Пандемия – Час Икс для кибермошенников или кибербезопасности?::
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Вебинар

Jobsora


  Опросы
1001 и 1 книга  
20.12.2019г.
Просмотров: 6491
Комментарии: 0
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 7609
Комментарии: 1
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 8836
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 9039
Комментарии: 2
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 7985
Комментарии: 0
Django 2 в примерах

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Пандемия – Час Икс для кибермошенников или кибербезопасности?

Архив номеров / 2020 / Выпуск №12 (217) / Пандемия – Час Икс для кибермошенников или кибербезопасности?

Рубрика: Заочный круглый стол

 

Пандемия –
Час Икс для кибермошенников или кибербезопасности?

Многочисленные исследования в 2020 году подтверждают: киберпреступники не самоизолировались и не перешли на удаленку, как это сделали люди, компании и организации во всем мире. Напротив, они объединились, чтобы воспользоваться новыми возможностями, подаренными им пандемией. И, казалось бы, преуспели. Однако многие компании тоже не стали расслабляться в изменившемся ландшафте киберугроз. Они противостоят им. Но насколько эффективно?

Вопросы для экспертов:

  • Тренды киберугроз на мировом рынке, какие из них актуальны для России? Какие вам кажутся наиболее опасными для цифровой организации?
  • Как вы полагаете, насколько полезен для организации унифицированный подход к закупке сетевого оборудования (один производитель – одна линейка), который упрощает защиту сети?
  • Считаете ли вы, что для защиты сети достаточно использовать только локальные устройства или лучше применять облачный централизованный подход (большая база данных по угрозам, мощные вычислительные комплексы)?
  • Как вы думаете, какие важные объекты наиболее критичны для большинства компаний: веб-серверы, серверы баз данных с бизнес-информацией, внутренняя сетевая инфраструктура, системы внешней маршрутизации, что-то другое?
  • Насколько, по-вашему, необходимо использование облачных решений для аудита безопасности и своевременного обнаружения уязвимостей?

 

Представляем участников заочного круглого стола

       
 

Алексей Аршинов,
директор по развитию компании АйЭсТи (Самара)


Денис Батранков,
эксперт по информационной безопасности 

Екатерина Кошкаров,
ведущий технический эксперт компании DBI

       
 

Улдис Либиетис,
управляющий IT-безопасностью
Tet (CISO)


Константин Миронов,
главный системный
администратор компании Доктор Веб 

Артём Мышенков,
инженер по безопасности хостинг-провайдера и регистратора доменов REG.RU

       
 

Алексей Паздников,
генеральный директор Panda Security в России и СНГ

Даниил Ростовцев,
технический директор компании «Только Высокие Технологии» (TMT) 

Алексей Рыбаков,
генеральный директор ИТ-компании Omega

       
 

Евгений Суханов,
директор департамента информационной безопасности компании Oberon

Николай Смирнов,
директор по продуктам компании «ИнфоТеКС» 

Николай Фокин,
руководитель отдела
ИБ компании «ЛАНИТ-Интеграция»
(входит в группу ЛАНИТ)


       
 



Алексей Чащегоров,
старший программист, Яндекс





 

       

     

    


Вопрос 1.
Тренды киберугроз на мировом рынке, какие из них актуальны для России? Какие вам кажутся наиболее опасными для цифровой организации?

Алексей Паздников


Шифровальщики (ransomware) по-прежнему остаются одной из самых опасных и динамично развивающихся угроз, которые вынуждают компании платить за надежду восстановления данных или во избежание раскрытия конфиденциальной информации. Кроме того, особенно в условиях удаленной работы, набирают обороты направленные фишинговые атаки с целью получения регистрационных данных для доступа к сетевым, информационным и финансовым ресурсам, а также RDP-атаки, позволяющие злоумышленникам получить доступ к корпоративной сети и ее ресурсам с целью кражи конфиденциальной информации или денег, проведения шпионажа или причинения вреда работе ИТ-системы предприятия. Не думаю, что в глобальном смысле Россия чем-то уникальна в ландшафте актуальных и потенциальных угроз и степени их «тяжести».


Константин Миронов


Основные тренды, которые мы наблюдаем:

  • Количество APT-атак растет, наблюдается тенденция и к дальнейшему их увеличению.
  • Киберпреступность все больше переходит на трояны-вымогатели, также вымогатели стали использовать ddos, в случае если жертва не хочет платить.
  • Количество троянов, нацеленных на хищение информации, растет.


Даниил Ростовцев


Ни одна ИТ-технология не стоит на месте, так же, как и киберугроза, которая может касаться каждой отрасли. Я решил вывести список наиболее опасных киберугроз не только для России, но и всего мира.

Начну с самого главного – объединении киберпреступников в синдикаты. Такие организации могут массово наносить вред любому устройству. Они массово производят вредоносные программы, тайно или открыто внедряют их в компьютеры, базы данных, серверы и другую технику. Такие синдикаты с каждым годом всё труднее искать, ведь большинство из них даже не знают друг друга в лицо, а значит, что они будто одиночки в одной общей цепи.

