`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Стратегическое обеспечение бизнеса – новый ориентир сегодняшних CISO

Бизнес и государственные агентства всех размеров подвергаются кибератакам, частота которых и сложность постоянно растут. Киберпреступники, национальные государства и множество других злоумышленников разрабатывают новые тактики, инструменты и процедуры, чтобы обойти современные решения кибербезопасности. Мы все чаще наблюдаем целевые атаки, задействующие специально настроенное вредоносное ПО, и доступность на рынке тёмного веба инструментов и сервисов, охватывающих каждый аспект реализации киберпреступления. Недавний отчёт Fortinet Global Threat Landscape Report показал, что фактически ни одна фирма не может считать себя в безопасности, и 96% из них испытали по крайней мере один серьёзный инцидент.

Пытаясь устранить эти новые угрозы и, в то же время, обеспечить поддержание рабочего процесса,  расширение бизнеса, выполнение миссии и осуществление цифровой трансформации, организации понимают, что для успеха требуется сбалансированный учёт требований как бизнеса, так и безопасности. Это понимание находит отражение в меняющихся ролях и обязанностях директора по информационной безопасности (Chief Information Security Officer, CISO). Сегодня организации публичного сектора и частные предприятия, все ищут на место CISO кандидатов с глубоким технологическим опытом, с организационными способностями и качествами лидера, с деловой хваткой, необходимой для достижения бизнес-целей.

Новый опрос претендентов на место CISO и их нанимателей

Данная тенденция анализируется в опубликованном Fortinet исследовании меняющейся роли CISO.  Это первый в серии аналитических отчетов о профессиях в сфере безопасности, в основу которых положено изучение с использованием алгоритмов обработки естественного языка (NLP) более тысячи объявлений о вакансиях кибербезопасности и резюме от организаций со всего мира. Руководствуясь данными анализа, выполненного фирмой Datalere, этот начальный отчёт исследует как организации переопределяют роли и обязанности своих CISO путём расширения обязательных критериев на организационное лидерство, управление бизнесом и другие традиционные «мягкие» навыки.

Мы установили, что роль CISO претерпевает резкие изменения и больше не фокусируется исключительно на сетевой безопасности. Сегодня организации ждут от своих CISO, помимо курирования безопасности, участия в различных бизнес-инициативах, поддержки цифровой трансформации и способствования росту бизнеса.

Согласно нашему исследованию, организации ищут CISO, которые обладают смесью жёстких навыков – опыта и квалификации – с мягкими навыками четырёх категорий – лидерство, коммуникационные/межличностные, аналитические и личные характеристики. Из жёстких качеств работодателям нужны умение и опыт решения традиционных вопросов безопасности, приватности и соответствия. Из мягких навыков качества лидера востребованы в вакансиях в два раза чаще, чем остальные три категории, вместе взятые.

Безопасность становится всё более критичным условием успешности бизнеса, и директорам информационной безопасности делегируют обязанности кросс-функционального лидерства для того, чтобы обеспечить согласование бизнес-целей со стратегиями ИТ и безопасности, и не просто внедрять тактические защитные технологии, а управлять рисками. Ответственность CISO этой новой породы перерастает традиционные сферы технологий: они служат технологическими лоцманами для цифровой трансформации.

Пропасть между работодателями и соискателями

Рассматривая жёсткие и мягкие навыки, которые организации определяют как необходимые для предполагаемых CISO, мы заметили интересный сдвиг, который показывает, как меняются обязанности сегодняшних CISO. Наниматели делают упор на мягкие навыки на >30% чаще, чем CISO-претенденты включают их в свои резюме и заявки. Это может указывать на медленное осознание соискателями смещения в приоритетах найма сотрудников безопасности эшелона C (уровень директоров).

Почему меняется роль директора информационной безопасности

Предприятия и организации изо всех сил пытаются соответствовать требованиями современного цифрового рынка, его подключенных граждан и потребителей. Цифровая трансформация изменяет распределение ролей высшего управленческого состава. Для CISO это выражается в нацеленности не только на управление рисками и контроль соответствия, но, в равной степени, и на достижение намеченных деловых и финансовых показателей.

Стремительный темп инноваций и изменений, заданный цифровой трансформацией, порождает спрос на CISO, обладающих глубокой технической эрудицией в комбинации с навыками трансформационного управления. Как потребители, так и регулирующие органы все чаще рассматривают безопасность как интегральную часть опыта клиентов, и требуют надежной безопасности и конфиденциальности от всего бизнеса. Отныне и впредь CISO должен быть движителем инноваций и роста, а не только безопасности, соответствия и приватности.

Эти свежие тренды не остались незамеченными преступниками, которые ищут слабые места в новых рабочих процессах предприятий. Новым CISO приходится противостоять расширенному сочетанию эксплойтов известных уязвимостей и узкоспециальных атак «нулевого дня». Сегодняшние CISO должны быть способны эффективно защищать расширяющиеся сети от этой растущей угрозы, одновременно удовлетворяя требованиям развивающегося бизнеса, которые определяют их новую роль.

Подход современного CISO к сетевой безопасности

Цифровая трансформация и ускоренный темп инноваций, сложности и угроз означает, что безопасность должна соответствовать новой скорости бизнеса, или же она станет неактуальной. Для этого CISO нужна широкая, интегрированная архитектура безопасности, которая обеспечит автоматизацию глубокой видимости, быстрый и масштабируемый контроль. Такой инфраструктурный подход осуществляет цифровую трансформацию через плотную технологическую интеграцию, распространяющуюся на анализ последних угроз, методы обнаружения и предотвращения, корреляцию событий и угроз, координированный ответ. Это даёт возможность  CISO сосредоточиться на поддержке бизнеса и не позволяет ему увязнуть в постоянном реактивном жонглировании проблемами кибербезопасности в стиле вчерашнего дня.

Как максимально увеличить облачную эффективность без риска для данных

Организации переносят свой бизнес в публичные облачные инфраструктуры для того, чтобы делать его быстрее и обслуживать больше клиентов. Но с ростом трафика приходит необходимость выделять больше ресурсов для его проверки, что может привести к замедлению работы во имя сохранения безопасности данных.

Как добиться сбалансированного наращивания систем безопасности, вровень с увеличивающимися запросами к производительности современных облачных сред?

Двумя вариантами решения проблем обеспечения такой «эластичной» производительности являются вертикальное и горизонтальное масштабирование.

Горизонтальное масштабирование

Под горизонтальным масштабированием (scaling out) понимают увеличение производительности путём наращивания количества отдельных экземпляров в решении. Оно позволяет облачному пользователю автоматически подключать больше ресурсов брандмауэра при изменении загруженности трафика. Именно возможность инфраструктуры динамически подстраиваться к изменениям трафика делает облачную среду столь привлекательной. Некоторые организации даже временно помещают свои приложения и сервисы в облако, чтобы справиться с необычно высокими, но спорадическими вспышками потребления, и возвращают их на обычные серверы когда ситуация входит в норму. Безопасность должна масштабироваться синхронно с этими изменениями.

При горизонтальном масштабировании следует учитывать не только производительность, но и цену, которую за неё приходится платить. Критически важно сравнить производительность решений перед тем, как встраивать их в вашу облачную инфраструктуру. Внедрение высокопроизводительных решений означает, что вы сможете покупать дополнительные экземпляры брандмауэра не так часто, как были бы должны с более медленным решением.

Вертикальное масштабирование

При вертикальном масштабировании (scaling up) изменяется размер одного экземпляра виртуального оборудования. Одним из важнейших факторов, учитываемых при определении нужной величины ВМ для эффективной работы средств безопасности является производительность на одно ядро. Если вы затребовали большую ВМ с множеством процессорных ядер, то какую пропускную способность вы реально получите с каждого оплаченного вами ядра?

Этот вопрос — прекрасный пример того, как вещи, выглядящие одинаковыми на поверхности — решения всех вендоров работают на одинаковых ВМ — на практике могут оказаться абсолютно разными. Архитектуры, используемые вендорами могут в корне различаться. Так, многие выделяют ядро целиком для администрирования, и покупая двухъядерную систему, вы получаете только половину её ресурсов для обработки трафика и данных. В другом примере вендор связывает одиночную сессию (IKE SA) с отдельным ядром вместо того, чтобы распределять трафик IPSec на многие ядра. Такой архитектурный изыск тоже снижает полезную отдачу от каждого дополнительного ядра сверх одного.

Не всё решения облачной безопасности созданы равными

При выборе решения безопасности для своего облачного или многооблачного внедрения, помимо проверки его безукоризненной работы в различных облачных средах вы должны иметь возможность оценить его истинную производительность. К счастью, провайдеры облачных услуг имеют программы оценки, позволяющие каждому прогнать тесты производительности в любой среде, созданной на базе их публичных облачных платформ. Такой образ действий, принятый за основу, сможет сберечь вам время и деньги.

Можно предположить, что выбор вендора не даёт преимуществ в производительности при перемещении в облако — ведь всё работает на одном и том же оборудовании. Но производительность определяется далеко не только аппаратной частью сети. Она зависит от множества эффективных инженерных техник, нацеленных на оптимизацию, распараллеливание и аппаратную разгрузку.

Оптимизация: не только аппаратная, но полная оптимизация. Некоторые утверждают, что поставщики оборудования утрачивают их преимущества производительности в облачной среде. Но, правда заключается в том, что для достижения нужной производительности от чипа, инженеры должны хорошо оптимизировать программное обеспечение. Многие вендоры ПО никогда не занимаются подобной сплошной оптимизацией стека. Тем не менее, оптимизированные программы напрямую влияют на производительность и могут значительно дифференцировать облачные предложения разных провайдеров.

Распараллеливание: системы обеспечения безопасности, загруженные в облачную среду, должны быть способны задействовать весь ассортимент доступных ресурсов, включая многоядерные ВМ. Для получения максимальной потенциальной производительности, инженеры используют технику распараллеливания. В принципе, для всех вычислений предпочтительна параллельная архитектура, основанная на степенях двойки (2, 4, 8, 16, 32). Она даёт максимальную эффективность и является важной причиной того, почему в одинаковой облачной среде один вендор достигает более высокой производительности, чем другой.

Из-за архитектурных ограничений программного обеспечения многие провайдеры вынуждены выделять одно из каждых четырёх доступных ядер под управляющий уровень (control plane). Это нарушает модель распараллеливания и может иметь серьёзные последствия для эффективности и производительности.

Если вам требуется 8-ядерная ВМ и вы купили её для своего облачного брандмауэра, но для проверки данных доступно только шесть ядер, то это серьёзно ухудшит вашу способность эффективно распределять и обрабатывать эти данные. Именно поэтому следует убедиться, что ваше решение может распараллеливать работу на все имеющиеся процессоры или ресурсы.

Аппаратная разгрузка: виртуальные машины не всегда справляются со всеми возложенными на них задачами обработки. Повышение пропускной способности сети при интенсивных потоках данных обеспечивает технология Single Root I/O Virtualisation (SR-IOV). Она организует обход обработки пакетов ядра гипервизором и устаревшего интерфейса паравиртуализации, назначает гостевым ВМ виртуальную функцию, напрямую замыкающую их ввод-вывод (vNIC) на единый физический сетевой интерфейс (NIC).

Хотя этот вариант доступен для всех вендоров, умение реализовать его преимущества, особенно в сочетании с эффективными оптимизацией и распараллеливанием, может оказать существенное влияние на производительность и функциональность предложения конкретного поставщика.

Производительность играет критическую роль при выборе облачного решения безопасности. Масштабируемое и высокопроизводительное решение позволяет организациям соответствовать растущим требованиям сегодняшних облачных сред к производительности. Вдобавок, более производительные решения также имеют и лучшую ценовую эффективность. Но не все решения облачной безопасности равноценны. Тщательный анализ позволит вам выбрать решение, которое наилучшим образом удовлетворяет критериям производительности вашей организации и её бюджетным ограничениям.

SCADA/ICS: опасности и стратегии кибербезопасности

Многие государственные агентства и частные организации используют системы диспетчерского контроля и сбора данных (Supervisory Control And Data Acquisition, SCADA) или промышленного управления (Industrial Control Systems, ICS). Но наряду с преимуществами эти технологии создают и значительные риски для безопасности. В недавнем опросе, который провела Forrester по заказу Fortinet, почти шесть из 10 организаций (56%), использующих SCADA или ICS, указали, что подверглись вторжениям в эти системы в прошлом году.

Одной из сторон проблемы является то, что эти системы, прежде использовавшиеся главным образом предприятиями электро- и водоснабжения, последние годы всё чаще применяются  для управления множеством новых устройств промышленного Интернета Вещей (Industrial Internet of Things, IIoT), для автоматизации сбора данных и сопутствующего оборудования.

В докладе Transparency Market Research только для глобального рынка ICS прогнозируется рост с 58 млрд долл. в 2014 г. до 81 млрд долл. в 2021 г. ICS находят широкое применение в производстве, в морских портах, нефтепроводах, энергетических компаниях и при построении систем контроля окружающей среды. SCADA, используемые как графический пользовательский интерфейс для ICS, растут с ежегодной скоростью 6,6%.

Соответственно, технологии SCADA/ICS и связанные с ними устройства IIoT стали важными мишенями для хакеров, стремящихся нарушить бизнес-операции, получить выкуп или скомпрометировать ответственную инфраструктуру нации-конкурента. В исследовании Forrester, особенно удивляет то, что 11%  организаций, использующих SCADA/ICS, никогда не были взломаны.

