Возрастающие риски для информационной безопасности заставляют бизнес пересматривать подходы к обеспечению защиты в этой сфере. Специалисты ищут оптимальные подходы противодействия киберугрозам — эффективные и в тоже время экономически целесообразные.
Бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий на конференции A1 Tech Day рассказал о новом взгляде на обеспечение киберзащиты. Смысл в том, чтобы определить для конкретной компании главные угрозы и нейтрализовать, в первую очередь, их. Иными словами, сделать недопустимое невозможным.
Для бизнеса кибербезопасность заключена в нескольких компонентах. И речь уже далеко не только о том, чтобы не допустить взлома с негативными последствиями. Хакерские атаки перестали быть однократными, как это было всего несколько лет назад. Сейчас они могут непрерывно продолжаться неделями, а то и месяцами. И компании важно несмотря ни на что продолжать работать.
«Недопустимые события формируются в зависимости от того, чем занимается компания. Это может быть потеря 10-15% от суммы на счетах. Или срыв контрактных обязательств, что влечет за собой штрафные санкции, репутационные издержки. Для госпредприятия — непредоставление госуслуги на период от нескольких часов до нескольких дней», — привел примеры Алексей Лукацкий.
Как правило, угроз с опасными последствиями не так много. В среднем у компании их 3-5, максимум 7. Концепция недопустимых событий состоит в том, чтобы защищаться не от всего спектра возможных угроз, а, прежде всего, от того, что критично.
Ранее акцент делали на том, чтобы выстраивать своего рода стены вокруг защищаемой информации. «Концепция периметра, «свой-чужой» дает сегодня сбой. У нас нет «своего-чужого», есть концепция нулевого доверия Zero Trust, предполагающая отсутствие доверия к кому бы то ни было. Поэтому нужно сдвигать акценты с выстраивания стены в сторону реагирования на способы ее сломать, обойти, сделать подкоп и т.д. Раньше 80% усилий были направлены на защиту, 15% — на обнаружение, 5% — на реагирование. Сегодня целесообразно распределять силы в равной степени», — полагает эксперт.
Результативная безопасность начинается с определения недопустимых событий. Для этого специалист по защите в этом плане должен выстроить коммуникацию с топ-менеджерами. Затем с помощью сотрудников IT-подразделения нужно определить ключевые целевые системы, в которых могут быть реализованы недопустимые события. Далее идет построение архитектуры информационной безопасности, подготовка защитных мероприятий и персонала. По сути проходит классическая инвентаризация с прицелом на кибербезопасность.
Что касается ключевых целевых систем, то здесь стоит учитывать, что злоумышленник обычно стремится максимально сократить путь до них от точки проникновения в корпоративную или ведомственную инфраструктуру. Как показывают тесты, ему нужно 1-2 шага, чтобы добраться до целевой системы, а должно быть 5-6. Как правило, это происходит из-за отсутствия сегментации, внутренних средств защиты.
Можно попробовать защитить всю инфраструктуру, но на это, как правило, нет средств. Идея с недопустимыми событиями позволяет сделать правильный выбор и соблюсти баланс между харденингом (недопущением) и мониторингом и реагированием. «При этом мы не пытаемся съесть слона целиком, а едим его по частям. При наличии трех-пяти недопустимых событий оперативно закрываем возможность их реализации. А потом можно приступать к защите от нежелательных. Примечательно, что в борьбе с недопустимым, одновременно закрываются задачи и по нежелательным событиям», — подчеркнул Алексей Лукацкий.
В дальнейшем остается регулярно проверять эффективность выстроенной защиты с помощью пентестов, киберучений и т.д., резюмировал он.
Конференция А1 Tech Day состоялась в Минске 29 ноября. Она собрала более 500 участников — представителей бизнеса, госкомпаний и учреждений. Обсуждались современные технологии кибербезопасности, оптимальные подходы к построению соответствующей инфраструктуры, самые эффективные практические кейсы в этой сфере. Конференцию организовала компания А1, провайдер телекоммуникационных, ИКТ- и контент-услуг в Беларуси.
