Сегодня мы хотим поговорить об информационной безопасности, а именно об аспектах защиты периметра в меняющихся условиях ведения бизнеса. Учитывая растущую популярность облаков, а также озер данных, у руководства возникает желание сделать все возможное для защиты периметра. Тем временем, IT-специалистам приходится формулировать обоснование для запуска проектов в сфере ИБ, убеждая бизнес в необходимости следить за безопасностью постоянно.
«Защитите наши данные!» — очень часто слышат сотрудники ИТ-службы от руководства современных компаний. Но при этом далеко не всегда внутри компании существует понимание, что обеспечение безопасности – это не продукт, а процесс, причем комплексный. Постоянно развивающиеся интернет-угрозы могут создать различные проблемы для бизнеса, но степень и актуальность защиты будут индивидуальными для каждого бизнеса, причем они могут меняться со временем.
Эволюция систем безопасности происходит одновременно с развитием ИТ-угроз. Зачастую, чтобы защитить все «по высшему разряду», необходимо потратить много денег и привлечь массу людей. Тем временем, выбрать подходящий уровень защиты для каждого актива можно только зная реальную ценность бизнеса. Злоумышленники могут преследовать разные цели – просто вывести из строя сайт по заказу конкурента, украсть информацию, сделать недоступными сервисы, вывести деньги со счетов или заблокировать работу компании, вымогая выкуп за это. А какие события действительно страшны и стоят реальной защиты, должен решать руководитель.
Например, при стоимости бизнеса в 100 000 рублей, можно вообще везде использовать только бесплатные или OpenSource системы защиты. Для многомиллиардного бизнеса, напротив, не жалко и пары миллионов на один только Firewall – ведь проникновение в сеть может стоить гораздо больше. Таким образом можно решить, нужен ли компании, например, функционал защиты от вторжений (IPS): если стоимость его внедрения будет выше того урона, который принесет проникновение в сеть злоумышленника, то подобная система совершенно ни к чему.
Нужен ли вам DDoS, точно также зависит от того, какую роль в работе компании играет сайт. И далее, уровень системы защиты от распределенных атак тоже зависит от того, сколько денег приносит сайт – ведущие порталы и интернет-магазины могут заплатить десятки тысяч за защиту от DDoS, а небольшому сайту, который помогает получать заказы, будет достаточно решения за $100.
Более того, у каждой атаки есть своя конкретная цель, поэтому при построении защиты, важно понимать, в сфере чьих интересов находится наш бизнес? Только ответив на вопрос, от кого мы защищаемся, и какие усилия готовы приложить, можно очертить спектр действий, которые нужно для этого предпринять.
Но даже если в компании имеется четкое понимание, как и от кого нужно защищать данные, нельзя забывать о том, что информационная безопасность давно уже перестала быть продуктом. Когда-то в прошлом считалось, что достаточно установить на компьютерах антивирус, и все будет хорошо. Со временем к нему также добавился Firewall, позволяющий закрыть лишние порты. И с тех пор многие привыкли считать обеспечение безопасности некоторым набором решений. Но сегодня это не так.
С дополнением, модернизацией или даже просто обновлением каждой системы происходит квантовый скачок уровня защищенности. Например, на шлюзах начинают устанавливаться системы Application Control или начинает шифроваться траффик, передаваемый между серверами. То есть компании выстраивают защиту по мере того, как перед ними появляются новые угрозы. У этого процесса есть определенные триггеры, которые вызывают дальнейшие движения:
1) Новые законодательные требования
Первым делом все боятся штрафов и санкций регуляторов. Поэтому бизнес очень активно реагирует на законодательные инициативы. Например, закон «О персональных данных» заставил большинство структур, работающих на рынке внедрить новые системы безопасности. Отраслевые стандарты, такие как PCI DSS в банковской сфере, тоже постоянно требуют приведения в соответствие систем защиты информации и каналов связи.
2) Изменение инфраструктуры
Хорошо, когда в случае изменения инфраструктуры служба ИТ или выделенная служба ИБ проводят заново оценку рисков, чтобы выяснить, чем отличается защита новой инфраструктуры от старой. Так, например, при внедрении облачных технологий или установке серверов на новой площадке, необходимо также обеспечить защиту канала передачи данных.
3) Новые сервисы
Особенно, публичные, доступные каждому, новые сервисы подвержены новым атакам. При выводе на рынок мобильных приложений, порталов самообслуживания и других полезных для бизнеса вещей, нужно провести анализ возможных опасностей. При этом внедрение дополнительных систем защиты обычно повышает безопасность всей виртуальной среды.
4) Новые уязвимости
Может быть не столь масштабная, как появление новых сервисов причина, но все же способная внести свой вклад в систему безопасности – это установка защиты от уязвимостей во всем спектре ПО, которым пользуются ваши сотрудники. Если в процессе эксплуатации выясняется, что тот или иной софт может пропустить в сеть «незваных гостей», служба безопасности просто должна как минимум создать новые правила, а значит – адаптировать использующиеся средства защиты к новым условиям работы.
5) Маркетинг
Еще один, причем весьма популярный двигатель прогресса в сфере информационной безопасности – это маркетинг. Взять тот же Firewall, который эволюционировал в UTM, а позже – в NGFW (Next Generation Firewall). Обновление слоганов и технологий нередко вызывает интерес у ответственных лиц, и обновление Firewall до NGFW или внедрение новой системы IDS, становится данью моде, хотя и повышает уровень защищенности периметра в целом.
6) Жареный петух
Увы, самая распространенная причина для усиления защиты периметра безопасности – это удар клюва жареного петуха. Когда сайт уже взломали, базу данных уже украли, начинаются попытки защититься от дальнейших атак подобного характера. При этом негативным фактором остается постоянное отставание от злоумышленников минимум на один шаг. Ведь внедрив нужное оборудование или ПО, а возможно подписавшись на какой-то сервис ИБ, представители компании забывают о том, что нужно продолжить заботиться о безопасности своих сетей. Да, если вы защитились от DDoS после того, как сайт неделю был недоступен, следующая DDoS уже вряд ли будет представлять для вас такую же опасность. Но другие новые атаки, скорее всего, снова застанут вас врасплох.
Перейти от «жареного петуха» к более цивилизованным методам построения системы защиты можно, если выбрать процессный подход к обеспечению безопасности. То есть нужно постоянно следить за тем, как меняется ландшафт угроз и профиль рисков для вашего бизнеса. Каждое нововведение – будь то добавленная стойка серверов, запущенное мобильное приложение или активизация конкурентов – должно приводить к переоценке ситуации со стороны ИБ и, возможно, внедрению новых эшелонов защиты, а может быть – просто к смене профилей работы устройств, которая может сэкономить компании значительные средства.
Кто-то идет путем передачи всего этого безобразия на откуп внешнему подрядчику (именно поэтому в последнее время аналитики предсказывают рост рынка ISaaS (Information Security as a Serice). Другие, кто не хочет ждать очередного провала, приступают к планированию и организации процессов ИБ самостоятельно. Для этого необходимо оценить возможные риски и научиться управлять ими. Однако это тема отдельного материала, и мы вернемся к ней в ближайшем будущем.
«Защитите наши данные!» — очень часто слышат сотрудники ИТ-службы от руководства современных компаний. Но при этом далеко не всегда внутри компании существует понимание, что обеспечение безопасности – это не продукт, а процесс, причем комплексный. Постоянно развивающиеся интернет-угрозы могут создать различные проблемы для бизнеса, но степень и актуальность защиты будут индивидуальными для каждого бизнеса, причем они могут меняться со временем.
Эволюция систем безопасности происходит одновременно с развитием ИТ-угроз. Зачастую, чтобы защитить все «по высшему разряду», необходимо потратить много денег и привлечь массу людей. Тем временем, выбрать подходящий уровень защиты для каждого актива можно только зная реальную ценность бизнеса. Злоумышленники могут преследовать разные цели – просто вывести из строя сайт по заказу конкурента, украсть информацию, сделать недоступными сервисы, вывести деньги со счетов или заблокировать работу компании, вымогая выкуп за это. А какие события действительно страшны и стоят реальной защиты, должен решать руководитель.
Например, при стоимости бизнеса в 100 000 рублей, можно вообще везде использовать только бесплатные или OpenSource системы защиты. Для многомиллиардного бизнеса, напротив, не жалко и пары миллионов на один только Firewall – ведь проникновение в сеть может стоить гораздо больше. Таким образом можно решить, нужен ли компании, например, функционал защиты от вторжений (IPS): если стоимость его внедрения будет выше того урона, который принесет проникновение в сеть злоумышленника, то подобная система совершенно ни к чему.
Нужен ли вам DDoS, точно также зависит от того, какую роль в работе компании играет сайт. И далее, уровень системы защиты от распределенных атак тоже зависит от того, сколько денег приносит сайт – ведущие порталы и интернет-магазины могут заплатить десятки тысяч за защиту от DDoS, а небольшому сайту, который помогает получать заказы, будет достаточно решения за $100.
Более того, у каждой атаки есть своя конкретная цель, поэтому при построении защиты, важно понимать, в сфере чьих интересов находится наш бизнес? Только ответив на вопрос, от кого мы защищаемся, и какие усилия готовы приложить, можно очертить спектр действий, которые нужно для этого предпринять.
