди до сих пор от них страдают.

Также нужно помнить, что современное вредоносное программное обеспечение написано очень хорошо. Оно модульное, и сами модули продаются на так называемом открытом черном рынке, который носит название DarkNet. Там есть многочисленные модули нанесения ущерба, и разные механизмы обмана систем обнаружения и предотвращения вторжений, и многообразные модули проникновения. Существует процесс автоматизированной генерации новых вариантов вредоносного программного обеспечения. Поэтому за время нашей беседы, с использованием таких средств, появилось несколько десятков вариантов известного вредоносного программного обеспечения, о которых системы защиты данных еще не знают. Именно поэтому для обеспечения необходимого уровня информационной безопасности предлагаемые решения должны эффективно защищать весь «путь» прохождения данных – от любого рабочего места пользователя до любой точки их обработки и хранения. Именно над этим и работает наша компания.

 

 

кибербезопасность, внешние угрозы

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 12/2019], Подписка на журналы

Cisco


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

24.01.2020 — 02.03.2020
Лучший ОЦО России и СНГ 2019

Radisson Collection Moscow

24.03.2020 — 25.03.2020
ИТС регионам

Воронеж, Отель «Воронеж Mariott»