`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Информационная безопасность — о чем говорят эксперты

+11
голос

Компания Integrity Vision небезуспешно провела свою первую конференцию UA Security Conference 2016, которую планирует сделать ежегодной. Ее целью, по словам организаторов, было демонстрация новейших решений в области управления информационной безопасностью, рассмотрение актуальных практик и организация площадки для обмена опытом.

Конференцию открыл генеральный директор компании Олег Половинко. Он отметил, что главной ценностью компании является ее коллектив экспертов. У Integrity Vision за всю историю ее шестилетнего присутствия на рынке нет незавершенных проектов. Второй ценностью он назвал долгосрочное партнерство. Все заказчики, которые начали работать с компанией в 2010 г., продолжают сотрудничество. Основные направления деятельности Integrity Vision — поставки оборудования, ПО и управление бизнес-процессами. С этого года в портфеле решений компании появилась информационная безопасность. Это вызвано тем, что роль ИБ в мире ИТ будет только повышаться.

Информационная безопасность — о чем говорят эксперты

Олег Половинко приветствует участников конференции

Почему нас атакуют, как нас атакуют и где найти решение? На эти вопросы попытался ответить эксперт по ИБ Олег Пивовар. И своем докладе он использовал, в основном, данные из аналитических отчетов по безопасности компании Verizon Enterprise. В числе основных мотивов атак докладчик назвал деньги, промышленный шпионаж, хобби, идеологические мотивы и личную неприязнь. При этом наибольшая доля приходится на первые два. Именно они должны учитываться при построении системы ИБ в организациях.

По статистике за 1994–2014 гг. 92% инцидентов описывались девятью шаблонами атак. Столько же шаблонов применялось ив 2014–2016 гг., но уже в 95% случаев. Среди первых четырех — атаки на веб-приложения, на POS-терминалы, неправомерное использование учетных данных и физические кражи и потери. Основными направлениями атак в 2014–2016 гг. были веб-приложения и POS-терминалы. Наиболее часто для атак использовались уязвимости, фишинг и учетные данные. Эксперт обратил внимание аудитории на то, что 99,9% уязвимостей были использованы через год после их публикации; 23% процента пользователей открывают фишинговые электронные письма и 11% из них открывают присоединения, 50% — открывают письмо и присоединение в течение часа. Что касается учетных данных, то 60% инцидентов произошли по вине администраторов из-за неправильных настроек.

Информационная безопасность — о чем говорят эксперты

Олег Пивовар: «Наиболее часто для атак в 2014–2016 гг. использовались уязвимости, фишинг и учетные данные»

Естественным вопросом при построении системы ИБ является «с чего начать?» Своеобразное руководство под названием Top 20 Critical Security Controls опубликовало Агентство национальной безопасности США (NSA). В нем собран некий набор правил, который ранжирован по уровню критичности. Может показаться странным, но две первых позиции в нем занимают инвентаризация оборудования и ПО. И только две следующих занимают операции, непосредственно относящиеся к безопасности — это конфигурация аппаратных средств и непрерывный учет и устранение уязвимостей. Что еще важно, так это переход от реактивной защиты к проактивной, поскольку у злоумышленника всегда есть преимущество во времени.

Для того чтобы правильно организовать защиту, нужно знать все фазы выполнения атаки, их анатомию. Об этом рассказал управляющий директор компании Qualys Павел Сотников.

Информационная безопасность — о чем говорят эксперты

Павел Сотников: «Причиной осуществимости многих атак является невыполнение базовых технических процессов, как то установки обновлений, отсутствие контроля изменений, выявления инцидентов и анализа уязвимостей»

Вначале злоумышленники собирают данные о компании. Информация собирается из социальных сетей, с помощью пассивного поиска, с публичного сайта компании. На основе собранных данных они готовят инструменты, с помощью которых собираются провести атаку. Для этого могут использоваться, например, имеющиеся в свободном доступе генераторы вредоносного кода. Далее осуществляется тем или иным способом доставка вредоносного кода (фишинг, USB flash и т. д.) и используются известные или неизвестные (zero day) уязвимости. Затем устанавливается присутствие, захватывается управление, выполняются намеченные операции и скрываются следы атаки.

Далее выступающий рассмотрел несколько нашумевших атак, в том числе и BlackEnergy. Причиной осуществимости многих атак является невыполнение базовых технических процессов, как то установки обновлений, ошибки в конфигурации, отсутствие контроля изменений, выявление инцидентов и анализ уязвимостей. К этому можно приплюсовать отсутствие цикла защищенной разработки приложений, контроля защищенности поставщиков и низкую осведомленность пользователей.

Ситуативная защита сегодня не работает. Таково мнение технического директора по безопасности в регионе Центральной и Восточной Европы Анджея Клешницки (Andrzej Klesnicki) из Qualys. Многие атаки достигают цели потому, что не выполняются элементарные требования правил «гигиены» безопасности: вовремя устанавливать заплатки, изменять пароли и установки по умолчанию, удалять неиспользуемые сервисы.

Информационная безопасность — о чем говорят эксперты

Анджей Клешницки: «Не следует стараться защититься от всего — нужно оценить угрозы безопасности и определить, от каких из них необходимо защищаться»

Типичная картина, наблюдаемая в сегменте ИБ, — это много угроз и ограниченные ресурсы для построения «круговой» защиты. Возникает вопрос, как распределить имеющийся бюджет? Здесь нужно помнить, что эффективность защиты определяется ее слабейшим звеном.