Лёгкий доступ к SCADA/ICS посторонних это основная часть проблемы. Многие излишне полагаются на безопасность своих поставщиков технологий и других внешних организаций, наделяя их широкими привилегиями в своих внутренних системах. Полный или высокоуровневой доступ партнёрам или государственным организациям предоставляют не менее шести из 10 респондентов Forrester.  Более того, многие из этих организаций увеличивают риск, создавая интерфейсы между традиционными ИТ-системами и SCADA/ICS – это открывает внешним хакерам возможность проникновения в системы управления.

Таким образом операторы SCADA/ICS сами являются виновниками многих опасных ситуаций, в которых они оказываются.

Наиболее серьёзной угрозой их безопасности, более трёх четвертей организаций, использующих SCADA/ICS, называют внешнее вредоносное ПО. Семь из десяти участников опроса крайне тревожат угрозы внутренних хакеров, утечки конфиденциальных данных и внешние хакеры.

Помимо распространённости атак на SCADA/ICS их характеризуют серьёзные последствия. В отличие от традиционных ИТ, сети OT (Operation Technology) часто контролируют системы, эффект от захвата которых может оказаться разрушительным. Взломанное устройство IoT, которое контролирует складские запасы, несравнимо по опасности с датчиком IIoT, следящим за температурой 50000-галлонного бойлера на химическом производстве.

Поэтому не вызывает удивления, когда 63% организаций заявляют, что нарушения защиты SCADA/ICS создают серьёзную угрозу безопасности их сотрудников. В 58% ответов к главным последствиям взломов причисляют нарушение финансовой стабильности предприятия, а в 63% – критическое ухудшение продуктивности работы.

Существует множество вариантов реагирования на эти проблемы безопасности. Почти половина опрошенных организаций считает полную оценку деловых или операционных рисков  лучшим способом укрепления безопасности в условиях конвергенции систем ИТ и ОТ. Прочие распространённые способы уменьшения рисков включают контроль соответствия общим стандартам индустрии и безопасности, централизацию администрирования устройств, консультации с правительственными организациями, такими как Центр экстренного реагирования на компьютерные инциденты с ICS (Industrial Control Systems Cyber Emergency Response Team, ICS-CERT).

Операторы SCADA/ICS, ещё только планирующих бюджет безопасности, могут предпринять несколько очевидных шагов, чтобы защитить свои активы. Это:

Защита сетевой инфраструктуры – коммутаторов, маршрутизаторов, беспроводных сетей, устройств IoT/IIoT. Отключение или деактивация неиспользуемых портов и функций.
Сегментирование сетей, где это возможно, дистанцирование беспроводных технологий и IoT/IIoT от SCADA/ICS.
Применение политик контроля учётных записей и привилегий доступа для отслеживания попыток проникновения в сеть посторонних, для предотвращения доступа сотрудников к не нужным им по работе участкам сети, для контроля и управления подключенными к сети устройствами IoT/IIoT.
Внедрение защиты конечных точек – IoT и прочих устройств – для обеспечения видимости угроз.

Вопросы безопасности для SCADA/ICS имеют более высокий приоритет, чем для традиционных систем ИТ из-за потенциального влияния атак на физическую безопасность служащих, клиентов или сообществ. К счастью, организации могут значительно улучшить свою защищённость и тем самым снизить риски, используя многослойный подход к безопасности SCADA/ICS.

Преодоление проблем многооблачной безопасности

Последнее десятилетие ознаменовалось быстрым совершенствований технологии, которая поддерживает среды электронного обучения. Это обеспечило ряд преимуществ для высшего образования, таких как более эффективные преподавание и обмен информацией, персонализированные уроки, позволяющие студентам, использующим облачные инструменты со своих ноутбуков и мобильных устройств, прогрессировать в собственном темпе, и большая экономия денег.

Перед ИТ-администраторами ВУЗов стоит задача хранения и предоставления огромного количества данных. По мере того, как технологии аналитики и больших данных облегчают всё более сложный анализ, объёмы информации о студентах и исследовательских данных в высшем образовании продолжают стремительно расти. ИТ-администраторы всё чаще дополняют онпремисные датацентры хорошо масштабируемыми хранилищами публичных облачных сред.

Но наряду с многочисленными преимуществами, использование технологий SaaS и IaaS поднимает серьёзные вопросы обеспечения безопасности. Добавление облачных приложений и сред в вашу сеть расширяет поверхность атаки и обнажает прорехи в защите. Поскольку в образовании используется, в среднем, 59 приложений SaaS и 40 — IaaS, можно представить, что количество векторов атаки, которые требуется отслеживать, достаточно велико.

Основными проблемами безопасности для учебных учреждений, работающих с многими облаками, являются:

  • Плохая видимость. Каждый облачный вендор имеет свой подход к безопасности, что очень усложняет реализацию непротиворечивой политики и осмысленной видимости.

  • Отсутствие интеграции или координации. Меры защиты часто фоагментарны и изолированы.

  • Реактивная безопасность. В эту эру угроз нулевого дня и сужения помежутка времени от вторжения до взлома, школы не могут позволить себе оставаться реактивными в своем подходе к безопасности.

Отсутствие интеграции продуктов безопасности затрудняет оценку адекватности защиты студентов и данных. Вдобавок, сведение воедино информации из разных систем для создания общего отчета о соответствии, это очень трудоёмкая задача.

Как обеспечить безопасность колледжа в условиях, когда приложения и данные распределены между несколькими облаками?

Вот пять лучших практик.

1. Контролируйте доступ к сети. Из-за большого количества пользователей, входящих в школьную сеть и покидающих её, крайне важно определить, кто и к каким ресурсам имеет доступ. Для эффективной кибербезопасности используйте решения, которые могут легко идентифицировать пользователей, а затем динамически назначать доступ к соответствующим сетевым сегментам.

2. Централизуйте контроль. Вероятно, у вас есть множество точечных решений для многих векторов атак. Однако, поскольку каждое из них предоставляет разные сведения и разные степени видимости данных, опираться на информацию от этого нагромождения инструментов может быть обременительно для ресурсов. Для эффективной работы со средствами контроля сетевой безопасности вашим ИТ-командам потребуется централизованное одноэкранное представление движения данных в сети. Это также упростит индикацию предупреждений от разрозненных защитных устройств. Это абсолютно необходимо, так как ИТ-команды обычно не располагают достаточным штатом чтобы самостоятельно выполнять взаимную корреляцию данных и мониторинг каждого решения.

3. Консолидируйте конечные точки. При добавлении к сети новых приложений, технологий и устройств IoT, каждая независимая конечная точка становится потенциальным местом проникновения в сеть. Консолидируя их путём объединения в единую, интегрированную структуру сетевой безопасности, вы резко уменьшаете потенциальную поверхность атаки, упрощаете себе действия по обеспечению кибербезопасности и более эффективно координируете их в масштабах всей сети.

