Построение системы информационной безопасности в банке "Санкт-Петербург"

Расскажите, почему вы решили внедрить MDM-систему в банке "Санкт-Петербург"?
- По статистике, у каждого человека в настоящее время при себе имеется в среднем два-три мобильных устройства. Причем некоторые не расстаются с ними даже ночью. Постепенно стираются грани различия между мобильными устройствами и компьютером. Современное мобильное устройство - это тот же компьютер с многоядерным процессором, большим объемом оперативной памяти, ОС и набором приложений, только в более компактном форм-факторе.

Совершенно естественно, что хочется задействовать эти мощности в "производственных" целях. Заменить обычный компьютер, размещенный на рабочем места сотрудника, мобильные устройства, конечно, не могут, но вот обеспечить ему удаленный доступ к ряду информационных систем при нахождении его вне рабочего места они вполне способны. Использование МДМ-системы элементарно позволяет повысить производительность труда за счет использования нерабочего времени сотрудника, во время его перемещения между площадками, нахождении в командировке. Система очень полезна для руководителей различного уровня, которые значительное количество времени проводят на совещаниях, при этом не теряя связь со своим подразделением и имея возможность принятия решений и доведения их до исполнителей.

- Какие банковские системы используются (или планируются к использованию) на мобильных устройствах сотрудников?
– В основном сотрудники используют мобильные устройства для доступа к корпоративной электронной почте и системе электронного офисного документооборота. Через МДМ-систему доступен также корпоративный портал, интерфейс самообслуживания системы управления учетными записями и правами доступа (IDM), но этими возможностями сотрудники пользуются значительно реже.

В настоящее время в ряде банковских технологий используются и корпоративные мобильные устройства. Управление ими осуществляется также с использованием MDM-системы.

– Используете ли вы BYOD (Bring Your Own Device) для работы сотрудников? Почему?
– Система MDM выбиралась и внедрялась именно для реализации технологии BYOD. Соответственно, необходимо было отделить область взаимодействия пользователя с корпоративными системами от области использования устройства в личных целях. Это реализовано в системе путем использования криптоконтейнера. Минимум ограничений, действующих на устройства в целом. Технология пользуется большой популярностью среди работников, подключено уже свыше 300 человек.

– Какие вопросы пришлось решать при внедрении MDM, были ли сложности?
– Внедрение MDM-систем не бывает простым. Во всяком случае, я о таких внедрениях не слышал. Это связано с тем, что работа с мобильных устройств нужна прежде всего руководителям различного уровня, включая топ-менеджмент компании. Это предъявляет самые высокие требования как к работоспособности системы, так и к удобству ее использования. Следует также отметить большой спектр различных мобильных устройств, на которых система должна работать одинаково хорошо. В реальности приходится сталкиваться с такими вещами , как например: на iPhonе6 функция работает хорошо, а на iPhone 6s эта же функция работать отказывается. Определенные проблемы вызывает достаточно частая смена версий мобильных операционных систем, что зачастую может приводить к временной неработоспособности какого-то функционала MDM-системы. Могут возникнуть определенные сложности со встраиванием компонентов MDM-системы в существующую ИТ-инфраструктуру, особенно если вы решите внедрять не облачное решение, а разворачивать все компоненты системы внутри корпоративной сети. Поэтому настоятельно рекомендую перед закупкой и основным внедрением разворачивать в компании полноценный "пилот" MDM-системы, чтобы своевременно выявить возможные проблемы и особенности, которые могут помешать успешному внедрению. И еще на одну особенность хочу обратить внимание. Если у вас в компании в домене используется усиленная аутентификация, а не обычные пароли, стоит обратить особое внимание на то, сможет ли MDM-решение поддерживать выбранный вами способ аутентификации.

– Какие задачи решает MDM-система? Можно ли оценить экономический эффект? Насколько совпали ваши ожидания с результатом?
– Основная задача, которую решает MDM-система, – это повышение производительности труда работников за счет работы в выходные и праздничные дни, нерабочее время, при нахождении в командировках и разъездах между офисами Банка. Помимо этого использование MDM-системы позволяет безопасно встраивать мобильные устройства в технологические процессы организации. Например, в нашем Банке сотрудники, работающие удаленно, часть функций выполняют с использованием мобильных устройств. MDM-систему мы используем для управления как личными, так и корпоративными мобильными устройствами. Экономический эффект от внедрения MDM-системы довольно сложно посчитать, и мы такую задачу перед собой не ставили. Но исходя из личного опыта (а я являюсь одним из первых пользователей данной системы в Банке), возможность удаленного доступа к электронной почте и системе электронного офисного документооборота позволяет быть в рабочем процессе независимо от того, находишься ты на рабочем месте или нет. Есть возможность получить необходимую информацию практически в любом месте, где бы ты ни находился, и оперативно принять нужное решение. Рутинные операции типа просмотра почтовых сообщений и ответа на них можно осуществлять по дороге на работу или домой или находясь на не очень интересном совещании. И главное, система MDM позволяет это делать достаточно безопасно, защищая как от неумышленных необдуманных действий пользователя (например, пересылки информации третьим лицам), так и от злонамеренных действий по использованию информации.

В целом ожидания от внедрения MDM-системы полностью оправдались, хотя ее потенциал используется в Банке максимум на 50%. Это связано с тем, что далеко не все используемые в Банке системы имеют Web-публикации и возможность доступа через обычный интернет-браузер, а также с тем, что мобильные устройства еще слабо используются в реальных банковских процессах.

– Используете ли вы собственный SOC (Security Operation Center) или привлекаете сервис-провайдера (аутсорсинг)? Какие были основания для принятия такого решения?
– Около двух лет назад при реорганизации службы информационной безопасности перед нами остро встал вопрос: идти по пути создания и развития собственного SOC либо воспользоваться услугами внешнего? Взвесив все за и против, мы остановились на втором варианте и вот уже более года получаем сервис от одного из ведущих SOC в России. В целом даже небольшои опыт использования внешнего SOC убедил нас в правильности выбранного решения.

Использование внешнего SOC позволило:

• обеспечить круглосуточныи мониторинг инцидентов ИБ;
• задеи ствовать интересные наработки и хорошие компетенции поставщика услуги;
• и, главное, получить результат спустя несколько месяцев после заключения договора на услугу внешнего SOC, в отличие от тяжелого и длительного процесса "выбивания" дополнительных штатных единиц, подбора и обучения собственного персонала при формировании SOC внутри организации.

Прежде чем принять решение о построении собственного или внешнего SOC, необходимо четко определиться с тем, что вы хотите получить от SOC.

Действительно ли вы хотите иметь проактивную систему безопасности и выявлять угрозы возникновения инцидентов на самых ранних стадиях, или вас устроит эффективная система выявления уже свершившихся инцидентов и оперативного на них реагирования? А может, проще застраховать риски ИБ и не тратить время и средства на построение процессов управления инцидентами? Решение в основном зависит от уровня зрелости системы ИБ в организации и ее финансовых возможностей.

Предположим, вы решили, что хотите выстроить проактивную систему защиты, в том числе от неизвестных и новых угроз ИБ. В этом случае без построения полноценного SOC вам не обои тись.

– В чем же преимущества использования внешнего SOC?
– Помимо стандартных выгод аутсорсинга, заключающихся в том, что вам не нужно иметь собственных специалистов требуемой квалификации, это:

1. отсутствие необходимости покупать собственную SIEM-систему и систему регистрации инцидентов. Этим вас может обеспечить поставщик услуги;
2. возможность быстрого перехода на мониторинг событии в режиме 24 7 или ином режиме;
3. возможность использовать наработки поставщика услуги для других клиентов, которым он предоставляет услугу SOC;
4. возможность задеи ствовать аналитические материалы, имеющиеся у поставщика услуги SOC, например фиды, содержащие признаки выявления новых вредоносов, информацию об управляющих серверах бот-центров, о скомпрометированных пользовательских устрои ствах, различного рода пополняемых черных списках и т.п.;
5. в случае серьезного инцидента ИБ у вас всегда будет с кем разделить ответственность перед руководством.

– Как вы оцениваете эффективность SOC?
– Наиболее эффективным методом проверки является имитация проведения против вашеи организации внешнеи или внутреннеи атаки и отслеживание того, что, когда и как выявляет ваш внешнии SOC. Это целесообразно осуществлять в рамках так называемых тестов на проникновение. Если вы хотите проверить работу системы управления инцидентами целиком, в режиме, максимально приближенном к реальным условиям, целесообразно проводить тест на проникновение в режиме Red Team.

Данныи режим характеризуется тем, что:

• сроки проведения пентеста значительно больше, чем классического пентеста, и составляют от двух-трех месяцев до полугода;
• отсутствуют ограничения на деи ствия пентестера в части того, чтобы, не даи Бог, не нарушить работу клиентских сервисов или внутренних бизнес-процессов (включая DDoS-атаки, использование различного вредоносного ПО, эксплуатацию любых наи денных уязвимостей);
• все системы безопасности работают в "боевом" режиме (нет никаких исключении для пентестеров, как это бывает при классических пентестах), и службы ИБ и ИT реализуют все предусмотренные мероприятия по реагированию на инциденты ИБ;
• пентестер не ищет все возможные уязвимости в ИС организации, он деи ствует так, как деи ствует злоумышленник, то есть старается "обуть" организацию максимально простым и дешевым способом.

