Практическая защита:
что вы внедрили и что мешает?

Какие меры безопасности реально внедрить в реальных условиях – и что не позволяет сделать остальное.

1. Какие меры защиты у вас включены «по умолчанию»?
2. Как Вы считаете, что является самым слабым звеном в защите: пользователи, фишинг, удаленный доступ/VPN, серверы, почта, облака, подрядчики, другое?
3. Каким должен быть нормальный процесс управления уязвимостями: из чего состоять, как контролировать его выполнение?
4. Как часто нужно делать резервные копии? Какая лучшая альтернатива бэкапу?
5. Что больше всего, на Ваш взгляд, мешает повышению уровня информационной безопасности: недостаточный бюджет, нехватка людей, сопротивление бизнеса, устаревшие ИТ-системы, отсутствие регламентов?

На вопросы «СА» отвечают эксперты ИТ-отрасли

Юрий Другач,
генеральный директор, компании StopPhish

«Самое слабое звено – это разрыв между техническими мерами и уровнем осведомленности людей. Там, где сотрудники не понимают последствий своих кликов и не видят ловушек в повседневной переписке, уязвимости неизбежно появятся даже в самом защищенном контуре».

1. Сегодня у большинства компаний «по умолчанию» включено довольно много всего. Почтовые шлюзы, антивирусы, сетевые фильтры, резервное копирование, двухфакторная аутентификация, разграничение прав доступа, кто-то даже внедрил Zero Trust. Этот набор стал стандартом для бизнеса, но само наличие инструментов не гарантирует реальную защиту.

Мы в StopPhish регулярно сталкиваемся с ситуацией, когда технологии есть, но используются они формально. Почтовые фильтры настроены, но фишинг все равно прорывается за счет изощренной социальной инженерии. Бэкапы делаются, но никто не проверял, насколько быстро и корректно они восстановятся после реальной атаки. Даже включенный MFA не спасет, если сотрудник, не глядя, подтвердит пуш-уведомление от мошенника.

Поэтому в рабочий «минимум по умолчанию» у нас входят не только технические меры, но и обязательная работа с людьми в виде регулярного процесса обучения и тренировок. Мало знать теорию – сотрудники должны уметь распознавать актуальные уловки хакеров и быстро на них реагировать. Сейчас мы небольшая компания и конечно, некоторые вещи можно не учесть, ведь не обо всем можно догадаться или прочитать в учебнике. Главное сразу принимать технические и организационные меры, чтобы ситуация не повторялась.

Например, мы узнали от одного коллеги, что он знает ситуацию, когда в другой компании сотрудник, уйдя из компании, продолжал иметь доступ в hh.ru и предлагал новому работодателю доступ к этому ресурсу. Чтобы у нас такая ситуация не повторилась, мы уточнили регламент по выходу работника из компании.

2. На практике самым слабым звеном в защите редко бывает что-то одно. Чаще всего это связка из нескольких факторов, где в центре оказывается человек. Дело не в том, что сотрудники «плохие» или «необучаемые», просто через них проходит большинство рабочих процессов, и именно на это рассчитаны современные атаки.

Фишинг и социальная инженерия давно перестали быть примитивными письмами с ошибками. Сегодня это персонализированные сценарии, которые используют повседневные рабочие ситуации: запросы от подрядчиков, письма от руководства, уведомления от сервисов, с которыми компания работает. В таких условиях даже продвинутые фильтры почты или VPN не дают стопроцентной гарантии.

Удаленный доступ, облака и подрядчики сами по себе не несут угрозы. Проблемы начинаются тогда, когда ими пользуются без четких правил и понимания рисков. Если временные доступы годами висят открытыми, подрядчики работают по общим учеткам, а контроль сводится к формальному регламенту, то это рано или поздно приводит к инцидентам.

Опаснее всего является иллюзия безопасности. Когда в компании внедрены серверные средства защиты, настроены фильтры и есть резервное копирование, возникает ощущение, что основные риски закрыты. На этом фоне внимание к обучению сотрудников падает и этим активно начинают пользоваться злоумышленники.

По нашему опыту, самое слабое звено – это разрыв между техническими мерами и уровнем осведомленности людей. Там, где сотрудники не понимают последствий своих кликов и не видят ловушек в повседневной переписке, уязвимости неизбежно появятся даже в самом защищенном контуре. Поэтому регулярное обучение и тренировки должны стать частью системы безопасности наравне с антивирусами и бэкапами. Только тогда технические средства начинают работать на 100%, а не просто создавать видимость защиты.

