Не единым антивирусом: что нужно знать о защите информационных активов бизнеса::Журнал СА 9.2017
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6194
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6903
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4188
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2989
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3795
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3805
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6299
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3152
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3446
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7263
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10628
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12352
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13982
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9110
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7064
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5375
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4604
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3414
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3145
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3392
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3013
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Не единым антивирусом: что нужно знать о защите информационных активов бизнеса

Архив номеров / 2017 / Выпуск №9 (178) / Не единым антивирусом: что нужно знать о защите информационных активов бизнеса

Рубрика: Безопасность /  Механизмы защиты

Без фото АНАТОЛИЙ МАКОВЕЦКИЙ, ведущий инженер по информационной безопасности департамента ИТ-аутсорсинга ГК «КОРУС Консалтинг»

Не единым антивирусом:
что нужно знать о защите информационных активов бизнеса

О главных мифах в области информационной безопасности, из-за которых компании теряют деньги, и о способах их предотвращения

Не единым антивирусом: что нужно знать о защите информационных активов бизнесаКаждый день в мире совершается 117 339 кибератак. Показатель подтвержденных финансовых убытков, связанных с инцидентами в сфере кибербезопасности, в 2016 году поразным оценкам составлял от 1 до 500 млрд долларов США. При этом, согласно исследованию EY по информационной безопасности, в 69% российских компаний именно сотрудников считают основным источником киберугрозы и только второе место отводят внешним воздействиям.

Широко распространен миф, что кибератакам подвержен только определенный круг организаций – индустрии ИТ и финансов. Несмотря на то что в эпицентре кибератак действительно традиционно находятся именно они, начиная с 2013 года кибератаки начали постоянно происходить на компании практически во всех секторах экономики, особенно там, где этого ожидают меньше всего. Поэтому такие компании максимально уязвимы.

Так, по данным Deloitte, под особой угрозой следующие отрасли:

  • Онлайн-медиа. Веб-сервисы – основная мишень преступников. Хакеры могут несанкционированно опубликовать информацию, не соответствующую действительности либо порочащую чью-то репутацию, или вывести сервис из строя. Все это ведет к потере доверия читателей, их возможному оттоку и длительным судебным тяжбам.
  • Телекоммуникации. Отрасль, где ИТ-инфраструктура чрезвычайно важна, поскольку обеспечивает передачу данных клиентов, а также обрабатывает и хранит большие объемы пользовательских данных. Злоумышленники могут вывести из строя часть инфраструктуры или украсть данные клиентов. Это грозит финансовыми потерями за простой, компенсациями потерь клиентов, судебными издержками и потерей репутации.
  • Электронная коммерция. Через публичные сервисы можно добраться до инфраструктуры владельца ресурсов и украсть важные данные. Главная опасность для компаний – многомиллионные издержки на возмещение потерянных клиентами данных и денег с карт, отток клиентов и репутационные потери.
  • Промышленность. Кроме кибершпионажа и кражи ценной информации об организации процессов, которые давали конкурентное преимущество, преступник может полностью остановить процесс производства. Так, например, было при недавней атаке вируса WannaCry на информационные системы компании Renault, которая понесла колоссальные убытки при простое производства.
  • Розничная торговля. Часто целью преступников становятся POS-терминалы, заразив которые, можно получить данные о банковских картах клиентов, другой вектор атаки – система управления складом и товарами, уничтожение баз данных которой может остановить работу магазинов на неопределенное время и привести к оттоку покупателей.

Последствия крупных атак дорого обходятся любому бизнесу как с точки зрения моментальных финансовых потерь, так и репутации компании, снижения доверия клиентов, партнеров и государства, то есть потерь в среднесрочной и долгосрочной перспективе. В статье я расскажу о базовых инструментах и процессах, с которых нужно начинать информационную безопасность бизнеса.

Что сделать в первую очередь

Понять, кто ваш злоумышленник. Начинать нужно с «бумажной безопасности» – отдел информационной безопасности или ИТ должны проанализировать инфраструктуру иподготовить пакет документов, которые будут закладывать основу для безопасности.

Один из основных документов – это «Модель угроз», именно в нем указываются все возможные угрозы для компании, которые могут прямо и косвенно привести к финансовым потерям. Реализация угроз может нанести репутационный ущерб, временную потерю работоспособности инфраструктуры, утерю доверия стейкхолдеров, прямые финансовые издержки.

Также необходимо в общем виде определить возможные методы борьбы начиная с таких простых, как установка паролей на базовую систему ввода-вывода компьютеров – BIOS иконтроля целостности технических средств и помещений, – и заканчивая сложными облачными аналитическими системами для поиска подозрительной активности.

Следующим шагом может стать формирование «Модели нарушителя» – документа, в котором описывается квалификация преступника, который мог бы реализовать ту или иную угрозу.

Приоритезировать. Представьте, что вы уезжаете в отпуск и хотите сохранить имущество в целости. Если злоумышленник попробует сломать стену, подкопать и разобрать пол иликрышу, с большой долей вероятности он привлечет внимание соседей, которые вызовут полицию, – разумнее залезть через окно или дверь. Поэтому самым слабым звеном в доме окажется окно или дверь. Так и в информационной безопасности: защищенность всей инфраструктуры равняется защищенности самого слабого ее сегмента.

Внутренний нарушитель

Внутренний злоумышленник – это инсайдер, бывший или нынешний сотрудник организации, а в некоторых случаях – подрядчик или дочерняя компания.

К минимизации рисков важно подходить стратегически – это всегда комплекс из управленческих решений и информационных систем

Самая распространенная ситуация, при которой эта группа может способствовать преступлению, – простая ошибка. К примеру, человек случайно выложил на публичный портал закрытую документацию или отправил важный файл через социальную сеть, не ограничив к нему доступ. Люди всегда ищут самые простые способы работы и не задумываются опоследствиях своих действий. Поэтому в зоне риска все сотрудники, которые имеют доступ к ценной информации, и не обязательно они должны стремиться навредить.

Второй вариант внутреннего преступления, когда внешний злоумышленник через шантаж или подкуп сотрудника получает доступ к инфраструктуре или ценной информации. Злоумышленником может быть недобропорядочный конкурент, «Робин Гуд» – борец за справедливость, взламывающий коммерческие компании ради идеи, или стажер в отделе логистики, увлекающийся ИТ, которому просто важно самоутвердиться.

Последняя категория злоумышленников – обиженные сотрудники или партнеры. Они могли получить отказ в повышении заработной платы или изменении условий сотрудничества ихотят отомстить или доказать что-то обидчику.

Внешние злоумышленники

Внешнего злоумышленника выявить тяжелее, чем внутреннего, – формирование обиды легко проследить, а от внешних преступников можно ждать чего угодно в любой момент. Системы для предотвращения внешних угроз устроены сложнее, они дороже, требуют более четкой организации внутренних процессов, а также содержат более сложные алгоритмы выявления связей и реализации различных угроз.

Стратегия предотвращения атак и поиска преступников

Простым внедрением системы или средств защиты информации обойтись не получится. Действовать всегда нужно комплексно.

Люди и регламенты. Все, что касается доступа к закрытой информации и сервисам, нужно обязательно регулировать. Внутренние нарушители опаснее, чем внешние. Поэтому ясторонник строгого подхода в области корпоративной культуры и внутренних правил.

Чтобы точно обезопасить системы, отделу по информационной безопасности стоит наладить тесное взаимодействие с HR-подразделением и получать от них информацию оподозрительных заявлениях, видимых обидах сотрудников и любой другой информации, которая может стать поводом для проблем. Всю документацию и регламенты, которые касаются взаимодействия сотрудников друг с другом, с корпоративными системами и с прочими лицами, важно привести к понятной и четкой структуре.

Внутренние документы должны регулировать большинство вопросов, возникающих при работе с защищаемой информацией, чтобы пользователи не могли по ошибке поставить информационные активы под угрозу. И только после определения порядка работы с информацией можно задумываться о внедрении специализированных средств контроля заустановленным порядком.

Инфраструктура. Использование специализированных решений в сфере информационной безопасности предполагает, что ИТ-инфраструктура компании достаточно зрелая истабильная, иначе эффект от их использования окажется значительно ниже ожиданий.

Контроль. Инфраструктура компании должна находиться под постоянным контролем. Нужно исключить или минимизировать использование неконтролируемых технических средств, к примеру личных компьютеров и смартфонов, при работе с защищаемой информацией. Это важно для того, чтобы в любой момент у руководства компании и отдела ИБ был контроль над всеми коммуникациями в организации и над всеми техническими средствами.

Важно также организовать единую точку входа в информационную систему компании для всех сотрудников – в таком случае выявить отклонения до совершения преступления илинайти преступника постфактум можно будет в кратчайшие сроки.

Физическая безопасность. Следующая задача – обезопасить данные физически. Если ваш сервер стоит в кладовке рядом с зимней резиной начальника, ведрами уборщицы ивентилятором, это уже опасность. Даже крупные компании часто не уделяют должного внимания физической безопасности технических средств.

Я лично был свидетелем, как в одной уважаемой фирме серверная была организована в хозяйственном помещении, доступ в которое был у всех желающих. При неконтролируемом доступе к контроллеру домена за 10 минут можно получить наивысшие привилегии в домене. Чтобы избежать такого простого взлома, физические серверы рекомендуется пломбировать и непрерывно мониторить их доступность – многие сценарии взлома приводят к временной остановке атакуемого сервиса.

Хранение данных. Хранить служебную информацию о работе оборудования, сервисов и систем только на самом оборудовании крайне небезопасно. Чтобы обеспечить возможность расследований, компании необходимо отправлять данные вовне – устанавливать дополнительные серверы в разных локациях и копировать информацию на каждый из них, чтобы действия злоумышленников не остались незамеченными.

Юридическая значимость информации. Крайне важно, чтобы все накопленные данные могли быть использованы при решении споров, для этого они должны накапливаться назаконных основаниях и храниться совместно с метками времени, к которым они относятся.

Нужно рассказать о новых правилах сотрудникам, донести, что новая система обеспечения информационной безопасности организации – это не карательный инструмент, амеханизм, позволяющий всем быть чистыми и честными друг перед другом, избежать ответственности за чужие неправомерные действия.

Только в таком случае компания может использовать собранные данные в суде и не встречать противодействие и недовольство со стороны работников. Кроме того, рекомендуется обеспечивать неизменность содержимого журналов и меток времени с помощью средств криптографической защиты информации.

Когда инфраструктура приведена в порядок, физически защищена, а все коммуникации проходят через контролируемые шлюзы, стоит задуматься об использовании специализированных систем и средств защиты информации, которые позволят совершенствовать систему защиты информации предприятия и приблизить максимально ее кконцепции, положенной в ее основу.

Специализированные решения

  • DLP. По особо настроенным правилам и шаблонам определяют, что информация предназначена для служебного пользования, выявляют утечки и попытки их совершения, фиксируют, что важная информация выходит за защищаемый периметр. К примеру, DLP-система позволит определить, если кто-то из сотрудников попытается распечатать, отправить по почте или скопировать на внешний накопитель файлы, содержащие информацию ограниченного доступа, либо позволит найти нелояльных сотрудников, которые ищут новые места работы со своих рабочих компьютеров.
  • SIEM. SIEM-системы собирают и анализируют информацию из разных источников о событиях информационной безопасности. Как правило, поток информации в организации большой, и любой человек или даже отдел не сможет оперативно отреагировать на аномалии. Современные SIEM-системы позволяют анализировать события, категорировать их и обрабатывать различными способами в зависимости от их критичности, после чего автоматически осуществлять уведомление ответственных лиц и выполнение запрограммированных действий для качественного реагирования на них.
  • MDM (EMM). MDM и EMM-решения позволяют управлять мобильными устройствами, которые обычно организация не может контролировать, к примеру блокируя конкретные приложения. Использование MDM-решений совместно с DLP могут минимизировать или даже нейтрализовать возможность нарушения безопасности информации, обрабатывающейся на контролируемых устройствах. К примеру, MDM-системы могут использоваться для защиты складских терминалов либо корпоративных мобильных устройств пользователей. Также возможно применение данного класса решений в концепции BYOD, позволяющих защитить корпоративные данные, но неналагающих ограничений и не контролирующих личные данные пользователей.
  • Аналитические системы класса BI и Machine Learning. Такие решения универсальны, поэтому часто используются при построении систем информационной безопасности, чтобы анализировать информацию, выявлять отклонения, тренды и прогнозировать атаки. Зачастую некоторые возможности BI и ML закладываются в SIEM-решения. Также аналитические системы могут применяться в комплексных решениях, осуществляющих поведенческий анализ оборудования, пользователей и систем, для выявления новых векторов атак и ранее неизвестных уязвимостей.
  • Системы управления корпоративными документами. К данной категории решений относятся ECM-системы, позволяющие хранить и управлять доступом к документам, атакже такие системы, осуществляющие криптографическую защиту корпоративных документов, их категоризацию и управление доступом, как Microsoft RMS.
  • Системы управления уязвимостями – решения, которые отслеживают появление информации о новых уязвимостях и анализируют контролируемое оборудование на ихналичие, в случае выявления уязвимостей позволяют закрыть их либо временно решить проблему обходными решениями.

Этот список не исчерпывающий. Очевидно, что внедрение всех подобных инструментов обойдется недешево, да и не всегда такое внедрение будет обосновано.

Главное – никогда не забывать об одном из важнейших постулатов построения систем защиты информации: стоимость защиты информации не должна превышать стоимость возможного ущерба от реализации угроз безопасности информации.

Когда начинать задумываться об информационной безопасности?

  • Повышение расходов. Это первый индикатор того, что что-то идет не так. Если раньше на определенный процесс требовалось три часа, а сейчас, к примеру, пятнадцать часов, это явный признак, что рабочее время расходуется неэффективно, а причина неэффективного использования может оказаться потенциальной угрозой информационной безопасности.
  • Резкое падение доходов в рамках не изменяющейся общей рыночной ситуации тоже является важным индикатором нарушения установленных бизнесс-процессов в компании.
  • «Сливы» в прессе. Если резко начали появляться статьи о внутренних делах компании или о подходах к ведению бизнеса и они в достаточной мере соответствуют правде, велик шанс, что кто-то из сотрудников «сливает» информацию.

Об информационной безопасности, как и о физической, задумываются поздно – когда кризис близко или уже грянул и с помощью профилактики проблемы уже не решить. Поэтому кминимизации рисков важно подходить стратегически – это всегда комплекс из управленческих решений и информационных систем, который не ограничивается исключительно антивирусом. При этом начинать разработку стратегии всегда нужно не с систем, а с процессов и регламентов, потому что, кроме внешних угроз, есть и внутренние – неосторожность, необдуманность, а иногда и умысел нынешних или бывших сотрудников и партнеров.

Если вам есть, что терять, то стоит обратиться как минимум за консультацией к опытным специалистам, которые обнаружат уязвимости и подскажут, какими средствами с ними можно справиться, не раздув бюджет.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru