Завтра начинается сегодня

Евгений Акимов, руководитель отдела развития Департамента ИБ компании Softline

Стоит уже сегодня заглянуть за привычный горизонт планирования ИБ, поскольку через три-пять лет в большинстве организаций структура деятельности по обеспечению кибербезопасности станет совсем другой. И тот, кто окажется к этому не готов, неизбежно проиграет.

ИБ-феодализм

Нынешний горизонт планирования деятельности ИБ-подразделения составляет около двух лет. Этого достаточно, чтобы запланировать пилоты нескольких «тяжелых» решений, проверить их эффективность, заложить бюджет на следующий год и реализовать намеченное. Предугадать, что будет актуальным через 3–5 лет, весьма сложно, поскольку все очень быстро меняется.

Можно сказать, что ситуация с обеспечением ИБ напоминает эпоху феодализма. Крупные компании – это города-государства с крепостной стеной из NGFW, внутренними патрулями IdM, двумя эшелонами AV и т.п. Мелкие организации – деревни с частоколом из простейших UTM и одного AV, порой условно бесплатного. При этом корпоративные «крепости» сильно различаются по уровню богатства (так, высокомаржинальный бизнес в нефтегазовой отрасли может себе позволить значительные ИБ-бюджеты), по предыдущему опыту (если в прошлом году компания подверглась DDoS-атаке, то в текущем в ней уже установлено соответствующее защитное решение), зрелости в вопросах ИБ (например, некоторые предприятия пытаются обнаружить пути обхода своей защиты с помощью пентестов и заблаговременно реализуют новые подсистемы). Периодически руководители ИБ-подразделений компаний собираются, чтобы поделиться опытом возведения фортификационных сооружений.

Все это – давно сложившаяся и прежде оправдывавшая себя практика. Однако характер инцидентов изменился: происходит все больше хорошо спланированных атак, организованных высококвалифицированными преступниками и приводящих к ощутимым потерям. Для предотвращения и отражения таких атак службам ИБ необходимы гибкость, оперативность и комплексный подход к защите. А что происходит на практике?

Двухлетний цикл технологического планирования в области ИБ включает в себя этапы анализа проблемы, поиска вариантов решений, пилотирования/проверки эффективности, финансового планирования, закупок, проектных работ и начала эксплуатации. В соответствии с нашей «фортификационной» аналогией происходит примерно следующее: узнав, что соседний замок захвачен с помощью приставных лестниц, защитники города инициируют цикл совещаний с оружейниками для оценки эффективности разных типов котлов для плавления свинца и кипячения масла, а потом записываются на прием к барону для защиты бюджета, необходимого для закупки в следующем году такого оборудования.

Киберпреступники заставляют подразделения ИБ отказаться от медленного планирования – рано или поздно придется действовать по упрощенной процедуре, воспринимая всю ИБ как Agile-проект с «резиновым» бюджетом и сверхадекватными исполнителями. Вряд ли это произойдет в ближайшем будущем, а простое ускорение и разумное увеличение бюджетов не позволяет дать полноценный отпор киберпреступности.

Как бы то ни было, эпохе феодализма в области ИБ неизбежно придет конец, и пришло время заглянуть за трех-пятилетний горизонт планирования. А поскольку завтра, как известно, начинается сегодня, рассмотрим еще несколько аспектов нынешнего положения дел.

Бронежилет, каска и волшебные таблетки

Если бы человеческое общество было основано на принципах ИБ-феодализма, то люди просто не доносили бы зарплату до дома, ведь «себестоимость» уличного грабежа – намного меньше сумм отбираемых денег. Каждый человек был бы оснащен бронежилетом, каской и травматическим оружием, и эта амуниция окупалась бы уже за несколько месяцев. Однако уровень преступности в обществе определяется не столько самой возможностью совершать противоправные деяния, сколько неотвратимостью наказания и уровнем культуры этого общества.

Можно ли создать в цифровом мире реально работающую правоохранительную систему, которая гарантирует такую же неотвратимость наказания, и достичь высокого уровня культуры общества, защищающего от противоправных действий лучше полиции? Можно. Вряд ли этого удастся добиться быстро, но работать в данном направлении, безусловно, необходимо.

Следуем далее. Высококвалифицированным преступникам очень сложно противостоять с помощью нынешнего инструментария ИБ, поскольку обеспечение защиты подразумевает колоссальное усложнение и удорожание ИБ-инфраструктуры. Раскроем этот тезис чуть подробнее.

Почти все компании предпринимают какие-то действия для защиты от целенаправленных атак (APT), в том числе приобретают специальные решения. Однако, что бы ни твердили производители, «волшебных таблеток» не существует: атаки могут «приходить» по почте, web, с помощью инсайдеров и т.д., а любое конкретное решение направлено лишь на часть векторов атак. В общих чертах возможности продуктов, предназначенных для защиты от APT, таковы:

  • - Sandbox («песочницы») служат для проверки подозрительных файлов (например, аттачментов почтовых сообщений); они детектируют до 80% APT и могут работать в режиме предотвращения;
  • - Endpoint-модули поведенческого анализа на хостах дают много дополнительной информации и детектируют уже развивающиеся атаки;
  • - шлюзовые сенсоры обнаружения коннекта с командными центрами бот-сетей также детектируют развивающиеся атаки;
  • - анализаторы сетевого трафика позволяют обнаруживать аномалии, свидетельствующие о распространении атак внутри сети;
  • - корреляторы событий «объединяют» перечисленные компоненты.

Понятно, для организации полноценной защиты нужно комплексно использовать несколько средств. Но эффективность их работы тоже различается, и в идеале следует на каждом векторе атаки устанавливать эшелонированную защиту. Кроме того, обычно результат работы APT-системы является вероятностным и не может использоваться автоматически – требуется работа аналитика и квалицированной команды ИБ- и ИТ-специалистов, действующих в режиме 24х7. Наконец, для предотвращения, а не просто обнаружения атак необходима установка систем в разрыв, что обходится весьма недешево; внутрисетевые аномалии пока удается лишь детектировать.

Сегодня внимание кибербезопасников сосредоточено на внедрении APT-решений и антифрод-систем, создании SOC, использовании данных от внешних CERT или организации собственных (в крупных организациях). Причем эти проекты нередко не рассматриваются как части комплекса, имеют собственные бизнес-обоснования, бюджеты, проектные команды и пр., и порой функционал одной из систем частично повторяется в другой. Например, мощные механизмы корреляции SIEM-системы, являющейся технологической основой 99, 9% SOC, позволяют обнаруживать и некоторые таргетированные атаки, и мошеннические транзакции в платежных системах.

Заоблачные дали

Все было бы печально, если бы не облака. Если уж лидер Сбербанка Герман Греф более года назад призвал «срезАть» пиковые нагрузки, в 2–2,5 раза превышающие обычные, в публичном облаке для оптимизации расходов, то облачную тенденцию пора принять как данность. К слову, на одной из конференций представители банков помельче рассказали, что их руководство решило более не инвестировать в ИТ-инфраструктуру, а когда она «закончится», использовать облачные ИТ-сервисы.

Сейчас продажи XaaS-услуг удваиваются более двух раз в год, опережая закон Мура. Пока ими пользуются не так много Enterprise-компаний, но представители сегмента SMB уже активно передают в облака свои почтовые сервисы, офисные программы и даже CRM. Это означает, что уже через 3–5 лет ИТ-ландшафт будет существенно отличаться от привычного – объект защиты переместится из корпоративного ЦОДа в облако. Сервисы безопасности заведомо будут в нем реализованы, и их можно будет подключать по требованию и даже по фиксированному прайс-листу. Мощная команда кибербезопасников станет работать в режиме 24*7 в интересах множества заказчиков, и затраты на ее деятельность будут делиться между ними. Выбором эффективной платформы для сотен и тысяч клиентов займется провайдер. Он может подготовиться к работе заблаговременно, изучив опыт более развитых ИТ-рынков, а приступить к продажам, когда услуги станут востребованными.

Пока обеспечение соответствия требованиям к защите ПДн является самой востребованной услугой – ее запрашивает примерно половина клиентов ХaaS-провайдеров. Отметим, она увеличивает стоимость облачного сервиса в 2–3 раза, причем лишь немногие провайдеры предоставляют услугу в полном объеме. Некоторые из них предлагают частичное соответствие. В простейшем случае это – облако на территории РФ, позволяющее компаниям решать наиболее распространенную проблему переноса ПДн граждан России на родную территорию. Кое-кто из провайдеров описывает механизмы защиты, включающие в себя резервирование и межсетевое экранирование, и это – уже кое-что из требований регуляторов.

Правда, их проверки осуществляются планово, нечасто и в большинстве случаев касаются организационных моментов, поэтому многие компании задаются вопросом: «Если не видно разницы, зачем платить больше?». И, понятно, соображения экономии побеждают. Тем не менее спрос рождает предложения, они – конкуренцию, а массовость услуги и ее оптимизация постепенно приведут к радикальному падению стоимости.

Популярны и услуги, специфичные для SaaS: например, облачный почтовый сервис часто приобретают в комплекте с антиспамом и антивирусной проверкой. Реже встречаются услуги проверки вложений на APT с помощью прогона через «песочницу».

Итак, трех-пятилетняя стратегия обеспечения ИБ должна учитывать возможность миграции ИТ-систем в облака с предоставлением услуг кибербезопасности. А потому, скажем, не стоит в текущем году выбирать DLP-систему и обосновывать бюджет с окупаемостью три года, если через два года ваша почта станет облачной и сервис DLP войдет в контракт. Зато стоит заняться анализом зарождающегося рынка SECaaS-услуг и выбором XaaS-провайдера. Мы – на пороге новой реальности, в которой компании избавятся от необходимости заниматься «техническими» вопросами, оставив за собой менеджмент ИБ.

Тэги: 
Оцените материал:
Total votes: 19

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Хороший взгляд - много полезного, логичного и реального

Понравилось сравнение с феодализмом.

Тенденции в основном отмечены верно (мнение мое - не претендую на истину в крайней инстанции).

Все приятно, кроме отсутствия логического развития ситуации на лет 5 вперед и отсутствия (может автор специально умолчал - я бы так и сделал) главных изменений в ИБ в ьлижайшие пару лет.

Приятно. что Softline это понимает куда все катится, но видят ли они стратегию выхода для себя? Приоритеты пользователей - мало кому ведомы)))))

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.