3. Процесс управления уязвимостями начинается с простого понимания, что уязвимости – это не только серверы, патчи и отчеты сканеров. Уязвимостью является любой повторяющийся сценарий, который может привести к инциденту. Если строить процесс только вокруг технологий, он почти всегда дает ложное ощущение контроля. Рабочий процесс управления уязвимостями обычно состоит из нескольких понятных этапов.

Первый этап – регулярное выявление уязвимостей, причем не только технических. Это и результаты сканирования, и анализ инцидентов, и типовые ошибки сотрудников, и сценарии, которые уже использовались в компании или в отрасли. Если фишинг регулярно проходит через почту, это такая же уязвимость, как неустановленный патч на сервере.

Второй этап – приоритизация. Попытка закрыть все сразу обычно приводит к тому, что не закрывается ничего. Важно оценивать, какие уязвимости несут реальный риск для бизнеса: насколько просто ими воспользоваться, к чему приводят и как часто повторяются. Без этого процесс превращается в бесконечную гонку за списками задач.

Дальше идут устранение и контроль изменений. Исправление уязвимости не должно заканчиваться галочкой в системе. Нужно убедиться, что решение действительно сработало и не создало новых проблем.

Отдельный и часто недооцененный этап – контроль выполнения. Процесс управления уязвимостями работает только тогда, когда его можно измерить: по срокам закрытия, количеству повторных инцидентов и одним и тем же сценариям, которые всплывают снова и снова. Если они не исчезают, значит, процесс не работает, какими бы красивыми ни были графики в презентации отчета.

И, наконец, работа с людьми. Обучение и тренировки должны быть частью этого процесса, а не отдельной активностью. Пока сотрудники не понимают, почему их неосторожные действия могут быть опасны, уязвимости будут появляться быстрее, чем компания успеет их закрывать.

4. Частота резервного копирования зависит от того, сколько данных компания готова потерять без критических последствий. Для одних систем это сутки, для других простой в 15 минут – уже катастрофа. Универсального ответа здесь нет: бэкап должен быть автоматическим, регулярным и предсказуемым. На практике наличие копии на диске еще не означает, что вы защищены.

При реальном инциденте выясняется, что восстановление занимает больше времени, чем бизнес может себе позволить, или часть данных просто не восстановилась. Поэтому важно не только делать бэкапы, но и понимать, как быстро данные реально удается вернуть, и подходит ли это бизнесу по срокам. В этом помогут киберучения, когда на практике проверяется готовность организации к разным кейсам и инцидентам.

Отдельный риск – это уверенность, что бэкап является панацеей от взлома. Резервные копии хорошо спасают от сбоев, ошибок администраторов и части атак, но они не защищают от утечек данных, компрометации учетных записей и фишинга. Если хакер получил доступ к системе, он может спокойно дождаться очередного бэкапа или повлиять на сами резервные копии.

Полноценной замены бэкапу не существует, но есть дополнительные меры, которые его усиливают: сегментация инфраструктуры, раздельное хранение резервных копий, ограничение доступа к ним, контроль аномальной активности и планы реагирования на инциденты. Все это поможет снизить ущерб, но не отменяет необходимость резервного копирования.

Задача ИБ – сделать так, чтобы бэкап оставался крайней мерой, которой пользуются как можно реже. Для этого важно не только уметь восстанавливаться после атаки, но и предотвращать сами инциденты: закрывать векторы проникновения, контролировать доступы, регулярно обучать и тренировать сотрудников распознавать фишинг. Связка из надежных бэкапов и обученной команды дает бизнесу реальный шанс пережить инцидент без остановки процессов.

5. На практике повышению уровня информационной безопасности редко мешает что-то одно. Чаще всего это сочетание факторов, но зачастую, главная проблема – не бюджет или нехватка рук, а отсутствие системного подхода: отдельные меры внедрены, отчеты живут сами по себе, а ИБ превращается в набор разрозненных задач. В таком виде даже самые дорогие решения не дают ожидаемого результата: инструменты есть, а общей картины нет.

Недостаточный бюджет часто считают основной причиной, хотя деньги не всегда решают проблему. У многих компаний уже есть базовые средства защиты, но используются они формально. Покупаются новые инструменты, в то время как старые процессы остаются без внимания, а часть рисков просто прячется за исключениями и временными решениями.

