ИТ-пятница с GigaCloud. Сессия 10

30 июль, 2019 - 17:38Леонід Бараш

Вопреки объявленному перерыву до осени, компания решила провести дополнительный семинар, вызванный актуальностью темы кибербезопасности.

Его открыл доклад о системе управления информационной безопасностью (СУИБ) менеджера систем ИБ Оксаны Ригель из GigaCloud. Согласно определению, данном докладчицей, СУИБ — это процесс управления бизнесом в общем, который опирается на подход, ориентированный на риски. Процесс определяется четырьмя ключевыми понятиями — это внедрение, функционирование, поддержка и мониторинг. Практически, СУИБ нацелена на обеспечение целостности, конфиденциальности и доступности данных компании. Весь процесс СУИБ строится по модели цикла PDCA (Plan-Do-Check-Act, Планирование-Действие-Проверка-Корректировка).

ИТ-пятница с GigaCloud. Сессия 10

Оксана Ригель: «СУИБ не является панацеей, которая может спасти от инцидентов ИБ, но она будет гарантией, что компания научится управлять ими»

С чего же начинается СУИБ? Она начинается со стандартов семейства ISO, основным из которых является 27001. В нем содержатся требования к самому процессу и к системе. Что касается остальных стандартов, то они помогают обеспечить ИБ. Например, стандарт 27005 содержит указания, как управлять рисками, а 27035 — практические рекомендации, как настроить процедуру управления инцидентами в компании.

Однако прежде чем внедрять СУИБ, нужно понимать, для чего предназначена эта система. Ее можно использовать двумя способами. Первый — это сертификация, а второй — в качестве best practice.

При построении цикла на этапе Plan самым важным является принятие стратегического решения о внедрении СУИБ, получение согласия руководства и получения сопровождения. Нужно также разработать все процедуры и политики ИБ, которые потом будут использоваться, разобраться со стандартами и понять, для чего нужна система. На этапе Do внедряются все политики в жизнь, на этапе Check — проводится внутренний и внешний аудит и определять сильные и слабые стороны защиты, а на этапе Act — реализуется план корректирующих действий. Если принято решение внедрить СУИБ как сертификационную систему, нужно убедить руководство, зачем нужна сертификация, например для выхода на международные рынки. Далее, СУИБ — это, прежде всего, безопасность информации, и она позволяет оценить все процессы с точки зрения безопасности и роль рисков.

Крайне желательно, чтобы CISO подчинялся напрямую генеральному директору. Для чего это нужно? Потому что в случае каких-то чрезвычайных ситуаций в ИБ, самым важным есть скорость принятия решений.

После получения одобрения руководства, нужно разобраться со стандартом ISO 27001, в котором перечислены ключевые этапы. После этого, нужно определить, какие слабые стороны с точки зрения ИБ в организации, какие процессы необходимо внедрять. Для чего это делается? Например, ваша компания не занимается разработкой ПО, а предоставляет какие-то услуги, а вы будете внедрять процессы безопасности разработки ПО. Вам это не нужно.

Аудит можно выполнять самим или привлечь какие-нибудь компании-субподрядчики. Но лучше это делать самим, чтобы понять, какие бизнес-процессы у вас происходят. Нужно также подготовить приказ про внедрение СУИБ. Это делается для того, чтобы юридически обязать сотрудников нести какую-то ответственность. Нужно создать комитет ИБ, это обязательный орган, про который будет спрашивать аудитор. В комитет должно входить высшее руководство, юристы, финансовые менеджеры, здесь будут приниматься главные решения по ИБ и по СУИБ в целом. Далее, нужно разобраться с управлением документами. Это следует делать вначале, потому что будет создаваться очень много документов. Затем нужно разработать сам проект — как будет внедряться СУИБ в компании, а также руководство по СУИБ, в котором будет указана последовательность действий. Это основные шаги, которые нужно сделать с самого начала. Нужно также определить, на какие бизнес-процессы распространяется СУИБ, например, на все-бизнес-процессы, которые привлечены для разработки ПО. Одним из этапов является инвентаризация информационных активов. На ее основе будут определяться потенциальные риски.

Следует понимать, что СУИБ не является панацеей, которая может спасти от инцидентов ИБ, но она будет гарантией, что компания научится управлять ими, сдерживать их и потом работать с ними.

Эксперт по кибербезопасности Валерий Яцкивский рассказал об угрозах, с которыми могут столкнуться организации. Он привел такую статистику. Сегодня в мире насчитывается около 7 млрд. уникальных интернет-устройств. Из них 3,2 млрд. пользователей социальных сетей. Ожидается, что к 2020 г. их количество увеличится на 50%, а к 2023 г. количество IoT-устройств превысит 55 млрд. Ежедневно отправляется 270 млрд. электронных писем. Это предоставляет огромное поле деятельности для киберпреступников. С 2017 г. потери от их атак составляют около 600 млрд. долл. ежегодно.

ИТ-пятница с GigaCloud. Сессия 10

Валерий Яцкивский: «На основе вредоносного ПО выполняется 63% уникальных кибератак»

В чем заключается особая опасность? Киберпреступность стремительно растет. Сейчас в Dark Internet предлагается Cybercrime-as-a-Service. То есть любой человек может за небольшую плату организовать атаку на любую компанию, о которой его попросят. Также нет географической привязки к месту преступления — его можно осуществить из любой точки земного шара, был бы доступ к Интернету. Ежесекундно атакуются миллионы компьютеров, каждый день появляется более 285 тыс. вредоносных программ. И самое серьезное для компаний то, что киберпреступники остаются вне досягаемости.

Самой частой атакой является использование вредоносного ПО. На его основе выполняется 63% уникальных кибератак. Такое ПО часто сочетается с социальной инженерией, а также с уязвимостями веб-инфраструктуры.

В I кв. 2018 г. большую популярность получил троянец WannaMine, который заразил более 500 тыс. устройств, преимущественно Windows-серверы. Он использовался для майнинга криптовалюты Monero. Примечательно, что 38% из этих атак осуществлялось по электронной почте. На втором месте стоит социальная инженерия. Она применяется с использованием вредоносного ПО, но есть случаи, когда она используется сама по себе. Третье место занимает хакинг. В данную категорию попадают, в частности, атаки, которые используют уязвимости ПО, сервисы ОС и бреши в защите. Часто целью киберпреступников являются веб-уязвимости.

Что можно сделать, чтобы защитить себя и клиентов? Прежде всего, регулярные аудиты, и хотя бы раз в год проводить внешний аудит. После проведения аудита, нужно обязательно провести тестирование на проникновение и устранить обнаруженные недостатки. Желательно также установить мониторинг киберугроз. Не нужно забывать и о регулярном обучении персонала.

Семинар завершился техническим разбором некоторых атак, который провел директор по корпоративным решениям Артем Михайлов из ISSP.

ИТ-пятница с GigaCloud. Сессия 10

Артем Михайлов: «Безопасники во всем мире признали, что они проиграли войну за предотвращение атак»

Он начал с «оптимистического» сообщения, что безопасники во всем мире признали, что они проиграли войну за предотвращение атак, поэтому по умолчанию считается, что все взломаны. И действия выполняются, исходя из этого предположения.

Как отметил докладчик, часто при встрече с некоторыми заказчиками приходится слышать слова, что они никому не интересны, вот банки — другое дело. Однако сегодня любая организация, любой компьютер, подключенный к Интернету, интересен для злоумышленников.

Наверное, многие помнят массовые фишинговые рассылки в 2016 г. До сих пор социальная инженерия составляет 80% проникновения в организацию. К удивлению, большинство компаний пропускают письма с макросами, которые представляют самый простой метод внедрить зловредный код в организацию.

Организациям для защиты нужны технологии и люди. Технологии — самое простое, их можно купить. Для обеспечения безопасности организации, насчитывающей 500–1000 человек, необходимы три —четыре человека, занимающихся безопасностью. Они должны выполнять мониторинг системы, мониторинг «здоровья» инфраструктуры, взаимодействовать с ИТ-отделом и т. п. Но как показывает практика, просто нанять людей с высокими зарплатами, купить дорогие технологии — тоже недостаточно. Нужно построить процесс.

Выступающий иллюстрировал свой доклад рядом примеров.