4. Не пренебрегайте информацией об угрозах. Кибер-атаки могут иметь множество векторов, таких как электронные письма, веб-приложения или вредоносные ссылки и вложения. Ransomware это большая угроза для образовательного пространства, но университеты также регулярно подвергаются фишинговым и DDoS-атакам с применением ботнетов. Школы часто становятся жертвами уязвимостей нулевого дня, дефектов в их оборудовании и программном обеспечении, которые очень сложно обнаружить заблаговременно, до того как взлом произошёл. Чтобы уменьшить урон от каждого из таких типов атак, задействуйте для обновления вашей инфраструктуры безопасности как глобальные, так и локальные источники информации об угрозах.

5. Выберите автоматизацию. Решающее значение имеет не только правильная технология, но также люди, которые её контролируют. В дополнение к ИТ-инфраструктуре и решениям безопасности, нанимайте ИТ-команды, которые способны развернуть каждый компонент технологии и обеспечить его эффективную работу. Построение инфраструктуры и команды в условиях ограниченного бюджета это серьёзная проблема, особенно с учётом дефицита навыков кибербезопасности, с которым сталкиваются работодатели. В результате ИТ-команды с ограниченными ресурсами часто делают упор на функциональность, пренебрегая безопасностью. Но в нынешнем ландшафте угроз безопасность это не то, что можно оставить напоследок.

При ограниченных ИТ-ресурсах, интегрированная и автоматизированная инфраструктура безопасности позволяет быстро реагировать на каждый инцидент, не дожидаясь когда данные будут рассмотрены и сопоставлены занятым членом команды. Кроме того, её внедрение ведёт к сокращению издержек на киберзащиту: интегрированные решения более рентабельны, чем разрозненные точечные решения, или чем использование достаточно большой ИТ-команды для администрирования сети вручную.

Сетевая безопасность если её правильно организовать, станет надёжным подспорьем в цифровой трансформации и электронном обучении, позволяя вашему учреждению использовать преимущества новых, привлекательных технологий.

Кибербезопасность в эру цифровой трансформации

Компьютеры используются в бизнесе с 50-х годов прошлого века. В первые полсотни лет они поддерживали бизнес-процессы, автоматизировали офисные функции, такие как бухгалтерский учёт, административную работу и пр. С распространением Интернета в середине 90-х, компьютерная и сетевая инфраструктуры стали сами превращаться в важные источники прибыли для бизнеса, приносимой напрямую заказчикам, деловым партнёрам, сотрудникам и акционерам. В значительной мере, из-за полной перестройки сетей, этот переход стал делом нескольких последних лет.

В «офисную» эру коммерческих компьютеров безопасность была второстепенным вопросом, инциденты случались редко, а убыток от них был невелик. Но с ростом онлайнового присутствия бизнеса, с расширением экономической роли вычислений и сетей, увеличивался и фронт для кибератак, а обеспечение информационной безопасности превратилось в жизненно важную задачу.

Как результат, кибербезопасность стала неотъемлемым условием успешности бизнеса. Планирование каждого нового капиталовложения больше не будет полным без анализа рисков безопасности, потенциальных уязвимостей и мер предотвращения кибератак.

Кибербезопасность в эру цифровой трансформации

Превращение защиты из «налога» в «инвестицию» требует от руководства предприятий рассмотрения экономической рентабельности таких инвестиций: анализа ценовой эффективности расходов на защиту внутренних активов, процессов и людей предприятия, а также их влияния на позитивное восприятие бизнеса его клиентами, партнёрами и акционерами.

Любая серьёзная стратегия кибербезопасности не может претендовать на защиту всего. Необходимо выделять основные активы, процессы и людей, отличая их от не столь важных элементов, которыми допустимо пренебречь. Расстановка приоритетов является обязательной предпосылкой для принятия решений о бюджетировании. При этом важно понимать, что приоритеты могут меняться очень быстро в эру цифровой трансформации.

Следует определить области, где прорыв защиты абсолютно недопустим. Например, попадание ransomware в административную компьютерную сеть медицинского центра чревато многочисленными неудобствами, однако взлом встроенных систем мониторинга состояния пациентов, медицинской визуализации, анестезии и жизнеобеспечения может привести к гибели людей.

Программа киберзащиты любой организации имеет свои сильные и слабые стороны. Некоторые недостатки, вроде несостоятельности процессов обновления системы и установки исправлений, легко идентифицировать, другие уязвимости могут быть хорошо скрыты. Кроме того, «инновации» взломщиков создают много новых и неожиданных уязвимостей. Работа над их устранением в наше время включает подготовку к неизвестному.

Конечно неприятно, когда противники хотят атаковать вашу организацию для похищения данных, вымогательства выкупа и/или нарушения её работы. Но они также рассчитывают использовать ваши слабости, чтобы атаковать других — и наоборот. И снова, невозможно учесть каждый возможный ущерб любому потенциальному бизнес-партнёру. Поэтому следует выделить ключевых партнёров (тех, с которыми сопряжены самые большие риски для безопасности и данных), определить всё взаимодействия, происходящие между ними и вами, и найти дыры в вашей защите, способные послужить воротами для атак на них.

Глобальная цифровая трансформация на всех деловых, публичных и социальных фронтах нуждается в решениях по обеспечению безопасности, которые могут адаптироваться к условиям, когда быстрое изменение является синонимом постоянной неожиданности. Многолетние усилия Fortinet по развитию и интеграции своих продуктов, услуг, решений и партнерских отношений в комплексную систему кибербезопасности — Fortinet Security Fabric — обеспечили ей следующие преимущества:

  • Адаптивность. Возможность перенастройки для удовлетворения изменяющихся вызовов кибербезопасности и требований бизнес-клиентов.

  • Связанность. Продукты и решения общаются друг с другом с использованием общего языка и ОС и могут открыто взаимодействовать с продуктами и решениями сторонних производителей.

  • Унификация видимости и контроля. Единая консоль для просмотра и управления всеми важными явлениями и функциями кибербезопасности.

  • Безграничность. Возможность гибкого развертывания, от однокорпусных предприятий малого бизнеса до распределённых глобальных транснациональных корпораций, с охватом всей цифровой поверхности атаки, включая сложные многооблачные среды.

  • Простор для дальнейшего развития. Способность идти в ногу с возрастающими требованиями к производительности и новыми технологиями кибербезопасности, независимо от того, исходят они от защитников или от злоумышленников.

Безусловно, не существует компании, которая продавала бы «большую красную таблетку», от всех проблем кибербезопасности. Тем не менее, Fortinet Security Fabric предлагает киберзащитникам лучшую возможность трансформировать безопасность синхронно с массивными цифровыми изменениями, преобразующими экономический, государственный и социальный ландшафт.