Нет смысла тестировать, хорошо ли у вас спрятаны деньги, если вы храните их под матрасом в квартире, где не установлена даже охранная сигнализация. Проведение пентеста в режиме Red Team целесообразно проводить организациям с высоким уровнем зрелости системы ИБ, выстроенным процессом управления инцидентами ИБ, высокои степенью осознания руководством важности вопросов ИБ.

Определенные индикаторы "работоспособности" внешнего SOC можно постоянно получать в текущеи деятельности. В рамках управления уязвимостями вы, вероятно, проводите внешнее и внутреннее сканирование хостов корпоративнои сети. Не стоит предупреждать об этом внешнии SOC и исключать IP-серверы, с которых вы проводите тестирование, из логов, которые вы отдаете в SOC. У вас практически наверняка будут процессы, которые генерируют "ложные срабатывания": разблокировка ранее заблокированных учетных записеи , управляющии доступ вовне и т.п. Не стоит торопиться записывать это в "исключения", о которых вас не надо информировать, если такие "ложные срабатывания" не носят массовыи характер.

Проблема оценки качества внешнеи услуги SOC еще и в том, что ее качество во многом зависит от качества поставляемых вами данных. В вашеи IT-инфраструктуре постоянно происходит большое количество изменении , часть из которых может непосредственно влиять на результаты работы SOC. Приведем несколько примеров:

• сервер "переехал" и SOC перестал получать необходимые логи (причем логи со старого сервера, вероятно, идут, но от них "ни жарко ни холодно");
• изменился формат получаемых логов (при этом программа сбора логов может этого и не заметить, просто логи будут разбираться неверно и вы не сможете по данному логу получить корректные результаты анализа);
• произошли изменения в сетевой инфраструктуре, и часть логов просто перестала доходить до внешнего SOC.

Важно, чтобы и в вашеи организации был грамотно построен процесс управления ИT-изменениями, и в компании, предоставляющеи вам услугу SOC, были реализованы механизмы отслеживания того, что все данные поступают и корректно разбираются.

– Насколько эффективно использование DLP (Data Liquid Protection) решения?
– Эффективность систем класса DLP зависит от многих факторов. Следует понимать, что DLP-системы защищают от утечек через конкретные каналы: электронную почту, Web-трафик, мессенджеры и т.д. А каналов утечки в реальном мире огромное количество, и с развитием техники и технологий их становится все больше и больше. Никакая DLP-система не защитит вас от того, что сотрудник сфотографирует экран компьютера, запишет информацию на листок бумаги, просто запомнит.

Защита от утечек данных – это комплексная задача, и система DLP является необходимым, но далеко не единственным компонентом для ее решения. При правильном внедрении и эксплуатации DLP-система в комплексе с другими средствами и методами защиты информации позволяет с высокой долей вероятности предотвратить или выявить факт утечки данных.

– Почему система DLP не помогла предотвратить утечку данных клиентов в 2015 году? Какую роль сыграла система в этом инциденте?
– Система DLP обеспечивает защиту от утечки по конкретным каналам утечки данных. Направлены такие системы на защиту от утечек через работников организации или сотрудников контрагентов, предоставляющих организации какие-то услуги. В инциденте 2015 г. не принимали участие указанные категории работников. Утечка произошла через канал, который не отслеживается системами класса DLP в принципе.

Еще раз оговорюсь, DLP-система – это не панацея, это всего лишь один из инструментов по противодействию утечкам данных.

– Перечислите наиболее существенные угрозы, которые помогает выявить SIEM-система в банковской сфере.
– SIEM-система предназначена для сбора и корреляции любых событий. Соответственно, она может эффективно выявлять практически любые угрозы, если грамотно выстроены процессы мониторинга событий безопасности. Например, у нас в банке на базе SIEM функционирует одна из систем фрод-анализа.

Классическое применение SIEM-системы – это сбор и корреляция событий с различных ИТ-систем, прикладных систем и систем обеспечения безопасности. При современных объемах логов с различных систем без применения средств их автоматизированного анализа обеспечить их эффективную обработку просто невозможно. Хорошей практикой является заведение логов с различных систем безопасности на SIEM-систему и работа с ними в одной консоли.

Наиболее часто системы используются для решения следующих задач:

• выявление несанкционированного доступа к защищаемой информации;
• контроль за действиями администраторов;
• выявление внешних и внутренних атак;
• контроль изменения критичных настроек и параметров систем.

Именно на базе SIEM-системы обычно реализуется SOC (Security Operation Center)