Как важную меру обеспечения ИБ докладчик назвал регулярное сканирование систем для определения уязвимостей. Результаты сканирования, как правило, оформляются в виде отчетов. Однако этот метод имеет ряд недостатков. К примеру, если сканирование выполняется раз в месяц, то отчеты формируются вовремя. Но если сканирование выполняется чаще, то такой подход уже не работает. В этих случаях нужно переходить к постоянному мониторингу безопасности. Нужно постоянно оценивать все активы, постоянно собирать информацию об инцидентах и немедленно реагировать. Для объяснения, что такое постоянный мониторинг безопасности, Анджей Клешницки привел определение NIST. Вероятно, оно будет интересно и нашим читателям: «Термины «непрерывные» и «текущие» в данном контексте означает, что безопасность и организационные риски оцениваются и анализируются на частоте, достаточной для поддержки основанных на оценке рисков решений безопасности для адекватной защиты информации организации. Сбор данных, независимо от частоты, выполняется через дискретные интервалы».

Однако не следует стараться защититься от всего. Нужно оценить угрозы безопасности и определить, от каких из них необходимо защищаться. Не нужно защищаться от того, что не является угрозой для компании. Второй момент — это ограничение по времени. Когда уязвимость становится известной, то злоумышленникам для ее изучения необходимо от 20 до 40 дней. Это то время, когда можно от нее защититься.

Сегодня известно о восьми тысячах уязвимостей. Их количество растет каждый год. Поэтому для непрерывного управления уязвимостями необходим план. Его первым пунктом должен быть постоянный сбор информации по всей инфраструктуре. Далее, нужно постоянно следить за новостями в области ИБ, иметь план установки заплаток в непредвиденных случаях, устранять другие уязвимости посредством регулярного процесса установки заплаток.

Защита от утечки данных (DLP) является важным компонентом в общей системе ИБ. О том, что предлагает в этой области компания Symantec, рассказал руководитель направления Павел Назаревич. Вначале он отметил, что компания сегодня сосредоточена только на разработках продуктов по ИБ. Два основных направления разработок — это защита инфраструктуры и безопасность контента, или непосредственно защита информации. Именно в это направление входит Symantec DLP.

Информационная безопасность — о чем говорят эксперты

Павел Назаревич: «Для надежной защиты конфиденциальной информации необходимо специализированное решение»

Каждая организация может использовать простые меры для предотвращения утечки данных, например, запретить доступ к съемным носителям, ограничить или запретить печать, шифровать данные, применять другие административные меры. Однако, по словам докладчика, это лишь частично решает проблему. Для надежной защиты данных необходимо специализированное решение.

За всеми угрозами, с которыми сталкиваются компании, стоят люди. Это могут быть добропорядочные инсайдеры, которые «не знают, что творят», злонамеренные инсайдеры или внешние охотники за конфиденциальной информацией. Согласно внутренней аналитике Symantec, 64% данных утекают случайно по вине добропорядочных инсайдеров, а 50% увольняемых сотрудников уходят с данными. В Европе средняя стоимость потерь в опрошенных компаниях составила 5,4 млн долл.

Как правило, не все данные в компании нуждаются в защите. Поэтому перед запуском DLP нужно провести классификацию данных и защищать только важные, к примеру, данные кредитных карт, медицинские и персональные данные, финансовую информацию и т. п. Начинать строить защиту необходимо с создания политик вручную или по шаблонам. Здесь можно воспользоваться аудитом либо для начала определить заведомо конфиденциальную информацию. Основными требованиями к функциональности DLP являются поиск защищаемых данных в сети и на конечных устройствах, где она не должна находиться (обнаружение), слежение за событиями и проверка пересылаемых данных (мониторинг) и защита, которая может включать блокировку, удаление, шифрование, помещение в карантин. В заключение должен проводиться анализ и предприниматься соответствующие меры по снижению рисков. Вся эта функциональность, по словам докладчика, реализована в Symantec DLP. Система защищает сеть, компьютеры, хранилища и мобильные устройства.

Информационная безопасность — о чем говорят эксперты

Во время панельной дискуссии активно обсуждались актуальные проблемы ИБ

Для анализа контента Symantec использует инновационные технологии. Защищается не файл в целом, а конфиденциальная информация в нем. После ее идентификации, где бы она ни появилась и в каком бы формате она ни появилась, при пересылке происходит анализ, фиксируется инцидент и пересылка останавливается. Для анализа контента используются морфология и цифровые отпечатки двух видов — для структурированных данных и для неструктурированных, а также технология, которую компания называет Vector Machine Learning. Последняя позволяет обучить систему определенным правилам идентификации информации для таких сложных случаев, как исходные коды, CAD/CAM, всевозможная графическая информация.

При защите конечных точек Endpoint DLP определяет, как данные используются, куда отправляются и на каких рабочих станциях хранится конфиденциальная информация. Для этого применяются контроль сохранения, копирования и перемещения данных, контроль бизнес-процессов и сканирование рабочих станций, соответственно. Защита хранилищ (DLP for Storage) предусматривает, в частности, такие функции, как сканирование хранилищ с целью определения, какая информация, с какими правами и где размещена, и при необходимости информация перемещается. При защите сети можно контролировать интернет- и email-трафик как на уровне рабочих станций, так и на уровне сети. При этом выполняется контроль ключевых точек и магистральных каналов, контроль на шлюзах и в случае необходимости — блокировка и шифрование. Для зашифрованной информации предлагается гибкая настройка политик.

В рамках конференции состоялись две панельных дискуссии, на которых обсуждались такие темы, как ИБ глазами CIO и CISO ведущих украинских компаний и тенденции 2016–2017 в области ИБ.

Материалы конференции доступны для всех желающих по запросу на сайте мероприятия.

 

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT