Глобальные тенденции рынка информационной безопасности

Андрей
Абашев

Старший менеджер компании ЭЯ

Иван
Жедрин

Старший менеджер компании ЭЯ

Владислав
Акулов

Менеджер компании ЭЯ

Так, несколько лет назад немногие всерьез воспринимали реальность киберугроз для производственных процессов, и мало кто задумывался о необходимости обеспечения безопасности АСУ ТП.

Основной тенденцией, на которую сложно не обратить внимания, является увеличение количества целевых, или целенаправленных, атак (APT – Advanced Persistent Threat).

В связи с этим наблюдается тенденция развития средств защиты от APT. Системы обнаружения и корреляции событий информационной безопасности включают в себя системы виртуализации, песочницы со встроенными системами антивирусной защиты и системы управления знаниями о киберугрозах и уязвимостях (Threat Intelligence).

Отмечаются изменения в подходах, используемых киберпреступниками для выполнения атак. Например, такие распространенные методы выполнения одного из начальных этапов кибератаки на организацию, как:

• рассылка сотрудникам организации писем с вредоносным вложением;
• распространение вредоносного ПО через интернет-ресурсы;
• физическое проникновение в офис;
• проникновение в корпоративную сеть организации через внешний периметр – дополняются новым изощренным методом в виде внедрения в цепочку поставщиков.

Заражение вредоносным ПО происходит вне контролируемой зоны организации до того момента, как поставщик предоставил свои услуги или установил оборудование в корпоративной сети организации. В ходе атаки может иметь место заражение корпоративной сети как при подключении рабочих станций консультантов, так и при подключении нового сетевого оборудования, рабочих станций и серверного оборудования с предустановленным зараженным/модифицированным программным обеспечением. Отмечается повышенное внимание злоумышленников к корпоративным сетям и внешним сайтам производителей и дистрибьюторов оборудования, откуда организации скачивают и устанавливают обновления.

Также меняется подход злоумышленников к выбору своих целей. Если говорить о финансовом секторе, основной целью злоумышленников по-прежнему остаются счета клиентов. Тем не менее, отмечается смещение фокуса в сторону юридических лиц, а также увеличение атак на саму инфраструктуру банков, когда основной целью атаки является опустошение расчетного счета.

Можно ли полностью защититься от целевых атак?

Однозначного ответа нет. С высокой степенью уверенности можно заявить, что существуют инструменты, благодаря которым можно снизить ущерб от атаки, а применение передовых практик позволит затруднить ее реализацию.

Среди таких инструментов можно отметить системы класса SIEM. Их глубокая интеграция в операционную деятельность службы информационной безопасности позволит организовать центр операционной защиты, или Security Operations Center (SOC). Также в числе таких инструментов Threat Intelligence и корпоративная Cyber Security-лаборатория: их использование позволяет вывести SOC на качественно новый уровень.

Одной из передовых практик, направленных на усложнение реализации атак, является выстраивание системы разграничения критичных полномочий в бизнес-системах – Segregation of Duties (SoD).

Избыточный доступ к информационным ресурсам представляет собой реальную угрозу для бизнеса, поэтому в основе требований к разграничению полномочий лежит принцип предоставления минимально достаточного уровня прав.

Разграничение полномочий – это способ контроля, исключающий возможность выполнения одним работником последовательности из двух и более критичных операций, злоупотребление которыми может негативно повлиять на финансовую отчетность, сохранность активов и текущую деятельность компании.

Разделяй и контролируй

Возросший в последние годы интерес к теме контроля доступа и разделения полномочий вызван различными факторами. Среди них – требования международных регуляторов и соответствие стандартам, а также замечания внутренних и внешних аудиторов. Основным фактором является простота реализации финансового ущерба в случае успешной атаки кибер-преступников или внутренних злоумышленников с избыточными правами в бизнес-системах компании.

Относительно новым направлением в части управления рисками разделения полномочий в бизнес-системах компании является автоматизация этого процесса. Один из инструментов автоматизации – внедрение решений класса Governance, Risk and Compliance (GRC) и соответствующих компонентов GRC-систем. Широкое распространение на мировом рынке получили инструменты с использованием облачных технологий и самостоятельного (Stand Alone) приложения для анализа текущего состояния разграничения полномочий на основании среза данных о правах пользователей в информационных системах предприятия.

Сложность автоматизации процесса управления и разграничения критичных полномочий заключается в разнообразии информационных систем и уникальности бизнес-процессов для компаний даже одной отрасли.

Реализация типовых проектов по разделению полномочий предполагает использование правильной методологии, адаптированной с учетом индустриальной специфики, ролевой структуры компании, ключевых бизнес-процессов и ИТ-ландшафта.

В рамках проектов по разделению полномочий в информационных системах обычно выделяют следующие основные работы:

• разработка новых или доработка существующих регламентирующих и методологических документов по разделению полномочий;
• анализ бизнес-процессов и разработка матриц конфликтов (набора правил разделения полномочий);
• проверка ролей в информационной системе на наличие конфликтов полномочий;
• анализ дополнительных (нестандартных) разработок в ролях и полномочиях;
• проверка ролей, присвоенных конечным пользователям, на наличие конфликтов;
• предложение решений по выявленным конфликтам и разработка компенсирующих контрольных процедур;
• поддержка пользователей в части согласования заявок на доступ и присвоения компенсирующих контрольных процедур.

Выстраивание системы разграничения полномочий и урегулирование конфликтов может оказаться чрезвычайно сложной задачей в случае отсутствия надлежащего руководства и выработанного подхода. Для соблюдения требований разграничения полномочий прежде всего необходимо сфокусироваться на определении полномочий и операций в информационных системах, которые наиболее критичны для бизнеса. Это позволит определить возможные риски и минимально достаточный уровень доступа к выполнению данных операций.

В заключение хотелось бы упомянуть о необходимом уровне поддержки со стороны руководства компании и усилий для убеждения работников в необходимости внедрения SoD. Только при тесном взаимодействии бизнеса и ИТ, а также привлечении служб внутреннего аудита, контроля и информационной безопасности можно рассчитывать на хорошие результаты при реализации программы разграничения полномочий.