Недавно в Баку прошла конференция по кибербезопасности, организаторами которой выступили компания Cisco Systems, ERC Distribution и Softprom. В числе докладчиков на мероприятии с докладом выступил член группы Cisco Advisory CISO Ричард Арчдикон (Richard Archdeacon). Ричард имеет более 25 лет опыта в сфере безопасности и сейчас представляет Cisco на международных конференциях, участвует в исследованиях и работает с крупными клиентами по вопросам построения стратегий безопасности. О последних трендах в сфере кибербезопасности читайте в интервью Infocity c Ричардом Арчдиконом.
— Сегодня безопасность является важной частью гибридной среды и среды совместной работы. Каковы, по вашему мнению, основные проблемы безопасности, которые предприятиям необходимо решать в этой сфере или, по крайней мере, знать о них?
— Когда мы говорим о гибридном мире, мы подразумеваем, что наши пользователи находятся за пределами корпоративной сети. В рамках обеспечения защиты мы должны проверять их, прежде чем предоставить доступ к ресурсам компании. И, так как нам необходимо осуществлять базовый контроль над устройствами этих пользователей, то принятие такого подхода, как Zero Trust, является единственным путем при построении защищенного периметра, в который теперь входят и сотрудники, работающие удаленно. Сейчас во многих областях действуют правила, гласящие, что безопасность должна быть предусмотрена по умолчанию. Специалисты по безопасности должны с самого начала понимать, как следует развивать структуру компании, чтобы она была безопасной. Такой подход постепенно становится все более распространенным на фоне общих изменений в процессах работы.
— И люди, скорее всего, по-прежнему остаются самым слабым звеном в обеспечении безопасности в новых реалиях?
— Люди рассматриваются как самое слабое звено в подобных вопросах, но я вижу, что в компаниях растет осознание того, что люди являются самым слабым звеном не потому, что они плохие, а потому, что они попросту пытаются выполнять свою работу. Слишком строгие правила при обеспечении безопасности могут помешать им в этом порыве, поэтому многие попытаются обойти защиту. И наша задача заключается в том, чтобы средства обеспечения безопасности не мешали им выполнять свою работу более эффективно. Например, облегчая им процессы входа в систему, гарантируя при этом безопасность доступа, мы уходим от подобных обвинений. И поэтому сейчас мы меняем представление людей о безопасности. Расширив мышление бизнес-менеджеров о безопасности так же, как они думают о мерах по охране труда и технике безопасности, вы облегчите людям процесс выполнения своей работы и поддержите их.
— В начале пандемии Cisco активно начала использовать такое понятие, как New Reality. И именно оно было связано с переходом к новым условиям работы. Как вы думаете, мы еще находимся в этом промежутке времени или уже наступил новый этап?
— Понятие New Reality основывалось на том, как мы работаем и где мы работаем. Наш образ работы уже менялся, а пандемия Covid лишь ускорила эти процессы. Многие компании, в которых ранее предполагалось, что сотрудники должны быть постоянно в офисе, сейчас видят массу преимуществ в гибридной работе. Они могут расширять штат за счет сотрудников, работающих в других странах, экономить на аренде помещений, транспортных расходах и т.д. Так проще вести бизнес и именно так поступают сегодня многие работодатели. Сейчас не столь важно, где мы работаем, а то, как мы выполняем свою работу. Да и шансов вернуться в прошлое у нас по сути уже нет, особенно когда началось стремительное развитие платформ, базирующихся на искусственном интеллекте.
— А какое влияние может оказать искусственный интеллект на вопросы обеспечения кибербезопасности? Следует быть осторожными в вопросах его внедрения или пора погружаться полностью в эту сферу?
— Я думаю, что нам надо быть немного сдержанными, но в то же время я не уверен, что это получится. В своем докладе на конференции я цитировал интервью Джейми Даймонда, CEO JPMC в Bloomberg, где он сказал, что из этого процесса вытекает множество преимуществ. И по сути мы их уже видим. Например, в Великобритании есть университет, изучающий новые способы лечения рака с помощью искусственного интеллекта. И это очень круто!
