Безопасность как приоритет бизнеса

23 март, 2018 - 14:30Леонід Бараш

Безопасность как приоритет бизнеса

По мере все более глубокого проникновения ИТ в бизнес все большее значение и внимание приобретают вопросы информационной безопасности. За последние 10–15 лет информационная безопасность превратилась в тему, которая постоянно обсуждается и детально анализируется. Каждая заинтересованная сторона — будь то CISO, практические эксперты, поставщики программного обеспечения и услуг и т. д. — имеет свое видение на этот счет и свои предложения, которые она отстаивает и продвигает.

Конференция IDC Security Roadshow 2018, прошедшая в последней декаде февраля, предоставила уникальную независимую площадку для дискуссии с экспертами, обмена идеями, участия в практических секциях и обсуждения актуальных для вас вопросов.

Безопасность как приоритет бизнеса

Владимир Поздняков: «Поскольку ИТ пронизывает сейчас каждое предприятие сверху донизу, то ИБ становится одним из ключевых приоритетов бизнеса»

Конференция открылась вступительным словом регионального менеджера IDC в Украине, Армении, Беларуси, Грузии и Молдове Владимира Позднякова. Он напомнил, что на прошлой конференции основной темой была корпоративная ИБ в условиях кибервойны. Сейчас уже речь не идет о том, есть или нет войны в киберпространстве, ее последствия ощущает практически каждый бизнес в Украине. Поскольку ИТ пронизывает сейчас каждое предприятие сверху донизу, то ИБ становится одним из ключевых приоритетов бизнеса. Информационная безопасность становится не только проблемой CISO или ИТ-персонала, это проблема также управленцев и собственников бизнеса. Поэтому нынешняя конференция посвящена проблематике и инструментам в области ИБ.

Компания Cisco Systems уже 11 лет публикует отчеты по ИБ. В последнем (cisco.com/go/arc2018) были суммированы основные тенденции и события в 2017 г. С ними участников ознакомил бизнес-консультант в сфере ИБ Владимир Илибман, Cisco.

Безопасность как приоритет бизнеса

Владимир Илибман: «Для достижения максимальной эффективности защиты необходим пересмотр процедур реагирования на инциденты ИБ и практика по ним»

Многие организации фокусируются на новых технологиях защиты. Все больше инвестиций делаются в автоматизацию, машинное обучение и ИИ. Для выявления и защиты от злоумышленников большинство организаций используют инструменты поведенческого анализа. В отчете сделан интересный вывод, что киберпреступники используют очень многие современные технологии ИБ для выполнения атак. Например, шифрование, IoT, облака.

Сегодня просматривается явная тенденция увеличения доли зашифрованного трафика в Интернете. Сейчас его рост составляет 12% ежегодно. В то же время за год рост зашифрованного вредоносного трафика вырос почти в три раза. Это сильно усложняет обнаружение вредоносного кода на уровне сети, поскольку большая часть средств защиты не всегда способна проинспектировать зашифрованные каналы коммуникаций.

Программы-вымогатели WannaCry и Nyetya сделали серьезный шаг вперед — они стали заражать компьютеры автоматически. Количество поражаемых компьютеров увеличилось в сотни раз. Такие атаки были названы молниеносными. Подобные тенденции, по мнению Cisco, сохраняться и в этом году. Подтверждением этого служат атаки на ИТ-инфраструктуру Зимней олимпиады 2018 в Корее. По сравнению с Nyetya и Bad Rabbit, этот вредоносный код мог мутировать и загружать в себя те пароли, которые он смог украсть в рабочих станциях и серверах. В результате код становится более эффективным.

По данным Cisco, 53% организаций размещают большую часть своей инфраструктуры в облаке. Однако облака являются также и технологией нападения и маскировки злонамеренных целей. Наибольшей популярностью для маскировки коммуникаций с командными центрами или для хищения данных пользуются Google, Amazon, Azure, Dropbox OneDrive и ряд других. Все чаще злоумышленники не создают новые структуры для управления бот-сетями. Они используют для этого Twitter либо Telegram. Комбинация шифрования трафика и публичных облаков делает очень трудной задачу выявления вредоносного кода.