Не продукт – процесс
Но даже если в компании имеется четкое понимание, как и от кого нужно защищать данные, нельзя забывать о том, что информационная безопасность давно уже перестала быть продуктом. Когда-то в прошлом считалось, что достаточно установить на компьютерах антивирус, и все будет хорошо. Со временем к нему также добавился Firewall, позволяющий закрыть лишние порты. И с тех пор многие привыкли считать обеспечение безопасности некоторым набором решений. Но сегодня это не так.
С дополнением, модернизацией или даже просто обновлением каждой системы происходит квантовый скачок уровня защищенности. Например, на шлюзах начинают устанавливаться системы Application Control или начинает шифроваться траффик, передаваемый между серверами. То есть компании выстраивают защиту по мере того, как перед ними появляются новые угрозы. У этого процесса есть определенные триггеры, которые вызывают дальнейшие движения:
1) Новые законодательные требования
Первым делом все боятся штрафов и санкций регуляторов. Поэтому бизнес очень активно реагирует на законодательные инициативы. Например, закон «О персональных данных» заставил большинство структур, работающих на рынке внедрить новые системы безопасности. Отраслевые стандарты, такие как PCI DSS в банковской сфере, тоже постоянно требуют приведения в соответствие систем защиты информации и каналов связи.
2) Изменение инфраструктуры
Хорошо, когда в случае изменения инфраструктуры служба ИТ или выделенная служба ИБ проводят заново оценку рисков, чтобы выяснить, чем отличается защита новой инфраструктуры от старой. Так, например, при внедрении облачных технологий или установке серверов на новой площадке, необходимо также обеспечить защиту канала передачи данных.
3) Новые сервисы
Особенно, публичные, доступные каждому, новые сервисы подвержены новым атакам. При выводе на рынок мобильных приложений, порталов самообслуживания и других полезных для бизнеса вещей, нужно провести анализ возможных опасностей. При этом внедрение дополнительных систем защиты обычно повышает безопасность всей виртуальной среды.
4) Новые уязвимости
Может быть не столь масштабная, как появление новых сервисов причина, но все же способная внести свой вклад в систему безопасности – это установка защиты от уязвимостей во всем спектре ПО, которым пользуются ваши сотрудники. Если в процессе эксплуатации выясняется, что тот или иной софт может пропустить в сеть «незваных гостей», служба безопасности просто должна как минимум создать новые правила, а значит – адаптировать использующиеся средства защиты к новым условиям работы.
5) Маркетинг
Еще один, причем весьма популярный двигатель прогресса в сфере информационной безопасности – это маркетинг. Взять тот же Firewall, который эволюционировал в UTM, а позже – в NGFW (Next Generation Firewall). Обновление слоганов и технологий нередко вызывает интерес у ответственных лиц, и обновление Firewall до NGFW или внедрение новой системы IDS, становится данью моде, хотя и повышает уровень защищенности периметра в целом.
6) Жареный петух
Увы, самая распространенная причина для усиления защиты периметра безопасности – это удар клюва жареного петуха. Когда сайт уже взломали, базу данных уже украли, начинаются попытки защититься от дальнейших атак подобного характера. При этом негативным фактором остается постоянное отставание от злоумышленников минимум на один шаг. Ведь внедрив нужное оборудование или ПО, а возможно подписавшись на какой-то сервис ИБ, представители компании забывают о том, что нужно продолжить заботиться о безопасности своих сетей. Да, если вы защитились от DDoS после того, как сайт неделю был недоступен, следующая DDoS уже вряд ли будет представлять для вас такую же опасность. Но другие новые атаки, скорее всего, снова застанут вас врасплох.
Процессный подход
Перейти от «жареного петуха» к более цивилизованным методам построения системы защиты можно, если выбрать процессный подход к обеспечению безопасности. То есть нужно постоянно следить за тем, как меняется ландшафт угроз и профиль рисков для вашего бизнеса. Каждое нововведение – будь то добавленная стойка серверов, запущенное мобильное приложение или активизация конкурентов – должно приводить к переоценке ситуации со стороны ИБ и, возможно, внедрению новых эшелонов защиты, а может быть – просто к смене профилей работы устройств, которая может сэкономить компании значительные средства.
Кто-то идет путем передачи всего этого безобразия на откуп внешнему подрядчику (именно поэтому в последнее время аналитики предсказывают рост рынка ISaaS (Information Security as a Serice). Другие, кто не хочет ждать очередного провала, приступают к планированию и организации процессов ИБ самостоятельно. Для этого необходимо оценить возможные риски и научиться управлять ими. Однако это тема отдельного материала, и мы вернемся к ней в ближайшем будущем.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Поделиться с друзьями
cssman
Может в голосовалке стоит добавить пункт «всё и сразу?»
RedSys
Почему бы и нет)