Большой шкаф громче падает? Поговорим о зрелости ИБ в SMB и Enterprise

Текущая ситуация такова: постоянные DDOS-атаки на российские сайты и требования регуляторов стимулируют российские компании двигаться в направлении осознанной зрелости. Эта тенденция критична для целых сегментов рынка. Так, согласно аналитике Positive Technologies, в 2021 году из всех отраслей чаще всего атакам подвергались госучреждения и медицинские организации. За прошедший год наблюдался рост продаж ИБ-решений в данных сегментах.

Но во всех ли секторах ситуация с ИБ-зрелостью одинакова? Что критично для российского SMB, возможно, некритично для в enterprise-компании? Как вообще бизнесу выяснить, на каком он находится этапе по «шкале ИБ-зрелости»? И что нужно сделать, чтобы «шкаф» не рухнул? Каковы шансы компаний «выжить», и можно ли все-таки достигнуть идеала в ИБ? Разбираемся с Игорем Тюкачевым, руководителем отдела развития бизнеса продуктов ИБ компании Axoft.

Disclaimer

Команда Axoft создала градацию ИБ-зрелости, чтобы понимать, на каком уровне информационной безопасности находятся компании-клиенты наших партнеров. Основная цель – подобрать оптимальные решения под задачи заказчиков. Данная шкала, как и ее тезисы – не константны, и представляют, скорее, нечто среднее «по больнице».

Этап 1: начальный SMB. В почете – cloud-решения и открытое ПО

Компании, находящиеся на этом этапе, – стартапы со штатом до 20 человек. Они, скорее всего, уже получили финансовые вливания и проходят уровень разработки идеи. Главное правило у таких компаний – «Поменьше израсходовать – побольше сэкономить». ИТ-сотрудника нет. Если возникают ИТ-проблемы/задачи – рассчитывают только на себя. В почете – cloud-решения и открытое программное обеспечение. Не пользуются резервным копированием, общие пароли для них – не редкость.

Как компании перейти на следующий этап ИБ-зрелости? Резервное копирование и двухфакторная аутентификация – это минимальный must have-набор.

Этап 2: улучшенный SMB. Есть ИТ-специалист, нет бюджета

Портрет бизнеса:

• Число специалистов – от 50 до 250 человек.
• Бизнес-идея работает, компания вкладывает ресурсы в развитие продаж.
• Формируется ИТ-инфраструктура.
• Штат постепенно расширяется, появляется ИТ-специалист.
• Бюджет на ИТ отсутствует, все вопросы решаются от случая к случаю.
• Компания предпочитает платные антивирусы или комплексные ИБ-продукты для среднего бизнеса. Безопасность периметра обеспечивает UTM-решение.

Сайт, как правило, является для таких компаний одним из главных инструментов продаж. И ему требуется защита веб-приложений. Особое внимание нужно обратить на обеспечение безопасности почты – большая часть угроз приходит именно с письмами. Не будет лишним анти-спам-решение.

Как подтянуть уровень ИБ в компании? Расширить обязанности ИТ-специалиста, добавив ему задачи по информационной безопасности.

Этап 3: профи SMB. Обороты растут, ИБ-хаос крепчает

Портрет бизнеса:

• Обороты растут, число сотрудников – от 500 до 1000 человек.
• Есть потребность в регламентации бизнес-процессов.
• Внедряются новые информационные системы, их число растет. Как следствие – увеличивается количество СУБД, которые также необходимо защищать.
• Растет IT-инфраструктура – появляется собственный центр обработки данных. Как вариант – арендуется место в коммерческом дата-центре.
• Требуется обеспечить надежность и доступность информационной системы. Бизнес начинает присматриваться к решениям, обеспечивающим аварийное восстановление.
• В штате работает отдельный ИБ-специалист.
• Компания использует решения защиты от утечек данных, системы резервного копирования, обеспечения безопасности доступа.

На этом этапе часто наблюдается ИБ-хаос:

• ИТ-процессы, как правило, не описаны.
• Появляются «неучтенные» сервера с «неизвестными» учетками.
• Регламентация доступа к внутренним ресурсам из внешних источников отсутствует.
• Специалист ИБ зачастую не обладает полной картиной ИТ-ситуации, соответственно, не может просчитать все риски.

Есть ли способы борьбы с хаосом? В первую очередь, нужно систематично регламентировать IT- и ИБ-процессы. Внедрить систему управления уязвимостями. Если не получается решить задачи собственными ресурсами – стоит обратиться к профессиональным аутсорсерам.

