За последний год мы четко видим рост интереса к теме противодействия кибератакам. Все чаще в разговорах с компаниями-партнерами УЦСБ не из сферы информационной безопасности, возникает вопрос: как просто, доступно и наглядно объяснить менеджерам по работе с ключевыми заказчиками, что такое кибербезопасность, кому и как предлагать услуги по защите информационных систем предприятия?
При обсуждении темы сначала мы шли по стандартному пути: сформулировать перечень услуг, описать профиль клиента, маркеры, уточняющие вопросы и прочее. Но в какой-то момент мы решили упростить подход.
Итак, как «продается» информационная безопасность (ИБ) – простая мотивация:
1) «Страх» - чтобы нас не взломали, не повторилось то, что было у «соседа» по отрасли, о чем пишут в СМИ.
Эта мотивация работает весьма ограниченно. В первую очередь такой подход действует в тех компаниях, в которых уже сталкивались с проблемами/инцидентами. Основной минус: закрываются те бреши, которые «подсвечены» сложившимися обстоятельствами, при этом безопасность не рассматривается системно.
На наш взгляд, продвигать ИБ только через страх, является дурным тоном - так часто делали раньше, 10-15 лет назад.
2) «Регуляторика» (она же — «формальная безопасность»)
Мы понимаем под этим термином ситуацию, когда основным драйвером реализации решений по информационной безопасности являются внешние требования, такие как требования государственных регуляторов - ФСТЭК России или ЦБ России, отраслевые требования, корпоративные стандарты для холдинговых структур и так далее.
Необходимо сразу исключить вырожденный случай – «бумажную безопасность»: когда заказчикам нужны только документы для прохождения проверок. Вкладываться в технические решения и обеспечивать реальную защиту ИТ-инфраструктуры своей компании они не планируют. Естественно, такой подход является тупиковым и ни к чему хорошему привести не может.
Регуляторика была, есть и еще очень долго будет основным и естественным драйвером реализации компаниями мер по защите информации. Но достаточно ли нам ее? У регуляторного подхода есть три принципиальных изъяна:
- Достаточность и качество реализации. Требования разрабатываются сразу для большого класса систем. Это означает одно – в исходном виде для конкретной системы они будут мало применимы: где-то избыточны, где-то недостаточны, а где-то просто не будут покрывать какую-то уникальную особенность конкретной системы.
Значит качество системы обеспечения ИБ будет зависеть от того, насколько хорошо был пройден весь процесс определения состава защитных мер: классификация/категорирования объекта защиты, выбор базового набора мер, его уточнение, адаптация и разработка контрмер. Так, ошибка на любом из этапов и готовая система защиты уже не закрывает все актуальные угрозы.
- Избыточность (неоптимальность) во многих конкретных случаях. Можно возразить, что современные требования (например, ФСТЭК России) предлагают определенную гибкость – возможность создать модель угроз под себя. В теории это так, но на практике не у всех компаний есть такая возможность. Особенно, если это дочерние, либо региональные предприятия.
- Отставание по времени. Чтобы разработать и согласовать требования, как правило, требуется не меньше года, поэтому происходит отставание от реальных атак. Конечно, это компенсируется тем, что используются продукты, в которые производители закладывают противодействие актуальным угрозам. Но что делать, если в требования пока не включен/не рассмотрен целый класс продуктов?
И вот тут мы подходим к третьему способу продвижения ИБ.
3) «Результативная кибербезопасность» (она же – ИБ2.0.)
Несколько лет назад Positive Technologies обобщила ряд существующих практик и предложила рынку ИБ комплексный подход, который за прошедшее время кристаллизовался и стал более зрелым.
Концепция построения системы защиты информации, ориентированной на конечный результат: защиту ключевых цифровых активов компании/организации от негативных кибервоздействий.
Ключевые составляющие:
- Недопустимые события. Во взаимодействии с владельцами бизнес-процессов выявляются недопустимые события, а далее уже технический блок прорабатывает способы их реализации.
Что дает: постановка приоритетов позволяет четко сосредоточить последующие затраты на безопасность по ключевым направлениям, показать бизнесу практический результат от вложений в ИБ.
- Центр противодействия киберугрозам (ЦПК). Построение SOC и оснащение его средствами противодействия, причем таким образом, чтобы любой известный (определенный на первом этапе) вектор (цепочка) атаки мог быть выявлен и терминирован на одном из этапов. Исходим из того, что потенциально любой отдельный элемент системы может быть взломан, скомпрометирован, преодолен злоумышленником, но ЦПК это увидит и предотвратит на одном из этапов атаки – и конечная цель атаки не будет достигнута. Как важная составная часть построения ЦПК, рассматривается и возможная перестройка ИТ-инфраструктуры для сокращения поверхности атак.
Что дает: обеспечение практической защищенности ключевых активов.
- Киберучения и постоянный анализ защищенности. Реальную готовность ЦПК предотвратить целенаправленную атаку можно проверить только в обстановке, «приближенной к боевой». И чем сильнее Red Team, тем достовернее будет результат.
Не бывает системы защиты, построенной раз и навсегда: появляются новые технические приемы, находятся новые уязвимости, поэтому надо регулярно тестировать себя.
Что дает: уверенность, что наша киберзащита актуальна и действенна против самых новых атак.
У УЦСБ накоплена обширная практика глубокого анализа функционирования информационных систем, моделирования возможных негативных воздействий, разработки практических методик оценки риска. Наличие в штате высокопрофессиональной команды пентестеров позволяет практически проверить выполненные изыскания. А опыт создания центров мониторинга и реагирования воплотился в проект создания SOC на базе одного из ведущих российских телеком-операторов. Поэтому для УЦСБ результативная кибербезопасность является естественным развитием накопленных знаний, и мы активно поддерживаем данное направление.
Как и любая концепция, «результативная кибербезопасность» содержит в себе элементы маркетинга, а также элементы «идеального будущего», что, собственно, нас подводит к вопросу – хороший ли это драйвер для продвижения ИБ и есть ли от данного подхода практическая польза?
Наш ответ, как можно легко догадаться – однозначно, да. Причем польза многоплановая:
-
Упрощает взаимодействие ИБ с бизнесом, позволяя донести на понятном языке, что же мы делаем. Ведь чтобы возникли инвестиции в ИБ, именно бизнес должен дать добро.
-
Повышает как защищенность ключевых активов, так и общую защищенность организации. ЦПК (и SOC в целом), одна из самых актуальных сейчас форм организации противодействия киберугрозам. Именно за счет объединения отдельных специалистов в единую команду, направленную на конечный результат – выявление и предотвращение атак. А киберучения дают системе необходимую обратную связь.
-
Оснащает ИБ/ИТ подразделения современными средствами: SIEM, VM, IRP/SOAR, TIP, NAD, и так далее.
В заключении хочется отметить, что к концепции «Результативная кибербезопасность» можно подойти как к инструменту: если вы научитесь им пользоваться, то практические результаты не заставят себя долго ждать.
Автор Виктор Вячеславов, руководитель Центра кибербезопасности УЦСБ.
Источник: Securitylab