Следующий тренд киберугроз – это искусственный интеллект. На сегодняшний день есть много приложений, которые подделывают одно лицо на другое, изменяют голоса и прочее. А теперь представьте, что с помощью такой же, но с улучшенной программой можно сделать. Например, создать массовую панику у населения страны, сделать видео, будто какой-то политик говорит речи о войне или тому подобное. Кроме того, такой интеллект может предугадывать вашу реакцию и действия, что в дальнейшем, естественно, может быть использовано.

Ну и последний главный тренд – это уязвимый код в программном обеспечении. По статистике, большинство компаний, разрабатывая определенный софт, осознанно выпускают этот софт с уязвимостями. На это могут влиять несколько факторов. Например, что сроки сдачи проекта вышли, а исправлять уязвимости не было возможности. Такие ошибки допускают даже в военном ПО, что в конечном итоге приводит к печальным последствиям.

Такие тренды киберугроз можно еще долго продолжать перечислять, но самые важные и опасные я назвал. Повторюсь, эти угрозы влияют не только на Россию, но и на весь мир в целом.


Денис Батранков


Для России не существует каких-то специфических угроз. Важно, существуют ли специалисты, которые знают, как от мировых угроз защищаться.

Можно перечислить три угрозы, которые сегодня обсуждаются в сообществе безопасников:

  • безопасность удаленного доступа;
  • безопасность контейнеризации;
  • безопасность рабочих станций, в которые превратились домашние компьютеры.

В основном, удаленный доступ для всех сотрудников компании делают сетевые инженеры. Обычно они либо выставляют наружу нужные сервисы, либо все-таки пользуются советами безопасников и делают доступ через VPN.

Однако часто удаленный доступ всё равно оставляет несколько угроз незакрытыми: заход хакера в сеть компании с украденным логином и паролем, заход хакера в сеть через взломанный предварительно домашний компьютер вместе с заходом сотрудника.

Сейчас на черном рынке можно найти в продаже доступ ко многим компаниям. Такой доступ покупают для промышленного шпионажа или для шантажа и получения выкупа. От этих угроз никто не защищен в мире, как недавно это было с компанией Garmin, которая заплатила 10 миллионов долларов выкуп за доступ к своим же данным.

Следующий тренд, который задала ИТ-отрасль, – повсеместное использование контейнеров Docker и Kubernetes. Много утечек было вызвано тем, что использовались уязвимые контейнеры. Поэтому сейчас высокий спрос на средства защиты контейнеров. В том числе в России.

Рабочие станции уехали домой и стали домашними. Домашние компьютеры получили доступ в сеть компании и стали рабочими. Раньше все боялись облачных технологий, а сейчас сам сотрудник – облако для компании, и надо контролировать, что он там делает.

Соответственно, набор корпоративной безопасности сейчас ставят дома и это помогает защититься. Сегодня каждый человек, работающий удаленно, несет угрозы. Соответственно, нужно смотреть на этот аспект. И я знаю, что у многих компаний еще есть над чем поработать, чтобы улучшить ситуацию.


Екатерина Кошкарова


Самые популярные угрозы на мировом рынке сегодня – это программы-шифровальщики и вымогатели, а также утечки данных, реализованные собственными сотрудниками. Более 90 % утечек – дело рук инсайдеров. Наибольшей популярностью пользуется вербовка сотрудников крупных организаций в социальных сетях, да и просто на улице, «в курилке» с предложением «подзаработать». Думаю, многих в мире ИТ потряс первый зафиксированный случай смерти от атаки шифровальщика в сентябре этого года. Т. е. можно сказать, что киберпреступность выходит на новый уровень.


Евгений Суханов


В эпоху пандемии бизнесу нужно было оперативно адаптироваться к требованиям Роспотребнадзора и организаций здравоохранения, а также реагировать на изменения в социальном поведении. Ответом на эти вызовы стала цифровизация многих бизнес-процессов, переход в онлайн-формат. Однако из-за сжатых сроков некоторые компании, особенно представители малого бизнеса, не смогли сразу же уделить должного внимания вопросам кибербезопасности. Россия не стала исключением в этой трансформации. Таким образом, самыми опасными угрозами для бизнеса во всем мире остаются: фишинг, компрометация данных, уязвимость онлайн-сервисов и приложений.


Алексей Аршинов


Считаю, что одной из самых актуальных угроз для российских организаций остаются вирусы-шифровальщики. Больше всего от них страдают компании малого и среднего бизнеса, которые недостаточно уделяют внимания вопросам информационной безопасности. Чем глубже цифровизация бизнеса, тем больше будет ущерб.


Алексей Рыбаков


Наиболее часто объектом хакерских атак становится банковский сектор. Банк всегда был «огромным складом денежных средств», а денежных средств, как известно, много не бывает. В настоящее время, в век информационных технологий, люди всё чаще стремятся перейти с наличных денежных средств на безналичные. В связи с этим «налеты» на банки стало совершать всё сложнее. Теперь преступники переквалифицировались в хакеров, которые орудуют, зачастую сидя в каких-либо помещениях удаленно. Так, как известно, в 2016 году были совершены мощные DDoS-атаки на ряд крупных банков России.

