Комплексная безопасность
Как защитить бизнес от киберугроз
По данным «Лаборатории Касперского», Россия уверенно входит в число стран-лидеров по количеству и приросту киберугроз. Все больше проблем создает «интернет вещей», преступность в мировой сети становится по-настоящему организованной, инструменты для взлома и атак дешевеют. Обеспечивать защиту компаниям своими силами все сложнее, наконец, сказывается кадровый голод — по прогнозу международного консорциума (ISC)2 в 2022 году глобальному рынку не будет хватать 1,8 млн специалистов в области информационной безопасности (ИБ). На помощь бизнесу приходят провайдеры облачных услуг, которые помимо всего прочего начинают предлагать комплексные решения для ИБ по модели MSSP (Провайдер управляемых сервисов информационной безопасности).
Угрозы информационной безопасности делятся на две группы — внутренние и внешние. К первой относятся действия инсайдеров — людей, работающих в компании и намеренно похищающих или уничтожающих информацию, а также неаккуратные действия сотрудников, которые могут по ошибке или незнанию создать проблемы, например, вставить зараженную флешку в USB-порт корпоративного компьютера. Также к внутренним угрозам относятся ситуации, когда злоумышленник уже проник в офис или корпоративную сеть изнутри. В этом случае последствия могут оказаться наиболее серьезными. Чтобы этого не случилось, специалисты подразделения ИБ строят защиту периметра — всячески ограждают компанию от вмешательств извне, отслеживают все попытки проникновения, мониторят действия пользователей и ведут учёт всех обращений к массивам данных и корпоративным системам. То есть делают все, чтобы устранить внешние угрозы. Но делать это эффективно только силами сотрудников компании в реальности практически невозможно.
В современном мире в связи с распространением цифровых технологий и все большим проникновением их в бизнес и в жизнь людей, угрозы информационной безопасности нарастают. Организовать атаки стало очень просто и дешево. В криминальной части глобальной сети, так называемом DarkNet, за несколько долларов можно заказать DDoS-атаку на конкурента, суть которой в том, чтобы обрушить на интернет-ресурс множество запросов, которые выглядят, как обычные, но отправляются с зараженных компьютеров и «умных» устройств. В дело теперь идут видео-камеры, маршрутизаторы, на которых не сменили стандартный пароль, крайне уязвимые бытовые приборы с модулем Wi-Fi, и прочие девайсы из «интернета вещей», которые взламываются автоматическими программами, превращаются в зомби, объединяются в ботнеты и используются для DDoS-атак. Цель такого нападения — сделать сайт недоступным для пользователей. В некоторых случаях, в зависимости от типа бизнеса, потери от этих действий могут насчитывать миллионы рублей в час. Особенно это актуально для ритейлеров в сезон распродаж, банков и платежных сервисов. Организовать такие проблемы может даже пользователь с небольшим опытом — в интернете можно приобрести или арендовать весь набор инструментов для проведения DDoS-атаки с подробными инструкциями и даже техподдержкой.
Но если работают профессионалы, то обычно они ведут комплексные комбинированные нападения. К примеру, отвлекают внимание с помощью DDoS-атаки, и в это время пытаются взломать web-приложение и проникнуть внутрь периметра, где варианты возможных действий ограничиваются только фантазией и целями нападающих.
При этом методы и подходы злоумышленников постоянно совершенствуются. Сегодня уже не достаточно просто купить и установить набор решений для защиты (антивирус, межсетевой экран, шифрование каналов связи и т. д.). Обеспечение информационной безопасности в современном мире — это постоянный процесс, причем весьма затратный. Содержать (и удерживать) в штате специалистов, оплачивать их постоянное обучение могут лишь крупные компании. Кроме того, те организации, которые заботятся о повышении эффективности своей работы, стараются отказаться от непрофильной деятельности и передать ее профессионалам. Это касается и цифровой инфраструктуры, и корпоративных сетей, и информационной безопасности. Все эти функции полностью или частично можно получать как сервис от «профессионала», что снижает общие затраты на ИТ, повышает эффективность работы и уровень безопасности, а также позволяет разделить риски с поставщиком сервисов. Если следовать такому подходу, внутри компании имеет смысл оставить всего лишь нескольких специалистов, которые с помощью инструментов, поставляемых внешним провайдером услуг, смогут поддерживать надлежащий уровень безопасности и функционирования информационных систем, отвечать за формирование и постановку задач, осуществлять внутренний контроль за провайдером и т. п.
