О чем говорят безопасники

Крупный VAD-дистрибьютор программных решений, компания «Софтпром», которая имеет в портфеле без малого 100 контрактов с вендорами и представлена в трех десятках стран СНГ и Европы, провела для своих партнеров онлайн-форум, посвященный животрепещущей теме кибербезопасности, с акцентом на панельных дискуссиях, воркшопах и мастер-классах.

В рамках Softprom Security Forum 2021 приглашенные эксперты, как представители интеграторов и консалтинговых компаний, поставщиков решений ИБ, так и со стороны заказчиков из различных отраслей – телеком, финансовый сектор, агропром и т.д. – обсудили состояние дел в области защиты информационных ресурсов организаций в условиях пандемии и массового перехода предприятий на удаленную работу.

Количество резонансных атак постоянно растет, констатировал Максим Степченков, генеральный директор IT Task. Однако минувший год запомнился, прежде всего, существенным ростом количества инцидентов ИБ у представителей малого и среднего бизнеса. Причем нередко это были целевые атаки, в результате которых ИТ-инфраструктура оставалась уязвимой длительное время, пока злоумышленники выжидали появления на счетах компании суммы покрупнее. Впрочем, из-за вынужденного перехода на непривычное взаимодействие онлайн, немало компаний становились легкой добычей даже простых массовых атак. Поэтому, если раньше небольшому предприятию было достаточно, условно говоря, поставить хороший межсетевой экран и антивирус, то сейчас этого уже мало.

На другой актуальной тенденции – росте количества атак на цепочку поставок – акцентировал внимание Вадим Литвинов, начальник отдела эксплуатации ИТ группы компаний Kernel. Компрометация разработчиков вроде JetBrains или отечественной SoftServe, не говоря уже о SolarWinds и Microsoft, из-за которых под ударом оказались тысячи организаций и компаний по всему миру, включая грандов ИТ-индустрии, лишний раз подтверждает актуальность концепции Zero Trust. Любой поставщик и платформа могут быть уязвлены и это необходимо принимать в расчет при построении собственной системы защиты.

Учитывая степень проникновения ИТ практически в любой современный бизнес, сегодня кибератаки могут повлиять уже не только на ИТ-инфраструктуру, но и привести к техногенным последствиям. Причем, как правило, наиболее уязвимое место любой системы – это человек. Поэтому особо актуальными проблемами являются социальная инженерия и фишинг и противодействие этим угрозам. А наиболее критична с точки зрения возможного ущерба от успешной атаки категория руководящих работников, являющихся носителями ценной информации.

При этом практика показывает, что процент людей, которые откликаются на фишинг, довольно большой и только регулярная работа по обучению пользователей позволяет его снижать.

Не стоит также пренебрегать таким простым и эффективным инструментом, как мультифакторная аутентификация, считает Вадим Литвинов, как минимум на тот случай, если пароли пользователей тем или иным образом все же были скомпрометированы.

Эпидемии вроде NotPetya случаются в первую очередь из-за массового игнорирования вопросов безопасности, считает Дмитрий Хворостына, руководитель направления ИТ-безопасности «Софтпром». Поэтому помимо собственно средств защиты, большое значение имеет регулярное обучение пользователей. Компаниям, которым есть что терять, уже не достаточно защиты периметра. Нужно проверять ничего ли не проникло внутрь. Для этого существует множество инструментов – мониторинг действий пользователей, выявление аномалий, SIEM-логгер, ловушки и т.д. Этому стоит уделять время.

Самое критическое, что мы увидели по своим клиентам, – низкая компетенция ИТ-персонала, – говорит Андрей Перевезий, основатель и СЕО «Лаборатории информационной безопасности BiSC». Базовые кейсы вроде использования RDP или открытого беспарольного FTP для бухгалтера. Причем речь идет о достаточно крупных предприятиях с количеством ИТ-персонала в несколько десятков человек.

По оценкам BiSC, количество публикуемых в Даркнете баз данных увеличилось в 48 раз по сравнению с 16-17 гг. А ведь получив доступ к базовой персональной информации сотрудников, развить атаку зачастую уже не составляет труда.

Использование личных устройств для подключения к корпоративной сети и работы с конфиденциальной информацией недопустимо, считает Перевезий. Потому что предприятие даже не имеет законных оснований их контролировать. Единственно правильный вариант – выдать сотрудникам соответственно настроенные корпоративные ноутбуки, подключить их по VPN, и чтобы они использовались только для работы.

Бытовые роутеры с базовыми настройками – также сплошная дыра в безопасности. Киберпреступнику важно найти начальную точку входа в инфраструктуру предприятия. С началом пандемии количество таких точек увеличилось, по сути, кратно числу перешедших на удаленную работу сотрудников. Грубо говоря, хакеру достаточно стать под подъездом и начать ломать роутеры. Дальше дело техники.

С началом локдауна большинство компаний стремились хоть как-то наладить работу в условиях пандемии. Но теперь, год спустя, наиболее трезвомыслящие начали задаваться вопросом, что же в итоге получилось, где есть дыры и как обеспечить безопасность этой по сути новой инфраструктуры. В результате значительно вырос спрос на аудиты с целью выявить уже даже не потенциальные бреши, а не была ли компания взломана.

Многие компании начали активнее использовать облачные сервисы. При этом самое большое заблуждение, будто в облаках все хорошо защищено и облачный оператор сам обо всем позаботится, считает Дмитрий Харитонов, CEO/CDO Vixen.UNO. В действительности же в большинстве сервисов базовый тариф предусматривает только выделение некоего вычислительного и сетевого ресурса. Поэтому надо анализировать какие конкретно сервисы выносятся в облако, и что провайдер может предложить для их защиты, думать, что лучше использовать и как это интегрировать с облаком. Во многих случаях какая-либо встроенная защита в облаке не предусмотрена и при переходе туда предприятие фактически ухудшает ситуацию с безопасностью.

В случае, когда в облаке предусмотрены какие-то встроенные средства, возникает вопрос унификации защиты. Если же для большей отказоустойчивости интегрироваться с несколькими облаками, придется искать какой-то универсальный инструментарий. К тому же потребуется построить и обезопасить каналы передачи данных, настроить репликацию, организовать доступы для пользователей и т.д.

В тоже время, полагать, что локальная инфраструктура гарантированно безопаснее облака также не стоит, считает Андрей Ловчий, начальник управления информационной безопасности SoftClub. Потому что в норме у хорошего облачного провайдера и технические средства на уровне и квалифицированных специалистов ему возможно даже проще найти и удержать. От инсайдеров также никто не застрахован. Разве что своя инфраструктура лучше знакома. Поэтому при выборе провайдера желательно детально изучить, что именно он использует и предлагает.

При размещении в облаке важно решать вопросы безопасности на архитектурном уровне. Если они не будут учтены сразу, потом что-то изменить будет сложно. Фактически при построении гибридной инфраструктуры нужно создавать многоуровневую систему безопасности.

Важно сначала разобраться со своей инфраструктурой и процессами, – дополняет Вячеслав Аксёнов, системный архитектор, управления разработки архитектуры предприятия и ИКТ решений A1. Есть ли межсетевой экран, сегментирована ли сеть, как осуществляется управление доступом, организовано ли управление уязвимостями, обновлениями, как распределена ответственность и т.п. Если вопросы ИБ плохо контролируются «на земле», то от перехода в облако лучше не станет. Если же внутри все выстроено правильно. Тогда можно осмысленно сравнивать стоимость, что выгоднее в том или ином случае, земля или облако. Какие сервисы лучше вынести, а какие оставить. Так что по сути это вопрос зрелости самой организации.

Основная задача – сузить поверхность атаки, говорит Микола Овчарук, инженер по информационной безопасности Kernel. Если злоумышленники эксплуатируют уязвимость и пытаются углубиться в инфраструктуру – это должно быть заметно. Когда вы не доверяете трафику между серверами и контролируете его – это и есть реализация концепции Zero Trust. А в идеале ее следует расширить и на пользователей. Чтобы абсолютного доверия не было ни к кому и ни к чему.

Для каждого типа угроз на рынке имеется множество средств защиты. Однако всегда стоит следовать здравому смыслу и логике, – резюмирует Дмитрий Ковалев, руководитель отдела технологической экспертизы ИБ компании Softline. Необходимо применять риск-ориентированный подход. Служба ИБ должна четко понимать, какой в организации основной бизнес-процесс, благодаря которому она, по сути, зарабатывает деньги, как его лучше защищать и как можно улучшить.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365