Волна данных атак была настолько сильной, что у некоторых банков не сработали первые уровни защиты. Уровень защиты крупных банков всегда был высоким, но особенность волны атак 2016 года состояла в том, что достаточно немногие средства защиты могли эффективно противостоять данным атакам. В целом тогда банкам удалось отразить атаки; это научило их относиться к безопасности щепетильнее.

Основная мера защиты от атак – это обучение персонала. Можно спроектировать идеальную систему защиты ПО, но человеческий фактор никто не отменял. Большая часть крупных атак было успешными только благодаря высокому уровню социальной инженерии хакеров. Эта мера становится сейчас особенно важной, поскольку технические меры защиты становятся всё более логичными и продуманными. Вместо этого хакеры используют средства социальной инженерии, когда люди самостоятельно передают важные данные хакерам.

Например, на смартфоне может появиться уведомление, похожее на уведомление банковского приложения, при нажатии на которое запускается опасный алгоритм. На данный момент в Интернете сложился рынок хакерских услуг и хакерских информационных продуктов. Что касается наиболее «квалифицированных» хакеров, есть три основных лидера: Китай, Россия и Северная Корея. За ними следуют Израиль и Германия, благодаря большому количеству выходцев из бывшего СССР.

Хорошая база позволяет лидировать нашим инженерам не только в разработке стандартного ПО. Как чаще всего бывает, в цифровых организациях имеется хорошее защищенное оборудование и софт для защиты от киберугроз, но, как мы понимаем, кроме железа есть еще и человек, который работает на нем, с этой стороны поступает множество угроз, социальная инженерия стала особенно популярна в последние двадцать лет. Проводить подобные атаки, используя текущие технологии становится очень просто. Применение искусственного интеллекта позволяет менять голос и внешность в реальном времени, что в будущем приведет к еще большему количеству атак. Используя унифицированный подход, защитить оборудование становится проще, ведь у каждой модели свои болячки, но кроме этого стоит использовать устройства с высокой степенью защиты, а не просто известные бренды, вспомнить даже историю с асус, когда вся линейка роутеров была с уязвимостью, которая позволяет за считанные секунды получить доступ.


Артём Мышенков


По нашему мнению, основные угрозы в России и в мире – это атаки на пользователя с использованием социальной инженерии. Это могут быть фишинговые письма или распространение вредоносного ПО. Через фишинг проводится масса атак ежедневно, которые приводят к заражению компьютеров не только обычных пользователей, но как крупных, так и малых компаний. С моментом перехода всего мира на удаленку, кибератак стало в разы больше. Через фишинг, например, можно похитить учетные данные сотрудника компании, затем попасть в систему и продолжить атаку: например, похитить важную информацию организации.


Николай Фокин


Основной тренд – это рост числа кибератак на организации по всему миру. Кибератаки входят в топ-5 глобальных угроз, и ущерб от них для мировой экономики продолжает расти. Ущерб от одних notPetya и Wannacry оценили более чем в 10 миллиардов долларов. Безусловно, происходящее тесно связано с цифровой трансформацией, которая происходит в мире. Актуален данный тренд и для России. Covid-19 не оставил выбора многим компаниям, заставив внести изменения в организацию бизнес-процессов и перевести сотрудников на удалённую работу, а это привело к дополнительным киберрискам. Например таким, как утечка данных с удаленных устройств, несанкционированный доступ к оборудованию за периметром организации и к внутренним ресурсам, нарушение доступности из-за увеличения количества и значимости DDoS-атак. Киберпреступники в целях увеличения прибыли сместили свои цели на крупные компании и критически важную инфраструктуру, медицинские организации. Увеличилось количество вредоносного ПО, фишинга, атак с использованием программ-вымогателей. Каждая из этих угроз опасна, и организации должны оценивать связанные с ними риски.


Вопрос 2. Как вы полагаете, насколько полезен для организации унифицированный подход к закупке сетевого оборудования (один производитель – одна линейка), который упрощает защиту сети?

Екатерина Кошкарова


Всё зависит от модели угроз. В целом такой подход логичен. Однако надо отталкиваться от каждого конкретного случая. Подход хорош тем, что вендор может проконсультировать в рамках всего комплекса решений, зная все его сильные и слабые стороны.


Николай Смирнов


Скорее всего, это недостижимая и необозримая цель даже на среднем сроке жизни информационной системы. В разные моменты времени большей привлекательностью обладают продукты различных производителей или разные линейки оборудования одного производителя, а закупка ранее выбранных средств может оказаться эквивалентна покупке антиквариата со всеми сопутствующими атрибутами стоимости.

Мое мнение, дизайн системы, не предполагающей наличия различных изделий, исходно уязвим. Правильный дизайн должен быть модульным, он должен позволять сегментировать средства ИТ и ИБ, а также управлять политиками ИБ на разном оборудовании.


