Эффективные проверки защиты ИТ-систем на разных уровнях развития ИБ

Логотип компании
Эффективные проверки защиты ИТ-систем на разных уровнях развития ИБ
Чтобы правильно оценить уровень защищенности систем, первым делом нужно определить модель угроз компании и узнать, от кого защищаться.

Не моделируя возможные угрозы информационной безопасности, невозможно построить защищенную систему. Но если описаны:

  • Угрозы безопасности — это возможная реализация атак или нарушение главных принципов информации: целостности, доступности, конфиденциальности.

  • Модели нарушителя — это портреты хакеров, например, внешний злоумышленник со сканерами в арсенале, хакер в составе группировки, предприимчивый школьник или внутренний нарушитель.

  • Способы реализации угроз — сценарии атак.

  • Возможные уязвимости — бреши в ИТ-инфраструктуре компании: сайтах, приложениях, личных кабинетах и так далее.

  • Последствия от потери или компрометации информации.

То становится ясно, как именно изменить системы, процессы и средства защиты, чтобы сократить риски и учесть максимум угроз информационной безопасности.

Собрав информацию, можно переходить к диагностике проблем — оценке защищенности. Это комплекс мероприятий, начиная от интервью разработчиков и администраторов, заканчивая проведением тестирования на проникновения. Например, при таком аудите можно обнаружить, что в компании отсутствует парольная политика или патч-менеджмент, в таком случае сложно сказать, что уровень защищенности компании высокий.

Глобально уровень защищенности системы определяет:

  • Выполнение рекомендаций и лучших практик по настройке систем, например, CIS Benchmark.

  • Наличие в компании выстроенных процессов ИБ, например, по управлению обновлениями, управлению уязвимостями, безопасной разработке.

  • Осведомленность сотрудников о рисках информационной безопасности и правилам действий при социотехнических атаках.

  • Наличие средств защиты информации и их правильная эксплуатация.

Проверка защищенности

Такие процедуры, как анализ защищенности и тестирование на проникновение, помогают определить новые угрозы и риски, а также проверить, насколько эффективно работают выстроенные контроли. Но для разного уровня развития ИБ в компании подойдут разные проверки.

Для начального уровня

Если в компании не выстроены ИБ-процессы, но есть много сайтов, сервисов и приложений, то начать можно, к примеру, с автоматизированного сканирования. В автоматическом режиме сканер проанализирует сервисы компании и выдаст отчет о том, что надо исправить.

Далее, то что не обнаружили сканеры, обнаружат специалисты, делая анализ защищенности, выявляя максимальное количество уязвимостей на ИТ-периметре и в сервисах уже в ручном режиме.

Цель анализа на этом уровне — выявление всевозможных рисков, их приоритезация и дальнейшее устранение. Это обезопасит бизнес от целенаправленных атак злоумышленников, не обладающих внушительными ресурсами и временем для взлома вашей системы.

Инструменты защиты, которые применяют в этом случае — ручное тестирование, anti-DDoS решения и доступные файрволы. Они позволяют найти всевозможные уязвимости ИТ-инфраструктуры: технические, логические и все те, что могут привести к мошенническим операциям или отказу обслуживания.

Онлайн-магазин или сервис в начале своего существования не интересен «серьезным» хакерам, но, по мере накопления клиентской базы и роста оборотов — бизнес становится мишенью для атаки. Количество желающих получить доступ к системе или персональным данным клиентов постоянно увеличивается.

Для среднего уровня

Когда все «дыры» в широком понимании закрыты, можно переходить к более сложным проверкам — имитации настоящей атаки. После теста на проникновения можно оценить насколько корректно работают средства защиты, как эффективно реагируют специалисты службы безопасности компании. ИБ-отдел исправит оставшиеся обнаруженные уязвимости. Так с каждым разом компания будет становиться все неприступнее.

Существенный уровень защиты — уже весомая причина, по которой большинство злоумышленников, откажутся тратить время на взлом компании. Но в случае целенаправленных атак — к взлому подключаются настоящие профессионалы и целые группы хакеров.

Для того, чтобы преодолеть существенный уровень защиты, злоумышленники вынуждены постоянно совершенствовать или даже разрабатывать специальные инструменты проникновения. На этом уровне речь не идет об одиночной атаке — на достижение цели тратятся месяцы и годы, а методы совершенствуются после каждой попытки, отброшенной мерами обнаружения и сдерживания.

Для высокого уровня

Для того чтобы защититься от злоумышленников с высоким уровнем подготовки и мотивации — недостаточно думать только о системе защиты от одиночной атаки или серии атак. Принципиальное значение приобретают процессы. Необходимо внедрить правила предоставления и отзыва доступа для каждого сотрудника, порядок мониторинга подозрительных активностей и реагирования на инциденты и прочие меры. Например, каждый сотрудник должен точно знать, что ему делать и к кому обратиться при получении подозрительного сообщения, обнаружении незнакомых файлов или программ на своем рабочем компьютере.

Для проверки безопасности на этом уровне, компании используют сложную имитацию атак — Red Team — это комплексная услуга, в которой содержится и пентест инфраструктуры и различных средств защиты, сетевых устройств (например, Wi-Fi), тестирование методом социальной инженерии: фишинговые рассылки, звонки, физическое проникновение и многое другое.

Факторы эффективной защиты

Проводить тестирование и проверки ИТ-инфраструктуры время от времени необходимо, чтобы повысить уровень внешней защиты. В результате — новые недостатки обнаруживаются и устраняются, до того как этим воспользуется хакер. Уровень защищенности внешнего контура от проведения проверок растет и компания становится труднодоступной для взлома.

Главный недостаток таких мер — непродолжительный эффект. ИТ-инфраструктура продолжает развиваться с учетом потребностей бизнеса и уровень защищенности снова скатывается к низкому.

Мы разработали решение для этой проблемы — Continuous Vulnerability Monitoring (CVM) — непрерывный мониторинг уязвимостей. Продукт позволяет поддерживать высокий уровень защищенности на постоянной основе. CVM — это SaaS-решение, позволяющее в режиме 24/7 тестировать инфраструктуру и приложения, проводить инвентаризацию сервисов, приоритезировать риски и строить аналитику.

Что в итоге?

Информационная безопасность компании — это ни константа, ни набор средств защиты и ни отдел по борьбе со вторжениями. Это длительный и сложный процесс. Для построения эффективной защиты необходим комплекс мер:

  • Внедрение средств защиты информации и антифрод-решений.

  • Выстраивание процесса безопасной разработки продуктов.

  • Внедрение vulnerability management — управления уязвимостями.

  • Проведение анализа исходного кода.

  • Проведение анализа защищенности сетевой инфраструктуры, веб и мобильных приложений.

  • Проведение оценки осведомленности сотрудников в вопросах информационной безопасности.

  • Следование политикам безопасности, должностным инструкциям и другим правилам.

 

 

Опубликовано 26.07.2022

Похожие статьи