Облачный ИБ-периметр (II часть)
Руководитель отдела ИБ компании ТАЛМЕР Никита СЕМЕНОВ считает, что изменились векторы кибератак, так как изменилась стандартная архитектура предприятия. При этом наибольшая активность, по его мнению, наблюдается в поиске и эксплуатации уязвимостей cloud-based систем.
Николай ФОКИН («ЛАНИТ-Интеграция»):
Антон ГРЕЦКИЙ (ActiveCloud):
Ведущий архитектор по ИБ ActiveCloud Антон ГРЕЦКИЙ уверен, что количество атак растет и будет расти, так как увеличивается количество ценных активов.
Василий СТЕПАНЕНКО (DataLine):
Директор центра киберзащиты DataLine Василий СТЕПАНЕНКО отмечает, что о кибербезопасности заговорили даже по ТВ, однако основное внимание в медиапространстве уделяется ИБ-угрозам, направленным на пользователей в их повседневной жизни. Дело в том, что бытовое мошенничество приобрело цифровой характер: злоумышленники крадут квартиры с помощью подделанной электронной подписи, похищают большие суммы денег у доверчивых клиентов банков с помощью различных схем обмана через звонки и онлайн-сервисы. При этом говорить о том, что взломали компанию в корпоративной среде, не принято, особенно в России, тогда как на Западе бизнес все же занимает более открытую позицию. По мнению г-на Степаненко, возможно, раньше атак было столько же, но не было столь пристального внимания к ним.
Владимир ПРОЖОГИН (Dell Technologies):
Руководитель направления «Системы резервного копирования и восстановления данных» Dell Technologies в России Владимир ПРОЖОГИН отмечает кардинальные изменения тактики злоумышленников. Теперь они атакуют резервные копии до или одновременно с атакой на операционные данные, вследствие чего проверенные методы защиты, такие как создание резервных копий и хранение их в удаленном data-центре с целью аварийного восстановления, не работают.
Кирилл ГОЛОЖИН (Cloudera):
Архитектор решений Cloudera Кирилл ГОЛОЖИН считает, что эффективный ИБ-мониторинг требует ежедневного автоматического анализа терабайтов неструктурированных журнальных данных (с помощью Big Data) с целью предоставления корректных и интерпретируемых предупреждений для аналитиков.
Александр ЧЕРНЫХОВ («КРОК»):
Ведущий эксперт ИБ-направления компании «КРОК» Александр ЧЕРНЫХОВ говорит о смещении вектора атак с корпоративных сетей на конечные устройства сотрудников. Это связано с тем, что вне корпоративной сети любое устройство, даже с использованием VPN, менее защищено. Кроме того, многие сотрудники стали использовать персональные устройства, которые априори хуже защищены. Возросли и объемы успешных атак с помощью фишинга и социальной инженерии.
Алексей РАЕВСКИЙ (Zecurion):
Мурад МУСТАФАЕВ («Онланта»):
Руководитель службы ИБ компании «Онланта» (группа ЛАНИТ) Мурад МУСТАФАЕВ подчеркивает, что на сегодняшний день самыми используемыми инструментами хакеров являются вирусы-вымогатели и банковские трояны. Пандемия стала источником вдохновения для злоумышленников – они смогли добиться максимальных результатов в условиях глобальной неопределенности.
Иван МЕЛЕХИН («Информзащита»):
Директор по развитию компании «Информзащита» Иван МЕЛЕХИН утверждает, что возросла и тяжесть кибератак: все чаще встречаются Advanced Persistent Threat – целевые продолжительные атаки повышенной сложности, атаки с целью использования чужих IT-ресурсов для незаконного майнинга, а также атаки шифровальщицов-вымогателей.
Михаил КРЕЧЕТОВ (STEP LOGIC):
Эксперт по кибербезопасности облачных инфраструктур STEP LOGIC Михаил КРЕЧЕТОВ предлагает оценить «сухие цифры»: по итогам 2020 года 52% организаций столкнулись с вредоносным ПО на удаленных устройствах, то есть по сравнению с 2019-м рост составил 41%. Из всех удаленных устройств, подверженных атакам и заражению, 37% не были ограничены в доступе к корпоративной электронной почте после взлома, а 11% продолжали пользоваться облачными хранилищами. 28% организаций регулярно использовали ОС с известными уязвимостями безопасности. По сравнению с допандемийным периодом наблюдается заметное увеличение (до 100%) числа подключений к неприемлемому контенту в рабочее время. Однако c учетом адаптации ИБ-служб к новым условиям, сделанных выводов и реализации актуальных защитных мер 2021 год в целом должен быть не таким сложным. Г-н Кречетов, как и другие участники обзора, не мог обойти стороной модель нулевого доверия, отметив, что при ее грамотной реализации такие изощренные атаки, как SunBurst, становятся неэффективными.