Вызывает тревогу уязвимость систем управления технологическими процессами. Для упрощения атак злоумышленники активно исследуют их опорные точки. Ситуация усугубляется тем, что такие системы, как правило, плохо защищены, используют устаревшие технологии. Зачастую в них нет даже базовых средств защиты. Противоположная проблема в ИТ-компаниях. Там иногда используется даже слишком много технологий безопасности от разных производителей. По мере увеличения количества таких продуктов усложняется задача управления сетью и безопасностью. По результатам опроса более 3 тыс. специалистов оказалось, что около 44% оповещений об инцидентах вообще не расследуются, а из 56% расследуемых оповещений обрабатывется и принимаются меры только по 51%.

Каковы же выводы? Злоумышленники постоянно совершенствуют тактические приемы, используя для сокрытия своей активности и обхода традиционных технологий безопасности шифрование, легальные интернет-сервисы и социальную инженерию. В их числе полевые испытания вредоносного кода и методов внедрения, обход песочниц, использование облаков, автоматизация распространения вредоносного кода, атаки на IoT.

В этой ситуации Cisco дает следующие рекомендации. Для достижения максимальной эффективности защиты необходимо ролевое обучение, подтверждение использования корпоративных политик и практик обновления ПО. Требуется также пересмотр процедур реагирования на инциденты ИБ и практика по ним, проведение анализа эффективности процессов безопасности поставщиков, проверки безопасности микросервисов, облачных сервисов и систем администрирования приложений. И пора, наконец, ввести ответственного за безопасность IoT-устройств.

Выдержит ли ваша стратегия безопасности проверку временем? Этой проблемы коснулся в своем выступлении старший директор направления стратегии и планирования безопасности в регионе ЕМЕА Джей Коули (Jay Coley) из Akamai. Однако вначале он кратко представил компанию. Akamai начала работать в 1998 г. как сеть доставки контента (CDN), и довольно быстро компания поняла, что унаследовала функции безопасности, встроенные в платформу и связанные с защитой от атак DDoS. Эти атаки выполнялись с домашних ПК, зараженных вредоносным ПО, а потом они развернулись на полномасштабные серверы, которые захватывали атакующие, а в последнее время для них начал использоваться и IoT. Мощность атак DDoS постоянно возрастает. Если в 2004 г. максимальная интенсивность трафика составляла порядка 10 Гб/с, то в 2016 г. — более 630 Гб/с.

Безопасность как приоритет бизнеса

Джей Коули познакомил участников с платформой Akamai для защиты от массированных DDoS-атак

Платформа Akamai имеет три аспекта: это DNS, веб-приложения и защита платформы на основе решений Prolexic Technologies, приобретенной в 2003 г. Что касается DNS, то это более 250 тыс. серверов на 3500 площадках в 128 странах. Это обеспечивает потенциал для снижения последствий даже крупномасштабных DDoS-атак, которые наблюдаются сегодня. Если посмотреть на платформу Prolexic, то она состоит из семи центров очистки трафика, распределенных по миру, которые суммарно могут обрабатывать около 3,5 Тб/с.

Присутствие в 128 странах дает возможность видеть полную картину атак. В день обслуживается более 2 трлн. запросов и собираются очень большие объемы данных. В III кв. 2017 г. наблюдалось некоторое увеличение DDoS-атак. Интересным является факт, что в семи из десяти случаев использовались атаки типа CLDAP Reflection.

В 2014 г. начали появляться бот-сети на основе IoT. Наибольшая атака было проведена бот-сетью Mirai в сентябре 2016 г. — 623 Гб/с. Среди интересных вещей, связанных с этой атакой — использование протокола GRE.

На что же необходимо обращать внимание организациям? Это DNS, веб-приложения, ну и платформы и ЦОД. Именно в совокупности, а не отдельно на каждую компоненту. И для всех них необходимо отдельное решение для защиты.

Критически важно для организаций построить инфраструктуру, которая была бы способна противостоять современным кибератакам. Ряд рекомендаций по этому вопросу сделал технический директор Check Point в Украине, Грузии и СНГ Александр Чубарук.

Безопасность как приоритет бизнеса

Александр Чубарук: «Для противостояния современным атакам необходимо строить комплексную систему защиты с единой архитектурой и системой управления, нацеленную на предотвращение и блокирование атак»

Он напомнил, что до 2017 г. не наблюдалось столь масштабных атак с использованием вредоносного ПО и таких убытков. В мае 2017 г. глобальная атака WannaCry в течение 24 часов инфицировала 75 тыс. систем в 99 странах. Месяцем позже NotPetya поразил ведущие корпорации в 65 странах, но больше всех пострадала Украина. Это стало очень серьезным стимулом для проникновения в организации новых решений по ИБ. От чего же нужно защищаться сегодня, и как построить системы, которые бы реально защищали от современных атак?

Несмотря на существенное увеличение организациями средств защиты за последние два года, они все еще не используются наиболее эффективным способом. Среди выдвигаемых объяснений — это слишком сложно, слишком много точечных продуктов, нет соответствующего персонала, нас это не зацепит и т.п.

Основным недостатком, обнаруживающимся при внедрении продуктов безопасности, и, в принципе, не позволяющим построить эффективную систему защиты, которая может бороться с современными атаками, является точечный подход. Для противостояния таким атакам необходимо строить комплексную систему защиты с единой архитектурой и системой управления, нацеленную на предотвращение и блокирование атак. Она должна работать в режиме реального времени и охватывать все слабые точки, от облака до мобильных устройств. Элементы ее реализации должны включать компоненты защиты, которые устанавливаются во все элементы ИТ-инфраструктуры. Они должны быть объединены единой шиной обмена данными, и эта шина должна подключаться к общему интеллекту, который помогает делать две вещи. Во-первых, своевременно получить информацию об угрозе и, во-вторых, быстро распространить механизм защиты от нее.

Концепция Check Point Infinity, которая включает стратегию построения и элементы защиты, позволяющую создать комплексную систему, способную противодействовать современным атакам. Она предусматривает превентивный характер действий, работает в режиме реального времени и имеет единую консолидированную систему управления, которая позволяет распространить единые политики безопасности на все защищаемые устройства. Составными частями концепции являются элементы выполнения политик (Enforcement Layer), интеллектуальная шина обмена данными про угрозы и методы защиты, объединенная с аналогичными компонентами во всем мире (Control Layer), и соответственно система управления, которая позволяет объединить все эти элементы (Management Layer). По мнению Check Point такая система позволяет защититься от атак пятого поколения.

Компания Lattelecom — частый гость на мероприятиях в Украине. В этот раз директор по развитию бизнеса ЦОД Марис Сперга привел практические примеры и советы по построению устойчивой к внешним и внутренним угрозам ИТ-инфраструктуры.

Безопасность как приоритет бизнеса

Марис Сперга привел практические примеры и советы по построению устойчивой к внешним и внутренним угрозам ИТ-инфраструктуры

Он обозначил топ 5 глобальных бизнес-рисков в 2018 г. К ним относятся прерывание бизнеса, киберинциденты, природные катаклизмы, падение рынков и изменения в законодательстве и регуляторных требованиях. По его словам, к 2021 г. урон, нанесенный кибератаками, составит 6 трлн. долл. Количество киберинцидентов с каждым годом увеличивается. По оценке Verizon, в среднем 65% составляют внешние атаки и 35% — внутренние. По угрозе бизнесу киберинциденты вышли на второе место. При этом 81% связан с взломом паролей, 73% мотивированы финансово и 21% приходится на шпионаж.

Как же защищается Lattelecom? На первом месте стоит физическая защита ЦОД. Далее, защита от атак DDoS. Для онлайн-анализа сетевой и ИТ-инфраструктуры и приложений используется SIEM Q-Radar, регулярно выполняется сканирование Wi-Fi и оборудования на наличие уязвимостей и тестирование на проникновение, проводится обучение сотрудников. Для защиты от DDoS-атак Lattelecom использует продукты Radware, а для управления уязвимостями ИТ-системы — Rapid 7.

Компания также много инвестирует во внутреннюю защиту. Выполняются шифрование дисков, управление мобильными приложениями, классифицируются документы и электронная переписка, выполняется скрининг данных.

Существенную угрозу для компаний представляют целевые атаки. О том, как в этих условиях обеспечить безопасность веб-трафика и конфиденциальность данных, рассказал менеджер по развитию бизнеса Станислав Похилько из Oberig IT.

Безопасность как приоритет бизнеса

Станислав Похилько: «С помощью решения ProxySG компании могут обеспечить безопасность взаимодействия с ресурсами Интернета и оптимизацию работы бизнес-приложений»

Одной из проблем в обеспечении безопасности является зашифрованный трафик. По словам выступающего, 50–75%% трафика шифруется с помощью протоколов SSL/TSL. Это создает слепые зоны для систем IPS, DLP и аналитики вредоносного кода. В то же время в 2017 г. более половины вредоносного кода скрывалось в каналах SSL. Ситуация усугубляется использованием удаленного доступа и мобильных устройств для подключения к корпоративным ресурсам и хранением данных на персональных устройствах. Поэтому на первый план выходит безопасность веб-трафика. Для ее обеспечения компания предлагает использовать Secure Web Gateway (SWG) от компании Blue Coat, входящей сегодня в Symantec.

SWG является масштабируемой платформой, которая может быть реализована как на физических или виртуальных устройствах компаний, так и в облаке. С помощью решения ProxySG компании могут обеспечить безопасность взаимодействия с ресурсами Интернета (веб-безопасность) и оптимизацию работы бизнес-приложений. Докладчик отметил, что брандмауэры нового поколения (NGFW) не являются заменителями прокси-решений ввиду ограниченных возможностей разбора зашифрованного веб-трафика. Эти решения должны работать вместе. Существенным достоинством SWG является возможность сквозного применения политик для всех приложений и для всего контента. Решение от Blue Coat имеет развитые механизмы категоризации и группировкам данных на уровне контента. Используется более 80 различных категорий на 55 языках с учетом контекста и геолокации. Это позволяет тонко настраивать политики. Для анализа песочниц используется комбинация решений прокси и системы анализа контента Content Analysis System (CAS).

Важной особенностью архитектуры системы ИТ-безопасности в эпоху цифровой трансформации бизнеса должна быть ее адаптивность. Она, в частности, обеспечивается решениями Trend Micro, которые представил региональный менеджер в Украине, Молдове и Беларуси Роман Черненький.

Безопасность как приоритет бизнеса

Роман Черненький: «Сегодня для сбора данных об угрозах Trend Micro установила миллионы сенсоров по всему миру, объединенные в Global Sensor Network и фиксирующие миллиарды событий ежедневно»

Компания Trend Micro, поставляющая решения по ИТ-безопасности, присутствует на рынке уж 29 лет. Сегодня для сбора данных об угрозах ею установлены миллионы сенсоров по всему миру, объединенные в Global Sensor Network и фиксирующие миллиарды событий ежедневно. Сеть отслеживает файлы, IP-адреса, URL, мобильные приложения. Система Global Threat Intelligence выполняет более точный анализ для определения угроз. Собранные данные позволяют обеспечивать проактивную защиту, блокировать новые угрозы. Эта система блокирует атаки более чем у 500 тыс. бизнес-пользователей и у миллионов персональных и семейных пользователей.

