Как построить безопасность: кадры, процессы, технологии
За двести лет фраза братьев Ротшильдов: «Кто владеет информацией, тот владеет миром» не потеряла своей актуальности. Пожалуй, за это время изменились только угрозы и риски. Как защищать данные? Зачем и кому нужен SOC? Для чего необходима SIEM-система? Что можно отдать на аутсорсинг? На эти и другие вопросы отвечает Антон Фишман, технический директор компании RuSIEM.
Cisco выделяет следующие типы ИБ: безопасность приложений, облаков, инфраструктуры, криптография, реагирование на инциденты и управление уязвимостями. Если говорить о последовательном построении службы ИБ в компании, в каком порядке нужно располагать эти функции?
На самом деле типов гораздо больше. Их можно классифицировать, например, по актуальности для компании и текущему уровню угроз. Так, в последние полтора года стало особенно востребовано все, что касается облаков и удаленного доступа. Сертификат Certified Information Systems Security Professional (CISSP) выделяет восемь областей знаний, где, кроме перечисленных, выделена общая безопасность активов, аутентификация, оценка и тестирование безопасности и многое другое. Поэтому при построении службы ИБ нужно ориентироваться не на классификации, а на модель угроз в конкретной компании. Скажем, в финансовой сфере нужно защищать деньги клиентов, безопасность данных, безопасность транзакций, операционную надежность. В ретейле защищать непрерывность бизнеса и исходя из этого выстраивать безопасность. Конечно, имеется стандартный набор решений для защиты прав доступа, внешних ресурсов, почты, облаков и т. д. Но тем, кто организует работу ИБ-службы с нуля, я бы в первую очередь посоветовал задуматься о защите периметра, разграничении сегментов, управлении доступом и уязвимостями.
Как правильно определить типы данных и конфиденциальные данные, которые необходимо защищать?
На основании текущей регуляторики, требований законодательства, модели угроз мы определяем, какие данные необходимо защищать. Так, у нас вопросы использования персональных данных регулирует ФЗ-152.В Европе на эту область накладывает ограничения GDPR. Здесь нет общего подхода. Есть правила хранения и работы с данными в облаках, есть обезличенные данные, данные первого, второго и третьего класса, и к ним применяются разные требования. К безопасности транзакций свои требования предъявляют платежные системы Visa, Master card и НСПК. Например, PCI DSS конкретизирует требования к хранению и передаче данных. Или есть еще коммерческая тайна, или высокочувствительная информация, касающаяся собственных разработок. Ее защита не является предметом регулирования, но ее нужно защищать и хранить только внутри компании. Словом, в каждой компании перечень защищаемых данных определяет либо риск-департамент, либо внешний регулятор. Существуют и общие для всех риски: сейчас идет очередная волна вирусов шифровальщиков, поэтому очень важен вопрос резервного копирования данных.
А кто решает, какие данные защищать? Генеральный директор или безопасник?
Есть такая роль — владелец данных. Он отвечает за то, что с этими данными можно делать и, соответственно, определяет их ценность и потребность в защите, если данные не относятся к категории защищаемых законом. Владельцем данных может быть сотрудник как службы ИБ, так и бизнес-подразделения. После определения перечня защищаемых данных подразделения ИТ и ИБ оценивают порядок их хранения, использования и передачи с точки зрения обеспечения их целостности, доступности и конфиденциальности, а также надежности и устойчивости процессов, в которых они используются. Дальше все решается в зависимости от технических возможностей, финансирования и удобства доступа к ним тех, кому в данный момент они требуются для выполнения должностных обязанностей.
Почему важна регулярная инвентаризации аппаратного и программного обеспечения?
Это лишь один из процессов. Инфраструктура любой компании постоянно видоизменяется и развивается. Появляются новые системы, ПО, меняются бизнес-процессы. Поэтому необходимо, во-первых, поддерживать информацию об ИТ-активах в актуальном состоянии, понимать срок их жизни, версии ПО, его типы, лицензии. Для этого используются различные инструменты, например,CMDB. Данная функция также может быть встроена в SIEM-систему. Во-вторых, необходимо фиксировать права доступа пользователей к системам и время, когда они появились. Для этого предназначены IRM-решения. Хотя в небольшой компании эту задачу может выполнить обычный контроллер домена.
Как правильно разработать многофакторную аутентификацию для доступа к внешней сети?
На рынке достаточно готовых решений для многофакторной аутентификации — как российских, так и зарубежных. Чтобы сделать правильный выбор, в первую очередь необходимо понять, кому и как вы хотите предоставить доступ. Затем выбрать то решение, которое вас удовлетворит по типу второго фактора, интеграционным возможностям и удобству управления. Например, когда сотрудники переводятся на удаленный или гибридный режим работы, компании необходимо предоставить им доступ к определенным сервисам через VPN с двухфакторной аутентификацией. Второй фактор — одноразовый пароль или ключ, который приходит по СМС либо имеется на специальном устройстве, необходимо выбирать исходя их того, что удобнее пользователям.
Много лет мы говорим от том, что нельзя ходить по ссылкам из сообщений от незнакомых отправителей, но, тем не менее, пользователи продолжают открывать фишинговые письма. И это сейчас особенно опасно, когда речь идет об удаленных пользователях, имеющих доступ к корпоративной системе. Как снизить подобные риски?
В первую очередь необходимо определить каналы попадания вредоносного ПО в сеть. Стандартные каналы — это Интернет, мессенджеры и почта. Почту следует тщательно проверять с помощью программ антиспама, антивирусов, поведенческих анализаторов (песочниц). Системы защиты рабочих мест, в частности Endpoint Detection and Response (EDR) и Endpoint Prevention and Protection (EPP), также нужны для защиты почты и мессенджеров. Для анализа трафика — IPS, NGFW, UTM. Для анализа событий безопасности от большого числа источников используются SIEM системы, выявляющие критические события и инциденты.
При удаленном доступе к вышеназванным мерам защиты добавляются другие. Если человек трудится за офисным компьютером, то на нем нужно установить систему защиты рабочих мест, где вся деятельность ведется только по VPN с двухфакторной аутентификацией. Если же сотрудник использует для личное устройство, то здесь применяются иные технологии. Например, проверка соответствия требованиям безопасности для доступа во внутреннюю сеть (NAC), разграничение прав доступа.
Но все это бессмысленно, если не работать с «человеческим фактором», не обучать своих сотрудников.
Почему, на ваш взгляд, крупные компании с большой службой ИБ все-таки становятся жертвами хакеров?
Во-первых, не существует абсолютной системы защиты. Во-вторых, во многих быстро растущих компаниях не всегда уделяют должное внимание ИБ, оставляя пути для злоумышленников. В-третьих, человеческий фактор.
Какие решения необходимы компаниям малого и среднего бизнеса при отсутствии директора по ИБ? Ведь малый бизнес зачастую не может позволить себе дорогие продукты.
Это вопрос финансовой оценки рисков. Что дороже: система защиты или сработавшие риски? Если в компании есть люди и ресурсы, но нет денег, можно на первых порах обойтись опенсорсными решениями. Другой путь — отдать ИБ на аутсорсинг. Всегда нужно искать баланс между расходами и безопасностью.
Какие функции ИБ можно отдавать на аутсорсинг, а какие нет?
В чем преимущества внешнего поставщика услуг? Это, во-первых, наличие экспертизы, во-вторых, это дешевле, чем держать у себя ИБ-службу, в-третьих, это Service Level Agreement (SLA), соглашение, четко определяющее, что клиент получит в плане обслуживания, и регулирующее вопросы компенсации. Недостаток здесь всего один, но очень серьезный. Для внешнего SOC пропущенный инцидент — это выплата компенсации (штрафа), а для вас это может стать потерей бизнеса. И это всегда надо учитывать при выборе того, что отдавать на аутсорсинг, а что делать внутри компании. Критичные вещи, такие как реагирование на инциденты, лучше оставить себе. А вот пентест или форензику можно отдать на аутсорсинг.
Какие кадры, процессы и технологии требуются для создания SOC?
Универсального рецепта построения SOC не существует, кроме того, что любой SOC должен работать 24×7, так как у злоумышленников выходных и праздников нет. Все зависит от того, внешний SOC или внутренний, какие услуги он оказывает, стандартные это процессы или расширенные. Так, для внутреннего SOC стандартные процессы — это мониторинг, выявление, митигация и реагирование. К ним иногда добавляются более сложные элементы: compliance control, киберразведка, threathunting. Основные роли в команде могут быть распределены следующим образом. Первая линия поддержки мониторит угрозы, выявляемые системами защиты, делает первичную проверку и помечает их. Вторая линия занимается расследованием угроз. На третьей линии работают форензик-инженеры — криминалисты, которые занимаются особо сложными случаями. Кроме них, в SOC трудятся специалисты по реагированию, аналитики, следящие за появлением новых угроз, киберразведка и многие другие.
Кому нужен SOC?
Любой компании, которой необходимо обеспечить непрерывность бизнеса. В России SOC — это крупные компании, а на Западе — практически любой бизнес, в том числе средний. Все, что выше магазина одежды.
Но это же дорого?
Конечно, это затратно. Потому что помимо человеческих ресурсов, нужны процессы и технологии. Здесь вопрос в оценке рисков.
Как обосновать затраты руководству? Например, на закупку SIEM-системы.
Одни компании задумываются о построении системы защиты только после того, как сами пострадают от атаки. Другие инвестируют в безопасность, проанализировав рынок, внутреннюю ситуацию, оценив вероятность успешной атаки и решив ее не дожидаться. Что касается SIEM-системы, здесь все достаточно просто. Сейчас без нее трудно выявить какие-либо угрозы, кроме самых простых. Их количество и разнообразие растет экспоненциально. Также увеличивается и количество систем защиты. Для того чтобы вручную следить за каждым решением, вам понадобится большой штат сотрудников. Но это одна проблема. Вторая заключается в том, что атаки стали мультивекторными и распределенными по времени. Стандартными средствами защиты их не обнаружить. Их можно выявлять только с помощью анализа аномалий, корреляций угроз и т. д. Комплексным анализом занимаются именно SIEM-системы.
Вы писали для нашего журнала статью про технологии ИИ для защиты бизнеса. Какие еще технологии ИБ сейчас в трендах? С каким угрозами мы можем столкнуться в ближайшее время и как им противостоять?
Злоумышленники идут по пути наименьшего сопротивления. Основные тренды не слишком изменились после перехода на удаленку. Большинство атак происходит в финансовом секторе — это атаки на банки и их клиентов. Соответственно, будет использоваться фишинг и социальная инженерия. Так, недавно фейковые магазины стали подделывать страницы 3ds — платежных систем. Мир идет в сторону Open API (PSD2). И их тоже будут атаковать. Dark market давно превратился в торговую площадку продажи вредоносов. Распространяются шифровальщики, появляются новые фишинговые атаки.
На мой взгляд, основную роль в противодействии угрозам будут играть технологии искусственного интеллекта. Потому что выявлять угрозы без постоянного анализа аномалий невозможно. Также в связи с удаленным и гибридным режимом работы начнет расти спрос на защиту облаков и рабочих станций. И наконец, в тренде построение комплексных систем, объединяющих различные сервисы и обеспечивающих наиболее полную защиту компаний.
Опубликовано 03.08.2021