Улдис Либиетис


Использование устройств одного производителя на всех уровнях сети возможно, однако на практике встречается редко, потому что в основном производители хороши в производстве какой-то одной группы продуктов и слабее в другой. Поэтому для сетевых решений обычно используют устройства разных производителей, которые комбинируют между собой. В свою очередь, безопасность обычно управляется с помощью SIEM третьего поставщика. Часто бывает и так, что компания выбирает, например, все коммутаторы от Cisco, маршрутизаторы от Huawei, а файрволл от Fortinet.


Евгений Суханов


В своей практике мы используем эшелонированный подход и мультивендорные системы защиты информации. При этом допускаем, что ИТ-активы могут быть и моновендорными. Для крупного бизнеса это существенно снижает издержки при управлении запасами запасных частей (ЗИП) и наличии экспертизы.


Алексей Паздников


Не думаю, что здесь есть какой-то унифицированный подход. У каждого подхода свои плюсы и минусы. Например, решения одного производителя могут лучше интегрироваться друг с другом, что действительно упрощает процессы внедрения, управления и сопровождения. Но в любом случае необходимо принимать во внимание различные аспекты: круг решаемых задач, качество, цена, уровень сервиса.


Константин Миронов


Унифицированный подход, когда используется один производитель с одной линейкой, конечно, упрощает построение и управление сетью, но в то же время увеличивает шанс успешной атаки ввиду известной структуры сети, оборудования и, возможно, даже конфигураций. Разный набор оборудования, разные уязвимости, своя не стандартная конфигурация – всё это усложняет жизнь киберпреступникам.


Денис Батранков


Мне он нравится. За одним вендором проще присматривать.


Алексей Аршинов


Унификация сетевого оборудования удешевляет эксплуатацию инфраструктуры, поскольку снижает расходы на обучение персонала, способствует снижению количества системных администраторов за счет внедрения средств централизованного управления сетью, требует меньшего ассортимента подменного оборудования и запасных частей. Однако такой подход требует более тщательного подбора базовой линейки оборудования с точки зрения ассортимента, надежности, качества технической поддержки.


Алексей Чащегоров


Пандемия коронавируса изменила ландшафт работы многих цифровых организаций в мире и в России. Основное изменение – это повышение роли удаленного доступа к ресурсам компании. Поскольку значимость удаленки для компаний растет, растет ее объем и ценность, вместе с числом угроз и выгодой от их реализации. Из материалов, опубликованных некоммерческой организацией CSO USA: на ранней стадии эпидемии Covid-19 при эскалации режима удаленной работы число регистрируемых атак по данным 150 организаций лидеров в сфере информационной безопасности возросло на 26 % за месяц.

По данным Trend Micro, cреди атак значительно вырос объем фишинга с использованием темы Covid-19. При небольшом изменении случаев обнаружения программ вымогателей – увеличился средний выкуп. Также значительно возросло число атак из внутреннего периметра сети организации.

Как в мире, так и в России наиболее опасной киберугрозой является атака из внутреннего периметра сети организации. А удаленная работа создает дополнительный шанс для реализации такой угрозы. К примеру, – рабочий компьютер на стороне удаленного работника имеет доступ к внутренним ресурсам организации по средствам сети Интернет. При использовании из дома стороннего ПО на рабочем компьютере или сети Интернет в личных целях – шанс заразить компьютер (а затем и рабочую сеть) выше, чем при работе из защищенного от внешних угроз периметра внутренней сети компании.

Кроме этого, любая коммуникация двух и более устройств может быть прослушана или искажена при прохождении среды связи через третье устройство (man in middle). При удаленной работе – работник и организация разделены не одним таким устройством в глобальной сети.


Алексей Рыбаков


Любое укрепление защиты заставляет хакеров разрабатывать новые средства и схемы атак. Существенно снизилось количество атак с помощью троянов и фишинга, но увеличилось применение JS-снифферов.

Российские компании сталкиваются с хакерскими атаками практически ежедневно: количество атак увеличилось, но качество значительно упало. Примерно с прошлого года большинство таких атак проходит без существенного вреда для компаний, особенно в банковском секторе. Фактором падения качества атак стало резкое смещение приоритетов мощных российских хакерских группировок на иностранные финансовые организации. Скорость устранения последствий атак едва ли кто-то точно подсчитает, но в зависимости от сложности, от одного дня до полугода. Невозможность подсчета связана с закрытостью информации. Ни одна компания не хочет выставит себя слабой в плане безопасности данных.

Статистически 95 % компаний в России имеют те или иные прорехи в ИТ-инфраструктуре. Этих прорех стало больше в связи с удаленной работой, поскольку корпоративные данные чаще передаются через электронную почту и другие средства коммуникации.

При атаке опытного хакера большинство компаний предпочитают откупиться, в перспективе это обходится дешевле, чем пытаться самому устранить появившиеся проблемы. Объем последствий зависит еще от одного фактора. Чаще всего, компании не замечают наличие атаки, поскольку хакеры становятся изощреннее и прорабатывают многоэтапные атаки длительностью до нескольких лет. Целью атак могут становиться не финансы компании, а важная информация и технологии, например, в случае с промышленностью. В таких случаях подключение ведется чаще всего через партнеров или поставщиков компании-объекта атаки, с которыми налажены доверительные информационные каналы.

