Как построить безопасность: кадры, процессы, технологии

Антон Фишман

О том, что данные являются самым ценным ресурсом любого бизнеса, говорят сегодня постоянно.

За двести лет фраза братьев Ротшильдов: «Кто владеет информацией, тот владеет миром» не потеряла своей актуальности. Пожалуй, за это время изменились только угрозы и риски. Как защищать данные? Зачем и кому нужен SOC? Для чего необходима SIEM-система? Что можно отдать на аутсорсинг? На эти и другие вопросы отвечает Антон Фишман, технический директор компании RuSIEM.

Cisco выделяет следующие типы ИБ: безопасность приложений, облаков, инфраструктуры, криптография, реагирование на инциденты и управление уязвимостями. Если говорить о последовательном построении службы ИБ в компании, в каком порядке нужно располагать эти функции?

На самом деле типов гораздо больше. Их можно классифицировать, например, по актуальности для компании и текущему уровню угроз. Так, в последние полтора года стало особенно востребовано все, что касается облаков и удаленного доступа. Сертификат Certified Information Systems Security Professional (CISSP) выделяет восемь областей знаний, где, кроме перечисленных, выделена общая безопасность активов, аутентификация, оценка и тестирование безопасности и многое другое. Поэтому при построении службы ИБ нужно ориентироваться не на классификации, а на модель угроз в конкретной компании. Скажем, в финансовой сфере нужно защищать деньги клиентов, безопасность данных, безопасность транзакций, операционную надежность. В ретейле защищать непрерывность бизнеса и исходя из этого выстраивать безопасность. Конечно, имеется стандартный набор решений для защиты прав доступа, внешних ресурсов, почты, облаков и т. д. Но тем, кто организует работу ИБ-службы с нуля, я бы в первую очередь посоветовал задуматься о защите периметра, разграничении сегментов, управлении доступом и уязвимостями.

Как правильно определить типы данных и конфиденциальные данные, которые необходимо защищать?

На основании текущей регуляторики, требований законодательства, модели угроз мы определяем, какие данные необходимо защищать. Так, у нас вопросы использования персональных данных регулирует ФЗ-152.В Европе на эту область накладывает ограничения GDPR. Здесь нет общего подхода. Есть правила хранения и работы с данными в облаках, есть обезличенные данные, данные первого, второго и третьего класса, и к ним применяются разные требования. К безопасности транзакций свои требования предъявляют платежные системы Visa, Master card и НСПК. Например, PCI DSS конкретизирует требования к хранению и передаче данных. Или есть еще коммерческая тайна, или высокочувствительная информация, касающаяся собственных разработок. Ее защита не является предметом регулирования, но ее нужно защищать и хранить только внутри компании. Словом, в каждой компании перечень защищаемых данных определяет либо риск-департамент, либо внешний регулятор. Существуют и общие для всех риски: сейчас идет очередная волна вирусов шифровальщиков, поэтому очень важен вопрос резервного копирования данных.

А кто решает, какие данные защищать? Генеральный директор или безопасник?

Есть такая роль — владелец данных. Он отвечает за то, что с этими данными можно делать и, соответственно, определяет их ценность и потребность в защите, если данные не относятся к категории защищаемых законом. Владельцем данных может быть сотрудник как службы ИБ, так и бизнес-подразделения. После определения перечня защищаемых данных подразделения ИТ и ИБ оценивают порядок их хранения, использования и передачи с точки зрения обеспечения их целостности, доступности и конфиденциальности, а также надежности и устойчивости процессов, в которых они используются. Дальше все решается в зависимости от технических возможностей, финансирования и удобства доступа к ним тех, кому в данный момент они требуются для выполнения должностных обязанностей.

Почему важна регулярная инвентаризации аппаратного и программного обеспечения?

Это лишь один из процессов. Инфраструктура любой компании постоянно видоизменяется и развивается. Появляются новые системы, ПО, меняются бизнес-процессы. Поэтому необходимо, во-первых, поддерживать информацию об ИТ-активах в актуальном состоянии, понимать срок их жизни, версии ПО, его типы, лицензии. Для этого используются различные инструменты, например,CMDB. Данная функция также может быть встроена в SIEM-систему. Во-вторых, необходимо фиксировать права доступа пользователей к системам и время, когда они появились. Для этого предназначены IRM-решения. Хотя в небольшой компании эту задачу может выполнить обычный контроллер домена.

Как правильно разработать многофакторную аутентификацию для доступа к внешней сети?

На рынке достаточно готовых решений для многофакторной аутентификации — как российских, так и зарубежных. Чтобы сделать правильный выбор, в первую очередь необходимо понять, кому и как вы хотите предоставить доступ. Затем выбрать то решение, которое вас удовлетворит по типу второго фактора, интеграционным возможностям и удобству управления. Например, когда сотрудники переводятся на удаленный или гибридный режим работы, компании необходимо предоставить им доступ к определенным сервисам через VPN с двухфакторной аутентификацией. Второй фактор — одноразовый пароль или ключ, который приходит по СМС либо имеется на специальном устройстве, необходимо выбирать исходя их того, что удобнее пользователям.

Много лет мы говорим от том, что нельзя ходить по ссылкам из сообщений от незнакомых отправителей, но, тем не менее, пользователи продолжают открывать фишинговые письма. И это сейчас особенно опасно, когда речь идет об удаленных пользователях, имеющих доступ к корпоративной системе. Как снизить подобные риски?

В первую очередь необходимо определить каналы попадания вредоносного ПО в сеть. Стандартные каналы — это Интернет, мессенджеры и почта. Почту следует тщательно проверять с помощью программ антиспама, антивирусов, поведенческих анализаторов (песочниц). Системы защиты рабочих мест, в частности Endpoint Detection and Response (EDR) и Endpoint Prevention and Protection (EPP), также нужны для защиты почты и мессенджеров. Для анализа трафика — IPS, NGFW, UTM. Для анализа событий безопасности от большого числа источников используются SIEM системы, выявляющие критические события и инциденты.

При удаленном доступе к вышеназванным мерам защиты добавляются другие. Если человек трудится за офисным компьютером, то на нем нужно установить систему защиты рабочих мест, где вся деятельность ведется только по VPN с двухфакторной аутентификацией. Если же сотрудник использует для личное устройство, то здесь применяются иные технологии. Например, проверка соответствия требованиям безопасности для доступа во внутреннюю сеть (NAC), разграничение прав доступа.

Но все это бессмысленно, если не работать с «человеческим фактором», не обучать своих сотрудников.

Почему, на ваш взгляд, крупные компании с большой службой ИБ все-таки становятся жертвами хакеров?

Во-первых, не существует абсолютной системы защиты. Во-вторых, во многих быстро растущих компаниях не всегда уделяют должное внимание ИБ, оставляя пути для злоумышленников. В-третьих, человеческий фактор.

Какие решения необходимы компаниям малого и среднего бизнеса при отсутствии директора по ИБ? Ведь малый бизнес зачастую не может позволить себе дорогие продукты.

Это вопрос финансовой оценки рисков. Что дороже: система защиты или сработавшие риски? Если в компании есть люди и ресурсы, но нет денег, можно на первых порах обойтись опенсорсными решениями. Другой путь — отдать ИБ на аутсорсинг. Всегда нужно искать баланс между расходами и безопасностью.

Какие функции ИБ можно отдавать на аутсорсинг, а какие нет?

В чем преимущества внешнего поставщика услуг? Это, во-первых, наличие экспертизы, во-вторых, это дешевле, чем держать у себя ИБ-службу, в-третьих, это Service Level Agreement (SLA), соглашение, четко определяющее, что клиент получит в плане обслуживания, и регулирующее вопросы компенсации. Недостаток здесь всего один, но очень серьезный. Для внешнего SOC пропущенный инцидент — это выплата компенсации (штрафа), а для вас это может стать потерей бизнеса. И это всегда надо учитывать при выборе того, что отдавать на аутсорсинг, а что делать внутри компании. Критичные вещи, такие как реагирование на инциденты, лучше оставить себе. А вот пентест или форензику можно отдать на аутсорсинг.

Какие кадры, процессы и технологии требуются для создания SOC?

Универсального рецепта построения SOC не существует, кроме того, что любой SOC должен работать 24×7, так как у злоумышленников выходных и праздников нет. Все зависит от того, внешний SOC или внутренний, какие услуги он оказывает, стандартные это процессы или расширенные. Так, для внутреннего SOC стандартные процессы — это мониторинг, выявление, митигация и реагирование. К ним иногда добавляются более сложные элементы: compliance control, киберразведка, threathunting. Основные роли в команде могут быть распределены следующим образом. Первая линия поддержки мониторит угрозы, выявляемые системами защиты, делает первичную проверку и помечает их. Вторая линия занимается расследованием угроз. На третьей линии работают форензик-инженеры — криминалисты, которые занимаются особо сложными случаями. Кроме них, в SOC трудятся специалисты по реагированию, аналитики, следящие за появлением новых угроз, киберразведка и многие другие.

Кому нужен SOC?

Любой компании, которой необходимо обеспечить непрерывность бизнеса. В России SOC — это крупные компании, а на Западе — практически любой бизнес, в том числе средний. Все, что выше магазина одежды.

Но это же дорого?

Конечно, это затратно. Потому что помимо человеческих ресурсов, нужны процессы и технологии. Здесь вопрос в оценке рисков.

Как обосновать затраты руководству? Например, на закупку SIEM-системы.

Одни компании задумываются о построении системы защиты только после того, как сами пострадают от атаки. Другие инвестируют в безопасность, проанализировав рынок, внутреннюю ситуацию, оценив вероятность успешной атаки и решив ее не дожидаться. Что касается SIEM-системы, здесь все достаточно просто. Сейчас без нее трудно выявить какие-либо угрозы, кроме самых простых. Их количество и разнообразие растет экспоненциально. Также увеличивается и количество систем защиты. Для того чтобы вручную следить за каждым решением, вам понадобится большой штат сотрудников. Но это одна проблема. Вторая заключается в том, что атаки стали мультивекторными и распределенными по времени. Стандартными средствами защиты их не обнаружить. Их можно выявлять только с помощью анализа аномалий, корреляций угроз и т. д. Комплексным анализом занимаются именно SIEM-системы.

Вы писали для нашего журнала статью про технологии ИИ для защиты бизнеса. Какие еще технологии ИБ сейчас в трендах? С каким угрозами мы можем столкнуться в ближайшее время и как им противостоять?

Злоумышленники идут по пути наименьшего сопротивления. Основные тренды не слишком изменились после перехода на удаленку. Большинство атак происходит в финансовом секторе — это атаки на банки и их клиентов. Соответственно, будет использоваться фишинг и социальная инженерия. Так, недавно фейковые магазины стали подделывать страницы 3ds — платежных систем. Мир идет в сторону Open API (PSD2). И их тоже будут атаковать. Dark market давно превратился в торговую площадку продажи вредоносов. Распространяются шифровальщики, появляются новые фишинговые атаки.

На мой взгляд, основную роль в противодействии угрозам будут играть технологии искусственного интеллекта. Потому что выявлять угрозы без постоянного анализа аномалий невозможно. Также в связи с удаленным и гибридным режимом работы начнет расти спрос на защиту облаков и рабочих станций. И наконец, в тренде построение комплексных систем, объединяющих различные сервисы и обеспечивающих наиболее полную защиту компаний.

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT Manager

Опубликовано 03.08.2021

Аутсорсинг Информационная безопасность Кадры

Предыдущая
Давайте поговорим ОБ ЭТОМ. От чистого сердца

Следующая
Как этичные хакеры помогают информационной безопасности бизнеса

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30