Нехватка специалистов тоже играет роль, но и здесь проблема глубже. У ИБ-команд не остается времени на анализ инцидентов, настройку процессов и полноценную работу с обучением сотрудников, потому что они перегружены операционными задачами. В итоге безопасность превращается в бесконечное тушение пожаров вместо управляемого процесса. Я встречал организацию, где в подразделении ИБ работало 3 человека на 15 000 сотрудников. Как они могут построить отлаженную систему ИБ, при всем многообразии инфраструктуры и видов атак на нее?

Сопротивление бизнеса и устаревшие ИТ-системы усугубляют ситуацию. Бизнесу важно работать быстро, и любые запреты со стороны ИБ часто воспринимаются как помеха. Если безопасники не объясняют смысл ограничений, сотрудники начинают искать пути обхода. Вместо защищенных сервисов в ход идут личные мессенджеры, облачные хранилища или сторонние утилиты. В итоге важные данные уходят из-под контроля, а ИБ-отдел перестает видеть, что реально происходит в инфраструктуре.

Старые системы добавляют свои риски, но сами по себе редко становятся причиной инцидентов – чаще они просто усиливают масштаб последствий. Пока безопасность существует отдельно от реальных рабочих процессов сотрудников, уязвимости будут возникать снова и снова, сколько бы ресурсов ни вкладывалось в технологии.

По нашему опыту, больше всего повышению уровня информационной безопасности мешает недостаточная осведомленность сотрудников. Более 90% всех ИБ-угроз сегодня связаны с человеческим фактором, а не с техническими уязвимостями. Бизнес устойчив тогда, когда инструменты ИБ, рабочие процессы и поведение сотрудников работают как единая система.

Ирина Дмитриева,
эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис»

«Процесс управления уязвимостями должен быть непрерывным, согласованным с руководством и эффективным с точки зрения энергозатрат. Это достигается через метрики оценки, дашборды, постоянную валидацию процесса и аудит»

1. Рассматривая базовый гигиенический минимум мер защиты в классической инфраструктуре, стоит начать с управления доступами и идентификацией, где MFA должен быть настроен для каждого пользователя, реализован принцип минимальных привилегий и нормализован своевременный отзыв избыточных/устаревших прав доступа. Сюда же относятся доступы подрядчиков.

Если затрагивать пользовательские возможности и их ограничения, защита почтовых сервисов – критично значима, что предполагает внедрение проактивных мер антифишинга и проведение обучений пользователей.

В то же время безопасность удаленного доступа, включая защищенные VPN с постоянной верификацией подключенных пользователей и устройств, предусматривает отлаженный процесс контроля и мониторинга 24/7 всех подключений.

Из этого вытекает базовый минимум защиты – централизованный сбор логов, идеально и стабильно срабатывающие алерты на потенциальные инциденты, а также грамотная аналитика SOC с понятными процессами реагирования на инциденты, включающими плейбуки, которые исключают импровизацию. Продолжением реагирования на инциденты должно являться управление уязвимостями и патч-менеджмент с понятными SLA и приоритизацией по рискам.

Акцентируя внимание на подходах к всеобъемлющей защите инфраструктуры, безусловная грамотная сетевая сегментация является краеугольным камнем безопасности. На этапе проектирования и внедрения облаков и SaaS – жесткие настройки с минимальными возможностями, привилегиями и постоянный аудит конфигураций. Венец защиты – это резервное копирование и планы восстановления в случае инцидентов.

2. Уверенно можно сказать, что уязвимое звено в защите инфраструктуры – это люди, а не технологии. И это справедливо по обе стороны баррикады: угрожают безопасности как корпоративные пользователи организации, так и подрядчики. Внутри компании пользователи подвержены внешним атакам социальной инженерии, а также они нарушают политики ИБ из-за некорректных бизнес-процессов и регулярно разглашают конфиденциальную информацию. Подрядчики с постоянным и удаленным доступом в инфраструктуру – это постоянная угроза, где контроль учетных записей и доступов зачастую более лояльный. Удаленный доступ подрядчика редко является стартовой точкой киллчейна, но запросто становится удобным плацдармом для расширения атаки.

Одни из самых уязвимых каналов утечки данных – это почтовые сервисы и облачные хранилища. Здесь сокрыты проблемы от избыточного доверия и некорректных настроек сервисов до априори концептуально слабых встроенных механизмов защиты данных от манипуляций и направленных злонамеренных действий.

