Облачный ИБ-периметр (II часть)

(Продолжение. Начало в IT News № 8/2021)

Руководитель отдела ИБ компании ТАЛМЕР Никита СЕМЕНОВ считает, что изменились векторы кибератак, так как изменилась стандартная архитектура предприятия. При этом наибольшая активность, по его мнению, наблюдается в поиске и эксплуатации уязвимостей cloud-based систем.

Ведущий архитектор по ИБ ActiveCloud Антон ГРЕЦКИЙ уверен, что количество атак растет и будет расти, так как увеличивается количество ценных активов.

Директор центра киберзащиты DataLine Василий СТЕПАНЕНКО отмечает, что о кибербезопасности заговорили даже по ТВ, однако основное внимание в медиапространстве уделяется ИБ-угрозам, направленным на пользователей в их повседневной жизни. Дело в том, что бытовое мошенничество приобрело цифровой характер: злоумышленники крадут квартиры с помощью подделанной электронной подписи, похищают большие суммы денег у доверчивых клиентов банков с помощью различных схем обмана через звонки и онлайн-сервисы. При этом говорить о том, что взломали компанию в корпоративной среде, не принято, особенно в России, тогда как на Западе бизнес все же занимает более открытую позицию. По мнению г-на Степаненко, возможно, раньше атак было столько же, но не было столь пристального внимания к ним.

Руководитель направления «Системы резервного копирования и восстановления данных» Dell Technologies в России Владимир ПРОЖОГИН отмечает кардинальные изменения тактики злоумышленников. Теперь они атакуют резервные копии до или одновременно с атакой на операционные данные, вследствие чего проверенные методы защиты, такие как создание резервных копий и хранение их в удаленном data-центре с целью аварийного восстановления, не работают.

Архитектор решений Cloudera Кирилл ГОЛОЖИН считает, что эффективный ИБ-мониторинг требует ежедневного автоматического анализа терабайтов неструктурированных журнальных данных (с помощью Big Data) с целью предоставления корректных и интерпретируемых предупреждений для аналитиков.

Ведущий эксперт ИБ-направления компании «КРОК» Александр ЧЕРНЫХОВ говорит о смещении вектора атак с корпоративных сетей на конечные устройства сотрудников. Это связано с тем, что вне корпоративной сети любое устройство, даже с использованием VPN, менее защищено. Кроме того, многие сотрудники стали использовать персональные устройства, которые априори хуже защищены. Возросли и объемы успешных атак с помощью фишинга и социальной инженерии.

Руководитель службы ИБ компании «Онланта» (группа ЛАНИТ) Мурад МУСТАФАЕВ подчеркивает, что на сегодняшний день самыми используемыми инструментами хакеров являются вирусы-вымогатели и банковские трояны. Пандемия стала источником вдохновения для злоумышленников – они смогли добиться максимальных результатов в условиях глобальной неопределенности.

Директор по развитию компании «Информзащита» Иван МЕЛЕХИН утверждает, что возросла и тяжесть кибератак: все чаще встречаются Advanced Persistent Threat – целевые продолжительные атаки повышенной сложности, атаки с целью использования чужих IT-ресурсов для незаконного майнинга, а также атаки шифровальщицов-вымогателей.

Эксперт по кибербезопасности облачных инфраструктур STEP LOGIC Михаил КРЕЧЕТОВ предлагает оценить «сухие цифры»: по итогам 2020 года 52% организаций столкнулись с вредоносным ПО на удаленных устройствах, то есть по сравнению с 2019-м рост составил 41%. Из всех удаленных устройств, подверженных атакам и заражению, 37% не были ограничены в доступе к корпоративной электронной почте после взлома, а 11% продолжали пользоваться облачными хранилищами. 28% организаций регулярно использовали ОС с известными уязвимостями безопасности. По сравнению с допандемийным периодом наблюдается заметное увеличение (до 100%) числа подключений к неприемлемому контенту в рабочее время. Однако c учетом адаптации ИБ-служб к новым условиям, сделанных выводов и реализации актуальных защитных мер 2021 год в целом должен быть не таким сложным. Г-н Кречетов, как и другие участники обзора, не мог обойти стороной модель нулевого доверия, отметив, что при ее грамотной реализации такие изощренные атаки, как SunBurst, становятся неэффективными.