Если проанализировать, насколько быстро крупные промышленные или энергетические компании с их киберзащитой и закрытостью могут выходить из строя, логично предположить, что защита многих из них уже взломана, но программа взлома находится в спящем режиме, и для завершения атаки с реальными последствиями требуется лишь политический или иной триггер.

Помимо финансовых институтов, атакам чаще всего подвергаются госструктуры, телеком, промышленность и энергетика. Для телекома наиболее опасен BGP hijacking. После успешной атаки на телеком-провайдера на втором этапе атакуются его корпоративные клиенты.

5G откроет новую эру кибервойны, в которой старые средства защиты станут бесполезными. Благодаря ему киберпреступления перемещаются в тренд межгосударственных кибервойн, в которых целью становится не получение наживы, а разрушение инфраструктуры. Под инфраструктурой понимаются не только госструктуры, но и наиболее важные для государственной инфраструктуры компании в любой сфере.


Алексей Чащегоров


Один производитель и одна линейка продуктов – это подход, который решает эксплуатационные вопросы защиты сети. Т. е. оборудование, скорее всего, будет работать, как заявлено в документации, с минимумом эксплуатационных затрат. Таким образом, полезность подхода для организации будет состоять в ограничении вложений в безопасность (как временных, так и финансовых) и в предсказуемости результата. При этом если линейка продуктов не закрывает все потребности для обеспечения требуемого уровня безопасности, то такой подход несет скорее вред, чем пользу.


Николай Фокин


С одной стороны, выбор конкретного производителя сетевого оборудования снижает издержки на администрирование сети, техническую поддержку и обучение персонала. Существует множество примеров, когда компании использует ядро сети, коммутаторы и маршрутизаторы одного производителя. С другой стороны, такой подход может нести дополнительные риски, в особенности если оборудование находится на периметре и является средством защиты. Например, известны случаи с непубличными уязвимостями в сетевом оборудовании, через которые злоумышленники получали доступ к данным и сети организации. Поэтому на мой взгляд, в тех случаях, когда требуется повышенный уровень защищенности, целесообразно рассмотреть использование оборудование от разных производителей.


Вопрос 3. Считаете ли вы, что для защиты сети достаточно использовать только локальные устройства или лучше применять облачный централизованный подход (большая база данных по угрозам, мощные вычислительные комплексы)?

Евгений Суханов


Локальные решения не могут противостоять современным угрозам. Уязвимости могут быть обнаружены в любых сервисах, а на их основе оперативно появляется вирусное ПО. Однако локальные продукты не могут обеспечить надежную защиту периметра. Наличие облачных решений, выстроенных процессов в сфере ИБ, эшелонированный подход к защите информации – основные критерии успеха и безопасности компании.


Константин Миронов


Централизованный подход к защите сети с использованием облачных сервисов помогает быстрее реагировать на атаки, что существенно снижает шансы на компрометацию сети.


Николай Смирнов


Универсального рецепта, к сожалению, не существует. Оптимальная модель безопасности сети на 100 % определяется моделью нарушителя и угроз.

Могу отметить, что полностью изолированные информационные системы – это уже редкость, уже многие изделия требуют регулярных обновлений для выполнения своих задач с нужным уровнем качества, что приводит к появлению распределенных конструкций, внешних точек доверия (или к принудительной проверке всей входящей информации, а это трудно выполнять только на локальных системах).

В то же время обилие шифрованного трафика для различных систем не позволяет гарантированно или без компромиссов, по доверию, выполнять полный анализ данных только сетевыми средствами, некоторый трафик приземляется только на конечных узлах, где и должен подвергаться проверке.

Оптимальный путь – использовать облачные и сетевые средства защиты совместно с решениями для защиты конечных точек и системами поиска аномалий. Этот подход нельзя шаблонизировать, он остается индивидуальным и зависит от инфраструктуры, бизнес-процессов и бюджета заказчика.


Даниил Ростовцев


Чтобы избежать многих киберугроз, недостаточно использовать только локальные устройства или применять облачный централизованный подход. Для начала нужны профессиональные программисты, которые не просто умеют обрабатывать различные данные, но без проблем могут их шифровать. Затем нужно уметь писать качественный программный код, который, по сути, и является ядром любой системы. Оттого, что нет элементарного фундамента, бесполезно надеяться на мощные вычислительные комплексы, ведь это не поможет при кибератаке. Поэтому, на начальном этапе разработки, очень важно обратить внимание на качество программного кода, который пишут программисты, и очень важно уделять внимание безопасности той системы, которую вы делаете. Одна ошибка может привести к непредсказуемым последствиям.


Алексей Паздников


В идеале для защиты сети желательно применять комплексный подход: с одной стороны, локальные устройства (например, для защиты периметра сети, для защиты доступа к устройствам и т. д.), а с другой – облачные сервисы для защиты конечных устройств и трафика.


Екатерина Кошкарова


Все зависит, опять же, от модели угроз, определенной в компании. Набор инструментов сейчас очень велик, и как их применить зависит от того, какие данные нужно защищать. Например, защита персональных данных в государственной организации – это одно, в коммерческой – совсем другое.


