Кибербезопасность бизнеса: почему защита начинается изнутри

Результаты внутренних пентестов в рамках последних исследований показывают, что более 90% организаций оказываются скомпрометированными при моделировании атаки изнутри, с последующим полным захватом корпоративной сети. Что это говорит о состоянии защиты в российском бизнесе?

Традиционно кибербезопасность выстраивалась вокруг инфраструктуры, а все, находящееся внутри, подвергалось менее тщательному контролю. Однако такой подход уже давно устарел ввиду того, что традиционного периметра в современных компаниях больше нет — этому способствуют облачные инфраструктуры, удаленные подключения, различные интеграции со сторонними решениями. Внутренние пентесты показывают, что произойдет в случае, если атакующий окажется внутри инфраструктуры — это может быть инсайдер, аутсорсер, подрядчик или же работа бэкдора, встроенного в очередное обновление от взломанного поставщика ИТ-решений. При наличии достаточной мотивации и ресурсов взломать можно практически любую компанию, поэтому показатель свыше 90% выглядит довольно реалистичным, хотя и демонстрирует, что многие российские организации до сих пор живут в старой парадигме защиты размытого ныне периметра.

Zero Trust часто воспринимается как сложная цель для компаний с унаследованной ИТ-инфраструктурой. С чего можно начать путь к этой модели, не прибегая к масштабной модернизации всей системы?

Модель Zero Trust подразумевает реализацию нескольких задач:

—  контроль учетных записей сотрудников и администраторов, включая минимизацию полномочий, ролевую или атрибутную модель управления доступом, мультифакторную аутентификацию, предоставление доступа на основе оценки рисков компрометации аккаунта, выдачу временных и ограниченных по привилегиям сессий для администраторов, аутсорсеров и подрядчиков, а также контроль их действий;

— инвентаризацию и контроль устройств, подключающихся к инфраструктуре, включая проверку установленных средств защиты и отсутствие вредоносной активности (posturing);

— сетевую микросегментацию, шифрование внутреннего трафика, условный сетевой доступ (conditional access) и обеспечение безопасности на уровне L7 (контроль приложений);

— управление безопасной разработкой ПО, проверку устанавливаемого софта и обновлений, управление уязвимостями; контроль и предотвращение утечек данных, мониторинг состояния инфраструктуры и процессы реагирования на инциденты.

Спектр задач широк, и основные сложности возникают при использовании высокопроизводительных сетевых решений для контроля внутреннего трафика. Российские сетевые решения зачастую дороги и не всегда справляются с объемами трафика, требующими детального анализа. Тем не менее, реализовать модель Zero Trust хотя бы на минимальном уровне зрелости можно за счет встроенных в ОС и оборудование механизмов безопасности — например, использовать функции брандмауэра на конечных точках, управлять полномочиями через службы каталогов, централизованно применять безопасные конфигурации (харденинг) и реализовать сегментацию на сетевом оборудовании.

Киберпреступность превратилась в сервис: сегодня любой желающий может арендовать инструменты для атаки. Как бизнесу эффективно противостоять этой угрозе, не увеличивая ИТ-бюджет?

Злоумышленники уже давно применяют модель аутсорсинга: кто-то взламывает инфраструктуру и продает удаленный доступ к ней (так называемые «брокеры первичного доступа»), кто-то разрабатывает ВПО и вирусы-шифровальщики, кто-то берет их в аренду по подписочной модели. Однако, бизнес также может воспользоваться услугами MSS-провайдеров и коммерческих SOC-центров и преимуществами подписочной модели, включая возможность быстрого подключения инфраструктуры на мониторинг безопасности, масштабирование по требованию, прогнозируемые операционные расходы и отсутствие капитальных затрат, а также использование централизованной экспертизы — специалисты по кибербезопасности сейчас в дефиците.

Советы директоров ожидают четкой финансовой метрики эффективности инвестиций в кибербезопасность. Как ее выстроить?

Важно помнить, что практически любая, даже самая продвинутая компания может стать жертвой киберпреступников, поэтому целесообразно сосредоточиться на проверке реальной защищенности инфраструктуры (за счет проведения киберучений) и на возможности оперативного восстановления после атаки (обеспечение киберустойчивости). Вместе с тем, достаточно сложно бывает оценить финансовый ущерб от кибератаки, особенно косвенный — например, ущерб репутации, отток клиентов, снижение эффективности деятельности и процессов. Поэтому для обоснования затрат на обеспечение кибербезопасности компаниям следует всесторонне оценивать киберриски с учетом риск-аппетита стейкхолдеров — это поможет выработать оптимальные меры защиты и обосновать затраты на их внедрение. Кроме того, в ближайшем будущем можно ожидать увеличение интереса к киберстрахованию, что повысит вовлеченность руководителей бизнеса в ИБ-задачи, ведь для снижения размера страховой премии потребуется реализовать определенный базовый набор защитных мер.

Как можно адаптировать действующие нормативные требования, чтобы они лучше соответствовали современным вызовам и стали более эффективным инструментом повышения киберустойчивости бизнеса?

Имеющееся обилие регуляторных норм иногда мешает выработать единый подход к результативной кибербезопасности — нормативные требования могут дублироваться, не все из них актуальны и повышают реальный уровень защищенности российских компаний. Вероятно, помогла бы централизация и унификация практически реализуемых нормативных требований, написанных понятным языком и соответствующих современным реалиям. Сейчас многие небольшие и средние компании, не имеющие в штате ИБ-специалиста или профильного юриста, просто не могут понять, какие именно действия они должны выполнить для обеспечения хотя бы базового уровня кибербезопасности.