Своевременный диагноз
Автор
Ольга Попова
Многие компании узнают о проникновении за свой периметр лишь спустя месяцы после случившегося
Как сохранить данные и не стать банкротом? Как организовать процессы защиты? Об этом и многом другом мы беседуем с директором представительства McAfee в России Павлом Эйгесом.
На форумах все чаще говорят о больших изменениях в ИТ. Что же, на ваш взгляд, происходит на рынке ИБ и какие тренды преобладают?
Раньше мало кто придавал значение безопасности в ИТ — и внутренние сети, и веб-ресурсы компании практически были незащищены. Сейчас, прежде чем реализовать ИТ-проект, обязательно оценивают риски. Да и само отношение к информационной безопасности сильно изменилось. Последние очень громкие инциденты, связанные с утечкой из компаний-ретейлеров десятков миллионов клиентских данных, не менее скандальные взломы в государственных структурах убедительно доказали, что ИТ являются для бизнеса источником не только возможностей, но и рисков. И здесь особую актуальность приобретают вопросы безопасности. Если говорить о трендах, то прежде всего — это зонтичное внедрение систем защиты. В первую очередь речь идет о системах SIEM (сбора событийной информации и корреляции их в инциденты), которые позволяют в агрегированном виде показать, что происходит в вашей системе безопасности. Ведь многие компании узнают о проникновении за свой периметр лишь спустя месяцы после случившегося. Если банк выяснил, что месяц назад его взломали, – понимаете, что это значит для его клиентов?. Сам по себе акт проникновения в инфраструктуру не означает, будто у вас тут же похитят деньги или информацию. Часто сначала ведутся подготовительные работы, то есть внедрение с целью получения контроля над теми или иными информационными ресурсами. Так что возможность наблюдать происходящее в системе в режиме реального времени, — один из технологических трендов. Второй тренд — выбор систем защиты по принципу их способности отражать специфические угрозы, так называемые Advanced Persistent Threat (APT), угрозы, использующие уязвимости нулевого дня, или атаки, разработанные специально под вашу компанию. Для отражения таких атак сейчас используются системы «песочницы», и на рынке их представлено много. Наша компания, например, предлагает продукт McAfee Advanced Threat Defense. Его особенность заключается в том, что он — часть экосистемы, то есть не нуждается в дополнительных вложениях, необходимых для решения разных задач. В последнее время тренд рынка — попытка удержать рост затрат на ИБ.
Но решение по защите информации не может быть дороже самой информации, не так ли?
Тезис справедливый, хотя у него есть область применимости. Как вы рассчитаете ценность информации? Как вы определить свои риски? Скажем, у страховой компании «ушла» клиентская база. В денежном выражении ей это может стоить от нуля до бесконечности.. Другими словами - стоимости всего бизнеса. Риски могут состоять как в простом переманивании клиентов конкурентами, так и в сливе конфиденциальной информации в общий доступ. Или другой пример: произошла атака на процессы управления на производстве. Предположим, сталелитейном. Под угрозой уже безопасность АСУ ТП. Даже при отсутствии выхода в Интернет есть выход во внутренние сети. Если вы контролируете инфраструктуру компании, то можете сделать с ней все что угодно. Ограничения здесь только в фантазиях людей, получивших доступ, и в их задачах. Но вернемся к стоимости защиты информации. Во сколько вы оцениваете информацию на вашем компьютере? Чем обернется ее потеря? Нет, к сожалению, очевидного ответа. Очень часто компании покупают дорогостоящие решения, потому что последствия игнорирования рисков могут стать плачевными.
Хорошо. Как дифференцировать угрозы?
Наша компания предлагает другой подход. На безопасность нужно отпускать разумные средства. Компании выбирают ИБ-систему по разным соображениям: как самую надежную, как самую дорогую, как самую доступную и т. д. Потом следующую, затем еще... Таким образом определяется график затрат. При этом уровень безопасности остается низким. Ландшафт угроз меняется. Вы вкачиваете деньги, но они не спасают. Подход Security Connected заключается в простой парадигме: «Каждый последующий шаг в построении вашей системы безопасности, с какого уровня или подсистемы вы бы ни стартовали, делается согласно двум принципам. Во-первых, он повышает ценность предыдущего шага, во-вторых, минимизирует затраты на достижение результата последующего шага». Это возможно благодаря тесной интеграции наших продуктов между собой. Мы строим некую экосистему. Таким образом расходы заказчиков не линейны - они снижаются по скорости наращивания. Вам не нужно перестраивать всю систему безопасности, чтобы бороться с угрозами нулевого дня.
Получается, необходимо изначально строить систему безопасности, ориентируясь на конкретные продукты, чтобы не переделывать ее потом? А как поступить, если система уже сформирована? Рушить ее?
Мы сейчас видим интересный тренд. Многие компании находятся в процессе модернизации своей инфраструктуры безопасности. Растут объемы информации и скорости ее получения. Большие данные предполагают большие мощности, быстрые отклики на угрозы. В безопасности не бывает одной чудодейственной таблетки. Ваша система постоянно должна находиться в готовности. Да, если система устарела — ее надо просто снести. И многие проекты мы начинаем на основе такого подхода. Приходим к заказчику и смотрим, что у него есть. Как правило, уже существует система url-фильтрации, антивирус, файервол, нередко от разных вендоров. И вот, при проверке вирусы обнаруживаются в папках temporary files. Значит система url-фильтрации не работает. Конечно, ее придется менять. Причем, если убрать только этот модуль и вместо него поставить, например, McAfee Web Gateway, ситуация с безопасностью изменится в лучшую сторону. Мы совместно с клиентом каждый раз индивидуально разрабатываем дорожную карту, исходя из его потребностей и возможностей. Далеко не всегда конечной точкой такой карты становится внедрение всего портфеля McAfee у заказчика. Наши решения прекрасно интегрируются и с другими продуктами. Тем более сейчас мы представляем новую среду обмена информацией между подсистемами ИБ – McAfee Threat Intelligent Exchange, к которой, как мы надеемся, в будущем году подключатся разные ИБ-вендоры.
В настоящее время весьма популярна тема взаимоотношений ИТ и ИБ. Далеко не все предприятия могут позволить себе штатного CIO, а еще меньше — CISO. Кто должен отвечать за безопасность, если в компании нет директора по ИБ? Кто вообще является вашим заказчиком?
Всегда по-разному. У нас есть крупные проекты, инициированные бизнес-пользователями — владельцами и топ-менеджерами компаний. Но есть и проекты, начатые благодаря усилиям специалистов, занимающихся, например, сетевой безопасностью предприятий. В чем-то мы отталкиваемся от ИТ. Но абсолютно все клиенты переходят от простого удовлетворения текущей потребности к необходимости выработки стратегии, потому что сиюминутный подход оказывается очень дорогим. «Заплатки» не спасут от смертельных заболеваний. Нужен своевременный диагноз и стратегия лечения, включающая не только решение текущих проблем, но и «прокачку» всего организма, его иммунной системы.
Если в США и Европе McAfee занимает значительную долю рынка, то в России она гораздо меньше по сравнению с отечественными разработками. При большой конкуренции существуют еще и бесплатные ИБ-продукты. В частности, антивирусы. Нужно ли тратить деньги и покупать, если есть вариант получить даром, сэкономив хотя бы на этом?
