Безопасность IT-инфраструктуры
В Санкт-Петербурге в отеле Four Seasons 18 мая компания РАМЭК провела мероприятие под названием «Безопасная ИТ-инфраструктура предприятия на платформе IBM», которое открыл Алексей Иващенко, руководитель офиса IBM в Санкт-Петербурге.
В своем выступлении он привел статистические данные об существующих угрозах: взломщик в среднем проводит 243 дня в сети жертв до обнаружения, хотя 63% из них были предупреждены о дырах в безопасности сторонними организациями. У организации в среднем уходит 32 дня, чтобы отразить кибератаку, при этом 38% жертв были атакованы вновь сразу после восстановления от инцидента. Алексей посетовал, что компании все сложнее защищать, имеет место существенны дефицит высококвалифицированных ИБ-специалистов. У IBM имеется интегрированный портфель решений, сервисы, технологии и соответствующая экспертиза, а также расширенная аналитика для защиты от киберпреступников.
С приветственным словом выступил и Кирилл Козлов, заместитель коммерческого директора компании «РАМЭК-ВС». Он сказал, что компания IBM немного изменила свою политику, немного переориентировалась, в какой степени это касается информационной безопасности, об этом и будут сегодняшние доклады, поскольку ИБ-тема выходит в России на первый план.
Доклад Дмитрия Волкова, начальника отдела комплексных систем безопасности компании «РАМЭК», назывался «Компетенции компании РАМЭК-ВС в области технической защиты государственной тайны, конфиденциальной информации и персональных данных». Дмитрий сразу отметил, что компания обладает компетенциями практически по всем ИБ-направлениям, начиная от этапа обследования компании заказчика и заканчивая аттестацией системы. Компания проводит как консультации по использованию систем защиты информации, так и спецобследование оборудования, а также экспертную оценку предприятий на предмет лицензирования в системе минобороны РФ. Часть этих компетенций выполняет ИБ-департамент, который базируется в московском представительстве компании, а часть компетенций выполняет подразделение, находящееся Санкт-Петербургском офисе РАМЭК.
Дмитрий Волков отметил, что его компания обладает всеми необходимыми лицензиями ФСБ и ФСТЭК по защите информации, что позволяет ей выполнить любые работы как по защите государственной тайны, так и по защите ПДн. Для того, чтобы заказчик смог привести свою систему в соответствие с требованиями законодательства, он должен построить систему защиты, а для этого пройти ряд этапов: аудит автоматизированной системы, разработку ИБ-требований АС/ИСПДн, разработку системы защиты конфиденциально информации/ ПДн, внедрение проектных решений, опытную эксплуатацию и аттестацию системы защиты информации, сервисное обслуживание этой системы. На этапе проектирования, как правило, РАМЭК делает технический проект на создание системы защиты информационной системы и, как правило, заказчики просят разработать необходимый набор документации.
На этапе внедрения проектных решений производится поставка, монтаж и настройка оборудования, общесистемного ПО и средств защиты информации, предусмотренные техническим проектом по созданию СрЗИ. Внедрение организационных мер защиты информации, как правило, осуществляется самим заказчиком. Также может внедряться DLP-система, которая стала достаточно популярной в последнее время. Аттестация системы, даже если она необязательна, по запросу заказчика может все равно проводиться. РАМЭК разрабатывает методику испытаний, которую согласовывается с оператором. Согласно 17-му приказу ФСТЭК можно проводить аттестацию отдельных сегментов системы.
В перечень технических мероприятий по обеспечению защиты системы заказчика входят защита от несанкционированного доступа подсистем управления доступом, подсистем регистрации и учета, обеспечения целостности, обеспечения безопасного межсетевого взаимодействия, криптографической и антивирусной защиты.
РАМЭК применяет аппаратные и программные средства защиты как уровня хоста, так и уровня сети. Для защиты информации по каналам связи, которые выходят за пределы контролируемой зоны, РАМЭК рекомендует применять отечественные VPN-решения.
