Статья

Как самостоятельно противостоять киберугрозам и все проиграть

Безопасность Интернет Интеграция ИТ в госсекторе Аутсорсинг
мобильная версия
, Текст: Павел Притула

В ближайшем будущем основные угрозы ИБ будут заключаться как в усилении таргетированных атак, так и в более широком и изощренном использовании ransomware, то есть программ, с помощью которых преступники лишают своих жертв доступа к компьютеру и вымогают у них деньги. Именно эти виды угроз наиболее эффективны в финансовом плане и, значит, привлекательны для злоумышленников. Готова ли отрасль к борьбе с ними? А к борьбе с кибертерроризмом? Об этом мы поговорили с несколькими авторитетными экспертами – участниками недавнего форума ITSF в Казани.

«Наши регуляторы наконец начали создавать систему информационного обмена и мониторинга безопасности, – добавляет генеральный директор компании Solar Security Игорь Ляпунов. – Это позитивный момент, потому что с уязвимостями нулевого дня и новыми атаками можно бороться только путем быстрого распространения информации о них среди максимального количества организаций. Если одна ИБ-компания обнаружила и проанализировала атаку, она должен сразу сообщить не только своим клиентам, но и другим организациям. Хорошим примером правильного взаимодействия стало совместное отражение недавней атаки WannaCry».

Внутренний диалог

Цифровизация экономики с одной стороны и сокращение бюджетов с другой привели к еще одному интересному результату: службы ИТ и ИБ стали чаще выходить за границы своих участков и интересоваться, как дела у их традиционных коллег-соперников. Во многих компаниях отношения между ними сложно назвать дружескими. Айтишники виноваты в том, что «вечно что-то придумывают, не заботясь о секьюрности», а безопасники – в том, что «постоянно ставят палки в колеса и мешают работать».

Но проникновение ИТ во все сферы деятельности компании, усиление киберугроз и жесткие указания бизнес-руководства, не желающего платить за ошибки из-за несогласованности действий подразделений, заставляют их работать в более тесном контакте. На сегодняшний день проблемы в коммуникации еще остаются, но они, по мнению Алексея Лукацкого, связаны с недостатком знаний, как практически «подружить» ИБ и достижение бизнес-целей: «Этому нигде не учат, люди получают опыт самостоятельно. Пока у многих его недостаточно, но пройдет несколько лет, и безопасники, наверное, будут уделять больше внимания своему образованию не только в технической части, но и в области бизнеса – например, по программам МВА. И тогда ситуация улучшится для всех: бизнес-руководство будет лучше понимать, чего можно и нельзя ожидать от ИБ, а служба информационной безопасности сможет поднять свои авторитет и влияние в компании. И тогда классический руководитель ИБ, занимающийся только своими специальными задачами, «вымрет», уступив место людям, которые мыслят категориями бизнеса, рисков, ориентированы на взаимодействие с другими подразделениями, компаниями и государством».

Безопасность как услуга

За последние годы бизнес, наконец, освоил получение ИТ как сервиса из облака провайдера. Это помогло ему воспринять следующее предложение рынка – получать безопасность как сервис. Таким способом можно предоставлять заказчику самые разные программные и программно-аппаратные ИБ-системы – хватило бы у поставщика фантазии.

«Заказчики устали покупать решения класса enterprise, они устали от проектов стоимостью в миллионы долларов, в которых первые результаты наступают минимум через год. А через год может оказаться, что и результат отличается от ожиданий заказчика, и сама потребность изменилась, – поясняет Игорь Ляпунов. – Сегодня для бизнеса существует очень комфортная сервисная модель, когда нужные ИБ-решения он может получать так же легко, как воду из крана, моментально обеспечивая нужный уровень безопасности. Кроме того, провайдерский сервис снимает проблему недостатка экспертизы внутри компании, которая не может держать в штате дорогостоящих специалистов по ИБ, способных заниматься реверс-анализом кода или проводить расследования инцидентов».

Помимо традиционных решений, вынесение задач безопасности заказчика на сторону специализированной ИБ-компании породило и совершенно новый класс услуг – ситуационный центр информационной безопасности (Security Operation Center, SOC). Он в полной мере относится к последнему тезису, который озвучил Игорь Ляпунов – буквально единицы крупнейших компаний способны держать у себя в штате минимум 15 высококлассных специалистов по ИБ, которые в круглосуточном режиме будут мониторить обстановку, предотвращать атаки, реагировать на инциденты, ликвидировать их последствия и расследовать события. И при этом ИБ должна гибко следовать за быстрыми изменениями внутри самой организации, которые затрагивают ИТ-ландшафт и бизнес-процессы. Здесь SOC как «глаза ИБ» и как система управления безопасностью становится просто незаменимым.

«Интересно, что пять лет назад, когда наша компания начала строить первый SOC, все вокруг говорили нам: «Вы безумцы, у вас ничего не получится, аутсорсинг информационной безопасности в России невозможен». Но посмотрите, что происходит сейчас», – говорит Игорь Ляпунов. Действительно, этот тренд сейчас уверенно набирает силу в России, и, судя по Западу, опыт которого мы в данном случае перенимаем, его ждут большие перспективы.

Общая картина киберугроз такова, что «забор» по периметру ИБ уже не гарантирует защищенность активов компаний – им нужны мониторинг безопасности, своевременное закрытие появляющихся «дыр», оперативное реагирование на инциденты и компетентное их расследование. Владимир Дмитриев, руководитель Центра мониторинга и реагирования на компьютерные инциденты компании «ICL Системные технологии» перечисляет возможности SOC, которые доступны бизнесу уже сегодня: «Привлечение внешнего SOC позволяет заказчикам осуществлять круглосуточный мониторинг ИБ без расширения существующего штата своих подразделений ИТ и ИБ. Внешний SOC предоставляет преимущества и в плане эффективности работы: многим заказчикам сложно отслеживать появление новых угроз и векторов атак, а также быть в курсе всех новых норм и инструментов безопасности. В отличие от них, внешние операционные центры находятся в постоянном контакте с ведущими экспертами и производителями в области ИБ, что положительно влияет на их эффективность и возможности обнаружения и реагирования на современные кибер-угрозы».

Как обычно бывает в первые годы активности новых трендов, мнения специалистов об аутсорсинге безопасности разделились. Одни говорят, что отдавать безопасность провайдеру – это ставить под удар свой бизнес, потому что сторонняя компания получает контроль над критически важной инфраструктурой. Другие, что ничего подобного не произойдет, если подойти к вопросу с умом. Допустим, менеджмент компании осознает, что в случае кибератаки он потеряет свой бизнес. Может он своими силами противостоять таргетированным атакам, закрывать бреши в периметре, вовремя бить по рукам инсайдерам и так далее? Для большинства заказчиков ответ – «нет». Значит, нужно заняться оценкой рисков. Если выгоды перевешивают риски, компании будут покупать безопасность как сервис.

В ближайшие годы использование услуг SOC станет таким же рутинным делом, как и покупка сервисов в коммерческих дата-центрах. При этом, в зависимости от потребностей компании, ее зрелости в области ИБ и уровня здоровой паранойи руководства, возможны различные модели взаимодействия с поставщиком услуг безопасности. «Услуги SOC состоят из трех основных компонентов: технологий, персонала и процессов, – комментирует Владимир Дмитриев. – Поставщик может предоставить заказчику в аренду все необходимые инструменты и средства для мониторинга ИБ и противодействия современным кибератакам в готовом виде. Возможен и второй вариант, когда у заказчика уже внедрены системы мониторинга ИБ, но нет достаточных ресурсов для их эксплуатации. Тогда SOC оказывает свои услуги при помощи уже имеющихся у заказчика средств мониторинга. Также, разумеется, возможны и различные комбинации первого и второго вариантов, но в любом случае SOC использует в своей деятельности средства мониторинга ИБ, которые не выполняют никаких активных действий в ИТ-инфраструктуре заказчика. Воздействия на ИТ-инфраструктуру для противодействия компьютерным атакам и предотвращения инцидентов ИБ осуществляются только ИТ и ИБ подразделениями заказчика, благодаря этому заказчик сохраняет контроль над безопасностью своих информационных ресурсов. Специалисты SOC-центра не заменяют эти службы, а значительно расширяют их возможности, снимают ряд рутинных и узкоспециализированных задач и высвобождает их ресурсы для развития ИТ-сервисов для бизнеса».

Интерес заказчиков к сервисам безопасности объективно растет. Достаточно много компаний сегодня должны продлевать лицензии и обновлять парк имеющегося оборудования, а в результате экономического кризиса оказалось, что все это стоит вдвое дороже, чем до 2014 года. Кроме того, защищаемая инфраструктура становится все более сложной и уязвимой. Пока существует опасность стать жертвой хорошо спланированной и скрытно проведенной кибератаки, без полноценного центра мониторинга вряд ли получится ее обнаружить, защититься или в крайнем случае минимизировать ущерб.