Серверы и «железо» обычно высококлассно харденят внутри компании: здесь риск в систематических злоупотреблениях привилегированных пользователей (в т. ч. администраторов), лишь в редких случаях удается не только «подломить» учетную запись такого пользователя, но еще и продвинуться дальше.

Глобально слабое звено предопределяется слабой корпоративной культурой информационной безопасности, где нет налаженных процессов предоставления прав доступа, снижен контроль за подрядчиками, инвентаризация активов не охватывает теневые активы в виде ботов и API-интеграций и бизнес-процессы идут наперекор базовым требованиям кибергигиены.

3. Первостепенно хотелось бы подчеркнуть, что управление активами и уязвимостями не завершается на этапе внедрения сканера уязвимостей. Это полноценный управляемый цикл, интегрированный глубоко в ИТ- и ИБ-процессы. Он начинается с определения общей совокупности активов: инвентаризации вплоть до каждого элемента, выявления критически значимых систем и их оценки с т. з. бизнес-воздействия.

Далее следует этап обнаружения, на котором происходит регулярное сканирование, сбор данных и первичная фильтрация ложных срабатываний. После фильтрации необходимо проводить приоритизацию, где важен контекст применения уязвимости: эксплуатируемость угрозы, доступность извне, ценность актива. К приоритизированным угрозам применяются проверки – наличие PoC и контекст реализации риска по отношению к активу; это позволяет повысить эффективность патчинг-менеджмента и сэкономить ресурсы, не занимаясь «патчингом ради патчинга».

Далее - оперативное устранение уязвимостей по степени критичности с назначенными ответственными и согласованным SLA. Здесь же проводится оценка эффективности осуществляемых работ: что закрыто, что просрочено, где процесс «сбоил». И не забывать про совершенствование процесса, как заключительное звено цикла.

Процесс управления уязвимостями должен быть непрерывным, согласованным с руководством и высокоэффективным с точки зрения энергозатрат – все это достигается через метрики оценки, дашборды, постоянную валидацию процесса и аудит.

4. Частотность резервного копирования тесно связана с потребностями, ожиданиями и вовлеченностью бизнеса, а предопределена допустимой потерей данных (RPO) и временем восстановления (RTO). Для высококритичных систем бэкапы делаются непрерывно или несколько раз в день. Для менее критичных – по расписанию, но не реже раза в сутки. Важнее всего в резервировании не сама процедура бэкапирования, а регулярная проверка корректного восстановления данных. Иначе это все превращается в профанацию.

Говоря о форматах бэкапов, неизменяемый бэкап (Immutable Backup) с реализацией правил 3-2-1-1-0 позволит достичь максимальной эффективности и оказать противодействие при кибератаках.

Сегодня альтернатив бэкапу нет среди всех существующих инструментов восстановления данных. Для построения надежных планов восстановления стоит применять совокупность технологий: бэкапирование, репликацию, DR-площадки и отказоустойчивые кластеры.

В качестве подручных технологий, стоит рассмотреть синхронную/асинхронную репликацию данных для быстрого переключения при отказе основного ресурса, позволяет достичь низких RPO. Но асинхронные реплики часто страдают при атаках шифровальщиками и не помогают восстановиться при кибератаках.

Для защиты от крупномасштабных инцидентов при критически значимых объектах важно применять DR-площадки («горячие»/«теплые»/«холодные» площадки), представляющие полностью резервную инфраструктуру после сбоя с различной степенью готовности. В случае с «горячей» DR-площадкой предполагается полностью зеркальная инфраструктура, мгновенно заменяющая основной ЦОД. Содержание DR-площадки обходится очень дорого, но это может спасти бизнес от катастрофы в момент инцидента.

Проектирование отказоустойчивых кластеров позволит достичь непрерывности работы при перегрузе одного из кластеров. Это обязательно для критически значимых систем с дополнительной репликацией данных.

5. Зачастую проблемой для достижения высокого уровня безопасности в компании становится сопротивление бизнеса. Из-за сопротивления вытекает недостаточное бюджетирование ИБ, снижение квалификации штатных аналитиков по информационной безопасности (из-за низких зарплат), устаревшее оборудование и необновленное ПО, а также неосведомленность штатных сотрудников о регламентах безопасности, часть из которых аналогично устарели или нарушают бизнес-процессы.