Антон ФИШМАН (RuSIEM):
Технический директор RuSIEM Антон ФИШМАН отмечает рост новых социальных атак – злоумышленники пользуются темой COVID-19, чтобы выманивать у людей деньги. Увеличилось и число атак типа CNP (Card Not Present), то есть мошеннические интернет-покупки через мобильные и интернет-банки. Если говорить о юридических лицах, то сам по себе переход на удалёнку и ошибки, связанные с его реализацией, позволили злоумышленникам проникнуть в инфраструктуры большого количества компаний, похитить много данных и денег. Кроме того, необходимо наблюдать за быстрым ростом и изменениями на рынке RaaS (шифровальщики-вымогатели), считает г-н Фишман.
Антон ВЕДЕРНИКОВ (Selectel):
Руководитель группы разработки сервисов ИБ компании Selectel Антон ВЕДЕРНИКОВ подчеркивает, что кардинально участились попытки проникновения за периметр. Бизнес все чаще сегодня имеет онлайн-представительство, а значит, и количество целей злоумышленников продолжает расти.
Отдельно стоит рассмотреть ситуацию в прошлом году. Помимо массовой миграции в онлайн, у этого процесса есть и еще одна причина — резкое ужесточение конкуренции в кризисное время спровоцировало использование не самых честных приемов со стороны менее этичных представителей бизнеса. Результаты исследований Voip Unlimited и DDoS-GUARD говорят, что количество DDoS-атак ежегодно увеличивается на 100%: более 50% их жертв теряют данные, интеллектуальную собственность и выручку, а 9 из 10 подвергаются атакам повторно. «По нашим данным, в первый месяц удаленной работы, в апреле 2020 года, число DDoS-атак увеличилось в 10 раз по сравнению с аналогичным периодом предыдущего года. Однако уже к сентябрю ситуация стабилизировалась, активность хакеров вернулась к допандемийному уровню», – рассказывает г-н Ведерников.
ИБ-специалисты компании HPE поясняют, что на смену традиционным векторам атак на приложения (уязвимости кода), системное ПО и ОС пришло новое направление – микрокоды аппаратных компонентов. Получение прямого доступа к компонентам IT-инфраструктуры открывает возможность обойти традиционные методы защиты периметра. Атака инициируется изнутри скомпрометированным компонентом, которому в традиционной модели угроз принято доверять. Так, происходит переход от классической модели обеспечения ИБ – многорубежной, в которой мы выстраиваем множество периметров защиты, к модели защиты «нулевого доверия», в которой каждый участник взаимодействия (программа/сервис/устройство/пользователь) должен подтверждать свои данные при обращении к любому ресурсу.
В HPE все облачные сервисы, доступные через публичное облако, среди которых и облачные консоли управления (серверы, СХД, сетевые устройства), и облачные сервисы по хранению корпоративных данных – как первичных, так и резервных копий, построены по модели «нулевого доверия». В компании используется открытый фреймворк SPIRE и реализующий его открытый интерфейс SPIFFE для доверенной аутентификации. Кроме того, вводится «цифровой страж» (Silicon Root of Trust) – исполнительный модуль в каждом компоненте IT-инфраструктуры, призванный обнаруживать инциденты и реагировать на них, что позволяет противостоять атакам изнутри.
Замкнутый круг недофинансирования
Малые бюджеты, выделяемые на развитие ИБ, – давняя и наболевшая в узких кругах проблема. Говорить, что трансформация структуры ИБ-рисков кардинально повлияла на отношение к финансированию ИБ-направления, преждевременно. Однако позитивная динамика все же наблюдается. Среди непрофессионалов бытует мнение, что при внедрении облаков тратить на ИБ следует еще больше. Так ли это?
Никита СЕМЕНОВ (ТАЛМЕР):
Василий СТЕПАНЕНКО (DataLine):
Василий СТЕПАНЕНКО (DataLine) считает, что сегодня происходит переосмысление рисков и чаша весов начинает склоняться от организационных мер в сторону технических. Тем, кто уже использовал средства NGFW, WAF, SIEM и т. д., придется потратиться на увеличение лицензий и выделить дополнительные ресурсы на перенастройку. Кроме того, не все ИБ-решения легко масштабируемы, в таком случае поможет подход SECaaS (безопасность как сервис) с ежемесячной платой только за используемые ресурсы, объем которых при необходимости можно оперативно увеличить.
Антон ВЕДЕРНИКОВ (Selectel):
Антон ВЕДЕРНИКОВ (Selectel) поясняет, что, конечно же, с увеличением количества удаленных сотрудников придется нарастить мощность уже используемых решений или заменить «железо», на котором они размещались. В то же время переход в облака позволяет неплохо сэкономить: то же оборудование, которое компания могла разместить у себя за 1–1,5 млн рублей, можно взять в аренду примерно за 50 тыс. рублей в месяц. Это не только помогает решить проблему, но и позволяет отнести расходы, связанные с обеспечением безопасности, в категорию операционных (OpEx). Как считает г-н Ведерников, для небольших компаний это единственный вариант использования современных дорогих решений.