Технический директор RuSIEM Антон ФИШМАН отмечает рост новых социальных атак – злоумышленники пользуются темой COVID-19, чтобы выманивать у людей деньги. Увеличилось и число атак типа CNP (Card Not Present), то есть мошеннические интернет-покупки через мобильные и интернет-банки. Если говорить о юридических лицах, то сам по себе переход на удалёнку и ошибки, связанные с его реализацией, позволили злоумышленникам проникнуть в инфраструктуры большого количества компаний, похитить много данных и денег. Кроме того, необходимо наблюдать за быстрым ростом и изменениями на рынке RaaS (шифровальщики-вымогатели), считает г-н Фишман.

Руководитель группы разработки сервисов ИБ компании Selectel Антон ВЕДЕРНИКОВ подчеркивает, что кардинально участились попытки проникновения за периметр. Бизнес все чаще сегодня имеет онлайн-представительство, а значит, и количество целей злоумышленников продолжает расти.

Отдельно стоит рассмотреть ситуацию в прошлом году. Помимо массовой миграции в онлайн, у этого процесса есть и еще одна причина — резкое ужесточение конкуренции в кризисное время спровоцировало использование не самых честных приемов со стороны менее этичных представителей бизнеса. Результаты исследований Voip Unlimited и DDoS-GUARD говорят, что количество DDoS-атак ежегодно увеличивается на 100%: более 50% их жертв теряют данные, интеллектуальную собственность и выручку, а 9 из 10 подвергаются атакам повторно. «По нашим данным, в первый месяц удаленной работы, в апреле 2020 года, число DDoS-атак увеличилось в 10 раз по сравнению с аналогичным периодом предыдущего года. Однако уже к сентябрю ситуация стабилизировалась, активность хакеров вернулась к допандемийному уровню», – рассказывает г-н Ведерников.

ИБ-специалисты компании HPE поясняют, что на смену традиционным векторам атак на приложения (уязвимости кода), системное ПО и ОС пришло новое направление – микрокоды аппаратных компонентов. Получение прямого доступа к компонентам IT-инфраструктуры открывает возможность обойти традиционные методы защиты периметра. Атака инициируется изнутри скомпрометированным компонентом, которому в традиционной модели угроз принято доверять. Так, происходит переход от классической модели обеспечения ИБ – многорубежной, в которой мы выстраиваем множество периметров защиты, к модели защиты «нулевого доверия», в которой каждый участник взаимодействия (программа/сервис/устройство/пользователь) должен подтверждать свои данные при обращении к любому ресурсу.

В HPE все облачные сервисы, доступные через публичное облако, среди которых и облачные консоли управления (серверы, СХД, сетевые устройства), и облачные сервисы по хранению корпоративных данных – как первичных, так и резервных копий, построены по модели «нулевого доверия». В компании используется открытый фреймворк SPIRE и реализующий его открытый интерфейс SPIFFE для доверенной аутентификации. Кроме того, вводится «цифровой страж» (Silicon Root of Trust) – исполнительный модуль в каждом компоненте IT-инфраструктуры, призванный обнаруживать инциденты и реагировать на них, что позволяет противостоять атакам изнутри.

Замкнутый круг недофинансирования

Малые бюджеты, выделяемые на развитие ИБ, – давняя и наболевшая в узких кругах проблема. Говорить, что трансформация структуры ИБ-рисков кардинально повлияла на отношение к финансированию ИБ-направления, преждевременно. Однако позитивная динамика все же наблюдается. Среди непрофессионалов бытует мнение, что при внедрении облаков тратить на ИБ следует еще больше. Так ли это?

Василий СТЕПАНЕНКО (DataLine) считает, что сегодня происходит переосмысление рисков и чаша весов начинает склоняться от организационных мер в сторону технических. Тем, кто уже использовал средства NGFW, WAF, SIEM и т. д., придется потратиться на увеличение лицензий и выделить дополнительные ресурсы на перенастройку. Кроме того, не все ИБ-решения легко масштабируемы, в таком случае поможет подход SECaaS (безопасность как сервис) с ежемесячной платой только за используемые ресурсы, объем которых при необходимости можно оперативно увеличить.

Антон ВЕДЕРНИКОВ (Selectel) поясняет, что, конечно же, с увеличением количества удаленных сотрудников придется нарастить мощность уже используемых решений или заменить «железо», на котором они размещались. В то же время переход в облака позволяет неплохо сэкономить: то же оборудование, которое компания могла разместить у себя за 1–1,5 млн рублей, можно взять в аренду примерно за 50 тыс. рублей в месяц. Это не только помогает решить проблему, но и позволяет отнести расходы, связанные с обеспечением безопасности, в категорию операционных (OpEx). Как считает г-н Ведерников, для небольших компаний это единственный вариант использования современных дорогих решений.

