Контакты
Подписка
МЕНЮ
Контакты
Подписка

Информационная безопасность – залог успеха бизнеса

Информационная безопасность – залог успеха бизнеса

В рубрику "Антифрод" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Информационная безопасность – залог успеха бизнеса

Спонсор секции "Противодействие DDoS-атакам" на InfoSecurity Russia
Станислав Барташевич
Специалист по информационной безопасности,
директор продуктового офиса “Информационная
безопасность” компании “Ростелеком”

– Сегодня новости о кибератаках появляются все чаще, они стали популярной темой кино и сериалов. Как часто в действительности происходят кибератаки?
– Различные инциденты в сфере информационной безопасности происходят в мире почти каждую минуту. Атакам подвергаются правительства, международные холдинги, промышленные предприятия и даже небольшие интернет-магазины.

– В чем опасность киберугроз?
– В России идет процесс формирования цифровой экономики, когда основным средством производства станут данные. Уже сейчас они играют определяющую роль для целых секторов экономики – финансового сектора, образования, медицины. Кража данных дает практически безграничные возможности злоумышленникам – начиная от их продажи и заканчивая совершением уголовных преступлений.

"Ростелеком" обладает исключительной экспертизой в области противодействия DDoS-атакам, это одна из наиболее востребованных услуг компании в сфере информационной безопасности. Мы готовы поделиться накопленными знаниями с участниками мероприятия. Спикерами выступят ведущие эксперты компании в области защиты от DDoS-атак, которые расскажут о плюсах и минусах различных подходов к защите от DDoS.

Если говорить о бизнесе, то, по данным ФСБ, "ущерб от атак хакеров по миру за последние годы составил от $300 млрд до $1 трлн, или от 0,4 до 1,5% мирового ВВП".1

И если для крупного бизнеса такие атаки чреваты постоянными убытками, то для стартапов и небольших компаний и одна успешная атака может стать "смертельной" – на ликвидацию последствий инцидента может потребоваться больше средств, чем есть в обороте компании.

Так что если резюмировать, то кибератаки действительно опасны, причем для всех – как для компаний, так и для их клиентов.

– Как вы оцениваете современный уровень защиты от киберугроз?
– В последние годы многие компании стали более зрелыми в вопросах информационной безопасности: развивают собственные службы информационной безопасности, создают системы защиты информации. Можно сказать, что современный бизнес неотделим от информационных технологий – ИКТ для современного бизнеса такой же необходимый ресурс, как электричество.

Однако особенность информационной среды в ее открытости – как для честных пользователей, так и для злоумышленников. Все достижения, новые решения и разработки могут быть использованы и во благо, и для незаконных целей.

Злоумышленники постоянно совершенствуют технологии атак на информационную инфраструктуру, а мы ежедневно сталкиваемся с новыми инцидентами ИБ.

– Все больше компаний осознают, что им необходим комплексный подход к реагированию и расследованию инцидентов ИБ. Какие для этого есть возможности?
– Специалисты сферы информационной безопасности уже давно говорят о необходимости такого подхода, хорошо, что сейчас это понимание появилось у владельцев бизнес-структур.

Системы информационной безопасности – это не аптечка "на всякий случай", а постоянно работающий "иммунитет" от информационных угроз. Чем он надежнее, тем он незаметнее – бизнес идет, сайт работает, утечки данных нет.

Осознавая высокую потребность корпоративных клиентов компании в создании систем информационной безопасности, "Ростелеком" создал специальное подразделение для разработки и внедрения продуктов и комплексных решений в области защиты информации – SOC (Security Operation Center).

– SOC – это набор готовых решений или постоянный поиск новых?
– Конечно, SOC – это динамичная система. Мы постоянно ищем способы повышения эффективности нашей системы информационной безопасности. Крупный SOC немыслим без мониторинга 24х7 и, как это часто бывает в эпоху повсеместной автоматизации, персонал становится "самым слабым звеном", поэтому мы стараемся поддерживать необходимый уровень мотивации у сотрудников дежурной смены, изучая все аспекты, влияющие на скорость и качество анализа и отработки событий ИБ.

SOC является частью Центра кибербезопасности и защиты и решает задачи по мониторингу, анализу и реагированию на инциденты как в собственной технической инфраструктуре "Ростелекома", так и при оказании услуг ИБ клиентам компании. Мы уделяем особое внимание формированию внутренних процессов – выстраиваем их таким образом, чтобы работа всех подразделений была максимально простой, понятной и эффективной. Например, любая внутренняя информационная система или сетевой сегмент сначала проходит все стадии реализации проекта и только на завершающем этапе подключается к инфраструктуре SOC. Для того чтобы продукт получился надежным, необходимо, чтобы подразделения Cybersecurity Research and Development изначально учитывали требования SOC.

В то же время именно человеческий фактор позволяет развивать одно из наиболее интересных направлений внутри SOC – IRT (Incident Response Team). Поскольку коллегам приходится сталкиваться с огромной вариативностью инцидентов как в собственной, так и в клиентской инфраструктуре, это позволяет им непрерывно повышать уровень экспертизы ИБ.

Очень перспективным направлением, которое мы активно развиваем, является Threat Hunting – процесс проактивного поиска и обнаружения угроз, которые не удается обнаружить традиционными защитными мерами. С недавних пор мы смогли собрать так называемую RedTeam-команду, которая находится за рамками SOC, но позволяет оптимизировать процессы выявления и реагирования на инциденты.

Непрерывное совершенствование SOC при сохранении текущей операционной эффективности само по себя является интересной задачей, которую мы решаем каждый день.

– С какими основными видами инцидентов приходится иметь дело?
– Основные угрозы, с которыми мы сталкиваемся в этом году, – это программы-вымогатели (Ransomeware), атаки на Web-приложения, фишинговые рассылки и DDoS-атаки.

По каждому из типов угроз мы фиксируем использование все более изощренных техник со стороны злоумышленников, а также можем констатировать рост ущерба предприятий от вирусных атак. Ярким примером являются вирусы WannaCry и Petya/Petrwrap/NotPetya/exPetr, которые использовали для атаки уязвимости в программном обеспечении пользователей.

– Что лучше для бизнеса: создавать свой SOC или пользоваться аутсорс-услугами SOC?
– Все зависит от финансовых возможностей компании. Строить собственный SOC невыгодно малым и средним организациям, поскольку это длительный, сложный и дорогостоящий проект, стоимость которого может превышать потенциальный ущерб даже в случае реализации рисков ИБ.

Но и крупным компаниям, которые могут себе позволить создание собственного SOC, необходимо ответить на несколько вопросов, которые позволят оценить целесообразность ведения такого проекта:

  1. Есть ли у нас время?
  2. Есть ли у нас необходимые ресурсы (финансы/люди)?
  3. Сможет ли собственный SOC поддерживать экспертизу на уровне лучших SOC в стране?

В тех организациях, где функция ИБ уже существует, необходимо оценить уровень зрелости процессов, инструментов и персонала, а также составить дорожную карту для достижения целевого уровня защиты. Надо проанализировать разрыв между существующим положением и желаемым результатом: если задачи ИБ необходимо решать уже сегодня, а на запуск собственного SOC потребуется больше года, то можно воспользоваться услугами коммерческого SOC.

Если важно получать результат от работы SOC уже сейчас, а информационная безопасность не является профильной деятельностью компании и бюджет на построение собственного SOC будет сформирован за счет денег, которые можно было бы пустить в развитие бизнеса, то выбор внешнего SOC будет оптимальным решением.

Для компании-клиента может быть выгодным не развивать всю экспертизу внутри организации, так как мониторинг 24х7 и анализ инцидентов требуют существенных затрат. Эти услуги можно получать на аутсорсе, оставив у себя наиболее критичные операции, например реагирование на инциденты. Важно также всегда иметь в виду, что вероятнее всего сотрудники вашего SOC будут противостоять реальным атакам достаточно редко, в отличие от сотрудников коммерческого SOC, что позволяет использовать экспертизу, полученную в работе с одним заказчиком, для другого.

– Многие предприятия сейчас используют элементы индустриального Интернета iot для повышения эффективности своей работы. Что можно предпринять для повышения уровня безопасности промышленных предприятий, не тормозя при этом их прогресс?
– Как и любые новые технологии, IoT дает новые возможности, но и привносит определенные риски.

Перед использованием новых технологических решений необходимо их испытать в лабораторных условиях, без риска для текущего производства. Нужно проводить испытания с использованием оборудования технологического процесса для тестирования совместимости решений, анализа процесса обновления и проверки защищенности системы. Нередко бывает, что производители решений для I/IoT в погоне за быстрой выгодой и спешным выводом продукта на рынок не уделяют должного внимания вопросам безопасности, при этом наращивают функционал системы. В итоге создается угроза всему бизнесу. Избежать подобной ситуации можно, если на этапе выбора решения плотно работать с производителями и формировать требования к разрабатываемому решению, чтобы добиться состояния Secure-by-Design.

После запуска решения необходимо непрерывно отслеживать инциденты на промышленном оборудовании и системах управления IoT.

– Если попытаться разобраться в причинах ddoS-атак, кому это выгодно?
– Как и у любых преступлений, у сетевых атак два основных мотива: деньги и ненависть. Определить мотив можно, проанализировав цель и время атаки. Нападения с финансовой мотивацией направлены на получение выгоды, например при ограничении доступности торговой площадки в момент проведения торгов. Идейные атаки могут быть направлены, например, на государственные ресурсы – это форма социального протеста.

– Согласно исследованию A10 networks, "ddoS of things" (dot)2 в этом году приобрел устрашающие масштабы – в каждой атаке задействуются сотни тысяч подключенных к Интернету устройств. Как вы справляетесь с данными атаками?
– Да, можно сказать, что сфера информационных угроз сейчас на пике. Помимо атак с использованием IoT-устройств, ботнетов, появляются и другие атаки, например с использованием уязвимых протоколов и работающие по протоколу UDP.

Стоит отметить, что ботнеты используются только для организации DDoS-атак. Например, сейчас появилась новая криптовалюта IOTA, которую можно заработать с использованием вычислительных возможностей захваченных устройств.

"Ростелеком" использует комплекс защиты от DDoS-атак операторского класса, а также набор методов, которые позволяют исключать нежелательный трафик в сторону наших клиентов. Мы постоянно совершенствуем средства и методы защиты, для повышения надежности защиты наших клиентов от новых киберугроз.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2017

Приобрести этот номер или подписаться

Статьи про теме