Что нам нужно сделать в сфере безопасности, так это понять риски. Поэтому к некоторым рискам, которые могут появиться с развитием искусственного интеллекта, нам придется адаптироваться, изменить какие-то процессы и средства контроля. Например, внутри Cisco мы активно используем такой инструмент, как ChatGPT Enterprise, но с собственными правилами, исключающими, что сотрудники компании могут поделиться в этой среде некоторой конфиденциальной информацией, которая станет источником для его будущих обновлений. Организациям прежде всего необходимо разработать собственные принципы работы с искусственным интеллектом, создать структуру для управления вытекающими из этого процессами, как это мы и сделали. Также необходимы средства контроля, позволяющие гарантировать правильную и безопасную разработку продуктов с использованием искусственного интеллекта. А что касается изменений, которые нас ждут, то нам просто нужно их принять, осознать и построить правильные структуры.
— Как отразится на портфолио Cisco решения в этой области от недавно приобретенной компании Splunk?
— Процесс приобретения Splunk, сделка по которому станет самой большой в истории Cisco, еще займет какое-то время, поэтому у нас пока нет каких-либо конкретных планов или дорожных карт. Но я чувствую, что это будет отличная синергия со всеми аналитическими инструментами Cisco, что позволит нам существенно усилить процессы обнаружения, мониторинга и реагирования на угрозы.
— Во время вашей презентации вы уделили особое внимание тому, что продукты Cisco разрабатываются с применением UX-дизайна. Как в компании это реализуется на самом деле?
— У нас есть целые команды, работающие над решениями, которые призваны упростить пользовательский опыт. Процессы обеспечения безопасности должны быть простыми и понятными не только для конечных пользователей, но и тех, кто управляет ими. Таким образом, мы упрощаем взаимодействие пользователей и менеджеров. И это фундаментальная часть того, что мы делаем. Например, у нас есть набор продуктов Duo, при создании которого разработчики были полностью сосредоточены на UX/UI-дизайне. Многофакторная аутентификация Duo входит в состав сквозной архитектуры нулевого доверия Cisco, которая обеспечивает безопасный доступ любого пользователя с любого устройства к любому приложению и в любой среде. Данное решение не зависит от инфраструктуры и открывает путь к беспарольному будущему, обеспечивая бесшовную защиту любой комбинации облачных и локальных приложений компании, не требуя наличия множества продуктов для аутентификации и не оставляя критичных брешей в защите. И такие продукты, которые вряд ли стали бы популярными без углубленных исследований в сфере UX/UI-дизайна, сегодня очень важны для нас.
— Расскажите более подробно о концепции Zero Trust в понимании Cisco.
— Когда мы общаемся с директорами по информационной безопасности о нулевом доверии, один из наиболее распространенных вопросов звучит так: «А с чего нам следует начинать?». И здесь роль играет множество факторов. Например, централизованное администрирование имеет одно из ключевых значений. Гибкость — это важная способность при адаптации к меняющимся обстоятельствам, и именно централизованное администрирование обеспечивает ее. Наличие четкой архитектуры — лучший способ определить отправную точку, но все компании разные, поэтому не существует единственного «правильного» способа начать работу с Zero Trust. Но мы в Cisco разделяем этот путь на пять отдельных этапов.
Начинается он с использования многофакторной аутентификации для подтверждения личности пользователей. Если мы не можем быть уверены в личности пользователя, нам обязательно следует заблокировать доступ к защищенному приложению. И в этом случае лучше использовать Cisco Duo, так как этот инструмент поддерживает как минимум восемь различных методов аутентификации. Следующий шаг — определить видимость устройства. Наш опыт неоднократно показывал, что в среде любого предприятия присутствует на несколько порядков больше устройств, чем клиенты думают. Это часто происходит с устройствами подрядчиков и личными устройствами и обычно является неожиданностью для тех, кто не управляет устройствами в сети либо делает это только через MDM. Таким образом, необходимо получить дополнительную информацию о надежности таких устройств. Как только мы сможем проверять как пользователей, так и устройства, на следующем шаге необходимо убедиться, что наши политики подходят для приложений, которые они призваны защищать, и достаточно детализированы, чтобы соответствовать требованиям безопасности. Это можно сделать на уровне группы, приложения или даже глобальном уровне. Чаще всего используется комбинация всех трех. Как только мы начнем отслеживать все устройства в сети, нам необходимо будет предоставить администраторам возможность контролировать если не сами устройства, то то, что они могут делать в нашей среде. При этом нам необходимо иметь дело с персональными устройствами, и делать это таким образом, чтобы не подталкивать пользователей к использованию теневых IТ-решений. Например, Duo делает это как с помощью безагентных проверок, так и с помощью непривилегированного приложения Device Health, которое уверяет пользователей, что оно не может и не будет вносить изменения в их устройства без их разрешения. В числе ключевых результатов этого шага: контроль доступа к устройствам, защита стратегий BYOD, снижение риска, связанного с неизвестными и неуправляемыми устройствами.
Все предыдущие шаги на этом пути приводят нас к моменту, когда мы сможем безопасно осуществлять контроль доступа на основе пользователей, их устройств и их поведения. Когда мы уверены в этих контрольных точках, нам больше не нужно рассматривать сетевое местоположение пользователя как часть его надежности. Это позволяет нам предоставлять доступ как к внутренним, так и к внешним приложениям из любой точки мира. Чтобы упростить эту задачу, мы можем использовать обратный прокси-сервер, чтобы позволить пользователям получать доступ к внутренним приложениям, не будучи частью сети. В совокупности все эти шаги дают нам защиту доступа ко всем приложениям независимо от их местоположения, повышение гибкости бизнеса, а также общего состояния безопасности.
— Можете ли вы поделиться мнением о том, какие стратегии и технологии следует использовать для эффективного обнаружения и смягчения последствий от атак программ-вымогателей, столь распространенных сегодня?
— Вы правы, рост числа атак программ-вымогателей сегодня наблюдается повсюду. Я считаю, что в плане защиты от них необходим комплексный подход, обеспечивающий наличие в структуре безопасности компании всех элементов. Кроме того, существуют правила, которые следует внедрять на предприятиях и которые связаны с осведомленностью пользователей, контролем над тем, кто и к каким ресурсам имеет доступ, контролем учетных записей, привилегированным доступом и т.д. Мы должны сосредоточиться на существующих инструментах контроля и убедиться, что они работают должным образом.
Что касается стратегии в вопросах отражения подобных атак, то основные изменения должны произойти в процессах реагирования на инциденты. И тут мы видим, что директора по информационной безопасности сегодня проявляют большой интерес к организации киберучений для руководства компаний. Мы с радостью помогаем им в проведении подобных мероприятий с управленческой командой, проводя топ-менеджмент через все этапы подобных атак, при этом прививая им понимание того, как надо реагировать на них, что делать в случае взлома и т.д. И я рад, что такие учения сегодня становятся стандартной практикой и частью общей стратегии предприятий.
— Кибербезопасность — это достаточно динамичная область, поэтому каждый год в тренды выходят новые технологии, с помощью которых злоумышленники пытаются проводить свои атаки. Какие из них окажут существенное влияние на ситуацию в области кибербезопасности в 2024 году и как организациям следует к ним подготовиться?
— Сегодня мы наблюдаем постоянное изменение ландшафта киберугроз, но текущие атаки не прекратятся и станут еще активнее. Я думаю, что компаниям необходимо сосредоточиться на том, как обеспечить правильную реакцию на них, о чем говорят итоги ряда проведенных Cisco исследований. Если ваши основные процессы работают действительно хорошо, то необходимо сфокусироваться на базовых элементах управления в компании. Заставьте все ваши основные элементы управления работать как следует, чтобы вы могли понимать, где и что можно оптимизировать, стать более эффективными и гибкими. Также я бы обратил внимание на такие области, как подрядчики вашей компании и цепочка поставок. Сегодня они являются одной из главных угроз в плане обеспечения безопасности вашего предприятия. От уровня обеспечения безопасности в этих местах и будет зависеть ваша собственная безопасность.
