От антивирусов до SOC: из чего нужно строить систему безопасности в вашей компании
Фото: Александр ДУБИНА
Согласно данным отчета «Скрытые издержки киберпреступности», который в 2020 г. подготовили Центр стратегических и международных исследований (CSIS) и компания McAfee, ежегодно из-за различных киберпреступлений мировая экономика теряет 1 трлн USD. По различным оценкам эта цифра может увеличиться в 9 раз к 2030 г.
По Беларуси таких данных нет. Из-за репутационных рисков компании предпочитают не оглашать эту информацию. Но самые громкие случаи подобных преступлений становятся известны. В 2019–2020 гг. экспертно-аналитический центр InfoWatch зафиксировал 22 случая утечки данных из белорусских компаний и государственных органов.
О том, из каких элементов состоит система информационной безопасности в современной компании и почему необходимо уделять внимание этому вопросу, рассказал руководитель направления информационной безопасности Noventiq в Беларуси Александр Дубина.
Почему нужно строить именно систему безопасности, а не полагаться на отдельные решения?
1. Не существует одного универсального решения, которое смогло бы закрыть все бреши в ИТ-инфраструктуре бизнеса. Инструменты защиты предназначены для разных целей, каждый имеет как свои преимущества, так и слепые зоны. Чтобы построить полноценную систему безопасности, необходимо сложить все «кирпичики» вместе.
2. Безопасность – это процесс. Нельзя единожды выделить бюджет, а потом почивать на лаврах. Киберпреступность постоянно совершенствуется, поэтому прогрессивные системы защиты незаменимы.
3. Финансовая выгода такого подхода. Могу привести пример из практики: у одного из клиентов мы запустили пилотный проект с решением по защите от утечек данных. А спустя 3 месяца он сказал, что с помощью этого решения удалось пресечь коррупционные схемы на сумму более 1 млн USD.
Фундамент защиты. Базовый набор
Защита конечных точек
Инструменты: антивирусы, лицензионное ПО.
Когда нужно: когда в компании появляется хоть одно устройство.
В чем ценность: страховка от большинства массовых и распространенных угроз.
Главный недостаток: бессильны перед новыми и сложными угрозами.
Самый элементарный уровень защиты процессов, бизнес-данных и конфиденциальных сведений. В сфере безопасности эти решения называют «защитой от дурака», поскольку антивирус защищает от уже известных вирусов, червей, троянов, которые ранее попали в базы.
К фундаменту безопасности также относится лицензионное программное обеспечение, потому что только на нем можно получать регулярные обновления, которые содержат в себе своевременную проработку всех возможных на данный момент уязвимостей.
Защита периметра
Инструменты: межсетевой экран (Firewall).
Когда нужно: всегда, если в компании есть интернет.
В чем ценность: базовая защита корпоративной сети от угроз извне.
Главный недостаток: защита только базовая, остаются уязвимые места для изощренных атак, которые закрываются другими средствами защиты.
Самая первая охранная система на пути злоумышленника – межсетевой экран, или фаервол. Это комплекс аппаратных и программных средств, которые контролируют и фильтруют проходящий через них трафик на различных уровнях по заданным правилам. Такая своеобразная стена, граница между организацией и интернетом, через которую можно безопасно взаимодействовать. Основные задачи фаерволов – защита компьютерных сетей от вторжений, контроль доступа пользователей в интернет, проверка трафика на угрозы, фильтрация сетевых пакетов.
Это средство защиты относится к фундаменту безопасности и обязательно для применения. Тем не менее оно не может решить все проблемы. Сетевые экраны бывают с разными возможностями, но всегда есть риск, что в них останутся узкие места, которые злоумышленники смогут обойти при продуманной целевой атаке. Также они не защитят от внутренних угроз.
Защита продвинутого уровня
Продвинутая защита конечных точек
Инструменты: EDR (Endpoint Detection & Response).
Когда нужно: для предотвращения сложных атак путем своевременного обнаружения фактов зловредной активности.
В чем ценность: базовая защита конечных точек внутри периметра от сложных угроз.
Главный недостаток: необходимость в высококвалифицированных специалистах и интеграции с другими средствами защиты, чтобы не только обнаруживать угрозы, но и ликвидировать их.
Если антивирусы предотвращают проникновение типовых угроз, то EDR выявляет неизвестные сложные угрозы и скрытые атаки. Решение постоянно мониторит состояние конечных точек (почты, виртуальных машин, интернет-шлюзов) и обнаруживает злонамеренную активность путем поведенческого анализа. С его помощью команда безопасности сможет вовремя отследить угрозы, в т.ч. целенаправленные атаки, и принять меры.