Для противостояния атакам Trend Micro рекомендует строить систему безопасности на базе предлагаемого комплекса решений. Они условно могут быть разбиты на четыре группы. Это набор решений от Tipping Point, Smart Protection Suites, Deep Discovery и Deep Security. К примеру, решения от Tipping Point включают, в частности, защиту от угроз нулевого дня, репутационный анализ, глубокую инспекцию пакетов, инспекцию SSL-трафика, машинное обучение. В комплексе набор решений обеспечивает гибкую архитектуру и надежную и защиту от кибератак.

Вице-президент компании Wheel Systems в регионе ЕМЕА и Азии Михал Ярски (Michal Jarski) поднял такой важный для многих организаций вопрос, как контроль привилегированного пользователя. В качестве примера актуальности этой проблемы он привел Эдуарда Сноудена, сумевшего похитить конфиденциальную информацию в NSA. Ему не нужно было взламывать систему защиты — он был привилегированным инсайдером.

Безопасность как приоритет бизнеса

Михал Ярски: «Компаниям необходим инструмент, который бы дал возможность контролировать и выполнять мониторинг действий привилегированных пользователей»

Каждый год компания Verizon выпускает отчет по исследованию брешей в ИС. Согласно ему, 40% всех брешей в 2016 г. обусловлено инцидентами с учетными записями пользователей. А уже в 2017 г. они составляли 60%. По данным IBM X-Force за 2017 г., 5% инсайдеров пытались выполнить несанкционированные действия. При этом время обнаружение несанкционированного доступа для 43% составляло месяцы, а для 39% — годы.

Далее докладчик перечислил ряд угроз, которые могут исходить от привилегированных пользователей. В их перечень, в частности, входили несанкционированный доступ к данным, хищение документов, патентов, конфиденциальных данных, удаление или изменение важной информации, неавторизованные или несанкционированные действия. Часто привилегированный пользователь наносит вред из-за отсутствия компетенции. Таким образом, необходим инструмент, который бы дал возможность контролировать и выполнять мониторинг действий таких пользователей.

Компания Wheel предлагает использовать для этих целей продукт, который называется Privilege Account and Session Management (PASM). С ее помощью офицер безопасности может осуществлять наблюдение и документирование сессий привилегированного пользователя, в том числе и при удаленном доступе, централизованно управлять доступом к ресурсам организации и ряд других действий.

Как защититься от кибератаки и что делать, если она уже началась? Такова была тема выступления руководителя службы технической поддержки в Украине Александра Иллюши, ESET.

Безопасность как приоритет бизнеса

Александр Иллюша: «ESET Enterprise Inspector повышает эффективность защиты и обеспечивает улучшенный мониторинг защищаемых конечных устройств»

Он начал с того, что очертил круг проблем, которые присутствуют в большинстве организаций и снижают эффективность защиты. Среди них плохая информированность пользователей об элементарной «гигиене» безопасности, нехватка квалифицированных кадров в отделах ИТ и ИБ, отсутствие достаточного понимания проблематики, четкой утвержденной политики безопасности, средств мониторинга и реагирования на инциденты ИБ.

Для снижения влияния этих проблем предлагается использовать ESET Enterprise Inspector. В числе функций, повышающих эффективность защиты, улучшенный мониторинг защищаемых конечных устройств, более чувствительное обнаружение скрытых угроз, корреляция с глобальной облачной БД ESET LiveGrid, своевременное уведомление об аномальной активности, блокирование подозрительной активности в режиме реального времени. Далее докладчик продемонстрировал содержание и форматы информационных сообщений Enterprise Inspector при реакции на инциденты безопасности.

В рамках конференции были развернуты стенды компаний-спонсоров, на которых участники могли познакомиться с особенностями работы представленных продуктов и технологий.