Новые и старые угрозы – взгляд вглубь

Хорошая стратегия кибербезопасности в чём-то противоположна фокусам: она должна делать кибер-угрозы видимыми и не допускать исчезновения критических сетевых ресурсов.

Знание новейших угроз дает возможность победить их. Вот некоторые из основных выводов отчёта Threat Landscape Report за первый квартал 2018 года, подготовленного Fortinet.

Криптовзлом (криптомайнинг)

При этом типе атаки вредоносное ПО взламывает компьютер жертвы для майнинга криптовалюты. В последнем отчёте Fortinet рассмотрен взрыв таких атак в ландшафте угроз. С тех пор ситуация только ухудшилась. Распространение ПО для неавторизованного криптомайнинга от квартала к кварталу выросло более чем вдвое, с 13 до 28%. Кроме того, это ПО продолжает развиваться, что затрудняет его обнаружение и обезвреживание. 

Особое распространение криптовзлом в прошлом квартале получил на Ближнем Востоке, в Латинской Америке и в Африке. Для такой относительно новой угрозы криптомайнинговые программы демонстрируют невероятное разнообразие. Киберпреступники создают невидимое бесфайловое JavaScript-ПО для инъекции зараженного кода в браузеры с меньшей вероятностью обнаружения. Майнеры также нацеливаются на множество операционных систем и различные криптовалюты, включая Bitcoin и Monero. Чтобы улучшить показатели эффективности, они также заимствуют и оптимизируют методы доставки и распространения, оказавшиеся успешными для других угроз.

Если вкратце, то преступники гонятся за деньгами и быстро задействуют новые возможности для достижения этой цели. Они поняли, что взлом систем для майнинга криптовалют является прибыльным делом, поэтому мы можем ожидать дальнейших инвестиций и инноваций в этой бизнес-модели.

Ботнеты

Если эксплойты и вредоносное ПО, как правило, выявляются в начале атаки, ботнеты демонстрируют себя пост-фактум. Инфицированные системы часто общаются с удалёнными вредоносными хостами, и обнаружение такого трафика в корпоративной среде указывает на то, что что-то не в порядке. Это делает такие наборы данных ценными для «обучения на наших ошибках».

Fortinet обнаружила, что хотя 58% инфекций ботнетов «живут» всего один день, примерно 5% из них удаётся подержаться больше недели. Измерение длительности жизни инфекций ботнетов, базирующееся на количестве последовательных дней, в которые обнаружены коммуникации, показывает, что кибер-гигиена не должна ограничиваться установкой патчей. Она также предполагает регулярную чистку. Сорок два процента организаций не озадачивались уборкой инфекции в течение одного-девяти или более дней, а у 6% это занимало больше недели.

Мы все уже знаем, что заражения не избежать, рано или поздно это произойдёт даже в самых защищённых сетях. Признаком успешных программ кибербезопасности является быстрое обнаружение и устранение этих инфекций для ликвидации угроз со стороны окружающей среды и для предотвращения повторного заражения.

Ушедший, но не забытый

Andromeda, также известный как Win32/Gamarue, это модульный HTTP-ботнет, заражающий компьютеры с 2011 года. Несмотря на крупную операцию правоохранительных органов по устранению этого ботнета, предпринятую в четвёртом квартале прошлого года, Andromeda продолжает демонстрировать свое присутствие на наших радарах. Он остаётся в первой тройке ботнетов первого квартала 2018 г. как по объёму так и по масштабу распространения. На первый взгляд кажется, что операция по искоренению Andromeda, оказалась не слишком успешной. Однако дальнейший анализ показывает, что всё дело тут в слабой гигиене безопасности.

Как оказалось, организации, все еще заражённые ботнетом Andromeda (который больше не циркулирует в Сети), имели в своей среде втрое больше других активных ботнетов. Таким образом, вероятно, зараженность Andromeda может служит индикатором плохой кибер-гигиены и/или медленного реагирования на происшествия.

Разрушительные и дизайнерские атаки

Воздействие деструктивных вредоносных программ остается высоким, особенно когда преступники объединяют их с ориентированными на конкретную цель «дизайнерскими» атаками. В этих случаях атаке предшествует значительная разведка в организации, что помогает повысить вероятность успеха. Проникнув в сеть, злоумышленники продвигаются в ней в поперечном направлении, прежде чем приступить к самой разрушительной части запланированной атаки. Olympic Destroyer и более свежее ПО-ransomware SamSam являются примерами того, как киберпреступники, сочетают дизайнерскую атаку с разрушительной нагрузкой для получения максимального эффекта.

Такая комбинация дизайнерских спецификаций и деструктивных тенденций, иллюстрируемая инцидентами с вредоносным ПО, не может не вызывать обеспокоенности. Как ни странно, невидимость скрытых в удалённых центрах управления задач вредоносных программ заставила многие фирмы за последнее десятилетие ослабить свою защиту, сведя её к обнаружению и ответу. С червями и разрушительными вредоносными программами, снова вышедшими на передний план, пришло время восстановить полноценную защиту.

Держать глаза открытыми

От криптовзлома до бот-сетей и вредоносного ПО – киберпреступники продолжают совершенствовать методы атаки, чтобы повысить их эффективность. Но предупрежденный вооружен. Фокусники учат нас не верить всему, что мы видим, но данные из этого отчета свидетельствуют, что чем больше мы видим, тем легче сможем победить. Они напоминают нам, что мы не должны успокаивать себя тем, что было раньше, или забывать об основах, таких как хорошая кибер-гигиена. В этой динамично меняющейся обстановке команды ИТ-безопасности имеют гораздо больше шансов победить новейшие схемы киберпреступников, когда они знают, что искать.

Киберпреступники продолжают унифицировать методики атак

Сегодня наблюдается настораживающая тенденция к унификации методов, которыми пользуются киберпреступники. Злоумышленники используют эффективные и гибкие угрозы, ориентированные на поражение новых цифровых направлений атак.

Также применяются современные угрозы «нулевого дня», и как никогда высокой стала доступность вредоносного ПО для преступников. Кроме того, команды ИТ- и ОТ-специалистов не всегда располагают достаточными ресурсами для обеспечения надлежащей защиты систем.

На днях компания Fortinet представила результаты глобального исследования угроз.
Вредоносное ПО продолжает использоваться для атак на организации, однако некоторые киберпреступники отдают предпочтение перехвату систем с целью дальнейшего майнинга криптовалюты, а не получения выкупа.

Как отмечается в исследовании, в 1-м квартале 2018 г. число эксплойтов, приходящихся на организацию, снизилось на 13 %, однако показатель количества уникальных эксплойтов увеличился более чем на 11 %, а 73 % организаций столкнулись с опасными эксплойтами.

Вредоносное ПО постоянно развивается: его становится труднее выявлять и устранять. По сравнению с предыдущим кварталом количество вредоносного ПО в сфере майнинга криптовалют возросло вдвое — с 13 до 28 %. Кроме того, на Ближнем Востоке, в Латинской Америке и Африке зафиксировано большое количество случаев криптоджекинга.