Для бизнеса информационная безопасность часто является «тормозом» бизнес-процессов, источником дополнительных расходов, а не условием для надежного развития и стабильного процветания компании. До тех пор, пока топ-менеджмент не видит значимость защиты как бизнес-ценности, все остальное будет функционировать с сильными допущениями.

Обилие легаси, вытекающее из экономии на инфраструктуре, приводит в ужас архитекторов, которые сталкиваются с техническим долгом и задачей импортозамещения. Риски миграции настолько высокие, что могут привести к полной приостановке бизнеса.

Николай Спирихин,
руководитель Центра компетенций сетевой безопасности «Софтлайн Решения» (ГК Softline)

«Бэкапирование – обязательный и критически важный процесс, позволяющий снизить бизнес-риски, связанные со сбоями, отказами оборудования и внешними воздействиями на ИТ-системы и сервисы»

2. Чаще всего самым уязвимым звеном в безопасности инфраструктуры остаются пользователи, поскольку именно человеческий фактор – причина большинства успешных атак. Более того, атаки могут совершаться не только извне периметра инфраструктуры – массово и по общедоступным каналам связи, – но и изнутри, со стороны внутреннего нарушителя. В этом случае пользователи не только уязвимое звено, но и потенциальная угроза, позволяющая злоумышленнику легитимным образом получить доступ внутрь организации, обходя используемые средства защиты информации.

Для минимизации таких рисков необходима комплексная программа повышения осведомленности персонала, регулярное обучение, использование двухфакторной аутентификации и мониторинг пользовательской активности.

3. Эксплойты – один из наиболее распространенных инструментов злоумышленников, поэтому управление уязвимостями должно быть выстроено как формализованный и управляемый процесс. Его задача – не просто находить уязвимости, а обеспечивать их своевременную оценку, устранение и контроль на всем жизненном цикле ИТ-систем.

Как правило, эффективный процесс управления уязвимостями включает несколько ключевых этапов: выявление уязвимостей в системах, сервисах и приложениях, их классификацию и приоритизацию по уровню риска, устранение выявленных проблем, последующую верификацию и постоянный мониторинг. Завершающим элементом становится перевод этого процесса в регулярный, повторяемый формат с понятными регламентами и зонами ответственности.

Критически важно, чтобы управление уязвимостями носило непрерывный характер. Только в этом случае организация может своевременно снижать риски эксплуатации уязвимостей и поддерживать инфраструктуру на требуемом уровне защищенности.

4. Бэкапирование – обязательный и критически важный процесс, позволяющий снизить бизнес-риски, связанные со сбоями, отказами оборудования и внешними воздействиями на ИТ-системы и сервисы. Частота создания резервных копий определяется индивидуально и зависит от объема обрабатываемых данных, требований бизнеса к восстановлению, допустимого уровня потери данных, а также регуляторных требований.

На практике оптимальная периодичность формируется как баланс между стоимостью хранения и целевыми показателями восстановления после инцидента. Для большинства организаций это означает выполнение резервного копирования с периодичностью от ежедневной до еженедельной – в зависимости от критичности конкретных сервисов и данных.

При этом важно понимать, что у бэкапа нет полноценной альтернативы. Такие механизмы, как репликация, синхронизация с облачными сервисами или архивирование, могут дополнять стратегию защиты данных, но не заменяют резервное копирование, поскольку не защищают от логических ошибок, повреждения данных или целенаправленных атак.

5. Набор факторов может отличаться от компании к компании, однако чаще всего ключевыми ограничениями становятся недостаточность бюджета и сопротивление со стороны бизнеса. При этом корень проблемы, как правило, лежит глубже – в уровне вовлеченности и поддержки со стороны руководства. Когда топ-менеджмент не воспринимает информационную безопасность как бизнес-критичную задачу или не готов системно инвестировать в ее развитие, остальные факторы – нехватка ресурсов, устаревшие ИТ-системы, формальный подход к регламентам – начинают усиливать друг друга.

В этой ситуации ключевым решением становится активная роль руководства в формировании культуры информационной безопасности и в принятии взвешенных инвестиционных решений. При корректной оценке рисков такие бюджеты, как правило, не являются избыточными и соразмерны масштабу бизнеса. В текущих условиях стратегия информационной безопасности и ее реализация становятся обязательным элементом устойчивого функционирования компании.

Ключевые слова: бэкап, управление уязвимостями, минимизация рисков, безопасность инфраструктуры, угрозы, средства защиты

Подпишитесь на журнал

Комментарии могут оставлять только зарегистрированные пользователи