Этап 4: российский enterprise. Размытый периметр сети и «файловые свалки»

Портрет бизнеса:

• На этом уровне в компании работает наемный менеджмент, структура подчиненности – иерархическая, количество сотрудников – до 5000 человек.
• Организация располагает филиальной сетью по всей стране.
• Ключевые процессы бизнеса описаны и регламентированы на этапе внедрения ERP.
• Для работы IT-инфраструктуры используется либо собственный ЦОД, либо арендуется коммерческий. Возможны оба варианта: для обеспечения отказо- и катастрофоустойчивости.
• В компании есть собственный ИТ-департамент (выделенная тех. поддержка и helpdesk) и отдельное подразделение ИБ.

Масштабная IT-инфраструктура и ее ежегодный рост приводит к:

• большому числу источников ИБ-событий, требующих обработки и реагирования. На этом этапе компании внедряют SIEM, либо используют услуги коммерческих SOC;
• необходимости контроля администраторов IT-инфраструктуры. Для контроля админов требуется решение PAM (Privileged Access Manager). Это позволяет избежать утечки чувствительных данных, а также избежать злонамеренных действий сотрудников.

Периметр корпоративной сети размыт из-за сотрудников, удаленно работающих на собственных телефонах, планшетах, ноутбуках. Безопасность критичных данных необходимо обеспечить при помощи систем MDM (Mobile Device Management).

Большое число сотрудников порождает:

• рост требований по защите периметра – требуются NGFW, обеспечивающие необходимый функционал и пропускную способность;
• увеличение количества информационных систем и сотрудников, которым нужен доступ к этим системам. Контроль такого доступа – сложный и трудоемкий процесс, поэтому необходим IDM, который автоматизирует процесс управления доступом пользователей к информационным системам;
• рост спроса на файловые хранилища компании для обмена документами, хранения отсканированных документов. Файловые хранилища всегда превращаются в «файловые свалки» с общим доступом, где легко могут оказаться копии паспортов сотрудников или чувствительная коммерческая информация. Поэтому необходимо внедрять системы класса DAG (Data Access Government) для управления доступом к неструктурированным данным. Это позволяет избежать утечки данных. Решение DAG эффективно использовать совместно с DLP.

Что нужно сделать, чтобы повысить уровень ИБ-зрелости на этом этапе? Успешный руководитель ИБ-подразделения должен научиться разговаривать с бизнесом на языке бизнеса. Вот пример. Компания может инвестировать прибыль в развитие бизнеса, и это принесет ей увеличение доходов. А может потратить на ИБ. Это не принесет бизнесу увеличения доходов, но спасет от убытков и/или недополученной прибыли в случае атаки злоумышленников или непреднамеренной утечки критичных данных.

И в текущих реалиях, когда использование только российских средств ИБ – в приоритете, мы можем помочь с оптимальным выбором ИБ-решения и его обоснованием.

Этап 5: глобальный enterprise. В фокусе у злоумышленников. Выбор Anti-APT

Портрет бизнеса:

• Компания растет и выходит за пределы РФ на глобальные рынки.
• Она должна соответствовать требованиям как российских регуляторов (КИИ, ПД), так и регуляторов страны присутствия и международных стандартов (например, PCI DSS). Это подразумевает наличие отдельного департамента ИБ, который не подчиняется CIO (ИТ-директору), а возможно, находится в блоке безопасности (физическая безопасность, финансовая и информационная).
• В компании есть процесс бюджетирования – ИБ имеет собственный бюджет и конкурирует за бюджеты с другими подразделениями.
• Число сотрудников, работающих в организации, – больше 5000 человек, и они находятся в разных странах.

Такой бизнес заметен в информационном пространстве и вызывает фокусный интерес у злоумышленников. Это значит, что к атаке будут тщательно готовиться, проведут разведку, напишут специализированное ПО под конкретную компанию и будут использовать в том числе социальную инженерию. Стоимость такой атаки достаточно высока, но при ее успешности прибыль во много раз перекроет затраты. При этом остановка бизнес-процессов или недоступность информационных систем и сервисов для компании очень критична и означает значительные финансовые потери.