По большому счету абсолютно все равно, какой у вас стоит антивирус, если вы рассматриваете антивирусную систему как полностью замкнутую, не встроенную в общую систему безопасности. Любой антивирус пропускает. Но что произойдет, когда он пропустит? Насколько все остальные решения в системе способны эту ситуацию проконтролировать? Смогут ли они локализовать угрозу, детектировать, уменьшить последствия? Вот это важно. Еще нужно определить, откуда проник зловред. Даже с хорошего, проверенного сайта легко подцепить трояна. В таком случае, возможно, не работает система веб-фильтрации. Кроме того, канал, по которому вы получите вирус, может быть зашифрован, соответственно, его пропустит ваш файервол. Информационная безопасность компании — это сложный комплексный организм, требующий постоянного наблюдения. И чем прозрачнее для вас будет система безопасности, тем проще ее контролировать, вовремя отслеживая инциденты. Иначе — непредсказуемые последствия; за актуальными примерами ходить далеко не надо, просто просмотрите ленту новостей за текущую неделю..
Один из основных современных трендов — мобильность. Менеджерам нужна возможность удаленно управлять компанией. Соответственно возрастают и риски. И многие ИТ- и ИБ-директора не готовы предоставить менеджерам такой доступ. Что делают вендоры в этом направлении?
Вопрос непростой. Рынок «перегрет» темой BYOD. Мы все используем телефоны и в персональных, и в корпоративных целях. Есть различные системы управления мобильными устройствами, MDM-системы, Например, наша компания предлагает решение по управлению всеми девайсами пользователя через единую административную консоль. Но мне кажется, что тема BYOD еще не до конца осмысленна, потому что последний год наглядно продемонстрировал, какие угрозы могут быть от мобильных устройств и носимых гаджетов. И ни одно из предлагаемых сегодня решений не способно полностью защитить от подобных рисков. Скажем, все передвижения ваших страховых агентов нетрудно отследить через их планшеты. Собрать, проанализировать эту информацию и распорядиться ею по своему усмотрению. Или активировать передачу голосового трафика на смартфонах менеджеров в момент совещания. Но как ограничить отправление информации с датчиков, которые находятся в каждом мобильном устройстве? На этот вопрос пока ответа нет.
Еще один тренд — облачные технологии и связанные с ними вопросы безопасности. Основной аргумент против — это даже не зависимость от конкретного провайдера, а боязнь потерять данные.
Что для вас хуже: потеря информации или то, что она будет доступна кому-то еще? На мой взгляд, здесь нужно просто придерживаться определенных правил. Первое — двухфакторная аутентификация. Если у ресурса ее нет, его применение небезопасно. Это надо признать как данность. Второе: если вы что-то загружаете на внешний ресурс, используйте шифрование. Тогда открыть файлы сможете только вы. Это, кстати, касается и телефона, и ноутбука. Обязательно устанавливайте антивирусы, они защищают от 99,9% угроз. Просите своего провайдера о предоставлении услуги «чистого трафика». Есть обязательные правила защиты, и их нужно выполнять. Как чистить зубы по утрам. Облака это, конечно, не только дополнительные возможности, но и дополнительные риски. Так же как и ИТ в целом, о чем мы говорили в начале. Есть, также, например, вирусы, искажающие информацию при печати на принтере. А если речь идет о 500-страничном финансовом отчете? И если подписан контракт? Как оценить ущерб? То есть как только вы ступили на поле автоматизации с использованием ИТ, вам сразу же нужно думать о безопасности.
Невозможно обойти реалии. Вы — американская компания. Как вы планируете работать в России в сегодняшних условиях?
Для нас ничего в этом плане принципиально не изменилось. Да, добавилось больше бумажной работы, но количество встреч с будущими и текущими заказчиками еженедельно возрастает. Мы развиваем наше присутствие в России, много инвестируем в сертификацию наших решений и партнерскую сеть. Мы не говорим: «Давайте переждем», мы продолжаем работать. И, на мой взгляд, это единственный путь для бизнеса. Кстати, наш прайс для России, зафиксированный в рублях несколько лет назад, до сих пор не изменился, а это значит, что всю тяжесть удара по национальной валюте приняли на себя мы, а не наши партнеры и заказчики.
Опубликовано 24.12.2014