К примеру, некоторые поставщики ИБ-сервисов берут на себя функцию защиты от DDoS-атак, если выбрана соответствующая опция при заказе облачных услуг. Лучше всего с этой проблемой справляются интернет-провайдеры, у которых есть географически распределенная и достаточно масштабная сетевая инфраструктура, чтобы справиться даже с «высокообъемной» атакой. Также, важный фактор — наличие группы специалистов, постоянно наблюдающих за событиями и инцидентами ИБ. К примеру, в специальном департаменте Ростелекома (SOC — Security Operation Center) трудится порядка 50 профессионалов, круглосуточно занятых мониторингом и обеспечением информационной безопасности инфраструктур клиентов, расположенных как в облаке оператора так и вне его. Задача сотрудников департамента — выявлять и реагировать на инциденты ИБ, а также нейтрализовывать уязвимости, которые могут быть использованы при реализации атак, до того, как они стали реальными и навредили клиентам.
Единственный эффективный путь к обеспечению ИБ — получать весь стек инструментов защиты от профессионального профильного поставщика. К примеру, в этом году оператор «Ростелеком» запустил комплексный сервис MSSP. В него входит весь набор инструментов, которые могут понадобиться как бизнесу так и госструктурам: решение для противодействия DDoS-атакам; межсетевые экраны (Firewall) для предотвращения хакерских проникновений за периметр; VPN (Virtual Personal Network), предназначенный для создания безопасного подключения к корпоративной сети и защиты каналов связи; IPS (Intrusion Prevention System) для мониторинга сети в реальном времени и блокировки вредоносной активности; WAF (Web Application Firewall) для защиты web-приложений от взлома.
Использование сервисов MSSP дает клиентам массу преимуществ. По данным Ростелекома в компании, где работает 1000–5000 человек, фиксируется за год 90 млн. событий ИБ, из которых лишь около тысячи — реальные инциденты. SOC Ростелекома позволяет собрать все эти данные в единой системе, что облегчает задачу выявления, расследования и реагирования на инциденты. Благодаря тому, что информация о событиях ИБ накапливается в одном месте, аналитические алгоритмы могут обучаться на этих данных и выявлять признаки атак на самых ранних стадиях, а также нападения по сложным сценариям с использованием специальных методов.
Как правило в компаниях недостаточно специалистов для того, чтобы обеспечить тот уровень сервиса ИБ, который может предоставить профессиональный провайдер услуг. На рынке не хватает хороших специалистов, но даже если их удастся найти и нанять, это значительно повысит затраты на ИБ. Ведь им придется платить также за дополнительные часы и ночные смены, чтобы обеспечить процесс защиты круглые сутки. Также много сил и средств уходит на обновление существующих инструментов защиты и докупку новых, которые нужны для противодействия только что появившимся угрозам. Вместо того, чтобы раздувать отдел ИБ и создавать, фактически, специализированный бизнес внутри профильного, все больше компаний предпочитают обращаться к специалистам и отдавать заботу об информационной безопасности на аутсорсинг. Это позволяет обеспечить защиту в режиме 24/7/365 со стороны профессионалов, разделить риски с провайдером услуг, гарантировать возможность быстро запускать новые ИТ-сервисы и мгновенно обеспечивать их безопасность, а также снизить зависимость от своих штатных специалистов, поведение которых может оказаться непредсказуемым. В конечном итоге все это сводится к более высокому уровню обеспечения ИБ при меньших затратах всех ресурсов.
Конечно, MSSP-сервисы — не панацея. Важная часть деятельности по обеспечению информационной безопасности, которой должна заниматься каждая организация — это повышение осведомленности сотрудников в области ИБ. Впрочем, и в этом могут помочь сервисы внешних провайдеров…