Главная задача, которую решает EDR, – обнаружение и исследование вредоносной активности. Это значит, что внутренние угрозы все-таки могут проникнуть в сеть. И хотя в решении есть функционал, позволяющий блокировать атаки и изолировать файлы, для максимальной защиты одного EDR недостаточно. Требуется квалифицированная команда аналитиков службы безопасности, которые будут с этой системой работать, и интеграция с другими средствами безопасности.
Защита от неизвестных угроз
Инструменты: песочница (Sandbox).
Когда нужно: при любом взаимодействии с внешними файлами.
В чем ценность: возможность бюджетно, без сложных настроек и привлечения специалистов блокировать новые угрозы и сложные атаки.
Главный недостаток: вредоносное ПО может не раскрыться в песочнице, если она будет плохо имитировать реальную среду.
Песочница – один из элементов комплексной защиты от неизвестных и сложных угроз (ATP). Создается изолированная среда, в которую попадают все файлы, загружаемые пользователями из интернета, письма, документы и т.д. После того, как с помощью поведенческого анализа выясняется, что файлы безопасны, они передаются в распоряжение пользователей.
Песочница – это возможность посмотреть, как бы файл вел себя, если бы попал на реальную рабочую станцию. Если он пытается совершать неправомерные действия, запрашивать доступы, шифровать файлы, распространять вирус по сети, то можно легко заблокировать его и не дать проникнуть в реальную инфраструктуру. Песочницы очень популярны, потому что их эффективность высока, а внедрение не требует сложных настроек и весомых затрат при эксплуатации и обслуживании.
Однако есть в песочнице и слабые места. Например, для целевых атак может создаваться вредоносное ПО, которое запускается только при наличии определенных приложений и утилит на рабочей станции. А если они будут отсутствовать в изолированной среде эмуляции, то и зафиксировать атаку песочница не сможет, вредоносный файл попадет в реальную инфраструктуру. Тем не менее в комплексе с другими средствами песочница служит незаменимым звеном в системе информационной безопасности.
Защита сети
Инструменты: NTA (Network Traffic Analysis) – системы анализа сетевого трафика.
Когда нужно: когда инфраструктура подключена к сети и есть вероятность целевых атак.
В чем ценность: подробная картина активности в инфраструктуре и хранение трафика.
Главный недостаток: необходимость в интеграции с другими средствами защиты, чтобы не только обнаруживать угрозы, но и ликвидировать их.
Системы анализа сетевого трафика выявляют угрозы, исследуя события на уровне сети. Возможности мониторинга трафика позволяют обнаружить присутствие злоумышленников на ранней стадии атаки, оперативно локализовывать угрозы, а также контролировать соблюдение регламентов. NTA способны хранить копию обработанного трафика, что важно при расследовании инцидентов.
Такие решения оперируют большими объемами трафика. Это значит, что с их помощью отслеживаются не единичные срабатывания, а выстраивается цепочка атаки, что возможно благодаря комбинации поведенческого анализа, машинного обучения, ретроспективного анализа, индикаторов компрометации и др. NTA обнаруживают подозрительную активность в трафике, которую пропускают фаерволы, и лучше отслеживают действия злоумышленников в слепых зонах.
Предотвращение утечек, защита данных
Инструменты: DLP, VPN.
Когда нужно: когда есть сотрудники, работающие с конфиденциальными данными, или просто удаленные сотрудники.
В чем ценность: выявление и блокировка утечек, зашифрованная передача данных, контроль за сотрудниками.
Главный недостаток: сложное внедрение, настройка и администрирование.
Защищаясь от внешних угроз, нельзя забывать про опасность изнутри. DLP – это технологии, а также программные или программно-аппаратные средства для предотвращения утечек конфиденциальной информации. Они отслеживают пересылки документов по электронной почте, копирование информации на съемные носители, передачу через веб-сервисы, соцсети, облачные хранилища, даже фотографирование и печать документов. Эти технологии выявляют утечку, инициированную сотрудником или вредоносным ПО, блокируют передачу данных вовне и уведомляют об этом сотрудника по информационной безопасности.
DLP также выполняют побочные задачи. С их помощью можно отслеживать, что сотрудники делают в течение рабочего дня, что печатают, какие письма пересылают и т.д. Это стало особенно популярным в период массовой удаленной работы. Многие руководители хотят располагать такой статистикой для контроля и управления командой. Но с помощью этих возможностей можно выполнять и более весомые задачи: выявлять коррупционные схемы, теневые взаимодействия, контракты по завышенным ценам и т.д. Даже на этапе пилотных проектов DLP обнаруживают нарушения.
Как уже отмечалось выше, по словам одного из наших заказчиков, за 3 месяца пилота компания сэкономила около 1 млн USD. А пилоты в таких проектах – частое явление, поскольку решения довольно сложны в исполнении и требуют последующего администрирования высококвалифицированными специалистами.
VPN-решения используются рядовыми пользователями, чтобы сохранить анонимность в сети и пользоваться заблокированными ресурсами. Компании же применяют VPN, чтобы зашифровывать конфиденциальные данные при удаленной работе. На предприятиях выстраиваются защищенные каналы связи между филиалами и контрагентами, шифруются каналы связи для защиты передаваемой информации. VPN обеспечивает доставку зашифрованной информации из точки A и ее расшифровку в точку B.
Из минусов: протокол безопасности сложно настроить, а ошибки в настройке могут привести к уязвимостям и утечкам, поэтому для работы с ним необходимо привлекать опытных специалистов.
Прогрессивная защита. Фокусные решения
Решение внутренних задач безопасности
Инструменты: сканер безопасности, WAF (Web Application Firewall).
Когда нужно: при наличии как минимум фундамента безопасности, а также веб-приложений для работы с клиентами.
В чем ценность: своевременное закрытие брешей безопасности и защита репутации.
Главный недостаток: сканер – необходимость в регулярном сканировании и оценке специалистов, WAF – индивидуальная настройка под клиента.
В каждой компании в зависимости от бизнес-процессов, отраслевых стандартов есть свой специфический набор задач по безопасности. Чем больше инфраструктура, тем проще упустить что-то в ее защите. Поэтому необходимо иметь инструмент, который будет проверять систему безопасности на наличие ошибок, – сканер безопасности. С его помощью можно «просветить» инфраструктуру организации на наличие уязвимостей, отсутствие обновлений и т.д. Сканер дает понять, на что стоит обратить внимание и какие бреши закрыть.
Например, в организации забыли обновить фаервол, а за это время в его модели стала общеизвестной какая-либо уязвимость. Злоумышленники получают прекрасную возможность «прощупать» это слабое место, а значит, предприятие будет под угрозой.
Сканер работает с базой данных актуальных уязвимостей и указывает на потенциальные дыры. Обязательное сканирование может быть закреплено даже законодательно в отраслевых стандартах. Например, банки обязаны по закону проводить аудит безопасности и предоставлять отчеты о сканировании. Недостаток этого инструмента может заключаться в том, что он делает статичный снимок состояния инфраструктуры, поэтому регулярность сканирования – обязательный пункт для безопасности. Также при анализе данных сканером всегда требуется оценка снимка квалифицированными специалистами.
Web Application Firewall похож по своим функциям на межсетевой экран для защиты периметра, но предназначен для веб-приложений, к примеру, для защиты интернет-банкинга. Пользователи вводят в форму свои личные данные, пароли, проводят платежи и делают все это за пределами периметра безопасности банка. Через форму сайта злоумышленники часто взламывают внутреннюю базу данных и делают это путем элементарного подбора паролей. WAF закрывает это узкое место в защите при условии грамотной настройки и адаптации под клиента.
Анализ исходного кода
Инструменты: Application Inspection.
Когда нужно: когда необходимо проверить безопасность новой разработки.
В чем ценность: разработчики могут проверять собственные разработки, а компании – безопасно принимать приложения от подрядчиков.
Главный недостаток: могут быть ложные срабатывания, из-за чего процесс проверки нельзя полностью автоматизировать, необходимо привлекать специалистов.
Application Inspection – решение для выявления ошибок и уязвимостей в исходном коде или готовом приложении. С его помощью выстраивается процесс безопасной разработки. В первую очередь, это решение полезно самим разработчикам, поскольку они заинтересованы в качестве своей продукции и репутации. Однако чем тщательнее компания относится к безопасности, тем больше в ней стремления не доверять на слово, а самостоятельно проверять все потенциальные источники угроз.
Таким образом, самостоятельно проведенный анализ дает заказчику возможность точно установить уязвимости и право требовать их устранения за счет разработчика согласно договору. Это решение можно приобретать как лицензию или услугу вплоть до ручного анализа кода, когда специалисты точечно разбирают каждую строчку кода и пытаются эксплуатировать уязвимости.
