«Вся безопасность под одним "зонтиком" — мечта любого вендора. Но есть нюансы»

«Вся безопасность под одним "зонтиком" — мечта любого вендора. Но есть нюансы»

Основная трансформация ИБ на предприятиях связана с изменением ИТ-ландшафта, которое происходит в рамках импортозамещения. Поэтому, на мой взгляд, приоритетом всех отечественных компаний в течение ближайших лет будет адаптация к этому новую ИТ-ландшафту, то есть поиск адекватных ИБ- и ИТ-инструментов для обеспечения безопасности и функционирования предприятий и наработка приёмов работы с ними.

Может ли стать таким искомым инструментом система, способная объединить разные аспекты безопасности бизнеса под единым «зонтиком» одной системы или платформы? 

Действительно, интернет как среда обитания достаточно агрессивна: социальная инженерия, кража брендов и их копирование, продажа продукции, похожей на бренды, в нелегальных местах и т. п. — все эти проблемы присутствуют и относятся к области деятельности юристов и экономической безопасности. Объединение большого количества решений в рамках одной платформы и создание набора решений, который закроет 100% проблем заказчиков, — это, наверное, мечта любого вендора. Но есть нюансы. 

Во-первых, на мой взгляд, такой подход находится вне зоны интереса компаний-потребителей, потому что использование продуктов только одного вендора обусловливает своего рода зависимость, и в любой форс-мажорной ситуации заказчик может оказаться в ситуации утраты безопасности значительной степени. Ставка на моновендора с точки зрения ИБ неразумна. Гораздо правильнее использовать разные стеки решений, в том числе потому, что это осложняет процессы проникновения для злоумышленников и делает компанию более стабильной с точки зрения независимости от одного производителя. 

Во-вторых, необходимость анализа даркнета можно существенно снизить, если использовать в целях защиты знания о том, каким образом корпоративные данные попадают на тёмную сторону интернета. 

Так, типовой проблемой, с которой сталкиваются крупные компании, является употребление пользователями одинаковых паролей на разных ресурсах, утечки которых (связка логин/пароль) случаются у публичных сервисов, а базы данных с ними размещаются в даркнете. Поэтому первое, что делают злоумышленники, — покупают такие базы данных и пытаются использовать подобные скомпрометированные пароли, применяя их к корпоративным учётным записям. С точки зрения киберразведки, их использование может приводить к тому, что киберпреступники получат доступ к корпоративным ресурсам. Конечно, при условии, что такие учётные данные одинаковы или похожи.

Также можно воспользоваться подбором по шаблону: если видно, какой шаблон для паролей пользователь применяет повсеместно, не составит труда подобрать сходный пароль к корпоративным ресурсам. Взлом учётных записей — это одна из основных угроз.

Ещё одна угроза — поиск злоумышленниками конфиденциальной информации в результате утечки баз данных из ERP и CRM-систем или файловых хранилищ. Для служб информационной безопасности такие утечки — это оборотная сторона, то есть возможность своевременно предпринять нужные меры. Если есть сведения, что пароль их сотрудника утёк из публичного сервиса, это позволит проинформировать персонал о необходимости его смены. 

В любом случае анализ происходящих событий связан с обработкой потоков разнородных исходных данных. Для них уже есть специальное понятие — фид, производное от datafeed, обозначает поток информации, например, об уязвимостях или фишинговых сайтах. То есть фид представляет собой относительно структурированную информацию о каких-то проблемных артефактах. 

В интернете существуют наборы платных и бесплатных сервисов, предоставляющих фиды, готовые для использования. При этом важно понимать, что при сборе данных о вредоносных сайтах полезно опираться на несколько независимых источников для того, чтобы не стать заложником качества одного источника. Я бы рекомендовал комбинировать сервисы. Если компания дозрела до того уровня, что сама анализирует фиды и принимает решения на основе анализа этих данных, то, возможно, есть смысл оперировать несколькими независимыми источниками. Это позволит получать более объективную оценку. 

Однако для того, чтобы собирать фиды из даркнета, нужно обладать большим экспертным опытом, иметь специально раскрученные учётные записи, которые используются для доступа к определённым ресурсам в даркнете. Если у компании есть бюджет на подобные цели, то использование сервисов по покупке фидов — это более оптимальный вариант. 

В ситуации покупки фидов важно использовать такие ИТ-решения, в которые вы сможете интегрировать информацию, полученную из фидов. Иными словами, автоматизированная система, которая понимает в результате анализа, что пользователь пытается перейти на сайт, находящийся в списке вредоносных, и сама блокирует такие попытки, будет эффективнее, чем человек-аналитик, которому приходится принимать решения вручную. Конечно, при этом нужно правильно конфигурировать ИТ-системы с тем, чтобы они самостоятельно принимали технические решения на основе данных и действий пользователей, информируя об этом ответственные службы. Человек, в свою очередь, на основе этой информации сможет актуализировать фиды, либо работать с их качеством, либо работать с качеством принятия решений. Это тот способ, с помощью которого можно решать вопрос угроз.