Существует множество вариаций вредоносного ПО в сфере майнинга криптовалют и для сравнительно новой угрозы это достаточно необычно. Киберпреступники разрабатывают более скрытные версии вредоносного ПО, не требующие применения файлов. Вместо этого в браузеры внедряется вредоносный код, который труднее поддается обнаружению. Программы для майнинга поражают самые разные операционные системы и криптовалюты, в том числе Bitcoin и Monero. Также в целях повышения количества успешных атак злоумышленники принимают на вооружение и дорабатывают показавшие свою эффективность технологии доставки и распространения других угроз.

Вредоносы, предназначенные для уничтожения систем, продолжает широко использоваться киберпреступниками. Особенно разрушительны такие угрозы в сочетании со специально разработанными атаками, которые предваряются тщательным исследованием корпоративной сети, что повышает вероятность успеха. Внедрив угрозу в сеть, злоумышленники перемещаются по ней, а затем переходят к реализации основного этапа спланированной атаки. В качестве примера сочетания специально разработанных атак и разрушительных кодов можно назвать Olympic Destroyer и недавно появившуюся  программу-вымогатель SamSam.

Злоумышленники продолжают использовать программы-вымогатели. Киберпреступники совершенствуют этот метод, задействуют новые каналы доставки (например, социальная инженерия) и новые техники, такие как многоступенчатые атаки. Все эти меры направлены на обход систем безопасности и поражение сетей. Программа-вымогатель GandCrab, появившаяся в январе, первая, которая требует уплаты выкупа в криптовалюте Dash. Также в первом квартале появились такие опасные вариации программ-вымогателей, как BlackRuby и SamSam.

В прошедшем квартале широкое освещение в прессе получили атаки по сторонним каналам, известные как Meltdown и Spectre, однако данные свидетельствуют о значительном преобладании атак, ориентированных на поражение мобильных устройств и известных уязвимостей маршрутизаторов, веб-технологий и Интернета. 21 % организаций сообщили о выявлении мобильного вредоносного ПО. Этот показатель вырос на 7 %, что свидетельствует об уязвимости IoT-устройств. Кроме того, киберпреступники продолжают использовать как известные уязвимости, для которых пока отсутствуют исправления, так и недавно выявленные уязвимости «нулевого дня», что повышает вероятность успешного внедрения угрозы. Технологии Microsoft остаются первоочередной целью эксплойтов, второе место по количеству атак заняли маршрутизаторы. Также нередко подвергаются атакам системы управления контентом и веб-ориентированные технологии.

После проникновения в систему ботнеты могут в течение многих дней подавать сигналы, оставаясь незамеченными, о чем свидетельствуют измерения длительности их существования. Таким образом, простого устранения уязвимостей недостаточно для обеспечения эффективной защиты, требуется еще и очистка системы. В 58,5 % случаев внедрившиеся ботнеты обнаруживаются и устраняются в тот же день. 17,6 % ботнетов находятся в сети в течение двух дней, а 7,3 % — трех дней. Около 5 % ботнетов могут оставаться в сети более недели. К примеру, ботнет Andromeda был обезврежен в 4-м квартале 2017 г., однако в 1-м квартале текущего года было зафиксировано значительное количество поражений.

Хотя атаки, направленные на поражение эксплуатационных технологий, составляет сравнительно малую долю от общего количества, в этой сфере также наблюдаются настораживающие тенденции. Растет число инфраструктур на базе эксплуатационных технологий, подключенных к сети Интернет, что чревато негативными последствиями для безопасности. В настоящее время подавляющее большинство эксплойтов ориентированы на поражение двух самых распространенных протоколов промышленной связи. Эти протоколы широко применяются, а значит, наиболее уязвимы.

Интегрированы ли конечные устройства в вашу стратегию сетевой безопасности?

Многие ИТ-команды рассматривают конечные устройства отдельно от остальной сети. Защиту конечных точек часто реализуют как изолированное решение, обычно в виде антивируса или пакета безопасности конечных устройств. Собственно сетевая безопасность обычно начинается в месте соприкосновения конечного устройства с сетью.

Но с сетями, охватывающими многочисленные экосистемы, включая многооблачные инфраструктуры, растущее количество служб, базирующихся в облаке, и даже «теневые» ИТ (Shadow IT), такой демаркационный пункт становится всё труднее определить и обосновать. Предприятия больше не могут держать конечные устройства в безопасном «огороженном саду», который отделён от остальной сети.

Эти устройства также в растущей степени совмещают персональные и профессиональные профили. То есть, приватная деятельность может влиять на деловые организации. В частности, когда они запускают приложение или подключаются к сети, она оказывается открыта для всех вирусов и вредоносного ПО, попавших в данное устройство во внерабочее время. Согласно исследованиям, 63% организаций неспособны осуществлять мониторинг устройств, когда те покидают корпоративную сеть, и 53% сообщают, что число конечных устройств, инфицированных победоносными программами, возросло за последние 12 месяцев. К тому же, 56% этих опрошенных ИТ-профессионалов также отметили, что не могут определить для конечных устройств соответствие (нормам и политикам, прим. перев.), а 70% рапортуют о ниже, чем средних возможностях минимизации потерь от отказа конечного устройства.

Gartner прогнозирует, что 99% уязвимостей, используемых к концу 2020 г., по-прежнему будут теми, что были известны профессионалам ИТ и безопасности на время происшествия.

Конечные устройства представляют главный источник таких эксплойтов. Проблема заключается в том, что сетевая безопасность не может защитить конечные устройства или даже адекватно защититься от опасных конечных устройств, когда эти устройства и их уязвимости находятся за пределами корпоративного периметра.

Чтобы решить эту растущую проблему, организациям нужна эффективная стратегия безопасности конечных точек, которая связывает устройства на границе сети, включая конечных пользователей, хосты и IoT-устройства, в более крупный фреймворк сетевой безопасности. Сегодня:

Реальная безопасность конечных точек выходит далеко за рамки обычного антивирусного сервиса.  Она должна использовать современные технологии обнаружения, чтобы справляться с более сложными угрозами.
Также от неё требуется обеспечить полные, 24x7 видимость, соответствие и контроль, чтобы гарантировать, что эти и другие технологии внедрены надлежащим образом, как в, так и вне корпоративной сети, в идеале, не прибегая к сессиям VPN.
Самое важное, она должна быть способна интегрироваться в более широкий фреймворк безопасности с тем, чтобы иметь возможность обмениваться сведениями о продвинутых угрозах, а также, чтобы участвовать в качестве одного из элементов более масштабного, автоматизированного ответа на угрозу.

Труднее всего при выборе решения для безопасности конечных точек будет найти такое, которое действительно может быть интегрировано с остальной частью вашей инфраструктуры безопасности. Инструмент безопасности конечных точек, который взаимодействует с вашим пограничным брандмауэром, хорош, но поскольку доступ к сети во многих организациях стал повсеместным, многие точки доступа, особенно те, что находятся внутри периметра сети, а также облачные сервисы и теневые ИТ-приложения, не подключаются через брандмауэр.

В качестве первого шага на пути к созданию эффективной стратегии конечных точек следует начать с использования таких вещей, как Open API, общее управление, оркестровка и аналитические пакеты или, хотя бы централизованной системы SIEM для скрепления воедино ваших различных решений безопасности. Эта общая среда или фреймворк безопасности необходима для расширения видимости и контроля на самые отдалённые уголки вашей распределенной сети.

Следующим шагом будет определение фактического уровня имеющейся интеграции. То, что средство защиты конечной точки предоставляется как часть скомпонованного пакета, ещё не значит, что оно действительно интегрировано. И даже те, которые считаются интегрированными, часто предоставляют немногим  больше, чем самые базовые сервисы, такие как интеграция в общий инструмент управления, обеспечивающий  конфигурирование, регистрацию события или отчетность. Этого тоже недостаточно.

Реальная интеграция начинается со способности получать и распространять информацию об актуальных угрозах. Однако не менее важно умение действовать, получив эту информацию. Это включает в себя такие вещи, как способность подтвердить угрозу, немедленная установка флагов для мониторинга живой угрозы, обнаруженной в сети, и даже автоматическая настройка конфигураций и протоколов в ответ на эту угрозу.

В конечном итоге мы должны перестать рассматривать конечные устройства отдельно от остальной сети. Реальность заключается в том, что, как только устройство подключается к вашей сети, оно становится частью вашей LAN/WAN. Это значит, что вам следует иметь возможность:

Быстро идентифицировать любое устройство, которое подключается к вашей сети.
Автоматически оценивать его текущий уровень безопасности, чтобы определить, удовлетворяет ли он базовым стандартам.
Обеспечивать сетевой доступ на основе ролей, базирующийся на критериях, которые включают соответствие политике безопасности.
Непрерывно контролировать конечные устройства в сети и за её пределами, чтобы обнаруживать их инфицирование или взлом.
Автоматически организовывать карантин для взломанных или ограничение доступа для вызывающих подозрения устройств, чтобы начать их лечение.
Собирать и распространять информацию об угрозах в реальном времени, чтобы гарантировать адаптацию всех устройств к новейшему ландшафту угроз.
Активно участвовать в локальных и общесетевых защитных мерах противодействия, для ограничения распространения атак или взломов.

Ответственность за безопасность конечных устройств несут далеко не только ИТ-команды десктопов или конечных точек. Фактически, её понимание и использование требуются от каждого, кто отвечает за сетевую защиту организации. Эти группы нуждаются в лучших видимости, соответствии, контроле и отклике для всей распределённый сети, включая конечные точки сети и устройства вне её.

Изолированные средства безопасности становятся малоэффективны

Процесс цифровой трансформации мировой экономики сопряжен с увеличением количества, сложности и разнообразия киберугроз. В сфере киберпреступности происходит аналогичная трансформация.

В результате инструменты разработки атак становятся более доступными — киберпреступники применяют все более рискованные методы атак. «Приходится констатировать факт: традиционные стратегии и архитектуры безопасности больше не способны обеспечить защиту организаций, выполнивших переход на цифровые технологии», отмечает Фил Квад (Phil Quade), руководитель по информационной безопасности компании Fortinet. Традиционные изолированные средства безопасности недостаточно эффективны. Специализированные продукты и статичные средства защиты должны уступить место интегрированным автоматизированным решениям, поддерживающим оперативное принятие мер широкого действия.

На днях компания Fortinet представила результаты последнего всемирного исследования угроз. Ниже основные выводы, изложенные в отчете.

Прежде всего отмечается, что изощренность атак, ориентированных на поражение организаций, повышается с невиданной быстротой. Например, на базе новой «роевой» технологии киберпреступники разрабатывают угрозы, способные поражать разные устройства, точки доступа и уязвимости. Организациям все сложнее противостоять такому деструктивному сочетанию тенденций, как быстрое развитие угроз и распространение их новых разновидностей.

В среднем на одну организацию сегодня приходится 274 зафиксированных угрозы. По сравнению с предыдущим кварталом этот показатель значительно увеличился: прирост составил 82%. Количество семейств вредоносного ПО также возросло на 25%, а число уникальных вариаций — на 19%. Эти данные свидетельствуют не только об увеличении количества угроз, но и об их продолжающемся развитии. Кроме того, наблюдается прирост процентной доли трафика, зашифрованного при помощи протоколов HTTPS и SSL: в среднем 60% от общего объема сетевого трафика. Безусловно, шифрование эффективно защищает данные, перемещающиеся между средами ядра, облака и конечной точки, однако в то же время эта технология усложняет задачу обеспечения безопасности с помощью традиционных решений.

Из двадцати наиболее разрушительных атак последнего времени три были ориентированы на поражение устройств IoT. Вчетверо увеличился уровень активности эксплойтов, поражающих такие устройства, как WiFi-камеры. Низкая защищенность устройств IoT обусловлена в том числе и тем, что ни одна из зафиксированных атак не была связана с какой-либо известной уязвимостью. Кроме того, в отличие от предыдущих атак, целью которых является определенная уязвимость, новые IoT-ботнеты, например Reaper и Hajime, способны одновременно поражать несколько уязвимостей. Технологии атак по разным направлениям значительно сложнее противостоять. Благодаря гибкой инфраструктуре код ботнета Reaper оперативно обновляется и, в отличие от предыдущих статичных IoT-эксплойтов на базе запланированных атак, Reaper поддерживает развертывание новых, более вредоносных «роевых» атак по мере их появления. О большом потенциале массированных атак, которым обладает ботнет Reaper, свидетельствует скачок числа эксплойтов с 50 000 до 2,7 миллиона. Этот показатель был достигнут всего за несколько дней, после чего количество эксплойтов вновь снизилось до обычного.

Сохраняется тенденция к широкому применению вредоносного ПО, его список возглавляют несколько разновидностей программ-вымогателей. Самая широко распространенная вредоносная программа — это Locky, второе место занимает GlobeImposter. Разработана новая разновидность Locky: прежде чем направить требование выкупа, она маскируется под спам. Кроме того, в глубоком Интернете произошел переход от биткойнов к другим формам цифровых валют, например Monero.

Количество вредоносных программ в сфере майнинга криптовалют растет. По всей видимости, это связано с колебаниями курса биткойна. Пользуясь распространением электронных денег, киберпреступники занимаются майнингом криптовалют в фоновом режиме за счет ресурсов ЦП компьютеров, пользователи которых даже не догадываются о происходящем. Для этого используется такая уловка, как криптоджекинг. Этот метод основан на загрузке сценария в веб-браузер и не требует установки программ или хранения файлов на компьютере.