Управление правами
Инструменты: IDM-системы.
Когда нужно: если в компании более 1000 пользователей и от трех информационных систем.
В чем ценность: автоматизированное управление правами доступа, исключение инцидентов из-за «мертвых душ».
Главный недостаток: долгая окупаемость.
Этот класс решений призван бороться с «мертвыми душами» – неудаленными учетными записями ушедших из компании сотрудников. Чем они опасны? Тем, что не все покидают компанию лояльно и могут использовать свои права доступа как способ навредить бывшему работодателю. И даже если такой цели нет, злоумышленники иногда специально ищут представителей «мертвых душ» по конкретным компаниям, а устоять перед возможностью легкого заработка могут не все. Тем более что найти виновных практически невозможно. Ведь по факту не происходит никакого взлома, злоумышленник проникает в систему легитимно. IDM-системы позволяют автоматизировано управлять правами доступа от момента прихода сотрудника в компанию, когда необходимо пройти процесс согласований и предоставлений прав и доступа, до момента его официального увольнения.
Чтобы избежать инцидентов, необходимо вовремя удалять учетные записи. И до тех пор, пока размеры компании позволяют администратору справляться с этой задачей в ручном режиме, нет острой необходимости в IDM-системе. Но чем больше в компании сотрудников и информационных систем, тем больше вероятность допустить ошибку, которая может стоить потери бизнеса. Как правило, в больших компаниях, которые уже много лет ведут свою деятельность, «мертвые души» встречаются в огромных количествах, что делает эту уязвимость одной из самых распространенных.
Управление доступом
Инструменты: 2FA, PAM.
Когда нужно: когда применяются парольные методы защиты, когда в компании есть ИТ-администраторы.
В чем ценность: значительное усиление парольной защиты, контроль администраторов.
Главный недостаток: в некоторых случаях зависимость от сети на мобильном телефоне.
Применение 2FA и PAM довольно обширно ввиду небольшой стоимости и высокой результативности. Двухфакторная аутентификация (2FA) управляет доступом к системам компании на уровне пользователей. Она служит усилением парольной защиты, т.е. при подключении к ресурсам недостаточно просто ввести правильный пароль, нужно еще авторизоваться, получив дополнительный код, например, на почту или телефон. Сегодня это особенно актуально, поскольку обычные пароли для злоумышленников практически перестали быть барьером.
PAM или Privileged Access Management – это управление привилегированным доступом на уровне администраторов. С помощью этого класса решений компании могут контролировать собственных сисадминов и точно знать, что они не превышают своих прав. Еще этот инструмент полезен, когда, к примеру, падает какая-то система и необходимо разобраться в причинах. PAM дает возможность поднять хронологию действий и вычислить, где и кем была допущена ошибка. Контролировать с помощью PAM можно не только своих, но и внешних подрядчиков. Если приходится привлекать специалистов для работы с ИТ-системами, необходимо защищать себя и видеть все совершаемые действия.
Управление ИБ и инцидентами
Инструменты: SIEM.
Когда нужно: когда устройства безопасности генерируют тысячи событий в секунду и их становится невозможно обрабатывать силами специалистов.
В чем ценность: максимально полная картина безопасности организации в едином окне и возможность отслеживать все возможные виды злонамеренной активности.
Главный недостаток: высокая стоимость построения системы и экспертизы специалистов.
Если компания растет, то неизбежно растет и ее система информационной безопасности. Купив антивирусы, фаерволы, EDR, 2FA и другие решения для головного офиса и всех филиалов, компания рано или поздно сталкивается с проблемой: как за всем этим следить? Ведь у каждого из этих инструментов своя зона ответственности и ограниченные возможности, а обеспечение безопасности должно быть комплексным. Да, есть ИБ-специалисты, но люди не обладают возможностями ежесекундно отслеживать все происходящие в компании процессы.
SIEM собирает информацию со всех инструментов безопасности, в т.ч. от различных производителей, и выводит ее на один экран. Помимо удобства отображения информации ценность системы – в подробном сборе событий, их объединении в логическую цепочку и оповещении о возможности инцидента. Дело в том, что средства безопасности по отдельности могут не видеть злонамеренную активность, и обнаружить ее можно только при корреляции информации из разных источников.
Так, с помощью SIEM ИБ-специалисты получают возможность видеть всю картину безопасности в организации целиком, получать уведомления о всех возможных нарушениях и максимально оперативно предотвращать инциденты, которые другими средствами безопасности могли быть пропущены. В последние годы SIEM становится одним из часто покупаемых решений, несмотря на высокую стоимость, поскольку растет понимание необходимости построения систем ИБ, а не покупки отдельных решений.
Реагирование на инциденты
Инструменты: SOAR (Security Orchestration, Automation and Response).
Когда нужно: когда в компании нет отлаженной системы реагирования на инциденты.
В чем ценность: автоматизация систем ИБ и оперативное реагирование на инциденты.
Главный недостаток: сложность внедрения и интеграции.
Если SIEM-системы нацелены на сбор информации и подразумевают в большей степени управление и реагирование в ручном режиме, то SOAR – это инструмент автоматизации и оркестрации. То есть с его помощью можно управлять системами безопасности и координировать их работу. При этом в решении предусмотрены широкие возможности автоматического сбора данных, анализа и реагирования на инциденты. Из-за того, что природа атак усложняется, а поток инцидентов иногда становится лавинообразным, потребность выполнять шаблонные и рутинные операции без привлечения человека становится с каждым днем актуальнее. SOAR позволяет специалистам сфокусироваться на сложных инцидентах, а также на совершенствовании системы ИБ.
Комплексная система безопасности
Инструменты: SOC (Security Operation Center).
Когда нужно: когда в компании развитый ИБ-ландшафт и повышенный риск влияния ИБ-угроз на бизнес.
В чем ценность: максимально возможное снижение рисков, оптимизация ИБ-процессов.
Главный недостаток: сложные процессы настройки и сопровождения центра, а также зависимость от квалификации сотрудников SOC.
SOC – это вершина построения той самой системы безопасности, о которой говорилось в самом начале. Центр мониторинга и реагирования на инциденты строится на базе описанных технологий, главным образом на SIEM и SOAR, с обязательным участием ИБ-специалистов. Главная задача сотрудников SOC – любыми путями не допускать инцидентов, эффективно устранять их и расследовать. Для этого выстраивается сложный комплекс из технических средств, рабочих процессов и консалтинговой работы специалистов. Это позволяет контролировать состояние ИТ-инфраструктуры так детально, насколько это вообще возможно.
За счет того, что SOC – это не просто технология или разовая услуга, а целый центр, он помогает реализовывать главный принцип безопасности – процессный подход. Ведь злоумышленники постоянно совершенствуются, и чтобы противостоять им, нужен комплекс из технологий и неутомимых воинов на «светлой стороне». SOC можно построить самостоятельно, но без должного опыта это затратно и слишком сложно. Граздо выгоднее делегировать это профессионалам и воспользоваться SOC как услугой.
Мониторинг информационного пространства
Инструменты: ETHIC (External Threats & Human Intelligence Center).
Когда нужно: когда бизнесу важна репутация в цифровом пространстве.
В чем ценность: проактивная защита бизнеса.
Главный недостаток: обнаруженные угрозы нельзя откладывать в долгий ящик, требуется мгновенная реакция ИБ-специалистов.
Идеальная характеристика защиты – проактивность. Сервис ETHIC создан специально для выявления потенциальных угроз задолго до того, как их признаки начнут проявляться в инфраструктуре. Он сочетает в себе технические разработки и труд аналитиков, которые направлены на постоянный мониторинг угроз и рисков для бизнеса, а также своевременное реагирование для их предотвращения. Это решение позволяет видеть в интернете все, что касается компании. С помощью ETHIC выявляются слитые базы, «мертвые души», поддельные сайты компании, созданные для обмана, утечки конфиденциальных данных и многое другое.
Например, если кто-то на форуме в даркнете интересуется организацией, ищет людей с правами доступа, выискивает IP, то сервис засечет эти упоминания, что даст преимущество отделу ИБ в подготовке к возможным атакам, либо, если это возможно, они будут сразу заблокированы в рамках сервиса.
Как определить, на какой стадии ваша безопасность?
Руководителю любой компании нужно начинать с инвентаризации всей информационной системы, на которой построены бизнес-процессы:
-
создать коллектив из юристов, специалистов по ИТ и ИБ;
-
посмотреть на угрозы, риски и разработать механизмы нейтрализации этих угроз. Механизмы могут быть и организационными, и правовыми, и техническими, и социальными.
Чтобы окончательно определить уровень безопасности в компании, необходим профессиональный аудит, который покажет, как работает компания в реальном времени. Таким образом, построение системы безопасности вашей компании необходимо начать с аудита и закончить аудитом.
