Форум по кибербезопасности 2021

17 июнь, 2021 - 15:08Леонид Бараш

В начале июня прошел "Форум по кибербезопасности 2021", став площадкой для обсуждения и обмена мнениями по актуальным вопросам ИБ в государственном и энергетическом секторах.

Мероприятие открылось вступительным словом директора департамента BI компании «Бакотек» Мирослава Бондаря. Он отметил, что подобный форум проводится совместно с ведущим производителем решений кибербезопасности McAfee не впервые. Так, в прошлом году была проведена конференция для финансовой индустрии Украины, и анализируя результаты, количество просмотров и отзывов участников, было решено продолжить такой формат. Характерной чертой данного формата является то, что он создан как площадка для обсуждения наиболее актуальных тем, вызовов и проблематики кибербезопасности в отдельно взятых отраслях. Все понимают, что в энергетике и госсекторе подобных вопросов и вызовов достаточно. Это и создание надежной защиты критической инфраструктуры Украины, и подготовка квалифицированных специалистов, и технологическое оборудование, и, конечно же, вопросы взаимодействия, внедрения современных стандартов и многое другое.

Форум по кибербезопасности 2021

Мирослав Бондарь: «Форум создан как площадка для обсуждения наиболее актуальных тем, вызовов и проблематики кибербезопасности в отдельно взятых отраслях»

Участников форума также приветствовала старший коммерческий офицер американской коммерческой службы при Посольстве США в Украине Илона Штром (Ilona Shtrom).

Затем про новую реальность, новые подходы и новые возможности киберзащиты для государственного и энергетического секторов с помощью решений McAfee рассказал архитектор кооперативной безопасности и ведущий инженер этого вендора Морис Кэшмен (Maurice Cashman). Прежде всего речь шла об архитектуре безопасности, которая будет защищать государство от кибератак независимо от того, откуда работает пользователь, из офиса или из дома, а также будет защищать критически важную инфраструктуру.

Очевидно, что для предотвращения, определения и противодействия угрозам наподобие атаки Sunburst, государство должно иметь архитектуру безопасности и обмена информацией про угрозы. Это даст понимание действий атакующих, поможет защитить устройства от разных типов вредоносного ПО и других попыток проникновения, защитить периферию сети, удаленных пользователей с помощью веб-шлюза. Наконец за счет разных веб-сервисов облачные решения приобретают видимость. Нужно знать, какие сервисы используются и как их лучше защитить. Не менее важным является возможность выявлять угрозы и реагировать на всех этих уровнях, обеспечивая видимость, как бы ни действовали нападающие. Именно таким способом можно построить надежную архитектуру защиты от угроз повышенной сложности.

Форум по кибербезопасности 2021

Морис Кэшмен: «McAfee с партнерами совместно создают надежную архитектуру безопасности в государственном секторе»

Как же этого достичь в госсекторе с помощью архитектуры MVISION от McAfee? Прежде всего необходимо начать с безопасности устройств. MVISION обеспечивает управление, предотвращение, выявление и противодействие угрозам на базе разных ОС — Windows, Linux, MacOS — всех распространенных ОС, на основе единой центральной платформы управления. Первый важный шаг для правительства, особенно в облачной среде, — определить, какие сервисы используются. Именно на этом этапе вступают в игру решения MVISION Сloud по выявлению теневых ИТ-ресурсов. Оно обеспечивает видимость, определяет, какие сервисы в использовании, какие другие типы облачных приложений и сервисов используются разными структурами госаппарата.

Для поддержки этой инфраструктуры компания обеспечивает комплексный обмен информацией об угрозах, что дает заказчикам возможность согласовать свою стратегию защиты, развить ее, увеличив скорость выявления угроз и реагирования на них. И, наконец, архитектура была бы не полной без возможности интеграции с системами других партнеров. Именно это, а также принципы работы с Data Exchange Layer выделяет MVISION API среди конкурентов.

Форум по кибербезопасности 2021

Интеграция MVISION API с системами партнеров

Первым шагом при построении архитектуры безопасности является обеспечение видимости систем в сети, включая облачные сервисы. Важно понимать, какие сервисы используются в сети и в облаке. Возможности расширенной защиты от развитых угроз АРТ и атак нового поколения требуют наличия адаптивного управления безопасностью на конечных точках и в сети. И конечно, для выявления и противодействия развитым угрозам необходимо обеспечить разведку угроз, обмен информацией об угрозах и автоматизацию.

Разведка угроз — это второй базовый элемент безопасности. В последнее время компания активно занимается комплексными исследованиями угроз, которые прежде всего сосредоточены на киберпреступлениях и атаках АРТ, направленных на государственный сектор. Безусловно, без данных исследования невозможны. McAfee устанавливает более 2 млн. датчиков, каждый из которых предоставляет телеметрические данные. Это обеспечивает видимость разных методов атак, а также дает возможность исследовать разные сигнатуры и определять механизмы с помощью собственных продуктов. Компания развивает собственную экосистему разведки угроз, которую стремится предоставлять как сервис.

Какие же преимущества дает эта экосистема? Во-первых, каждый продукт McAfee имеет встроенные средства разведки угроз и обмена информацией о последних. В частности, на уровне конечных точек есть по крайней мере 5–6 разных областей, для который разведка угроз может иметь решающее значение для улучшения защиты. Добавив разведку угроз на этих конечных точках, можно усилить защиту своей системы почти на 20%. Это один из способов быстрого реагирования на новые угрозы безопасности. К новой области, где использование разведки угроз может улучшить защиту, принадлежит оценка стратегии безопасности. Приняв во внимание данные кампаний по исследованию и объединив их с телеметрическими данными клиентов, можно получить более четкое понимание общей стратегии безопасности клиентов. Это решение McAfee называет MVISION insights. Благодаря ему разведка угроз поможет найти ответы на типичные вопросы по управлению рисками и что делать, чтобы быстрее ослабить угрозы.

Что касается правительства, то тут большое значение имеет разведка угроз в разных подразделениях. У многих правительств, в том числе и у правительства Украины, есть собственные источники информации об угрозах. Тут возникает ряд проблем. Во-первых, весьма непросто включить разведку угроз в продукт: необходимо защитить закрытые сети в разных государственных учреждениях, особенно в Министерстве обороны, где обычно хранится засекреченная информация. McAfee имеет длительный опыт предоставления информации про угрозы госорганам. Разведка угроз и обмен информацией о них являются одними из основных преимуществ McAfee.

Сегодня перед каждым правительством встает такой вопрос: учитывая, что инфраструктура обеспечивает защиту всей страны, как защитить эту инфраструктуру наилучшим образом? Как применить стандарты архитектуры, наподобие тех, которые используются производствами для защиты своей рабочей среды, к государственной критической инфраструктуре? Архитектура безопасности McAfee помогает предотвратить атаки на ранних стадиях с помощью компонентов, о которых речь шла ранее, — на уровне устройства, на уровне облака и, конечно, на уровне SaaS, где решения McAfee обеспечивают раннюю видимость.

В целом, признаками защищенного правительства являются архитектура безопасности для защиты критически важных систем и инфраструктуры, разведка угроз для гибкой безопасности и защиты данных где угодно и когда угодно.

Очевидно, что мир меняется, меняются подходы к построению ИТ-инфраструктуры, а значит, должны меняться и подходы к ее защите. В этом контексте интересно, как именно пандемия повлияла на киберугрозы, особенно для критической инфраструктуры Украины? Ответы на этот вопрос дал заместитель руководителя службы по вопросам ИБ и кибербезопасности Сергей Прокопенко из Аппарата СНБО. Он отметил, что из имеющейся у СНБО информации просматривается ряд тенденций. Так, выросла стоимость учетных записей, кибероперации стали использоваться как база для специальных информационных операций, атаки DDoS приурочивают «к событиям», растет число программ-вымогателей, а также развитых направленных атак (АРТ), увеличивается количество и изменяется формат фишинговых атак. Развивается рынок скомпрометированных сетей и устройств. Соответственно, это также повлияло на подходы к защите.

Форум по кибербезопасности 2021

Сергей Прокопенко: «Растет число программ-вымогателей, а также развитых направленных атак (АРТ)»

В тоже время одним из немаловажных требований при построении киберзащиты для критических систем является рациональность. Как не выйти за рамки здравого смысла рассказал представитель Национального центра управления рисками (НЦУР), Агентства кибербезопасности и безопасности инфраструктуры и старший советник Департамента внутренней безопасности США Рональд Кин (Ronald Keen).

Фокусируясь на рисках, Агентство уделяет особое внимание угрозам со стороны злоумышленников и тому, как эти угрозы используют разные сценарии и векторы атак применительно к уязвимостям конкретных активов. Область пересечения угроз, уязвимостей и активов и является областью рисков. И чтобы точно оценить эти риски, нужно хорошо понимать угрозы. Это значит, что нужно узнать все про киберпреступников, кто они, какие у них мотивы, тактика. Все это определяет угрозу. Но когда вы думаете про противника и понимаете, что он делает, вы также должны спросить себя, почему они атакуют ваши системы? Что они рассчитывают получить? Следующее, вы должны понимать собственную систему. Нужно ее оценить, нужно знать ее сильные и слабые стороны. Нужно смотреть на вашу систему так, как смотрит на нее противник. Как бы вы атаковали вашу систему? Как можно использовать человеческие слабости? Как найти недостатки системы? Где проблемы? Поскольку они определяют ваши уязвимости и дыры в системе защиты.

