Хуан Антонио Кальес: «Без соответствующих специалистов меры безопасности быстро устаревают»
В первой части нашего интервью с Хуаном Антонио Кальесом, генеральным директором Zerolynx и директором по безопасности в Osane, мы узнали, как гарантировать безопасность облачных платформ, и обсудили угрозы, которые в настоящий момент наиболее актуальны для корпоративной информационной безопасности, а также поговорили о том, как можно смягчить их влияние. Во второй части данного интервью Хуан Антонио рассказывает о наиболее важных моментах в таких направлениях как цифровой экспертный анализ (digital forensic analysis), биохакинг, SIRP и кибер-устойчивость.
Panda Security ( P . S .): Насколько важен цифровой экспертный анализ в деловом мире?
Хуан Антонио (Х.А.): Прежде чем проводить какой-либо цифровой экспертный анализ, необходимо выяснить, что случилось, какова цель анализа и какие активы пострадали. Мы не будем действовать одинаково при анализе сети Windows, пострадавшей от шифровальщика и при расследовании того, как был перехвачен счет в рамках CEO-аферы. Нам необходимо адаптировать нашу методологию на индивидуальной основе в зависимости от инцидента. Цифровой экспертный анализ является базовой функцией в компаниях, если требуется ответить на такие вопросы: что произошло, как и почему это стало возможно? И такой вид анализа служит не только для того, чтобы расследовать инцидент, но он также позволяет, например, разобраться в том, кто из сотрудников может осуществлять кражу информации, какие угрозы выполняются через корпоративную электронную почту и многое другое.
P . S .: Что такое биохакинг, и какое применение он может иметь для компаний?
Х.А.: Термин биохакинг имеет очень широкое определение, и он может относиться к различным дисциплинам и направлениям от DIY-биологии, гриндеров, которые встраивают в свои тела различные технологические решения, до нутригеномики. Мы в Zerolynx в сотрудничестве с доктором биохимии Патрицией Радой из Ciberdem (Центр сетевых биомедицинских исследований), проводим исследования по хранению и сокрытию зашифрованной информации в ДНК. Это сложное исследование, в рамках которого мы находим барьеры, которые пока сложно преодолевать с помощью доступных на сегодняшний день технологий. Мы провели тесты на симуляторах, а теперь мы проводим реальные тесты на бактериальных штаммах. Располагая соответствующими ресурсами и видя, насколько некоторые организации заинтересованы в том, чтобы данные исследования продвигались вперед, мы верим, что мы сможем увидеть какой-то прототип через пару десятилетий. Возможности почти безграничны, но это, конечно, не совсем то, что мы увидим в компаниях в краткосрочной перспективе.
P . S .: Каковы 5 наиболее важных шагов в эффективном плане реагирования на инциденты?
Х.А.: Еще до того момента, как случится инцидент, мы уже должны быть уверены в том, что у нас имеется план по обеспечению непрерывности работы предприятия и соответствующий план на случай непредвиденных обстоятельств: мы должны заранее обучить наших сотрудников, чтобы они были в состоянии обнаруживать инциденты и знать, как правильно реагировать на них, в соответствии с тем, что установлено на корпоративном уровне.
Первым шагом в плане по реагированию на инциденты безопасности (SIRP, Security Incident Response Plan) должно быть обнаружение и оповещение сотрудников, которые отвечают за реагирование на инциденты. Поскольку требуемые шаги в случае с шифровальщиками, CEO-аферами или, допустим, пожаром в дата-центре являются различными, то сотрудники, которые обнаружили инцидент, должны уметь предоставить максимально полную информацию тем сотрудникам, кто отвечает за реагирование на инцидент, чтобы последние могли провести быстрый анализ и понять, как им следует реагировать на конкретную угрозу. Следующим шагом, направленным на обеспечение непрерывности работы предприятия, станет изоляция зараженных (пострадавших) окружений, а также сбор соответствующих доказательств для исследования источника проблемы и, если необходимо, проведения в последующем глубокого экспертного анализа. Это может привести к определенным правовым последствиям, если будут обнаружены вредоносные действия. В этом случае, прежде чем предпринимать какие-либо действия с пострадавшими активами, компании необходимо гарантировать соответствующую цепочку сохранности, а также клонирование и цифровой «слепок» пострадавших активов, чтобы обеспечить целостность информации, которую они могут содержать. Затем инцидент будет расследоваться и при необходимости о нем будет сообщено в соответствующие органы. Наконец, все предпринятые действия и полученные из инцидента выводы должны быть систематизированы в интересах самой компании, чтобы улучшить свои процедуры реагирования на последующие инциденты.
P . S .: Как компания может стать кибер-устойчивой?
Х.А.: Компаниям необходимо назначить руководителя по ИТ-безопасности ( CISO ) с надлежащим уровнем знаний и подготовки, и предоставить ему необходимые ресурсы для выполнения своей работы. Этот человек нуждается в сильной команде, которая сможет работать как с точки зрения соответствия нормативно-правовым положениям в сфере информационной безопасности, так и в плане технических и операционных аспектов. Существует много технологий, которые могут быть использованы для защиты корпоративных активов: системы резервного копирования, файерволы, системы обнаружения вторжений, SIEM и т.д. Тем не менее, без подходящих специалистов все эти меры безопасности, как правило, быстро становятся устаревшими и перестают работать в качестве реальных барьеров на пути у кибер-преступников, которые угрожают компаниям каждый день. Любое предприятие, которое не может иметь у себя собственную высококлассную кибер-команду, должно воспользоваться профессиональными услугами тех специализированных компаний, которые работают в данном секторе. Надежный поставщик с защитой, которая адаптируется к тому, что требуется предприятию, является ключевым звеном для компаний, которые не располагают своими собственными мерами безопасности.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.