Вокруг российского ИБ: три новые тренда. Часть I

24 октября 2024 г.

Развитие новых концепций в плане инфобезопасности — хороший знак. Все они будут актуальны за пределами 01.01.2025, когда должно завершиться «ударное импортозамещение» средств защиты информации (СИЗ), и созданные в недружественных странах будут заменены на доверенные везде, где положено Указом № 250, а поэтому заслуживают подробного рассмотрения.

Заметим, что три концепции, которые будут упомянуты, не «новодел». Все три существуют на рынке много лет, прошли достаточно длительный путь развития и доказали свою эффективность. Подчеркнем, что «внутри» инфобезопасность останется все той же — сетевая, защита конечных точек и т. д.

«Технические средства защиты необходимы, но их недостаточно», — напоминает Муслим Меджлумов, директор по продуктам и технологиям в BI.ZONE. Рассматриваемые нами концепции, по сути, не технические, но они способны существенно повлиять на уровень инфобезопасности, упростив понимание ситуации многими заказчиками, которые будут более осознанно и точно ставить задачи ИБ-структурам, как внешним, так и внутренним.

Концепция «недопустимых событий»

Концепт, который на локальном рынке начал активно продвигать Positive Technologies, но подхваченный на высшем уровне, базируется на идее, вполне понятной любому бизнесу: организовать полную защиту инфраструктуры компании сегодня невозможно — рельеф сложен, уязвимостей много, хакеры активны и т. д. — но стоит определить набор недопустимых событий, от которых защитить можно и нужно.

«Вообще любые риски в информационной безопасности должны быть исключены, — отметил Александр Шойтов, замглавы Минцифры РФ. — Но все-таки, например, для руководителя крупной компании должно быть драматически важно, что он гарантированно исключит наиболее значимые риски».

Эта концепция хорошо понятна корпоративным заказчикам, так как позволяет перевести разговор из терминов ИБ в дискуссию с рассмотрением реальных событий, очевидных рисков, требуемых инвестиций и прочих понятий, которые легко воспринимают «лица-принимающие-решения» — директорат, финансисты и пр. Подчеркнем, что концепция «недопустимых событий» больше, чем инициатива одной отдельно взятой компании, даже являющейся грандом локального рынка: Минцифры России в середине прошлого года занялся пилотной апробацией методики определения недопустимых событий в ИБ, которая создана для выявления наиболее значимых рисков в этой сфере.

Интуитивно к практикам «недопустимых событий» приходят большинство компаний. Например, при выборочном укреплении защиты ИТ-инфраструктуры большинство корпоративных заказчиков — 70% — приоритезируют задачи основываясь на важности активов, отмечается в исследовании «Готовы ли российские компании противостоять кибератакам?» Однако есть нюанс: большинство при этом не учитывают возможные пути продвижения злоумышленников в инфраструктуре, что не позволяет создавать действительно эффективную защиту. Вывод: консалтинг все же нужен.

Примеры недопустимых событий

Есть общие, типизированные недопустимые события, и их перечень с высокой степенью вероятности будет уточнен и расширен в зависимости от вертикального рынка, на котором работает заказчик, особенностей конкретной компании и т. д. Например, для любой компании в этом списке будут сохранение непрерывности бизнес-процессов, защита персональных данных, недопустимость перевода хакерами денег с банковских счетов и пр. Но в ходе консалтинга выясняют — и добавляют в этот список — события специфические.

Например, похищение хакерами «белой бухгалтерии» вполне допустимо, но вот попадание «прочей» финансовой документации в руки посторонних по понятной причине неприемлемо — за эти данные киберпреступники могут потребовать большой выкуп. Пример наиболее очевидный, хотя касается не всех. Взлом системы видеонаблюдения в офисах — ситуация неприятная, но не критична, в отличие от успешной атаки на систему охлаждения серверных, однако тоже не для всех: у компании может не быть собственных серверных — коллокация и использование «облаков» позволяют избавиться от них. Утечка штатного расписания или, предположим, зарплатных ведомостей, конечно, неприятны, но не более того, в отличие от похищения технологических ноу-хау, активных тендерных предложений и прочих чувствительных данных. Важно определить критически опасные угрозы, которые необходимо отслеживать и оперативно устранять, отмечает Кирилл Шипулин, руководитель группы обнаружения атак в сети продукта PT NAD экспертного центра безопасности в Positive Technologies.

Чем концепция актуальна для ИБ

Рассматриваемая концепция лежит в основе «результативной кибербезопасности» — так называют состояние защищенности организации, способное обеспечить ее устойчивость к кибератакам и позволяющее в любой момент на практике подтвердить, что злоумышленник не сможет реализовать недопустимые для этой организации события. Результативная кибербезопасность выгодна как технически, так и экономически.

Точное понимание местонахождение зон и процессов, подлежащих усиленной защите, упрощает «безопасникам» проектирование, развертывание и дальнейшее развитие систем защиты, а также ряд других задач. Например, финансистам становится проще планировать вложение в ИБ, «безопасникам» — организовать пентесты, входить в багбаунти-программы и т. д.

Подключение новых форматов

Заметим, что на недопустимых событиях — причем на нишевых, характерных для вертикального рынка и даже для сегмента внутри него — специалисты по кибербезопасности концентрируют внимание в ходе разных активностей.

Например, специалисты «Гринатома», представленные командой GreenWallTeam, выявили 204 атаки и предотвратили 112 инцидентов на объектах атомной энергетики в кибербитве Standoff 13. Были отражены попытки атакующих реализовать такие недопустимые события как остановка турбины АЭС и центрифуг для обогащения урана, утечка данных о транспортировке радиоактивных материалов и т. д. Команда компании не первый раз принимает участие в Standoff, напомнила Мария Давыдова, директор департамента контроля ИБ и противодействия угрозам в «Гринатом», выступая на мероприятии Ассоциации РУССОФТ.

Другой пример: багбаунти — формат, упрощающий и легализующий привлечение «белых хакеров» к анализу защищенности корпоративных заказчиков — становится все популярней в российских условиях. «Выход на багбаунти — это еще один шаг в сторону повышения уровня защищенности сервисов, — уверен Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству в BI.ZONE. — Благодаря помощи независимых исследователей компания сможет постоянно получать информацию об уязвимостях внешнего периметра, оперативно исправлять баги и предотвращать их эксплуатацию злоумышленниками».

В ряде случаев корпорации интересуют не технические уязвимости, а именно возможность реализации недопустимых событий, за что «белым хакерам», участвующим в программах багбаунти, готовы платить серьезные суммы. Напомним, что в багбаунти уже участвуют крупнейшие российские компании (например, «Сбер», «Согаз» и др.) и целые регионы РФ (например, Московской, Ленинградской, Нижегородской, Волгоградской и др.).

Продолжение следует

Источник: Александр Маляревский, внештатный обозреватель IT Channel News