Баланс сил
Команды специалистов по безопасности в компаниях и организациях по мере возможности держат руку на пульсе огромного количества событий и инцидентов, а также эпизодов ложных срабатываний, генерируемых инструментами информационной безопасности (ИБ). Проблема в том, что фронт работ настолько широк, что ресурсы команды распыляются. Отсутствует расстановка приоритетов, что приводит к низкому уровню контроля качества ИБ-периметра.
Согласно отчетам, более чем 80% коммерческих и open-source приложений имеют уязвимости, которые могут привести к серьезным последствиям. Например, к нарушению непрерывности бизнес-процессов или утечкам информации. При этом вредоносное ПО является лидером среди киберугроз по стоимости нанесенного ущерба.
Современные антивирусные средства неэффективны против новых вирусов и другого вредоносного ПО. Большинство традиционных старых методов защиты уже не способны обеспечить приемлемый уровень безопасности от новых неизвестных угроз и векторов атак.
Расклад сил на линии соприкосновения бизнеса и хакеров сегодня выглядит так: среднее время для обнаружения ИБ-угрозы превышает несколько месяцев, а среднее время ее устранения – несколько недель. В то же время злоумышленники имеют неограниченную по времени фору на подготовку атаки, а также возможности замаскировать и осуществить ее незаметно для бизнеса.
Почему так происходит?
Раньше для эффективного решения ИБ-задач хватало традиционного набора инструментов: антивирусы, межсетевые экраны, системы обнаружения и предотвращения вторжений и др. Обычным был «ручной» анализ и расследование инцидентов, на основе которых формировалась корпоративная база инцидентов. Также внедрялись системы мониторинга и корреляции событий, некоторые компании организовывали обмен актуальной информацией по угрозам с коллегами.
Но потом случился 2017 год с его глобальными компьютерными атаками WannaCry и NotPetya. Ущерб от NotPetya, например, в целом составил $10 млрд. Стало очевидно, что ИБ-системы и общий подход к их развертыванию, требования к функционалу и стратегиям предотвращения инцидентов на сегодняшний момент попросту устарели.
ИБ-направление в традиционной реализации оказывается слишком медленным и негибким, не позволяет бизнесу успевать за действиями хакеров. Будучи неспособным, по крайней мере, противостоять им силами своей собственной команды с надлежащим уровнем эффективности.
Целевые атаки
Все дело в том, что все возможности современных IT-решений, которые делают мир современным, цифровым и удобным, также используются для повышения эффективности атак киберпреступников. Борьба с постоянно развивающимися киберугрозами требует соответствующей, своевременной и действенной киберразведки.
Атаки в цифровом пространстве сегодня становятся настоящими IT-проектами высокопрофессиональных команд. Они носят выраженный целевой характер, когда под желаемый конечный результат набирается соответствующая команда, ее обеспечивают необходимыми инструментами, стратегией, планом, и, конечно, соответствующим вознаграждением.
Подобные целевые кибератаки нуждаются в аналогичной целевой защите, с четким представлением о конкретном типе угрозы, направленной на определенную часть IT-ресурсов бизнеса. Только верное понимание контекста угрозы, инструментов и методов противника поможет ускорить обнаружение и устранение киберугроз, сдвинуть фокус внимания с реагирования, по большей части бесполезного в современных условиях, на действенную проактивную защиту.
Как реализовать такой подход к информационной безопасности на практике?
Киберразведка боем
Главным из инструментов в борьбе с новыми и неизвестными киберугрозами, на базе которых сегодня реализуется большинство целевых атак, является стратегия Threat Intelligence (TI), что-то вроде «Разведка киберугроз».
В самом упрощенном виде TI – это набор данных, процессов и инструментов анализа внутренних и внешних киберугроз для принятия управленческих решений в области ИТ и ИБ. Подход по модели Threat Intelligence помогает на всем жизненном цикле обеспечения безопасности, поскольку включает в себя анализ самых мелких, но порой крайне важных деталей и элементов IT-систем компании.
Все начинается с подготовки, когда ИБ-команда получает четкое представление о том, что она защищает и от чего именно. Тщательно изучаются структура бизнеса и его активы, устройство взаимосвязей различных компонентов бизнес-модели компании, входные точки во внутренний IT-периметр из «внешнего мира».
В фокусе особого внимания оказываются действующие злоумышленники, текущие тенденции в области кибератак, вероятный объем возврата инвестиций от атаки и цели противника. Тщательно моделируются угрозы и сценарии действий злоумышленников.
На этапе формирования проактивной защиты собирается как можно больше информации об угрозах. Собранные из вне данные обогащаются информацией компании о своей работе, происходит отсеивание вариантов ложных срабатываний системы ИБ.
Данные о вероятных киберугрозах включают в себя более 20 разных характеристик, наиболее важные из которых – это инструменты злоумышленников и уязвимости, эксплуатируемые киберпреступниками.
Далее на этапе выявления полученную информацию и проработанные модели атак интегрируют в инструменты мониторинга и аналитики. Это делается для автоматизации борьбы с киберугрозами в режиме реального времени на основе их характеристик и сигнатур. Важный момент: этой информацией в обязательном порядке следует обменяться с другими компаниями и сторонами, задействованными в процессе обеспечения ИБ – бизнес-партнерами, аналитиками, регуляторами, производителями ПО и средств защиты.
На последнем этапе на основе всей полноты сформированной по стандартам Threat Intelligence информации определяются оптимальные реакции на угрозы и тестируются процессы реагирования на атаки.
Чем быстрее, тем безопаснее
Эффективная борьба с киберпреступниками по состоянию индустрии ИБ на начало 2020 года и прогнозам на дальнейшее развитие возможна только при ее организации на основе больших объемов, в том числе исторических, данных об угрозах, злоумышленниках, прошлых инцидентах, уязвимостях, вредоносном ПО.
Всю эту информацию необходимо правильно скоррелировать, показав все существующие взаимосвязи между разными элементами. Например, «вредоносная программа – используемые уязвимости и бэкдоры», «хакеры или группировки, которые применяли эту вредоносную программу – последние инциденты – зараженные ресурсы в сети Интернет».
Для того, чтобы вести такого рода базу данных нужна большая команда международных экспертов в области ИТ и ИБ, которые собирают, анализируют и актуализируют информацию о киберугрозах со всех точек мира. При этом они должны использовать максимально возможное количество источников информации, коммерческие и открытые, в том числе deep и dark web ресурсы, доступ к результатам исследований уязвимостей по всему миру, в первую очередь угроз типа zero-day.
Все эти данные следует постоянно обновлять через использование технологий мониторинга и поиска информации об актуальных угрозах. Результаты мониторинга должны предоставляться в доступном графическом интерфейсе с предоставлением исходных данных для анализа и корреляцией со средствами ИБ, которые непосредственно обеспечивают защиту.
Скорость реакции становится сверхважной характеристикой ИБ в целом. Допустим, сегодня хакеры вывели в обращение какую-то новую zero day уязвимость. Еще 2-3 года назад готовый эксплойт под нее появлялся лишь спустя 1-2 недели, в некоторых случаях и через месяц. Сегодня же все необходимое для использования этой уязвимости против вашей компании будет доступно на GitHub уже через 1-2 дня, а иногда и быстрее.
Нет онлайн-реакции на эти процессы – нет защиты бизнеса как таковой.
Читайте также:
Самая главная уязвимость человек.
По большому счету, если есть действительно важная инфраструктура, так держите ее изолированно от внешнего инета.
Разведка - это по сути нападение, по затратам - самый дорогостоящий вид действий! И его обосновать надо!
Проблема с безопасностью была, есть и будет, но "позволить" себе можно ровно ту безопасность, на которую хватает бюджета...
Да, это так. Но уже есть методы поведенческого анализа, так что не все так плохо.
И как вы будете обновлять ПО?
ну так вариант(-ы):
1. Работает - не трогай
2. В случае необходимости модернизации - проверять в соотвествии с моделью угроз на тестовом макете
3. Она изолирована от инета - то есть можно только внутрь принести на флешке, которую потом съесть. Но не наружу.
Вопрос как всегда в величине ущерба от соблюдения процедур / потенциального инцидента.
Единственная угроза снаружи - это "обвал" сети если спровоцировано что-то вроде "широковещательного шторма", либо проникновение во внутреннюю сеть через корпоративный Wi-Fi. Все остальные угрозы возникают только из-за человеческого фактора.
"Все начинается с подготовки, когда ИБ-команда получает четкое представление о том, что она защищает и от чего именно. Тщательно изучаются структура бизнеса и его активы, устройство взаимосвязей различных компонентов бизнес-модели компании, входные точки во внутренний IT-периметр из «внешнего мира»."
В большинстве случаев, если у вас малый или, даже, средний бизнес, данный подход является избыточным.
Все разговоры про информационную безопасность мне напоминают старый анекдот :
Стоит мужик и бьет ломом по поверхности реки Волги. К нему подходит
прохожий и спрашивает:
-Что вы делаете?
-Крокодилов пугаю!
-Здесь нет никаких крокодилов!
-Значит, хорошо пугаю.
Столько денег вливается в эти решения, но где реальные кейсы с разорением компаний или зафиксированным ущербом, вне банковского сектора ?
Сколько из этих атак были так или иначе основаны на инсайдерской информации ?
1. У вас ПО для технологического узла. Разработчик сообщил, что в связи с ошибкой через 400 дней произойдет авария. И что будем делать?
2. У вас есть пару миллионов для покупки лицензии на ПО для тестового макета?
3. Обновление ПО происходит через само ПО - меню "О программе", обновить. Обновления на флешке не предусмотрено разработчиком ПО.
Вот прям так через 400? не поверил бы. Дальше вопросы - в чем именно ошибка, на что влияет, как исправили. Если важная тема - то через тестирование и дальше менять.
С бизнесом обсуждать. Я описываю риски и последствия. Совместно решаем что дешевле. Дальше решаем. Если для бизнеса важен актив - то деньги найдем. Если готов рисковать - его право.
На этапе формирования ТЗ требовониях прописываем работу в изолированном контуре.
В реальности большистве случаев в Ваших примерах на безопасность забиваем, с согласия бизнеса.
Делаем маршрутизацию в ручную. Жестко связываем входы по методу точка-точка ( ethernet ). В большинстве случаев проблем нет.
Как правило все возможные ситуации, за исключением форс-мажора, прописаны в договоре.
Вы правы. Но, повторюсь, при грамотном юридическом сопровождении, грамотном построении топологии сети и гармотной реализации её на физическом уровне глобальные угрозы можно быстро локализовывать, а возможный ущерб от них переложить на плечи поставщика ПО.
Но, если перефразировать Задорнова: "на любую хитрость всегда найдется глупость". Человеческая некомпетентность - единственная глобальная угроза для существования любой организации.