Как держать все под контролем

12 ноября – День специалиста информационной безопасности. Мы расспросили наших экспертов, как им удается держать все под контролем. Какие современные средства защиты им могут помочь: облачные структуры, специальные инструменты или что-то еще

«Следите за публикуемыми уязвимостями и обновляйте программное обеспечение»

Антон Усанов, вице-президент по центрам обработки данных, компания АРСИЭНТЕК (RCNTEC)

Сегодня проблема обеспечения безопасности информации (ИБ), а именно, ее конфиденциальности, целостности и доступности, стоит как никогда остро. Фразы «Да кому мы нужны...», «Нас это не коснется...» или «У нас уже установлен антивирус, зачем нам еще что-то...» теперь можно услышать все реже, а от вирусных эпидемий страдают как крупные корпорации, так и обычные пользователи. Против них могут оказаться бессильными и дорогие межсетевые экраны, и антивирусные программы (даже своевременно обновляемые). Следует отметить, что уязвимости в программном обеспечении и вирусы — это совершенно не одно и то же. И наличие антивируса не позволяет обнаружить уязвимости программного обеспечения. И наоборот: сканер уязвимостей не защищает от вирусов.

Разумеется, тем, у кого система управления информационной безопасности реализована в полной мере и поддерживается в строгом соответствии со стандартами ИБ, например ISO серии 27000 «Информационные технологии. Методы обеспечения безопасности. Менеджмент информационной безопасности», вряд ли недавними вирусными атаками был нанесен значительный ущерб. Пострадали, как обычно, те, кто в недостаточной мере обращал внимание на обеспечение ИБ.

Как же избежать ущерба или снизить риски до минимума в случае, если система управления ИБ в организации далека от совершенства (а она практически во всех компаниях такова)? Как бы банально это ни прозвучало, но ответ прост. Необходимо хотя бы следить за публикуемыми уязвимостями и обновлять программное обеспечение. Дело в том, что последние массовые заражения происходили с использованием уязвимостей в программном обеспечении (ПО). И хотя на большинство таких уязвимостей разработчиками были выпущены исправления, на пострадавших информационных системах уязвимости не были устранены.

Безусловно, инструментов, позволяющих автоматически обновлять ПО и управлять обновлением операционных систем централизованно, существует достаточное количество. Но, как правило, с их помощью можно определить установлены ли те или иные обновления, и нет возможности определить сам факт наличия уязвимого ПО. А также невозможно увидеть уязвимости, на которые разработчики еще не выпустили исправление.

От грамотного специалиста в области информационной безопасности сейчас требуется не только хорошее знание угроз, но и умение использовать соответствующие инструменты.

Существует большое количество разнообразных сканеров безопасности: Nessus, Tenable, Qualys, Retina, MaxPatrol и так далее, от простых до «многофункциональных комбайнов», которые в своем огромном функционале помимо сканирования открытых портов, выявления несоответствий в настройках, слабых паролей, тестирования на проникновение и тому подобного имеют возможность определять ПО, содержащее уязвимости.

Так в чем же тогда сложность? Как правило, в большинстве случаев до момента обнаружения уязвимости происходит следующее:

1. Информация о новой уязвимости добавляется в базу уязвимостей разработчика сканера.
2. Обновление базы уязвимостей сканера, установленного у пользователя. Периодичность: 1 раз в сутки или реже.
3. Сканирование инфраструктуры. Периодичность: 1 раз в несколько месяцев.
4. Генерация отчета. Периодичность: зависит от продолжительности сканирования.

Таким образом, задержка при обнаружении уязвимостей может составлять от нескольких дней до нескольких месяцев.

Другие системы, как система COMPLAUD [1], реализуют более короткую цепочку:

1. Добавление информации о новой уязвимости в базу уязвимостей разработчика сканера. Периодичность: непрерывно.
2. Сканирование инфраструктуры. Периодичность: непрерывно (промежуток между повторными сканированиями может составлять от нескольких минут до нескольких десятков минут).
3. Отображение результатов и уведомление об обнаруженных уязвимостях. Периодичность: в процессе сканирования.

Таким образом достигается минимальная задержка при обнаружении новых уязвимостей, что позволяет получать наглядную картину реальной защищенности всей ИТ-инфраструктуры в режиме, близком к реальному времени: появилась информация о новых уязвимостях в базе сканера — обнаруженные на серверах уязвимости появятся на веб-консоли. Установлены закрывающие уязвимости патчи — уязвимости уйдут из списка обнаруженных угроз.

Современные требования, предъявляемые к системам контроля безопасности, достаточно высоки. Хорошая система является не просто сканером безопасности, а отказоустойчивым масштабируемым решением для мониторинга безопасности инфраструктуры, серверов, рабочих станций, коммуникационного оборудования. И при этом такая система должна быть достаточно проста в настройке. Проверки «из коробки» должны быть доступны сразу. Также должна быть возможность встроенные проверки затем дополнить своими кастомными проверками. И, разумеется, такая система должна интегрироваться с другими системами через REST API и многое другое.

Одно из главных правил в построении правильной системы информационной безопасности — не пытаться решать текущие проблемы в одиночку, а при помощи соответствующих инструментов комплексно решить проблему контроля.

«Чаще всего именно отсутствие единой стратегии мешает компаниям создать качественный контур безопасности»

Анастасия Новикова, исполнительный директор ИТ-компании «Онсек»

По данным аналитиков Verizon за 2019 год, 43% нарушений безопасности и кибератак нацелены на компании СМБ-сегмента. В отличие от крупного бизнеса, который много инвестирует в свою безопасность, у компаний среднего и малого размеров не всегда есть такая возможность. Именно поэтому они представляют особый интерес для киберпреступников.

Если в компании нет отдельной должности специалиста по информационной безопасности, то его задачи берет на себя инженер ИТ-службы: это может быть как системный администратор, так и технический директор. С ростом бизнеса увеличивается количество данных и внутренних информационных систем, представляющих интерес для хакеров. На этом этапе знаний и навыков обычного ИТ-специалиста может не хватать, и компаниям нужно принимать решение, как защитить себя в дальнейшем.

Сегодня на рынке есть два основных сценария построения ИБ-инфраструктуры, которые оптимальны для среднего и малого бизнеса.

Первый, на мой взгляд, применим тогда, когда компания не связана с ИТ и не очень разбирается в нюансах безопасности. Таким организациям проще найти партнера, который поможет им выстроить все внутренние процессы, касающиеся информационной безопасности. На рынке много компаний, предлагающих универсальный пакет услуг и набор инструментов для построения ИБ-процессов.

Такой вариант подходит не всем. Альтернатива – создание внутреннего ИБ-отдела. В этом случае компаниям нужно начать с поиска квалифицированного ИБ-специалиста, а уже потом приобрести необходимый софт. Часто можно встретить обратную ситуацию, когда компания сначала закупает какой-то набор инструментов, а потом ищет сотрудника. В итоге обслуживание новых систем временно ложится на ИТ-специалистов, у которых не всегда есть соответствующие навыки.

Небольшим компаниям важно понять, какой подход к построению ИБ-инфраструктуры они выбирают. Чаще всего именно отсутствие единой стратегии мешает компаниям создать качественный контур безопасности. К примеру, некоторые организации устанавливают ИБ-системы по мере появления у них ресурсов, и часто эти внедрения не носят системный характер. Так, за камерами видеонаблюдения в офисе могут появиться решения для контроля доступа к данным, и только потом – инструменты для их безопасной передачи. Поэтому важно привлечь ИБ-специалиста или внешнюю компанию еще на этапе проектирования систем защиты.

Но построение контура безопасности не заканчивается на моменте внедрения средств защиты и построения процессов работы с ними. Инструменты типа контроля доступа (SSO, PIM- и IDM-продукты) и управления инцидентами, продукты для защиты каналов связи, периметра сети, данных (DLP), веб-приложений и баз данных (WAF) – это только одна сторона информационной безопасности. Современный ИБ-специалист должен непрерывно работать со всеми сотрудниками компании.

Если взглянуть на статистику, можно увидеть, что количество утечек данных из-за внутренних проблем превышает число тех, что произошли из-за действий хакеров. Один специалист открыл подозрительное электронное письмо и перешел по вредоносной ссылке, другой установил слишком простой пароль на рабочий e-mail, а третий случайно перенес в общий доступ данные, которые не должны были покидать рабочую зону.

В ситуации, когда команда не умеет грамотно работать с информацией, не спасет даже самая продвинутая ИБ-инфраструктура. Введение режима коммерческой тайны может повысить ответственность сотрудников, но не предотвратит утечку. Поэтому, на мой взгляд, любому бизнесу и СМБ в том числе, важно проводить внутреннее обучение: объяснять команде, какие существуют угрозы, как от них можно защититься, чем чревата утечка данных.

В свою очередь, ИБ-специалист должен постоянно улучшать свою квалификацию. Размер компании, в которой он работает, в этом вопросе не играет роли, так как новые угрозы появляются каждый день. Лучшие мировые практики – участие в профильных конференциях и митапах, чтение блогов и статей мировых исследователей безопасности, участие в открытых программах Bug Bounty.

«Когда конфиденциальная информация идентифицирована, остается только обеспечить ее защиту»

Константин Замков, «Шаресофт», руководитель направления внедрения и поддержки корпоративных решений

Ежедневно сотни/тысячи/десятки тысяч/сотни тысяч (нужное подчеркнуть, в зависимости от вашей компании) сотрудников обмениваются сообщениями по электронной почте внутри компании и с внешними адресатами. При этом часть этой информации является конфиденциальной и в соответствии с политиками компании может распространяться только на ограниченный круг лиц. В такой ситуации службе безопасности необходимо обеспечить защиту конфиденциальной информации. Эту работу можно условно разделить на две большие задачи:

1. Идентификация конфиденциальной информации, подлежащей защите.
2. Обеспечение защиты конфиденциальной информации в корпоративной почте от несанкционированного использования.

Задача идентификации конфиденциальной информации, как правило, решается несколькими способами:

1. Работа с конфиденциальной информацией полностью отдается на откуп сотруднику. В таком случае компания сталкивается с человеческим фактором, следствием которого является утечка такой информации.
2. Определение конфиденциальной информации по ключевым словам. В таком случае встает вопрос поддержания актуального перечня ключевых слов и такой алгоритм, как правило, не в состоянии с высоким уровнем точности отличить конфиденциальную информацию от не конфиденциальной.
3. Более надежным способом в данном случае является использование алгоритмов машинного обучения. Искусственный интеллект на основании массивов конфиденциальных и не конфиденциальных документов обучается отличать их друг друга.

Когда конфиденциальная информация идентифицирована, остается только обеспечить ее защиту. Для защиты используется модуль, встраиваемый в почтовый клиент (например, Outlook). Модуль позволяет пользователю применять к отправляемым сообщениям и вложениям защиту по технологии IRM и использовать шаблоны конфиденциальности, настроенные в компании. Информация в сообщениях электронной почты передается в зашифрованном виде и осуществляется контроль прав доступа к этой информации. Выбор шаблона конфиденциальности в рамках модуля осуществляется в пользовательской панели, доступной в интерфейсе создания сообщений почтового клиента.

«Неотъемлемой частью процесса обеспечения ИБ является мониторинг событий и выявление инцидентов информационной безопасности»

Андрей Бирюков, руководитель группы защиты АСУ ТП, АМТ Груп

Небольшие компании, как правило, не располагают большими бюджетами для внедрения комплексных систем защиты информации. Вместо этого, в таких организациях внедряются только отдельные элементы системы защиты информации. Например, может быть внедрена система антивирусной защиты, межсетевой экран, но комплексная система обеспечения ИБ, включающая в себя мониторинг и управление информационной безопасностью будет отсутствовать.

При этом в небольших компаниях нет выделенных специалистов по защите информации и вопросами ИБ, как правило, занимается системный администратор, у которого просто физически нет времени, на регулярный мониторинг событий в поисках инцидентов ИБ. Между тем, средний и малый бизнес также нуждается в защите своей информации, как и крупные компании. И неотъемлемой частью процесса обеспечения ИБ является мониторинг событий и выявление инцидентов информационной безопасности. Однако небольшим компаниям часто не по карману специализированные решения для мониторинга ИБ, уровня ArcSight или QRadar. Да и разработкой и внедрением регламентов управления инцидентов там вряд ли кто-то будет заниматься.

 Для решения проблемы мониторинга небольшим компаниям можно посоветовать использовать аутcорсинг услуг SOC (Security Operations Center). В рамках сервиса SOC, провайдер данной услуги подключившись к имеющимся у заказчика системам, таким как Active Directory, межсетевой экран, антивирус, СУБД и другие будет вести мониторинг событий в реальном времени и в случае выявления инцидентов оперативно уведомлять специалистов заказчика. Это позволит не только повысить оперативность выявления инцидентов, но и увеличит общий уровень эффективности системы защиты информации в компании.

«Вне зависимости от величины бизнеса к ИТ-безопасности нужно подходить комплексно. Мелочей здесь нет»

Алексей Парфентьев "СёрчИнформ", ведущий аналитик

Ясно, что есть обязательный минимум: антивирус, файервол, резервное копирование, бесперебойное питание, разграничение доступов. Здесь же инвентаризация оборудования, ПО и данных – от пользовательских файлов до БД и CRM. Чтобы защищаться не только от внешних, но и от внутренних угроз, ставят DLP – они предотвращают утечки информации и логируют все действия пользователей за ПК, чтобы отслеживать нежелательную активность. Но это только первый шаг. Чтобы весь этот арсенал работал, в компании нужно внедрить политику информационной безопасности. В ней должны быть четко прописаны роли и права сотрудников, разрешенные и запрещенные действия с оборудованием и данными. В том числе – инструкции для ИТ- и ИБ-специалистов, вплоть до того, как создавать директории на серверах и ставить новое ПО.

Второй шаг – проверять безопасность каждого нового элемента ИТ-инфраструктуры. Если при внедрении обращаетесь в техподдержку разработчика, то все манипуляции с софтом с его стороны должны проходить под контролем: следите за удаленным подключением, после меняйте настройки доступа. Если вендор предоставляет разбираться самим, опираясь на техническую документацию и готовые решения, перепроверяйте все тщательно.

Например, большинство CRM – взять тот же Bitrix – распространяются на готовых виртуальных машинах. Это удобно, но небезопасно. Ведь решения типовые, и пароли по умолчанию вендор ставит на них тоже типовые. Если доступ к машине получит посторонний, он без труда подберет стандартный пароль и получит чувствительные для компании данные. В своей практике встречал такое не раз, причем даже в ИБ-продуктах.

Чтобы избежать рисков, при установке любого нового софта первым делом нужно сменить дефолтные логины и пароли – банально, но на деле об этом часто не вспоминают. Тут же стоит разграничить доступы в локальной сети и самом ПО, чтобы внутри компании с «внутренностями» систем не работал кто попало. Не помешает проверить решение на уязвимости – для этого подойдет даже самый простой сканер, например, открытый (и легендарный) nMap.

Это стартовый чек-лист [5]. На практике проводить проверки после установки придется регулярно: в деле обеспечения безопасности приходится забыть о принципе «работает – не трогай». Рано или поздно в компании образуется целый «зоопарк» оборудования и ПО. Чтобы качественно обслуживать его, нужны значительные трудозатраты и время. Поэтому третий шаг – оптимизировать этот процесс. Помогают интегрированные решения. Есть продукты типа Zabbix, которые мониторят состояние «железа» и ПО на предприятии и оповещают администратора сети, если что-то не в порядке: возникла ошибка, «слетели» драйверы, истекли лицензии, переполнилась память и так далее. Подобный аудит на базовом уровне проводят и системы DLP, на продвинутом – решения SIEM. Последние обладают максимальным охватом. SIEM считывают и анализируют события из всех корпоративных систем и оборудования, уведомляют об угрозах. Происходит это в реальном времени: система ищет аномалии в данных и вычисляет инцидент безопасности по сумме событий, каждое из которых в отдельности может выглядеть безобидным. Вычисления производятся по правилам корреляции, продвинутые системы поставляются сразу с готовыми. В поле зрения SIEM попадают системные и сетевые логи, Syslog-источники, информация с почтовых, FTP- и web-серверов, БД и виртуальных сред, межсетевых экранов, антивирусов, DLP и всех подключенных к ним модулей. Самые современные из них кроме того интегрируются с системами файлового аудита и мониторинга баз данных. При желании настраивается обмен данными со СКУД или системами видеонаблюдения. Это удобно, чтобы в одном интерфейсе держать под контролем всю корпоративную инфраструктуру, включая пользователей.

В результате отслеживать состояние сотен программ и устройств можно с минимальным штатом ИТ- и ИБ-специалистов. Контроль становится максимально прозрачным. Но стоит ли разворачивать такой бастион в организации на 100 компьютеров? По статистике средний и малый бизнес подвергается киберрискам и атакам мошенников почти так же часто, как крупный. Поэтому заниматься ИТ-безопасностью вполсилы и оправдывать это невысокими потребностями компании – по меньшей мере непродуктивно. А если ресурсов – или свободных рук – не хватает, на рынке достаточно предложений по аутсорсингу защиты и от внешних (SOC), и от внутренних (внештатная экспертиза с DLP) угроз.

Подводя итоги

Как видите, методы самые разные при этом многие не исключают, а дополняют друг друга. Очевидно одно — нельзя быть с избытком здоровым, чересчур богатым или иметь слишком высокий уровень ИТ-безопасности.

Поделитесь с нами своим мнением.

Ответы присылайте на почту aberezhnoy@samag.ru

Мы рады обсудить проблнмы защиты данных на страницах нашего форума http://samag.ru/forum/

На страницах социальных сетей

Facebook: https://www.facebook.com/samag.ru

Вконтакте: http://vk.com/samag

Twitter: https://twitter.com/samag_journal

1. Облачный сервис Complaud https://console.complaud.com/
2. Страница продукта Complaud на сайте производителя — компании RCNTEC https
3. Сайт компании «Онсек» http://onsec.ru
4. Сайт компании Шаресофт http://www.sharesoft.ru
5. «10 правил хорошего тона в организации IT-инфраструктуры» https://searchinform.ru/blog/2019/11/05/10-pravil-horoshego-tona-v-organizaciiit-infrastruktury/

Ключевые слова: ИТ-безопасность, облачный сервис безопасности, DLP, WAF, периметр сети, Complaud, SIEM, целостность данных.

Комментарии могут оставлять только зарегистрированные пользователи