Алексей Аршинов


Решение по защите сети должно быть комплексным. Современные межсетевые экраны, системы обнаружения вторжений, анализаторы трафика не эффективны без доступа к центральным базам производителей по сигнатурам и угрозам, эти данные обновляются непрерывно, время полностью автономных систем безопасности прошло.


Алексей Рыбаков


Достаточно ли для защиты сети использовать только локальные устройства или лучше применять облачный централизованный подход – зависит от размеров и типа организации: чем больше компания, тем больше требований к обеспечению безопасности данных. Кому-то лучше использовать облако, из-за удобства, которое оно предоставляет, но государственным организациям лучше хранить данные внутри локальной сети, злоумышленникам будет сложнее получить доступ к таким данным.


Алексей Чащегоров


Самым стойким вариантом защиты сети организации является комбинированный подход с использованием как локальных средств защиты информации, так и централизованного подхода с мощным вычислительным комплексом (облачным или нет). Централизованный комплекс может обнаружить распределенную по компьютерам или во времени вредоносную активность (внутреннюю или внешнюю). Тогда как с обнаружением и отражением локальной атаки быстрее и лучше справится локальное средство.

К примеру, метод Event Behaviour Analytics, приведенный в статье Cynet, основан на длительном анализе поведения пользователей сети и сигнализации системе безопасности при слишком больших отличиях в поведении. Задача предполагает запись, длительную агрегацию и анализ данных пользователей. Эта задача для мощного вычислительного комплекса в собственном дата-центре компании или в облаке. При этом задача блокировки трафика определенного типа программ решается качественно и быстро только на локальном роутере или рабочем компьютере.


Денис Батранков


Да, сейчас набор индикаторов и базы для выявления угроз настолько большие, что перенести их в сеть организации стало сложно. Поэтому многие современные решения организуются по принципу Data Lake, когда вся информация для принятия решения, алгоритмы машинного обучения и искусственного интеллекта собираются в единой точке и заказчики делают к ней запрос, чтобы разобраться в конкретной задаче: вредоносный ли файл, URL или DNS-запрос или нет. Это, с одной стороны, упрощает управление защитой, с другой – позволяет на глобальном уровне контролировать любую атаку. Если сегодня в Америке новый сетевой червь, то в России об этом узнают сразу же, если подключены к этому глобальному «мозгу».


Улдис Либиетис


Covid-кризис и дистанционная работа серьезно изменили подход к решениям для защиты. Традиционный подход с безопасной внутренней сетью и небезопасным внешним Интернетом перестал быть актуальным, потому что работники находятся дома, данные – частично в учреждении, частично в облаках. С помощью локальных решений сложно контролировать безопасность, которая находится вне периметра учреждения или компании. В этой связи централизованный облачный подход быстрее внедрить и им проще управлять.


Вопрос 4. Как вы думаете, какие важные объекты наиболее критичны для большинства компаний: веб-серверы, серверы баз данных с бизнес-информацией, внутренняя сетевая инфраструктура, системы внешней маршрутизации, что-то другое?

Николай Смирнов


Все части информационной системы, задействованные в обеспечении непрерывного выполнения бизнес-процесса, являются критическими. Например, критическим может стать сервер точного времени для TSP-сервиса при работе с квалифицированными электронными подписями на торговых площадках или какая-то иная неожиданная для ДИТа система.

И наоборот, например, база данных внутреннего портала управления отпусками может быть совершенно некритична как на отказ, так и на утечку данных.

Без погружения в бизнес-процесс обеспечить требуемый уровень надежности невозможно.

Алексей Паздников


Любые объекты ИТ-инфраструктуры предприятия имеют достаточно высокую важность, потому что проблемы с любым из них могут причинить ощутимый ущерб работе предприятия, его конкурентоспособности, а значит, и его доходам. В последнее время мы видим всё более пугающую тенденцию повышения уровня риска для конечных устройств, что особенно актуально во время пандемии, когда многие сотрудники вынуждены работать удаленно. К сожалению, зачастую конечные устройства защищены слабее, чем периметр сети или серверы, базы данных и прочее. Но, получив доступ к конечному устройству, злоумышленники смогут получить возможность доступа к критическим корпоративным ресурсам как бы от лица сотрудника предприятия.


Константин Миронов


Для большинства компаний наиболее важными объектами безопасности, которым стоит уделить повышенное внимание, является внутренняя сетевая инфраструктура наряду с внешней маршрутизацией.


Евгений Суханов


С точки зрения риск-менеджмента, мы видим самую главную уязвимость во внешних системах и процессах (например, в приложениях, сайтах и др.). Под угрозой остаются и классические каналы коммуникации – доступ сотрудников в Интернет и системы электронной почты. Немаловажную роль также играют финансовые системы с данными и клиент-банкинг. Это основные реперные точки для мошенников и цель их атак.


