+24 голоса |
Май 2017 года стал особо показательным в плане противоречивости государственных и коммерческих инициатив в области кибербезопасности. Всего через месяц после того, как группировки киберпреступников получили доступ к специальным программным инструментам Агентства национальной безопасности США, хакерская атака разразилась по всему миру [BBC. May 13, 2017].
Стала видна несостоятельность многих подходов в области кибербезопасности. Бодрые рапорты, концептуальные подходы, лозунги и призывы, которые озвучивались с различных трибун, не выдержали минимальной проверки на здравый смысл и не смогли противостоять реальной угрозе, возникшей в киберпространстве.
И это только видимая часть проблемы обеспечения безопасности бизнеса. Скрытая же может серьезно затронуть внутренние вопросы кибербезопасности в государственном и частном секторах. Эти вопросы со временем будут только обостряться, поскольку быстро расширяющийся ландшафт киберугроз дает злоумышленникам все новые возможности для широкого использования внешних признаков кибер-ландшафта с целью сокрытия внутренних инсайдерских атак. Очень трудно, к примеру, отличить внешнюю атаку трояна-шифровальщика от внутренних злоупотреблений, которые могут быть достаточно эффективно скрыты под имитацией действий шифровальщика.
Кибербезопасность стала предметом, в котором стало очень трудно ориентироваться. Оценить уровень угроз и реальность существующих требований, спланировать адекватные меры и вложиться в ограниченный бюджет, выстроить прозрачный план стратегических действий и его поэтапную реализацию с постоянно изменяющимся вектором внешних и внутренних угроз стало сложно даже мировым компаниям с сотнями и тысячами специалистов по кибербезопасности.
Число целенаправленных киберугроз будет расти и этому дополнительно будет способствовать широкое использование биткоина в киберпространстве. Наличие виртуальной денежной единицы значительно упрощает «отмывание» денег для киберкриминала. Теперь вывод финансовых средств киберпреступниками может осуществляться без использования дополнительных высокозатратных сервисов, которые обходились в существенную долю от похищенных сумм. Упрощение перетоков виртуальных биткоинов в материальное пространство становится дополнительным стимулирующим фактором для роста преступности в киберпространстве.
Отдельной проблемой станет реализация киберстратегий на уровне государственных политик. Первые и достаточно настораживающие результаты в геополитическом плане были продемонстрированы на выборах президентов в США и Франции, проведении референдума об ассоциации Украина-ЕС в Нидерландах, кибератаках на энергосистемы нашей страны и государств Прибалтики.
Публикации WikiLeaks, документов и файлов из закрытой сети Центра радиотехнической и электронной разведки ЦРУ в Лэнгли — по сути элементов кибероружия, а потом, спустя короткий срок, их эффективное использование в криминальных целях демонстрирует очень эфемерную черту между работой спецслужб в интересах государства и криминалом [WikiLeaks (@wikileaks). March 7, 2017].
Все эти факторы позволяют прогнозировать в ближайшей перспективе значительный рост количества успешно реализованных внешних и внутренних угроз, а, следовательно, увеличение катастрофических масштабов последствий от их реализации. Как пример, атака шифровальщика WannaCry вызвала хаос в 150 странах — наиболее пострадавшие Великобритания, Испания, Германия, Турция, Россия, Вьетнам, Япония и др. Атаковано, по данным Europol, более 200 000 компьютеров. Среди жертв оказались такие гиганты как FedEx, Telefonica и Deutsche Bahn. Французский автопроизводитель Renault закрыл свой завод в Дуэ — один из его крупнейших объектов, в котором занято 5500 человек [1) The New York Times, 2) AFP].
Как видим в киберпространстве начинает прослеживаться четкая тенденция — один и тот-же инструментарий может использоваться как в интересах уполномоченных государственных структур, так и в интересах криминалитета.
Возникает необходимость в формулировке базового перечня вопросов, основанных на лучших практиках, который должен быть рассмотрен и реализован в коммерческих и государственных структурах для предотвращения атак и уменьшения рисков независимо от существующего ландшафта киберугроз.
Анализ рисков
-
Должен проводиться регулярный анализ рисков в сфере кибербезопасности. Периодичность проведения процедуры анализа рисков не должна превышать один год.
-
При возникновении глобальных инцидентов должен проводиться внеплановый анализ рисков с учетом изменившегося ландшафта киберугроз.
Сканирование угроз и патчинг
-
Должно быть обеспечено регулярное сканирование сети, операционных систем и приложений на наличие уязвимостей. Для приложений третьих производителей должен проводиться регулярный контроль наличия обновлений. Периодичность сканирования не должна превышать один месяц.
-
Должен существовать план устранения выявленных уязвимостей системными администраторами.
-
Должен быть обеспечен еженедельный контроль со стороны службы кибербезопасности за процессом устранения выявленных уязвимостей системными администраторами.
-
Для уязвимостей, для которых не существует стандартных средств их устранения (патчи), должны быть предусмотрены альтернативные способы их нейтрализации или минимизации возможного ущерба от их использования.
Использование белого списка приложений
-
В сети должен быть разрешен только запуск авторизованных службой кибербезопасности программ и приложений.
-
Список авторизованных программ и приложений должен формироваться для каждого профиля пользователей индивидуально.
-
Ежегодно список авторизованных программ и приложений должен пересматриваться и подтверждаться службой кибербезопасности.
Обеспечение резервного копирования
-
Должно быть обеспечено резервное копирование всей критической информации.
-
Должно быть обеспечено создание офлайн-хранилища резервных копий. Схема ротации офлайн-хранилища должна гарантировать в каждый момент времени нахождение в 72 часовом офлайне как минимум одной полной резервной копии.
-
Должно быть обеспечена регулярная проверка возможности переключения на резервные копии в случае возникновения каких-либо инцидентов.
Обучение персонала
-
Должно регулярно проводиться обучение персонала по применению лучших практик в сфере кибербезопасности.
-
Не реже чем один раз в год целесообразно «в реальных условиях» проведение обучения персонала по противодействию различным атакам с обязательным анализом созданных инцидентов и действиям персонала по их локализации (стресс-тестирование). Результаты итогового анализа с выводами и рекомендациями должны доводиться до персонала.
-
Специалисты по кибербезопасности должны проходить переподготовку в специализированных центрах по кибербезопасности не реже одного раза в три года.
Реагирование на инциденты
-
Должен быть разработан план реагирования на инциденты.
-
Служба кибербезопасности должна регулярно мониторить киберпространство с целью поддержания план реагирования на инциденты в актуальном состоянии путем «проецирования» киберинцидентов на существующую инфраструктуру.
-
План реагирования на инциденты должен тестироваться не реже один раз в год.
Бизнес непрерывность
-
Должно быть обеспечено четкое понимание возможностей обеспечения работы бизнеса без доступа к определенным системам.
-
Должны быть проведены временные и ресурсные оценки ведения бизнеса без доступа к определенным система.
-
По результатам оценок должны быть разработан план восстановления нормального функционирования бизнеса. Для «узких» мест должен быть составлен и утвержден отдельный план неотложных действий.
-
Должно проводиться регулярное тестирование плана реагирования на угрозы кибербезопасности и обеспечения бизнес непрерывности.
Тестирование на проникновение
-
Должны проводиться регулярные попытки атак на собственные системы с целью их дискредитации и проверки собственных возможностей защиты от таких атак.
-
Тестирование на проникновение должно совмещаться с обучением персонала по способам отражения таких атак.
-
По результатам тестирования должны быть внесены изменения и дополнения по всем вопросам, которые регламентируют текущие требования по кибербезопасности.
Использование лучших практик является важным моментом в защите сетей, операционных систем и приложений. Выполнение этих рекомендаций позволяет предотвратить примерно 80-85% целевых кибератак на бизнес. Однако не будем забывать, что при всех усилиях существует один критичный элемент, который относят к человеческому фактору. И тут важным становиться организация процесса непрерывного тренинга персонала. Многие вопросы можно естественным путем обеспечить и интегрировать в сам бизнес. Однако осуществление обучения персонала методами стресс-тестирования и обеспечение непрерывности бизнеса может оказаться во многих случаях достаточно проблематичным. И здесь нельзя не обойтись без подключения в общий процесс ВУЗов, которые готовят специалистов по кибербезопасности. Параллельно, при таком системном подходе, решается вопрос с плановой переподготовкой специалистов государственного и коммерческого секторов по практическим вопросам кибербезопасности. Все упирается в необходимость выстраивания цельной системы управления предотвращением киберугроз, подготовки и переподготовки специалистов и увязки ее с интересами и пониманием этого процесса со стороны бизнеса. А пока системного подхода и полной координации в этом вопросе не видно, а все внешние признаки говорят о том, что этот вопрос уже начинает переходить в область национальной безопасности.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+24 голоса |