Владимир ПРОЖОГИН (Dell Technologies):
Владимир ПРОЖОГИН (Dell Technologies) отмечает, что необязательно модернизировать все сразу – можно выбрать наиболее востребованную часть инфраструктуры, позволяющую получить быстрый экономический эффект. Например, при модернизации системы резервного копирования заменить устаревшие ленточные и дисковые системы хранения на современные комплексы с широкими возможностями в области резервного копирования, аварийного восстановления данных и поддержкой функции дедупликации.
Антон ГРЕЦКИЙ (ActiveCloud):
Антон ГРЕЦКИЙ (ActiveCloud) говорит, что использование SECaaS избавляет от необходимости содержать свой стек средств защиты, получать компетенции по их настройке и администрированию, а мониторинг и реагирование на инциденты так же ляжет на поставщика услуги. Популярность SOC (Security Operations Center) растет, именно он позволяет решать проблемы безопасности и экономить средства. Кроме того, растет популярность собственных SOC-центров.
Кирилл ГОЛОЖИН (Cloudera):
Александр ЧЕРНЫХОВ («КРОК»):
Александр ЧЕРНЫХОВ («КРОК») говорит, что сегодня вместе с облаками клиенты приобретают и средства ИБ. Более того, появилась возможность выбора вендоров, предоставляющих конкретное решение в рамках одного облака. Поэтому задача заказчика сводится к обеспечению безопасных каналов передачи данных.
Иван МЕЛЕХИН («Информзащита»):
Иван МЕЛЕХИН («Информзащита») уверен, что зачастую защита облачной инфраструктуры у крупных провайдеров существенно лучше, а стоит дешевле. С точки зрения физической, инфраструктурной, сетевой безопасности облако обычно выигрывает у локальной инфраструктуры. Тратить на ИБ приходится больше в силу изменившегося ландшафта угроз и возросших киберрисков, считает он. И для обеспечения адекватной защиты при использовании полностью локальных, внутренних решений тратить нужно существенно больше с точки зрения как капитальных, так и операционных солдат.
Николай ФОКИН («ЛАНИТ-Интеграция»):
Руководитель отдела ИБ компании «ЛАНИТ-Интеграция» (ГК «ЛАНИТ») Николай ФОКИН полагает, что для части компаний удобнее было бы перейти на продукты со схемой лицензирования PAYG (Pay-as-you-go, оплата по мере потребления). Кроме того, могут помочь open-source-решения: они доступны, неплохо документированы и не требуют прямых затрат. Но с ними связана другая проблема – отсутствие некоторых возможностей и время на внедрение. Пересмотр политик и конфигураций IT-оборудования и ПО также может дать хорошие результаты и повысить уровень защищенности компании, заключает г-н Фокин.
Алексей РАЕВСКИЙ (Zecurion):
Генеральный директор Zecurion Алексей РАЕВСКИЙ считает, что компаниям необходимо научиться адекватно оценивать свои риски с точки зрения как compliance, так и конкуренции. От этого напрямую зависит объем выделяемых на ИБ средств. Поэтому говорить, что при использовании облачных технологий приходится больше тратить на ИБ, не совсем корректно.
Михаил КРЕЧЕТОВ (STEP LOGIC):
Михаил КРЕЧЕТОВ (STEP LOGIC) отмечает, что при развитии средств ИБ зачастую пренебрегают таким базовым понятием, как оценка рисков, а по классике ИБ именно с этого надо начинать. Совершенно необязательно тратить много на ИБ, если модель рисков компании этого не предполагает. Однако важно понимать, что подобные модели должен строить внешний аудитор. В то же время внедрение ИБ-инструментов при использовании облачных технологий реализуется проще, так как есть встроенные средства облачных платформ и специализированные средства в маркетплейсах, которые позволяют обойтись без сложной предварительной подготовки.
Мурад МУСТАФАЕВ («Онланта»):
Мурад МУСТАФАЕВ («Онланта») называет три варианта развития системы ИБ параллельно с углубленным использованием облачных сервисов. Первый – взращивать собственную ИБ-экспертизу, самостоятельно разворачивать инструментарий и действовать в соответствии с законодательными требованиями. Второй – привлекать экспертизу профильной ИБ-организации на аутсорсинге параллельно с использованием услуг облачного провайдера. Третий – пользоваться ИБ-сопровождением и экспертизой провайдера, с которым компания работает в рамках облачного контракта.
В частности, компания HPE упрощает заказчикам использование облачных технологий в своих локальных ЦОДах и/или ЦОДах сервисных провайдеров. В рамках сервисного портфеля HPE GreenLake оборудование вендора может быть установлено в удобную для заказчика локацию. При этом он оплачивает его как сервис и при желании может задействовать дополнительные ресурсы из буфера, который также устанавливается на площадке заказчика и может быть возвращен, когда перестает быть нужным.
Опубликовано 15.09.2021
Никита СЕМЕНОВ (ТАЛМЕР):