Высокая вероятность целевой атаки требует внедрения:

• EDR (endpoint detection and response) – решения, которое позволяет выявлять и обнаруживать подозрительную активность на рабочих станциях.
• Anti-APT-решений, которые в минимальном наборе состоят из песочницы (Sandbox) и анализатора сетевого трафика (NTA), позволяют обнаружить подозрительную активность, сомнительные письма и другие объекты.
• Deception – ложные цели для хакеров, которые имитируют целевую инфраструктуру для атаки и позволяют ИБ-специалистам обнаружить присутствие кибервзломщиков.
• DAM/DBF – защита баз данных как от внешних злоумышленников, так и внутренних администраторов.
• BAS (breach and attack simulation) – система моделирования кибератак – автоматизирует рутинные операции по сканированию уязвимостей и пентестов. Это симуляция, которая позволяет увидеть, как будут «отрабатывать» установленные средства защиты.

Нужно понимать, что APT – сложный тип атаки, который фактически невозможно блокировать. Его нужно обнаружить и расследовать. Поэтому, чем больше ИБ-решений входит в комплексное anti-APT, тем лучше. На текущий момент – это трудная, но одна из самых важных задач ИБ-подразделения.

На этом уровне важно понимать, что атака рано или поздно произойдет и защититься на 100% не получится. Важно работать над обнаружением атак и реагированием на них. Плюс работать в связке с ИТ- и другими подразделениями над восстановлением данных и процессов в случае успешности атаки.

Этап 6: ТОП-enterprise. В зоне внимания – time to market и АСУ ТП

Портрет бизнеса:

• На этом уровне компании выходят или вышли на IPO.
• Силы организации направлены на увеличение инвестиционной привлекательности, автоматизацию, роботизацию и улучшение качества сервисов. Это касается в том числе и автоматизации ИТ и ИБ. В части ИБ автоматизация подразумевает внедрение SOAR/IRP (Security Orchestration, Automation and Response) – системы для автоматизации процессов обнаружения и реагирования на инциденты ИБ.

Для многих отраслей, таких как финансы, ритейл, телеком, очень важен time to market – время вывода ИТ-продукта на рынок силами собственных разработчиков. В идеале – безопасного продукта без дополнительных временных затрат на проверку безопасности. На это направлены решения DevSecOps:

• Анализ кода (SAST, DAST, IAST).
• Защита облачных сред.
• Защита контейнеров.
• Контроль Open Source.

Если у компании существует производство, на нем, скорее всего, развернута АСУ ТП. Поэтому ИБ-директору необходимо обеспечить ее безопасность. К сожалению, АСУ ТП в большинстве своем – это отдельный мир, куда ИБ не пускают. Здесь принято считать, что наложенные средства ИБ влияют на работу АСУ ТП и основная защита – это воздушный зазор и физический контроль сотрудников. Для того, чтобы эффективно обеспечивать защиту промышленных сетей и АСУ ТП, в ИБ-подразделении должен работать специалист, который разбирается в этих системах, технологических протоколах и процессах. Либо компании необходимо искать эту экспертизу вовне – у интеграторов.

В мире ИБ как на ринге. Каковы шансы «выжить»?

Что дальше? Есть куда стремиться компаниям уровня ТОП-enterprise? Или это предел ИБ-зрелости? Ответ однозначен: компаниям всегда есть, к чему и куда стремиться. Нет компании, у которой всё идеально, всё внедрено, всё автоматизировано и работает как часы. Потому что:

• В нашем несовершенном мире нет места идеалу – есть место компромиссам.
• В мире ИБ как на ринге – средства нападения развиваются, средства защиты совершенствуются. Нужно постоянно держать руку на пульсе и обеспечивать защиту в условиях недостатка ресурсов и денег.
• Информационная безопасность – это не только технические средства и ИБ-компетенции. Это еще понимание каждого сотрудника, что пароль не надо записывать на бумажке, не надо открывать подозрительные письма, нажимать на ссылки, переходить по QR -кодам и т.д.

Enterprise более готов к текущей реальности и более устойчив к внешним потрясениям, чем SMB. Но верхней планки зрелости нет, поскольку она постоянно повышается. Зрелость – это когда есть люди, которые знают, как надо выстроить систему, и ресурсы, чтобы это реализовать. У enterprise-компаний в этом плане возможностей больше. Но с другой стороны – большой шкаф громче падает. На большие компании чаще направлены атаки. В случае ее успешности крупному бизнесу придется сложнее и финансовые потери будут выше. Делать прогнозы – справится компания с ними или нет – неблагодарное занятие.