История информационной безопасности в IBM – весьма долгая. Первые шаги в этом направлении компания сделала в 1970 году, в эпоху мейнфреймов. Об этом рассказал специалист IBM по решениям в сфере ИБ Михаил Колчин, в своем докладе «Интеграция продуктов IBM Security» в ходе партнерского мероприятия компании «РАМЭК» «Безопасная IT-инфраструктура предприятия», прошедшего в Санкт-Петербурге.
В начале 2000 годов IBM начала серию приобретений, вобрав в свой портфель решения множества ИБ-компаний, продукты которых были интегрированы в единую экосистему. В 2015 году было создано выделенное подразделение IBM Security Business Unit. Сейчас специалисты IBM пользуются в ходе своей работы по созданию ИБ-решений парадигмой «иммунной системы».
Как же строить ИБ-систему в компании? Какие принципы использовать? Г-н Колчин предлагает прежде всего выделить в обеспечении безопасности предприятия такие направления, как защита данных, приложений, пользователей и доступа, инфраструктуры и устройств — серверов, ПК и мобильных устройств. В центре решения должна находиться система, агрегирующая и консолидирующая информацию. При этом, как отметил г-н Колчин, в большинстве компаний нет отдельного ИБ-подразделения, собирающего информацию о состоянии ИБ в организации, и предоставляющего соответствующие сведения администраторам и владельцам бизнес-систем.
Подход IBM к информационной безопасности предполагает деление на направления защиты и выбор соответствующих продуктов, с учетом их интегрированности. Данные с разных «участков фронта» собираются в решение QRadar, консолидирующее сведения, обеспечивая нормализацию и приоритизацию событий.
Михаил Колчин отметил, что использование единого решения интегрированных продуктов предоставляет полную видимость и контроль в сети предприятия. При этом значительно увеличивается уровень защиты информации и сокращается сложность и стоимость общего решения. Так, г-н Колчин отметил, что QRadar выполняет множество функций, позволяя контролировать потоки, пакеты, уязвимости, конфигурации, логи и другую информацию о событиях информационной безопасности.
По словам г-на Колчина, портфель решений IBM является «наиболее полным», а продукты IBM позволяют осуществить защиту до наступления атак. Есть инструменты для мониторинга событий и предотвращения атак в реальном времени (например, можно предотвратить установку вредоносной программы и заблокировать трафик), а также решения для расследования инцидентов и формирования доказательной базы. Ибо достаточно часто бывает, что произошел какой-то инцидент, но доказательств нет. Ведь атаки проходят не только по причине внешних нарушителей, но и по вине внутренних пользователей. Впрочем, здесь не обязательно имеет место злой умысел, бывают и просто ошибки: пользователь читает новости, открывает зловредную ссылку, после чего начинается заражение, и инфекция распространяется по всей сети предприятия. Г-н Колчин отметил, что согласно статистике постоянно растет количество устройств, зараженных ботнет. Он также упомянул об эксперименте, в ходе которого сотрудникам некой компании рассылались письма с темой «отчет». Почти все получившие письмо прошли по ссылке: но при этом мало кто посмотрел, с какого адреса пришло сообщение.
В целом, по словам Михаила Колчина, продукты IBM в настоящее время защищают 280 млн конечных устройств в мире. В базе ИБ-уязвимостей IBM сейчас более 88 тысяч записей. Проверка репутации ресурсов и обновления безопасности для всех устройств осуществляется крупнейшим мировым центром исследователей, разработчиков и аналитиков - X-Force Threat Intelligence.
Отметим, что как сообщает издание Forbes, в 2015 году выручка IBM Security выросла на 12% до $2 млрд. Рост, измеряющийся двумя цифрами процентов, подразделение продемонстрировало уже второй год подряд.
Опубликовано 25.05.2016