Форум по кибербезопасности 2021

Рональд Кин: «Область пересечения угроз, уязвимостей и активов и является областью рисков»

Так как же снизить риски? Если у вас высокий уровень угрозы, но ваша система защищена, риски снижаются. Как это сделать? Нужно рассматривать кибербезопасность как мишень. Противник хочет получить и сохранять контроль над вашей системой. Чтобы получить контроль, он должен получить полномочия в системе. Поэтому, контроль доступа — это основа. Внедряйте двух-, трех- и четырехфакторную аутентификацию для критически важных систем. Далее, управление активами. Убедитесь, что каждый ваш актив, каждый компонент системы и сама система правильно сконфигурирована, обновлена и правильно инсталлирована. Пароли необходимо часто менять, а системы должны регулярно проверяться. Необходимо установить брандмауэры и шлюзы на границе вашей сети. Но и это еще не все. Если у вас есть важная система, то нужно установить для нее отдельную защиту периметра. Наконец, сетевой мониторинг. И речь идет не только о входящем и выходящем трафике, но еще и об управлении и мониторинге внутри системы, а также о мониторинге сети вне системы и мониторинге социальных сетей, потому что злоумышленники это делают. Иногда в них можно получить небольшую подсказку, которая даст ключ для проникновения в систему.

Как же узнать, готовы ли вы к атаке злоумышленника? Вообще говоря, никак. Но если вы обратите внимание на кибербезопасность системы, контроль доступа, управление активами, конфигурацию периметра, если вы обеспечите хорошую физическую безопасность для компонент, адекватное и активное отслеживание сетевого трафика, тогда вы можете быть готовы к атакам злоумышленников. Но как узнать, что сделано все необходимое? Нужно, чтобы специалисты проанализировали вашу систему настолько тщательно, насколько это возможно. Нужно найти уязвимости и пробелы в безопасности, нужно найти проблемы, несовершенные конфигурации и исправить их. И потом нужно все начать сначала, потому что найдутся новые проблемы и уязвимые места. Для аудита нужно привлекать внешние агентства, при этом на регулярной основе. Они найдут то, что сотрудниками компании осталось незамеченным. В финале нужно провести тестирование. Нужно испытать нашу систему способами, про которые вы, может быть, даже не думали. И когда придут злоумышленники, вы будете к этому готовы.

О том, как определить эффективность внедренных систем кибербезопасности, рассказал Роман Боярчук, глава Правления общественной организации «Международный университет кибербезопасности».

Он начал с того, что сегодня в мире не осталось индустрии, которая не использовала бы ИТ не только для обеспечения бизнес-процессов, но и как часть этих процессов. И, наверное, нет людей, которые не думали бы, что ИТ не нужно защищать. Каждая компания или организации подходит кибербезопасности по-разному. Одни используют очень сильные решения, у них есть команды специалистов по защите, другие предпочитают решения «из коробки». Как же оценить эффективность этих систем? Ведь отсутствие видимых атак не значит, что их не было. Кроме этого, со временем эффективность построенных систем защиты снижается, но как оценить, насколько быстро? На сегодня существует лишь небольшое количество средств для такой оценки. Прежде всего, это аудиты, проводимые внутренними или внешними подразделениями, тестовые попытки взлома, соответствие регуляторным требованиям, консультации экспертов.

Форум по кибербезопасности 2021

Роман Боярчук: «На сегодняшний день не существует какой-то единой метрики, которая позволила бы организациям оценить эффективность построенной защиты»

Предположим, стало понятно, что наступило время развивать систему защиты, но как именно, в каком направлении? Как определить слабые места?

На сегодняшний день не существует какой-то единой метрики, которая позволила бы организациям оценить эффективность построенной защиты. Имеется более 60 мировых рейтингов и индексов, которые так или иначе относятся к вопросам кибербезопасности. Условно их можно выделить три направления этих рейтингов: технологическое, нормативное и организационное.

Что могло бы дать объединение этих подходов? Это дало бы организациям возможность одновременно оценивать разные аспекты деятельности организаций и специалистов по безопасности, возможность отслеживать изменения эффективности защиты со временем.

Участники могли также прослушать доклады замминистра по вопросам цифрового развития Евгения Владимирова о концепции обеспечения кибербезопасности в энергетическом секторе Украины, начальника Государственного центра киберзащиты Андрея Кузьмича о государственно-частном партнерстве в сфере киберзащиты объектов критической инфраструктуры, начальника Центра киберзащиты Василия Цветкова из «Отраслевого центра цифровизации и кибербезопасности» о роли и месте отраслевого SOC в системе киберзащиты Украины и ряд других.

Во второй день конференции состоялся киберполигон, на котором участники получили уникальную возможность увидеть кейсы «атака-защита», оценить на практике современные технологии и решения ИБ. Они получили информацию о новых технологиях и комплексных подходах, которые способны эффективно противодействовать кибератакам.

Киберполигон был создан в формате практической демонстрации решений кибербезопасности, их работы в условиях, приближенных к реальным атакам. Он позволил получить практический опыт использования технологий киберзащиты мирового уровня. Были рассмотрены практические случаи кибератак и варианты противодействия практически по всем векторам атак. В создании киберполигона, кроме «Бакотек» и соорганизатора, компании McAfee, также приняли участие специалисты НКЦК СНБО, партнеры с высоким уровнем технической квалификации, такие компании как «Софтлист», ITIS, OptiData, Netwave, SoftwareONE. Ресурсы для создания полигона предоставил ЦОД «Парковый».