Джон Стюарт, Cisco: «Информационная безопасность должна находиться под особым контролем высшего руководства компании»

11 ноябрь, 2015 - 18:45Леонід Бараш

В октябре в Киеве состоялся Форум Cisco, посвященный вопросам безопасности, ЦОД и технологиям для совместной работы. На форум в качестве почетного гостя был приглашен старший вице-президент Cisco и главный директор по вопросам информационной безопасности (ИБ) Джон Стюарт (John Stewart). В перерыве между сессиями нам удалось побеседовать с Дж. Стюартом о наиболее актуальных проблемах в области кибербезопасности. В разговоре также принял участие глава представительства Cisco в Украине и СНГ Олегом Боднаром.

Начнем нашу беседу  с вопроса о том, чем характеризуются современные атаки?

На самом деле современные атаки похожи на те, которые осуществлялись и в прошлом. К примеру, по электронной почте приходит сообщение, которое содержит какой-нибудь веб-адрес или присоединенный файл, и как только пользователь переходит по ссылке или открывает файл, происходит заражение компьютера. Но вот те, кто осуществляет такие атаки, изменились.

Джон Стюарт, Cisco: «Информационная безопасность должна находиться под особым контролем высшего руководства компании»

Джон Стюарт: «В сегодняшнем ИБ-ландшафте обращают на себя внимание экспоненциальный рост количества атак и развитие деструктивных атак»

Правда, есть еще два новых отличия. Во-первых, это развитие так называемых деструктивных атак, направленных на разрушение компьютеров, ПО, данных или даже всего ЦОД. И во-вторых, объемы атак и изменения в них растут настолько быстро, что системам сложно обеспечивать защищенность.

Каковы основные цели и мишени таких атак?


На самом деле, типы атак бывают различными. Это киберпреступность, кибершпионаж на государственном уровне, коммерческий шпионаж, атаки, направленные на нарушение работы тех или иных служб, деструктивные атаки, о которых уже упоминалось ранее, так называемый киберактивизм, когда хакерские приемы используются для объединения в определенных целях группы людей, и кибертерроризм.

Мишени атак напрямую связаны с их типом. Киберпреступники обычно охотятся за деньгами, то есть мишенью может стать человек, у которого есть деньги, вернее, его счет в банке.  В случае кибершпионажа на государственном уровне все страны могут быть подвержены атакам. Мишенями коммерческого шпионажа обычно становятся компании, являющиеся лидерами в области  технических решений или технологий, или компании, которые, к примеру, проводят переговоры о приобретении других компаний. Если говорить об атаках, нарушающих функционирование систем, то они могут быть направлены на любые онлайновые службы. Чаще всего деструктивные атаки осуществляются на критические инфраструктуры, хотя иногда могут быть направлены и на компании. Кибертерроризм обычно используется для вербовки людей, то есть, непосредственной жертвы как бы и нет. Что касается киберактивизма, то чаще всего мишенью является правительство, госструктуры. Хотя это могут быть и компании, работой которых люди могут быть недовольны и против которых объединяются.

Какие продукты и решения по безопасности предлагает Cisco?
(На этот вопрос ответил Олег Боднар)

Я начну с того, что концепция безопасности пронизывает все решения и продукты компании. В них входят, безусловно, сетевая инфраструктура и телекоммуникации, ЦОД’ы, системы для совместной работы, системы операторского класса. Во все эти решения безопасность входит как один из основных компонентов. Соответственно, когда заказчик приобретает решения Cisco, он может включить эту возможность.

Джон Стюарт, Cisco: «Информационная безопасность должна находиться под особым контролем высшего руководства компании»

Олег Боднар: «Концепция безопасности пронизывает все решения и продукты компании Cisco»

Есть также специализированные системы безопасности, которые поставляются отдельно для того, чтобы решать дополнительные задачи либо усиливать защиту в определенном направлении. Здесь представлены традиционные решения по защите периметра (обычно это брандмауэры различных уровней функциональности для корпораций и организаций разного масштаба), системы для защиты данных внутри периметра сети, другими словами, для защиты от зараженных тем или иным путем компьютеров и других конечных устройств, IPS, AMP (Advanced Malware Protection). Системы АМР характерны тем, что во время работы вычислительных средств анализируют трафик с целью обнаружить и  предотвратить атаку «на лету». При этом используется совокупность различных методов, в частности, сигнатурный анализ и эвристические методы.