Вредоносное ПО, направленное на поражение промышленных систем, становится все более изощренным. Всплеск активности эксплойтов, целями которых являются системы управления производственными процессами (ICS) и инструментальные системы безопасности (SIS), свидетельствует о том, что эти скрытные атаки, вероятно, будут все чаще применяться злоумышленниками. В качестве примера можно привести атаку под кодовым названием Triton, и которая скрывает следы своей активности, перезаписывая вредоносный код с применением бессмысленной информации, что препятствует анализу. Упомянутые системы предназначены для управления важнейшими инфраструктурами, что делает их особенно привлекательными для злоумышленников. Успешные атаки чреваты огромным ущербом и долговременными негативными последствиями.

Необходимо отметить разнообразие атак. На протяжении последних нескольких лет стеганографические атаки (основанные на встраивании вредоносного кода в изображения) происходили довольно редко, однако в настоящее время их количество увеличивается. В наборе эксплойтов Sundown стеганография используется в целях хищения данных. За время своей активности этот набор эксплойтов стал рекордсменом по числу атакованных организаций и он используется для распространения программ-вымогателей самых разных видов.

Результаты проведенного в этом квартале исследования подтверждают многие из недавно обнародованных прогнозов отдела исследования угроз Fortinet FortiGuard Labs на 2018 г., согласно которым количество самообучающихся «роевых» сетей и больших групп ботов будет неуклонно увеличиваться. На протяжении ближайших нескольких лет количество направлений атак продолжит расти на фоне сниения возможности комплексного отслеживания и управления современными инфраструктурами. Для обеспечения оперативного и широкомасштабного противодействия атакам организации должны внедрить стратегии, основанные на автоматизации и интеграции. Система безопасности должна функционировать на скорости, не уступающей скоростям цифровых подключений, что требует автоматизации реагирования, применения актуальных данных и внедрения функции самообучения. Лишь благодаря этим мерам сети станут более эффективными и независимыми в принятии решений.

Нарушения информационной безопасности в компаниях. Чья вина?

Согласно последним исследования, в нынешнем году 85% организаций столкнулись с нарушениями информационной безопасности, и 53% ИТ- руководителей остаются уверены в эффективности принятых решений в этой области. Однако по мнению большинства решение приоритетных задач в сфере безопасности, таких как обучение персонала, происходит недостаточно эффективно

Как отметил Патрис Перш (Patrice Perche), старший исполнительный вице-президент Fortinet, в своей борьбе с киберпреступностью ИТ-руководители по-прежнему отдают приоритет обслуживанию и обновлению средств информационной безопасности. Однако он заявил, что другим методам, входящим в состав комплексной стратегии информационной безопасности, уделяется недостаточно внимания, несмотря на их важность и эффективность. В частности, противодействие разрушительным интернет-атакам, которые станут возможными в ближайшем будущем, требует внедрения базовых мер защиты и комплексных программ обучения, а также развертывания систем безопасности, поддерживающих автоматизацию, интеграцию и стратегическую сегментацию.

Кроме озвученных выше цифр глобальное исследование корпоративной безопасности в организациях, штат которых составляет более 250 сотрудников, показало, что 72% руководителей выражают уверенность в том, что они добились более существенных успехов в сфере информационной безопасности, чем их конкуренты, и лишь 6% руководителей признали свое отставание. Результаты исследования указывают на важность применения передовых методов и внедрения базовых мер обеспечения информационной безопасности, а также на недопустимость легкомысленного отношения к предотвращению кибератак.

Согласно утверждениям респондентов исследования, в 33% нарушений, зафиксированных на протяжении последних двух лет, злоумышленники применяли методы социальной инженерии, программы-вымогатели и фишинговые сообщения эл. почты. В 2018 г. 67% организаций планируют внедрить программы обучения сотрудников основам ИТ-безопасности. Таким образом, руководители организаций начинают понимать, что к числу причин нарушений, помимо вредоносной активности киберпреступников, относятся также легкомыслие и безграмотность сотрудников.

Другая приоритетная задача организаций — это защита доступа к сети. Лишь половина (50%) ИТ-руководителей уверены в полном охвате инфраструктуры функциями отслеживания и подконтрольности всех устройств с сетевым доступом. Такова же доля CIO, убежденных в своей возможности отследить состояние уровня доступа всех сторонних лиц, которые часто получают доступ к сети. Более половины, а точнее 54% опрошенных полагают, что они в полной мере способны отслеживать деятельность всех сотрудников и управлять ею. Недостаточная надежность функций отслеживания сети свидетельствует о том, что это направление развития должно стать одним из приоритетных для организаций. В то же время лишь 24% организаций включили в свои планы на 2018 г. внедрение базовых мер безопасности, таких как сегментация сети. Эта мера предотвращает распространение вредоносного ПО, проникшего в сеть.

ИТ-руководителям был задан вопрос о том, какие принятые в прошлом решения они хотели бы изменить. Из опрошенных 42% заявили, что в целях предотвращения нарушений следовало уделить больше внимания повышению квалификации сотрудников в сфере безопасности. Обучение пользователей снижает вероятность того, что они станут жертвами злоумышленников, деятельность которых направлена на поражение одного из слабейших звеньев в системе информационной безопасности — самих сотрудников.

В 71% случаев руководящий состав организаций ставил нарушения безопасности в вину ИТ-отделу: либо конкретному специалисту (29%), либо отделу в целом (42%). Лишь в 28% случаев вина возлагается на пользователей, не являющихся сотрудниками ИТ-отдела, несмотря на то, что именно они нередко рассматриваются как наиболее уязвимое звено. ИТ-отделы не должны нести на себе всю полноту ответственности за нарушения безопасности. Распространение концепции BYOD и технологий IoT, использование облачных приложений, теневые ИТ-ресурсы — все эти факторы приводят к тому, что ответственность за обеспечение безопасности ложится на организацию в целом и всех ее сотрудников.

Необходимо отметить важность сбалансированных вложений в приоритетные направления развития информационной безопасности

В 2017 г. инвестиции ИТ-руководителей в ключевые направления развития распределились следующим образом:

  • 37% — новые службы и средства безопасности

  • 21% — внедрение политик и процедур безопасности

  • 14% — обновление средств безопасности

  • 10% — обучение персонала

  • 6% — аудит и оценка

Инвестирование в развитие технологий позволяет предотвратить вредоносные атаки и организовать противодействие им за счет внедрения комплексных средств безопасности. В 2018 г. объем вложений в разработку новых и обновление существующих средств безопасности останется на прежнем уровне. Кроме того, согласно заявлениям 41% респондентов, инвестиции в обучение персонала войдут в число трех приоритетных направлений вложения средств.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT