Еще несколько лет назад в фокусе информационной безопасности бизнеса были, в первую очередь, блокирующие инструменты. Сейчас компании приходят к заключению, что этого недостаточно. Злоумышленники научились обходить защитные механизмы, поэтому приоритетом становится обнаружение и реагирование на инциденты в сфере кибербезопасности. Все чаще в крупных компаниях создают SOC (Security Operations Center), где в круглосуточном режиме выявляются и устраняются угрозы и проводится анализ существующих систем.
Уровни зрелости компаний
Каждая организация уникальна и специфична, но проходит одни и те же этапы зрелости информационной безопасности (ИБ). На оценку зрелости влияет огромное количество факторов: время присутствия компании на рынке, компетенции сотрудников, наличие собственной ИБ-стратегии. Один из самых важных параметров — место и роль информационной безопасности в компании. Где-то она полноценно встроена в бизнес-процессы, где-то выполняет в основном вспомогательную комплаенс-функцию.
«Лаборатория Касперского» условно выделяет три уровня зрелости компаний. На первом уровне ИБ не выходит за пределы ИТ-функции: кибербезопасность рассматривается как чисто «техническая» проблема. У бизнеса отсутствует единая политика развития системы обеспечения информационной безопасности (СОИБ), а финансирование ведется в рамках общего ИТ-бюджета. На этом этапе ИБ реализуется с помощью традиционных инструментов защиты: резервное копирование, антивирусы, межсетевые экраны, VPN и т.д.
На втором уровне находятся компании, где ИБ становится одним из приоритетов для производственных процессов, и кибербезопасность рассматривается руководством как комплекс организационных и технических мероприятий. У бизнеса есть утвержденная руководством программа развития СОИБ, она финансируется в рамках отдельного бюджета. С технической точки зрения ИБ реализуется, в том числе с применением инструментов, которые способны выявлять атаки, обходящие традиционные средства защиты и видеть векторы их развития, а также автоматически предотвращать их дальнейшее распространение. Для борьбы со сложными угрозами может использоваться автоматизированная песочница Kaspersky Sandbox — она призвана остановить атакующих, которые рассчитывают обойти средства защиты конечных точек, или решения Kaspersky EDR (Endpoint Detection and Response), нацеленные на определение масштабов сложных инцидентов, их расследование, способные автоматически отреагировать на угрозу.
Наконец, высшего уровня зрелости достигают компании, где ИБ учитывается в стратегии компании и представлена в топ-менеджменте. Функцию реализует экспертная команда, а финансирование ведется в рамках отдельного бюджета. На вооружение взяты средства второго уровня, в компании появляется центр безопасности SOC, применяются технологии SIEM (Security Information Management) и практикуется экспертный подход к предотвращению киберугроз. В компании есть выделенная группа, ответственная за вопросы безопасности, и оговорены SLA (соглашение об уровне сервиса).
Преимущества зрелого подхода
Зрелый подход позволяет устранить нерациональное использование ресурсов компании при внедрении отдельных решений. Еще одно его преимущество — устранение дисбаланса текущих потребностей бизнеса и возможностей команды. Например, в соотношении объема данных, которые накапливает и сохраняет компания, со способностью их проанализировать с помощью имеющихся специалистов.
По мнению Мушвига Мамедова, официального представителя «Лаборатории Касперского» в Азербайджане, сложно выделить индустрию, в которой компании наиболее продвинуты. «Исторически сложилось, что финансовые учреждения были немного впереди, так как именно они чаще всего становились целью злоумышленников. Но сегодня все остальные игроки рынка очень быстро эволюционируют: атаки становятся сложнее, материальный и нематериальный ущербы от них растут, и уровень защиты тоже», — отмечает Мушвиг Мамедов.
Расширенное детектирование и реагирование
«С компрометацией может столкнуться любая компания: вопрос только в том, когда это произойдет. Приоритетными задачами служб информационной безопасности становятся выявление угроз за минимальное количество времени, анализ первопричин и ускоренное реагирование», — подчеркивает Мушвиг Мамедов.
Обнаружение и сдерживание угроз — процесс сложный и дорогой, но необходимый, в том числе с точки зрения требований регуляторов. Наличие процесса непрерывного мониторинга и своевременное информирование об инциденте важны, если бизнес хочет соответствовать всем предписаниям регуляторов. Огромное количество требований так или иначе способствует развитию функции расширенного детектирования и реагирования в компаниях. Дополнительным стимулом наращивания компетенций становится и то, что угрозы ИБ превращаются в проблемы национального масштаба.
Следует отметить, что большая часть угроз предотвращается превентивно, и современные защитные решения для конечных точек довольно успешно с ними справляются. В случае более сложных угроз, которые созданы специально для обхода защитных механизмов, требуется полуавтоматический, а то и вовсе ручной анализ инцидентов и атак, поэтому в компании появляется SOC и процессы по так называемому проактивному поиску угроз Threat Hunting как его важнейшая составляющая.
Контроль конечных устройств
Сложно недооценивать важность контроля состояния конечных устройств. Злоумышленнику намного проще скомпрометировать конечную точку и пользователя, который управляет хостом, чем пытаться проникнуть через множественные кордоны безопасности.
«Еще вчера технология EDR была уделом экспертов где-то в глубинах аналитических центров, но сегодня она приходит в массы. Ранее отдельный EDR-функционал заявлялся в рамках многоуровневой защиты Kaspersky Endpoint Security для бизнеса, позволяющий проводить детектирование эксплойтов, адаптивный контроль аномалий или автоматический откат», — говорит Мушвиг Мамедов.
Новое решение Kaspersky EDR для бизнеса «Оптимальный» представлено рынку в конце июня 2020 года. Оно может покрыть обширные потребности по детектированию и реагированию даже для компаний малого и среднего бизнеса, у которых нет серьезных компетенций по ИБ. Отдельно возможно использование так называемой песочницы — изолированной среды, предназначенной для безопасного исполнения вредоносного ПО. Для компаний, обладающих распределенной инфраструктурой с недостатком специалистов на удаленных участках либо со слабыми каналами связи, это решение может быть отличным подспорьем.
Передача ИБ на аутсорс
Многие компании, находящиеся в том числе на высоких этапах зрелости ИБ, готовы передавать функции по киберзащите на аутсорс. Внешним экспертам сегодня можно доверить все — от обучения специалистов до организации SOC.
Чаще всего используется подход MSSP (Managed Security Services Provider), при котором заказчик получает максимально типизированную услугу, без кастомизации. Возможна гибридная модель: бизнес отдает на аутсорс экономически невыгодные ему или слишком трудоемкие задачи. Кроме того, у организации может не быть мощностей для разворачивания ресурсоемких центров для анализа данных. Преимуществом становится возможность инсталлировать решение как в инфраструктуре заказчика, так и в облаке.
***
Сотрудничество с профильным аутсорсером позволяет найти решение, которое закрывает потребности бизнеса и не заставляет тратить лишние средства. «Лаборатория Касперского» предлагает комплексные решения, которые могут «расти» по мере зрелости компании.