Владимир ПРОЖОГИН (Dell Technologies) отмечает, что необязательно модернизировать все сразу – можно выбрать наиболее востребованную часть инфраструктуры, позволяющую получить быстрый экономический эффект. Например, при модернизации системы резервного копирования заменить устаревшие ленточные и дисковые системы хранения на современные комплексы с широкими возможностями в области резервного копирования, аварийного восстановления данных и поддержкой функции дедупликации.

Антон ГРЕЦКИЙ (ActiveCloud) говорит, что использование SECaaS избавляет от необходимости содержать свой стек средств защиты, получать компетенции по их настройке и администрированию, а мониторинг и реагирование на инциденты так же ляжет на поставщика услуги. Популярность SOC (Security Operations Center) растет, именно он позволяет решать проблемы безопасности и экономить средства. Кроме того, растет популярность собственных SOC-центров.

Александр ЧЕРНЫХОВ («КРОК») говорит, что сегодня вместе с облаками клиенты приобретают и средства ИБ. Более того, появилась возможность выбора вендоров, предоставляющих конкретное решение в рамках одного облака. Поэтому задача заказчика сводится к обеспечению безопасных каналов передачи данных.

Иван МЕЛЕХИН («Информзащита») уверен, что зачастую защита облачной инфраструктуры у крупных провайдеров существенно лучше, а стоит дешевле. С точки зрения физической, инфраструктурной, сетевой безопасности облако обычно выигрывает у локальной инфраструктуры. Тратить на ИБ приходится больше в силу изменившегося ландшафта угроз и возросших киберрисков, считает он. И для обеспечения адекватной защиты при использовании полностью локальных, внутренних решений тратить нужно существенно больше с точки зрения как капитальных, так и операционных солдат.

Руководитель отдела ИБ компании «ЛАНИТ-Интеграция» (ГК «ЛАНИТ») Николай ФОКИН полагает, что для части компаний удобнее было бы перейти на продукты со схемой лицензирования PAYG (Pay-as-you-go, оплата по мере потребления). Кроме того, могут помочь open-source-решения: они доступны, неплохо документированы и не требуют прямых затрат. Но с ними связана другая проблема – отсутствие некоторых возможностей и время на внедрение. Пересмотр политик и конфигураций IT-оборудования и ПО также может дать хорошие результаты и повысить уровень защищенности компании, заключает г-н Фокин.

Генеральный директор Zecurion Алексей РАЕВСКИЙ считает, что компаниям необходимо научиться адекватно оценивать свои риски с точки зрения как compliance, так и конкуренции. От этого напрямую зависит объем выделяемых на ИБ средств. Поэтому говорить, что при использовании облачных технологий приходится больше тратить на ИБ, не совсем корректно.

Михаил КРЕЧЕТОВ (STEP LOGIC) отмечает, что при развитии средств ИБ зачастую пренебрегают таким базовым понятием, как оценка рисков, а по классике ИБ именно с этого надо начинать. Совершенно необязательно тратить много на ИБ, если модель рисков компании этого не предполагает. Однако важно понимать, что подобные модели должен строить внешний аудитор. В то же время внедрение ИБ-инструментов при использовании облачных технологий реализуется проще, так как есть встроенные средства облачных платформ и специализированные средства в маркетплейсах, которые позволяют обойтись без сложной предварительной подготовки.

Мурад МУСТАФАЕВ («Онланта») называет три варианта развития системы ИБ параллельно с углубленным использованием облачных сервисов. Первый – взращивать собственную ИБ-экспертизу, самостоятельно разворачивать инструментарий и действовать в соответствии с законодательными требованиями. Второй – привлекать экспертизу профильной ИБ-организации на аутсорсинге параллельно с использованием услуг облачного провайдера. Третий – пользоваться ИБ-сопровождением и экспертизой провайдера, с которым компания работает в рамках облачного контракта.

В частности, компания HPE упрощает заказчикам использование облачных технологий в своих локальных ЦОДах и/или ЦОДах сервисных провайдеров. В рамках сервисного портфеля HPE GreenLake оборудование вендора может быть установлено в удобную для заказчика локацию. При этом он оплачивает его как сервис и при желании может задействовать дополнительные ресурсы из буфера, который также устанавливается на площадке заказчика и может быть возвращен, когда перестает быть нужным.

(Продолжение следует)