Как обезопасить бизнес в мире полном рисков

Вопросы информационной безопасности сегодня особенно актуальны. Распространение облачных технологий, увеличивающиеся возможности беспроводных сетей, использование мобильных устройств в бизнесе, усложнение ИТ-инфраструктуры и повышение сложности кибератак требуют пересмотра традиционных подходов и требований к ИБ современных предприятий.

Об интересе украинского бизнеса к этой теме говорил заполненный конференц-зал «Президент Отеля», где проходила ежегодная конференция IDC IT Security Roadshow 2014. Участников познакомили со средствами защиты данных от современных «медвежатников», предлагаемыми ведущими ИТ-компаниями.

В своей вступительной речи региональный менеджер IDC Украина Владимир Поздняков отметил, что сегодня вопросы ИБ для бизнеса зачастую являются более важными, чем финансовые и технические. И хотя данная конференция проходит в непростое для Украины время, ее необходимость и важность не подлежат сомнению. Он также обратил внимание присутствующих, что в этом году компании IDC исполняется 50 лет, что не так уж часто встречается на ИТ-рынке. Сегодня компания насчитывает 54 офиса по всему миру, а исследованиями, который проводятся в 110 странах, занимаются более 1100 аналитиков. Ни одна аналитическая компания на ИТ-рынке не может похвастаться такой разветвленной сетью. Поскольку компания остается частной, никто из вендоров не может оказывать какого-либо влияния на результаты исследований.

Владимир Поздняков: «Сегодня вопросы ИБ для бизнеса зачастую являются более важными, чем финансовые и технические»

Если посмотреть, как развивался ИТ-рынок за эти 50 лет, то можно выделить три основных этапа, или три платформы, на которых строились ИТ: мэйнфреймы, архитектура клиент-сервер и так называемая 3-я платформа, в которую входят такие составляющие, как облачные сервисы, мобильные технологии, социальные сети и «большие данные». По оценкам IDC к 2020 г. более 50 % доходов на рынке ИТ будут обеспечиваться именно ими.

Попытку «заглянуть в будущее» посредством анализа тенденций на рынке ИБ сделал ведущий аналитик IDC Украина Андрей Головных. Вначале он представил результаты опроса CIO, сделанные в Северной Америке, Европе и Юго-Восточной Азии, оформленные в виде 10 основных предсказаний (Top 10 Predictions) на период до 2018 г. Приведем несколько из них, на наш взгляд, наиболее интересных. Так, к 2016 г. свыше 70% CIO перестанут непосредственно руководить функционированием ИТ и станут для бизнеса инновационными партнерами, предоставляющими предприятию информационную поддержку и сервис. В стремлении радикально снизить расходы на ИТ и повысить гибкость бизнеса, CIO серьезно увеличат риски своих компаний путем расширенного использования облачных решений. К 2016 г. 80% ИТ-бюджета будет связано с интеграцией внутренних и аутсорсинговых ИТ- и бизнес-сервисов. Использование мобильных технологий в бизнесе заставит 60% CIO к 2017 г. поддерживать динамичный подход к ИТ-архитектуре предприятия, обеспечивая сосуществование разнообразных облачных интерфейсов для унаследованных мобильных приложений и приложений нового поколения. К 2018 г. адаптация ИТ-технологий 3-й платформы переопределит 90% ролей ИТ.

Прогноз, касающийся непосредственно ИБ, не выглядит оптимистическим: к 2015 г. 60% CIO для борьбы с растущей уязвимостью унаследованных ИТ-систем не будет хватать 30-40% бюджета, и они не смогут финансировать оценку угроз предприятия и одновременно поддерживать существующую модель реагирования на уже обнаруженные угрозы.

Андрей Головных: «Среди предпосылок роста услуг ИБ — необходимость улучшить защиту на фоне усложнения целевых атак, размывание периметра корпоративной сети, дефицит знаний и опыта ИТ-персонала и сокращение бюджетов»

Если взглянуть на динамику рынка ИБ в целом, то, по отношению к 2012 г., наибольший рост испытали продукты Identity and Access Mgmt (9,7%), Security and Vulnerability Mgmt (9,3). По прогнозам, столь быстрый рост этих сегментов ожидается и в 2014 г. Будут расти также и услуги в области ИБ. При этом из четырех сегментов услуг — консалтинга, интеграции, управления ИБ и обучения и тренинга — максимальный рост 11,9% к 2017 г. покажет сегмент управления ИБ (Managed Security Services).

Среди предпосылок роста услуг ИБ докладчик упомянул необходимость улучшить защиту на фоне усложнения комплексных целевых атак, размывание периметра корпоративной сети, дефицит знаний и опыта ИТ-персонала, сокращение бюджетов и необходимость предсказуемых операционных расходов.

Многие проблемы ИБ корпораций способны решить облачные сервисы. В их числе, в частности, аутентификация пользователей и устройств, управление доступа к данным и ключами шифрования, предотвращение случайного доступа к закрытым данным. Облачные решения смогут также поддержать мобильные сервисы и концепцию BYOD. В ближайшем будущем вырастет значение кросс-доменной аутентификации, будут совершенствовать службы управления уязвимостями, DLP и защита в режиме реального времени. Получат распространение технологии Mobile Enterprise Management и Mobile Application Management.

Сегодня с ростом подключаемых к Интернету устройств растет и количество угроз. Как полагает компания Check Point, для успешного противостояния современным комплексным угрозам корпорации должны создавать многоуровневую защиту. Об основных подходах к ее построению рассказал консультант по безопасности Дмитрий Воронков.

Дмитрий Воронков: «Для реализации модульной и гибкой архитектуры системы безопасности Check Point предлагает концепцию Software-Defined Protection (SDP), аналогичную SDN»

Простейшим, как казалось бы, решением является использование на каждом уровне ИТ-инфраструктуры соответствующих средств защиты из имеющегося богатого арсенала. Однако возникает вопрос, как этим всем управлять? Check Point считает, что организациям нужна архитектура безопасности, которая будет модульной и гибкой. Для реализации такой архитектуры компания предлагает концепцию Software-Defined Protection (SDP), аналогичную SDN. В соответствие с этой концепцией архитектура системы безопасности разбивается на три уровня: управления (Management Layer), контроля (Control Layer) и применения политик (Enforcement Layer). Это существенно упрощает управление системой ИБ.

Enforcement Layer охватывает безопасность таких компонентов, как конечные точки, периметр и сегменты сети, мобильные устройства и данные в облаке. Для эффективной защиты инфраструктуры с нечеткими границами компания предлагает провести ее сегментацию. Тогда в случае компрометации одного сегмента, остальные останутся интактными. Сегментация включает такие шаги, как разделение на базовые сегменты, их группировку, установку защищенных каналов и консолидацию компонентов.

Control Layer предусматривает формирование и выбор механизмов защиты. Основные его функции — это контроль взаимодействия между пользователями, данными и приложениями, а также защита данных во время их хранения и передачи, к примеру, шифрование. Однако для выбора механизмов защиты нужно знать, от чего защищаться. В общем, угрозы можно классифицировать по трем категориям: известные угрозы — известные защиты; известные угрозы — неизвестные защиты и неизвестные угрозы — неизвестные защиты.

Первый вариант не вызывает вопросов. Что касается второго, то защита должна базироваться не на сигнатурном анализе, а на поведенческом. В третьем случае защититься невозможно, однако при правильной (модульной) архитектуре системы безопасности можно в кратчайшие сроки организовать защиту. Эффективные механизмы защиты базируются на интерактивном анализе в режиме реального времени. Для этого на рынке существует целый ряд продуктов как в аппаратной, так и в программной реализации, в том числе и у Check Point.

Для столь комплексной системы ИБ необходимы соответствующая система управления, которая должна быть модульной, содержать определенные элементы автоматизации, иметь понятный и прозрачный интерфейс и развитые механизмы отчетности. Именно такие функции выполняет Management Layer.

Решения по информационной безопасности от НР представил ведущий архитектор подразделения технологического консалтинга компании Ярослав Левков, предварительно сделав обзор ландшафта угроз.

Ярослав Левков: «Стратегия НР в области ИБ направлена на три области: защита непосредственных объектов атаки, улучшение существующих процессов управления рисками и осуществление проактивной защиты информации»

Сегодня по-прежнему существует фишинг в его классической форме, но в 2013 г. появилось нечто новое в этом типе атак. Если раньше злоумышленник стремился привести жертву на определенный сайт, то теперь атаки направляются не на персону, а на целые системы. Так, в апреле прошлого года твиттер новостного агентства Associated Press, имеющий около 2 млн. подписчиков был взломан сирийскими хакерами, которые опубликовали следующую «новость»: «Два взрыва в Белом доме, Барак Обама ранен». Следствием явилось падение на 2 часа индекса Доу Джонса на 1% и вывод из оборота 200 млрд. долл. В ответ Twitter ввел двухфакторную аутентификацию. Это пример показывает, что появляются новые типы угроз, которые до этого не встречались. Однако и традиционные, такие как DDOS, загрузка вредоносного ПО со взломанных сайтов и т. п., не только не уменьшаются, но и становятся более агрессивными.

На фоне этого стратегия НР в области ИБ направлена на три области. Это защита непосредственных объектов атаки, улучшение существующих процессов управления рисками и осуществление проактивной защиты информации. Компания рекомендует строить защиту на базе трех основных продуктов. Прежде всего, это HP ArcSight Security Intelligence, представляющую собой эффективную платформу для мониторинга современных угроз и рисков. Без нее очень трудно определить произошел инцидент или нет, классифицировать его и начать расследование. Второй компонент — это Fortify Software Security Center. Он выполняет статический и динамический анализ кодов приложений, позволяя тем самым найти уязвимости как в исходном коде программы, вне зависимости от языка программирования, так и в запущенных на исполнение программах. Третий компонент TippingPoint Network Defense System — система непосредственной защиты.

Самая последняя инновация НР в области безопасности — HP Network Protector — позволяет остановить угрозу прежде, чем она проникнет в сеть. ПО разработано в соответствии с концепцией SDN и может устанавливаться на SDN-контроллеры в масштабах кампуса или сети ЦОД. Решение защищает более чем от 700 тыс. различных видов вредоносного и шпионящего ПО, а также от угроз со стороны ботнетов.

На фоне роста внешних и внутренних угроз, высокого риска внутренних нарушений и повышающихся требований регулирующих законов становится актуальным комплексный подход к управлению доступом. О решении Dell Software в этой области рассказал ведущий специалист из «Бакотек» Иван Рудницкий. Решение включает два продукта: Dell One Identity Manager (IDM) и Dell One Total Privileged Access Management (TPAM).

Иван Рудницкий: «Dell One обеспечивает упорядочение доступа, контроль привилегированных учетных записей, управление удостоверениями пользователей, мониторинг активности пользователей»

Dell One обеспечивает упорядочение доступа, контроль привилегированных учетных записей, управление удостоверениями пользователей, мониторинг активности пользователей. Архитектура изначально использует объектно-ориентированный подход на базе моделей.

Система IDM проста в применении и позволяет пользователям действовать более грамотно. Так, конечные пользователи могут проверить правомочность своих запросов простым нажатием соответствующей кнопки, руководители — быстро просмотреть статус задач и процессов по интегрированному управлению доступом. Администраторы могут отслеживать состояние системы по правилам контроля изменений из стандарта ITIL, а проектировщики — увидеть последствия своих изменений до фактического внедрения.

В целом, IDM упорядочивает процесс комплексного управления доступом в части контроля учетными записями, привилегиями и безопасностью по всей организации; выводит контроль пользователей и прав доступа из сферы ответственности ИТ-отдела, передавая его в руки бизнес-пользователей; в разы снижает сложность, продолжительность и стоимость базовых операций управления учетными записями и доступом по сравнению с «традиционными» каркасными решениями.

TPAM состоит из двух частей: управление паролями (Privileged Password Management) и управление сессиями (Privileged Session Management). Управления паролями позволяет выполнять контроль по времени, по использованию и принудительно. Управление сессиями обеспечивает контроль лимита на сессию, уведомление при превышении лимита, ручное управление сессией и просмотр сессии в режиме реального времени.

С распространением технологий виртуализации возникла задача защиты виртуальных сред. О том, что предлагает в этой области Лаборатория Касперского, рассказал менеджер по технологическому позиционированию Олег Горобец.

Олег Горобец: «Предположения о том, что виртуальная инфраструктура по своей сути более безопасна, чем физическая, и что киберкриминал не интересуют виртуальные машины, не соответствуют реальности»

Прежде всего, он рассеял ряд заблуждений, которые, по его словам, имеются еще у многих руководителей. В их число входят предположения о том, что виртуальная инфраструктура по своей сути более безопасна, чем физическая, что киберкриминал не интересуют виртуальные машины и что вредоносное ПО не в состоянии сохраниться при выводе из эксплуатации ВМ. Все это не соответствует реальности. А реальность та, что количество угроз, в том числе и на виртуальные среды, растет с катастрофической быстротой. Угрозам в виртуальной среде подвергаются гостевые ОС (99%), ПО администрирования и процессы репликации.

Традиционный подход к защите ВМ заключался в установке на нее полновесного агента защиты конечных точек (endpoint security). В виртуальной среде такая защита малоэффективна. Компания VMware предложила защиту без агента, при котором одна ВМ (Virtual Security Appliance, VSA) выделяется для защиты всех остальных. Такой подход также имеет ряд ограничений, к примеру, отсутствие доступа к ОЗУ ВМ, отсутствие инструментов контроля, невозможность применения продвинутых технологий защиты от эксплойтов и ряд других.

В этой ситуации Лаборатория Касперского предлагает защиту виртуальных сред с применением «легкого агента». Здесь также используется одна ВМ для защиты, но на каждую ВМ ставится нересурсоемкое приложение, которое обеспечивает прямую связь с VSA. Поддерживаются платформы Microsoft и Citrix. Решение обеспечивает наиболее полный набор технологий защиты, в частности, защиту от вторжений, брандмауэр, автоматическую защиту от эксплойтов.

Конференция завершилась круглым столом, за которым обсуждались общие вопросы ИБ, аутсорсинга ИТ и ИБ.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365