Кроме этого, Cisco предлагает также облачный сервис для защиты информации, усиливающий имеющуюся корпоративную систему ИБ. Такую защиту организациям трудно развернуть у себя. В нее входят, к примеру, фильтрация контента, поступающего от «плохих» сайтов. Информация о таких сайтах, которые во множестве рождаются каждый день, обновляется ежедневно на основе поступающей информации со всего мира.

Еще один класс решений относится к криптозащите. Они используются в системах видеоконференций, голосовой связи, системах передачи данных.

Есть также средства по выявлению нарушителей, пытающихся подключиться к беспроводной сети организации без соответствующих санкций. Точки доступа Cisco могут обнаруживать в радиоэфире неавторизованные ТД, оповещать об этом системного администратора и блокировать порт коммутатора, к которому она подключилась.

Все это части мозаики, из которых заказчик может собрать нужную ему систему. Критерии выбора необходимых компонентов сугубо экономические – стоимость защиты должна соответствовать стоимости защищаемых данных. Такой метод позволяет компаниям масштабировать при необходимости систему ИБ.

Какова должна быть стратегия корпораций в области ИБ?
(Продолжил – Джон Стюарт)

Когда речь идет о корпоративной стратегии, то нужно говорить об использовании ИТ независимо от того, каким бизнесом занимается компания. Это может быть производственное предприятие, транспортная компания, бизнес в пищевой промышленности – везде ИТ используются для роста производительности, для развития компании, в целом, для увеличения прибыльности. Поэтому стратегия в области ИБ должна соответствовать корпоративной стратегии в целом. Если деятельность компании должна подчиняться каким-то регулятивным требованиям, то стратегия должна учитывать эти требования, если это не регулируемый бизнес, то стратегия зависит от того, в каком объеме компания готова брать на себя риски. В любом случае, это все входит в сферу ответственности CEO.

Это соответствие важно, в частности, потому, что ИТ обеспечивает ведение всего бизнеса компании. Поэтому ИБ должна быть составляющей во всех аспектах ее деятельности. И если происходит какие-то нарушения клиентских данных, важной для бизнеса инфраструктуры или отказ вычислительных систем, который останавливает всю деятельность компании, то в любом случае об этом должно думать все руководство компании, и это сфера ответственности руководства и первого лица, которая не может быть делегирована кому бы то ни было.

Как организации могут улучшить защиту своих данных?


Нужно понимать, что в нынешнее время организации уже не могут позволить себе рассматривать риски ИБ наравне с прочими бизнес-рисками. Поэтому первое, что необходимо изменить, это отношение к ИБ. Повторюсь, важно, чтобы ИБ и сопутствующие риски находились под особым контролем высшего руководства компании. Именно такой уровень внимания к ИБ необходим в современных реалиях.

Поскольку сама по себе сфера ИБ обычно высшему руководству плохо понятна, нужны надежные источники информации. Такими источниками могут стать, например, соответствующие правоохранительные органы или частные эксперты. Очень важно начать рассматривать риски ИБ отдельно ото всех прочих рисков, учитываемых в организации. Нужно отказаться от привычных сценариев: те способы, которыми ИБ реализовывалась на протяжении последних 20–30 лет, стали неадекватными перед лицом современных киберугроз.

Высшее руководство организаций нуждается в расширении своих представлений об ИБ, и для начала следует ответить на многие вопросы. Например, какие угрозы имеют непосредственное отношение к деятельности организации, какая часть рабочих процессов организации подключена к Интернету, имеются ли официально утвержденные процедуры реагирования на инциденты ИБ и ряд подобных.

Руководство организаций должно понимать риски ИБ примерно так же, как понимаются финансовые или другие бизнес-риски в контексте деловых операций. Руководители ИТ-направлений, в свою очередь, должны уметь доходчиво излагать все эти соображения, то есть объяснять, какие средства применяются для достижения поставленных целей и почему были выбраны именно эти средства.

Вторым фактором, который может значительно улучшить защищенность организации, – это выбор надежного ИТ-поставщика. Заказчики должны быть уверены, что внедряют высококачественные и надежные решения. Все чаще организации по всему миру требуют, чтобы безопасность была интегрирована во все стадии жизненного цикла продукции. При этом большое значение имеет прозрачная, открытая культура компании-поставщика, позволяющая включить политики, процессы, деятельность и партнерские отношения.

Прошли времена, когда можно было полагаться на подразумеваемую, но не гарантированную явным образом безопасность. Поскольку современный цифровой мир отличается стремительной изменчивостью и несет значительные риски киберугроз, организациям необходимы проверяемые, надежные сетевые архитектуры, основанные на безопасном ПО и оборудовании и подкрепленные тщательно рассчитанными практиками защиты бизнес-деятельности.