Екатерина Кошкарова


Сейчас основной актив – это данные. Основная цель злоумышленников – именно данные: номера карт, номера телефонов, адреса электронной почты, которые можно успешно использовать в мошеннических целях. И именно на защиту БД тратится всего 13–15 % всего бюджета ИБ. Почему-то считается, что если сеть защищена, то данные не «вынесут» изнутри. Однако в последнее время заголовки пестрят информацией о захвате вычислительных мощностей для майнинга криптовалют. Но такие угрозы более характерны для мощных компьютеров.


Денис Батранков


Для каждой компании это что-то свое. Не нужно защищать все данные. Данные еще не являются информацией. И обычно защищают информацию. Для каждой организации информация – это свой набор данных в разном виде. Существуют компании, где один файл Word с новым проектом оценивают в сотни тысяч долларов, и за ним охотятся конкуренты. А существуют организации, где удаление всех данных никак не влияет на бизнес-процессы, поскольку информация не хранится в цифровом формате: все договоры и отношения установлены и работают без ИТ.

Да, ИТ ускоряет бизнес-процессы, и поэтому безопасность веб-сервера или базы данных нужна для того, чтобы сохранить конкурентоспособность. Здесь можно долго философствовать. Главное, что у каждой организации будет свой набор рисков и критичных ресурсов, которые нужно защищать для минимизации ущерба.


Алексей Аршинов


Если рассматривать критичность с точки зрения важности для бизнеса, то, безусловно, это серверы баз данных. Их потеря, как с точки зрения доступности, так и с точки зрения утечки информации, будет очень чувствительна для любой компании. Если говорить о самой уязвимой части инфраструктуры, – это веб-серверы, вернее, веб-сервисы. В последнее время более половины успешных атак на информационную инфраструктуру компаний начиналось со взлома корпоративных веб-сервисов.


Алексей Чащегоров


Мое мнение, что самой важной частью для работы компании являются данные с бизнес-информацией. Так как потеря этой информации фатальна для ведения бизнеса. Вокруг информации можно воссоздать инфраструктуру, как web, так и сетевую. Это планируемый и ограниченный во времени процесс, в отличие от повторного сбора бизнес-информации.


Алексей Рыбаков


При организации киберзащиты ценны данные, накопленные за годы работы. Компания накапливает большие объемы данных, которые дают конкурентное преимущество перед новичками на рынке. Если базу шифруют или украдут, у нее будут серьезные последствия, вплоть до банкротства. Аудит безопасности должен быть обязательной процедурой для крупных компаний. Он должен быть вписан в ежегодные расходы. Маленькие компании чаще всего не интересны злоумышленникам, они используются только в качестве тренировочного полигона, поэтому они могут обойтись без аудита.


Артём Мышенков


Логично предположить, что внутренняя инфраструктура и серверы с базами данных являются наиболее критичными объектами, однако не стоит забывать и о веб-серверах, так как именно они чаще всего доступны из Интернета и какая-либо уязвимость сайта может помочь злоумышленнику получить доступ к внутренней инфраструктуре.

В связи с переходом на удаленный режим работы, кроме непосредственно инфраструктуры компаний (серверы, базы данных и т. п.), критичными объектами стали рабочие станции сотрудников. На удаленных рабочих местах сложнее обеспечить безопасность, сотрудники могут работать на тех же устройствах, которые используют для личных дел. И если компьютер сотрудника, имеющего доступ к инфраструктуре или конфиденциальным данным компании, будет заражен вредоносным ПО, то и злоумышленник может получить доступ к этим данным и инфраструктуре.

Если организации не были готовы к удаленному режиму работы, то риск повышается, так как нужно дополнительно обезопасить удаленный доступ для сотрудников. Критичными объектами в этом случае выступают VPN-сервисы организации, терминальные серверы, облачные хранилища.


Николай Фокин


Все зависит от специфики бизнеса. Специалисты по информационной безопасности должны выявить наиболее значимые киберриски и ценные активы компании, определить меры снижения киберрисков до приемлемого уровня для каждого из активов. Как вы понимаете, у ритейла, конструкторского бюро и телекоммуникационной компании ответы будут разными. К примеру, для первой компании важными активами будут веб-сайт, база данных с информацией о всей деятельности организации. Для второй и третьей компаний эти активы могут отличаться. Нужно помнить, что важнейшая задача – определить какие системы являются действительно значимыми, внедрить необходимые защитные меры, включая обеспечивающие их процессы, поскольку в текущей парадигме одних лишь технических мер недостаточно.


Вопрос 5. Насколько, по-вашему, необходимо использование облачных решений для аудита безопасности и своевременного обнаружения уязвимостей?


Денис Батранков


Зависит от того, что делает это облачное решение. Если оно проверяет другую вашу же информацию в облаке, например, в Office365 или Яндекс.Диск или Amazon, то другим образом защиту и не реализуешь. Защита тоже должна быть в облаке.

Если продукт проверяет информацию у вас внутри вашего ЦОДа, то здесь важность облака в том, что в нем собирается глобальная база знаний об уязвимостях и вас своевременно защищает.


Алексей Паздников


Я не думаю, что есть смысл как-то разделять природу таких решений: облачные или локальные on-premise. Стоит говорить о том, что в принципе необходимо использовать решения для аудита безопасности и обнаружения/управления уязвимостями. А облачные эти решения или локальные – здесь уже необходимо выбирать в соответствии с критериями отбора, актуальными для данного предприятия с учетом стоящих задач, бюджета.


Константин Миронов


На наш взгляд, полезной составляющей в стратегии защиты ИТ-инфраструктуры бизнеса является тестирование на проникновение (пентест). Его стоит обязательно включать в аудит безопасности.

 

Екатерина Кошкарова


Смотря о каком аудите мы говорим. Если речь идет об аудите, например, состояния базы данных, то стоит задействовать необлачные инструменты аудита, например, специальные утилиты. Конечно, если база сама развернута в облаке, то и средства тоже будут ориентированы на облачную инфраструктуру. Необлачные решения показывают хорошие результаты.


Алексей Чащегоров


При переходе к использованию облачной инфраструктуры специфичные для этого размещения цифровых услуг методы аудита безопасности необходимы.

Причины этого изложены в статье журнала “IEEE: Security and privacy magazine”: Данными в облаке распоряжается фактически третья сторона – она обязана предоставлять данные аудита доступности данных и подтверждение их консистентности во времени. Шифрование данных от третьих лиц может быть возложено на поставщика облачных услуг – метод сокрытия данных должен быть распространен и доступен для использования извне. При совместном размещении нескольких экземпляров сервисов разных заказчиков на одном аппаратном узле они могут быть уязвимы друг для друга, – провайдер услуг должен обеспечить гарантии отсутствия такого влияния. При масштабировании в облачной инфраструктуре вышеперечисленные требования могут не соблюдаться, – провайдер облачных услуг должен предоставить гарантии соблюдения аудита при масштабировании.


Алексей Аршинов


Сегодня на рынке существует пока не очень много облачных сервисов для выявления уязвимостей в информационной инфраструктуре, но с каждым годом их становится всё больше, это направление активно развивается. Преимуществом является отсутствие необходимости в собственном персонале, который может качественно провести сканирование, а потом правильно интерпретировать отчет, – всё это специалисты облачного сервиса сделают самостоятельно.

При этом говорить о необходимости использования именно облачных сервисов неправильно, каждая организация сама для себя решает, каким образом будет проводить аудит безопасности, – самостоятельно локальными средствами контроля уязвимостей или посредством облачного сервиса. Однозначно можно только сказать, что в любой организации с высоким уровнем цифровизации выявление уязвимостей в инфраструктуре должно проводиться на регулярной основе, в идеале – не реже одного раза в месяц.


Евгений Суханов


Облачные решения используют большие массивы данных, способны анализировать риски конкретного предприятия и его инфраструктуры с привлечением эвристических методов анализа, информации о многочисленных пользователях и их решенных проблем. С точки зрения управления рисками, возможности облачных сервисов безграничны по сравнению с локальными решениями: они располагаются исключительно внутри периметра компании и не имеют возможности оперативно меняться под конкретный инцидент, отвечая на новые риски.


Николай Смирнов


Облачные решения для аудита могут быть, действительно, эффективными только в одном случае – вся ваша ИТ-инфраструктура перенесена в это облако, а на рабочих местах сотрудников, в том числе удаленных, используются только терминалы удаленного доступа к облачной инфраструктуре. Тогда возможен полноценный анализ безопасности информационного обмена, своевременное выявление и устранение уязвимостей системного и прикладного ПО. Все остальные, смешанные сценарии, когда часть ресурсов в облаке, а часть продолжает эксплуатироваться локально, – не могут опираться только на облачный аудит защищенности. Требуются локальные средства контроля защищенности собственного ЦОДа, штатных и удаленных рабочих мест пользователей.

Также не следует забывать, что в случае выявления аномалий в поведении информационных систем и, тем более, при расследовании зафиксированных инцидентов ИБ, почти всегда требуется доступ к объемным журналам событий информационных систем, – всё это легко сделать локально, но далеко не всегда возможно из облака.

А вот что всегда следует отдавать на аутсорсинг – это проведение пентестов как важной составляющей регулярного аудита защищенности вашей информационной инфраструктуры независимо от того, где она расположена. Практика показывает, что это эффективнее, – внешний пентестер лучше замотивирован найти уязвимости в вашей системе, кроме этого, их экспертиза и инструментарий зачастую богаче, чем у внутренних специалистов компании.


Улдис Либиетис


Главное, о чем всегда нужно помнить бизнесу, – намного легче и дешевле предотвратить угрозу вторжения в информационное пространство компании, чем решать проблемы, которое оно спровоцирует. Помимо самых очевидных сложностей и трат, связанных с восстановлением потерянных данных и репутации, можно столкнуться и с государственными штрафами за несоблюдение норм GDPR (Общий регламент по защите данных). Таким образом, использование решений для аудита безопасности и своевременного обнаружения уязвимостей сегодня критически важно для любого бизнеса.



Ключевые слова:
информационная безопасность, киберугрозы, облачные решения, аудит безопасности, уязвимости, данные


Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru