Аудит, пентест, модели угроз: антикризисный чек-лист по кибербезу для CEO

Сегодня можно опубликовать новый сервис, и не пройдет десяти минут, как в него начнут стучаться боты, пытаясь его взломать.

Число кибератак продолжает стремительно расти. Их характер усложняется, злоумышленники активно прибегают к целевым атакам с использованием ИИ, шифровальщиков, программ-вымогателей и вайпер-программ.

Дорогостоящие последствия

Последствия кибератак для крупных организаций оборачиваются немалыми потерями — миллионами и миллиардами рублей в случаях, когда речь идет о сложных целенаправленных атаках, в результате которых нарушаются производственные процессы. Около 60% малых компаний по статистике закрываются после серьезной утечки.

Эксперты неслучайно обращают внимание на то, что наша страна стала полигоном для испытания и отработки навыков ведения кибервойны. Вместе с тем, киберугрозы можно и нужно минимизировать, надо только грамотно подойти к делу.

С чего начать

Итак, что пошагово уже сейчас нужно предпринять директору в компании? На мой взгляд, прежде чем переходить к инструментам безопасности, которые составляют обязательный минимум практически для любой компании, неплохо было бы определиться с тем, а что такого ценного есть у организации, сколько реально она потеряет, если это самое ценное у нее сломают или украдут.

Во-первых, стоит оценить риски компании с привлечением сертифицированных специалистов, а значит — провести независимый аудит информационной безопасности (ИБ), который покажет реальную ситуацию с информационной безопасностью (все ли необходимые системы установлены и настроены так, как надо, а также насколько все процессы обработки и защиты информации приведены в соответствие требованиям) и поможет определить основные области риска.

Это может быть, как и экспресс-аудит, так и комплексный, который начинается с обследования инфраструктуры. По его итогам предоставляется техпроект на систему защиты информации с последующим ее внедрением. К нам, кстати, чаще всего обращаются именно за комплексным аудитом.

Такой аудит позволяет компании вовремя обнаружить и устранить недоработки в этой сфере. По его итогам компания получает рекомендации, выполняет их, и потом спокойно проходит проверки регуляторов.

Но аудитом все далеко не ограничивается. Он, например, не поможет выявить уязвимые места в защите, это покажет только пентест, который позволит вам усилить информационную защищенность компании. Поэтому следующий шаг, который надо будет сделать — заказать пентест.

В ходе такого исследования используются разные сценарии хакерской атаки с тем, чтобы подтвердить или опровергнуть возможность нанести финансовый, репутационный ущерб бизнесу во время реальной кибератаки. 

Такое тестирование на проникновение наряду с аудитом ИБ будет тем самым чекапом безопасности, который позволит сравнительно быстро понять истинное положение дел с кибербезопасностью, в т. ч. насколько эффективны и правильно настроены средства защиты информации (СЗИ), и скорректировать стратегию защиты. Как показывает практика пентестов, большинство организаций оказываются уязвимы перед злоумышленниками. 

Проводить пентест рекомендуется ежегодно, и не только потому, что это одно из требований регулятора. И не только тогда, когда случился инцидент. Сработать лучше на предупреждение, и прибегать к пентесту, если планируются изменения в инфраструктуре, предстоит внедрение новых сервисов, ожидается пик нагрузки (крупное онлайн-мероприятие, период распродаж и т. д.) или когда, допустим, новый руководитель по ИБ приходит в компанию.

Быстрый пентест займет от одного дня до недели, глубокий потребует 1–2 месяца и позволит руководителю довольно оперативно понять реальное положение дел с информационной защитой, в том числе как специалисты службы информационной безопасности отреагируют на сам факт такой атаки.

Также компании необходимо сформировать актуальные модели угроз и нарушителей безопасности для каждой информационной системы. Эти документы помогут им выстроить эффективную систему ИБ.

Наши специалисты подсчитали, что в среднем одной компании необходимо разработать от пяти моделей угроз. Такой документ необходимо разработать для каждой информационной системы персональных данных — это требование 152-ФЗ, каждого значимого объекта КИИ согласно 187-ФЗ, а также для каждой государственной информационной системы, на это указывает Приказ № 17 ФСТЭК России. Самостоятельно и оперативно разработать модели угроз в соответствии с «Методикой оценки угроз безопасности информации» ФСТЭК России специалисту даже с базовыми знаниями в ИБ позволяет Конструктор–У, этот программный продукт исключает использование облаков при разработке модели угроз, таким образом, минимизированы риски ее дискредитации.

Технический фундамент защиты

Во-вторых, провести hardening IT инфраструктуры, т. е. настроить ее должным образом, разрешив только то, что нужно для бизнеса, все остальное — запретить. Такая цифровая гигиена позволит закрыть больше половины всех угроз.

В-третьих, установить и правильно настроить необходимые СЗИ и регулярно их обновлять.

При входе в компанию первое, с чем сталкиваются злоумышленники — это межсетевые экраны (NGFW), которые ставятся для того, чтобы отделить свою территорию от общей территории интернета. Антивирусами надо защитить собственные сервера, на которых находятся различные сервисы.

Поставить защиту на электронную почту. Если для компании важен внешний сайт, то его надо защищать отдельно таким инструментом для защиты веб-приложений как WAF.

Настроить двухфакторную аутентификацию. Внедрить DLP-решение, которое предупредит утечку конфиденциальной информации вовне. Причем ставить DLP надо «в разрыв», тогда система сразу будет блокировать передачу той информации, которая не должна уйти за пределы организации. Хорошо, если DLP-система имеет интеграцию c архиватором ARZip, поскольку с ним она получает способность «видеть» запароленные архивы насквозь и может автоматически контролировать их.

Учитывая, что кибератаки становятся все более изощренными и злоумышленникам порой удается обходить те или иные СЗИ, важно уметь их как можно скорее обнаружить и нейтрализовать, и тем самым минимизировать возможный ущерб для бизнеса.

Помогают в этом системы мониторинга событий информационной безопасности. Такая SIEM-система, собирая и анализируя логи с разных СЗИ, обращает внимание на неочевидные связи между событиями, и позволяет службе ИБ как можно раньше обнаружить и устранить угрозу. Мы своим клиентам советуем внедрить у себя SIEM, если число пользователей ПК в компании не меньше сотни. Дальше уже смотреть от бизнеса.

Как распределить ресурсы

Вы также, возможно, спросите: какую часть работы стоит выполнять своими силами, а какую лучше отдавать на аутсорс?  Сегодня в условиях дефицита кадров многие компании выручает аутсорсинг ИБ. При этом зачастую используется гибридная модель, которая позволяет комбинировать внутренние ресурсы и услуги внешних провайдеров. Полагаю, что за подрядчиком можно закрепить мониторинг безопасности, управление уязвимостями, обучение, а внутри компании оставить разработку политик безопасности, управление резервными копиями и восстановлением.

Ответ на вопрос о том, а сколько все это потребует ресурсов, у каждого будет свой. Кто-то вам, несомненно, с ходу ответит, что надо 3% от оборота направлять на базовую защиту, это формула разумной экономии. А что, если это не ваш случай, и вам требуется более высокого уровня защита?

Не будем забывать, что скупой платит дважды. И потом надо понимать, что в современном мире вам никто не гарантирует 100% защищенность, обеспечение информационной безопасности — это непрерывный процесс, им надо заниматься постоянно, в значит, регулярно проводить аудиты, пентесты, обучение сотрудников, причем проверять полученные знания на практике, проводя учебные фишинговые атаки и т. д.

Информационная безопасность — дело всей компании

Мы по своему опыту знаем, что меры для предотвращения утечек должны быть только комплексными. Это предполагает, в том числе принятие политики ИБ в компании и ознакомления с ней всех сотрудников. Поскольку утечки данных зачастую связаны с непониманием сотрудниками того, какими будут последствия вследствие нарушения ими правил информационной безопасности, то важно повышать осведомленность коллег в этой сфере, информировать о том, какие приемы используют злоумышленники для получения важных данных, чтобы они могли их вовремя распознать и не поддастся на уловку.

Взять за практику проверять источники информации, игнорировать файлы от неизвестных отправителей, не переходить по рекламным ссылкам, не делиться без крайней необходимости конфиденциальными данными и, конечно, обращаться за помощью к специалистам по безопасности при подозрении на фишинг. Если есть хоть малейшее сомнение, проверять URL-адрес письма или на который ведет ссылка. Сделать это можно, например, с помощью сервиса WHOIS.

Сегодня ситуацию с ИБ можно сравнить с гонкой вооружений: атаки постоянно усовершенствуются, поэтому отставать нельзя, надо адаптировать к ним стратегию защиты, осваивать и внедрять лучшие практики.