Универсальная дорожная карта. Десять шагов к результативной кибербезопасности

BIS Journal №3(50)2023

16 августа, 2023

Универсальная дорожная карта. Десять шагов к результативной кибербезопасности

По данным Positive Technologies, рост числа атак и общего количества инцидентов в этом году продолжится. Один из способов защититься от действий злоумышленников — использовать в своей организации принципы и подходы результативной кибербезопасности, ориентированные на конкретный результат. Мы подготовили дорожную карту из 10 шагов, пройдя которые вы сможете сказать, что события, недопустимые для вашей компании, действительно невозможны. 

 

1. ПОСТАНОВКА ЦЕЛИ

Как показал 2022 год, многие российские компании достаточно формально относятся к обеспечению информационной безопасности. Нередко их цель заключается в том, чтобы удовлетворить требования регуляторов, но такое отношение создаёт лишь иллюзию защищённости. В отличие от классических подходов, результативная кибербезопасность ориентирована на чётко обозначенный результат, поэтому на первом этапе необходимо сформулировать и объявить главную цель: избежать катастрофических воздействий на процессы компании. 

 

2. ПРИВЛЕЧЕНИЕ ВЫСШЕГО РУКОВОДСТВА

После того как цель определена, CISO необходимо привлечь представителей топ-менеджмента к построению результативной кибербезопасности. Технические эксперты и представители высшего руководства организации думают по-разному. CISO может быть не в курсе некоторых вопросов ведения бизнеса, которыми ежедневно занимаются руководители компании, а генеральный директор, в свою очередь, может быть не осведомлён о современных методах и тактиках злоумышленников. 

 

3. ОПРЕДЕЛЕНИЕ НЕДОПУСТИМЫХ СОБЫТИЙ

На этом этапе нужно выявить последствия действий киберпреступников, которые сделают невозможным достижение операционных и стратегических целей или приведут к длительному нарушению основной деятельности организации. Задача определения недопустимых событий обычно ложится на плечи руководителей. Они глубоко погружены в бизнес-процессы и отлично понимают, какие результаты потенциальных действий злоумышленников несут в себе опасность для компании. 

Руководствуясь концепцией результативной измеримой кибербезопасности, мы в Positive Technologies определили для себя четыре недопустимых события: хищение денежных средств, кража конфиденциальной информации, внедрение вредоносного кода в продукты и получение доступа к клиентам компании через её инфраструктуру. Этот список актуален почти для каждого разработчика программного обеспечения. 

 

4. ДЕКОМПОЗИЦИЯ НЕДОПУСТИМЫХ СОБЫТИЙ

На этом этапе необходимо привлечь технических экспертов, которые смогут предугадать действия злоумышленников. Иными словами, специалистам по ИБ предстоит построить и пройти весь маршрут, по которому будут двигаться киберпреступники в случае атаки: от внедрения в ИT-инфраструктуру до реализации недопустимого события.

При этом важно не только предугадать сценарии развития кибератак, но и понять, как организация будет им противостоять на каждом этапе. В качестве примера возьмём распространённое недопустимое событие — кражу конфиденциальной информации. Что будет делать киберпреступник, чтобы заполучить данные? Даже в самом сложном случае ему понадобится выполнить всего лишь три действия: отправить фишинговое письмо любому сотруднику целевой организации, получить доступ к его рабочему аккаунту и скопировать ценные файлы. Чтобы предотвратить эту угрозу, компании важно заранее понимать ход мысли атакующего. 

 

5. УДЛИНЕНИЕ ЦЕПОЧКИ ДЕЙСТВИЙ ЗЛОУМЫШЛЕННИКОВ

Декомпозиции недостаточно. Необходимо увеличить количество действий, которые придётся совершить киберпреступникам. Вернёмся к предыдущему примеру: компания может и должна установить несколько препятствий на пути атакующих. Например, ввести минимально необходимый ролевой доступ к данным, чтобы ограничить круг пользователей, которые могут работать с ценными файлами. В таком случае злоумышленнику придётся сначала взломать рядового сотрудника, повысить его привилегии и только потом с помощью его учётной записи добираться до необходимых данных. 

Ещё один очевидный способ удлинить цепочку — повысить уровень осведомлённости сотрудников о кибербезопасности (security awareness). Если в идеальном для злоумышленников варианте любой человек, работающий в организации, легко может стать точкой входа в ИT-инфраструктуру, то после проведения курса по киберграмотности многие сотрудники будут знать о популярных методах социальной инженерии и смогут им противостоять. 

 

6. ЗАЩИТА ИНФРАСТРУКТУРЫ

Когда недопустимые события и пути их реализации определены, компании необходимо поработать над защитой инфраструктуры — заняться усилением её безопасности. В это общее понятие входят изменение политик ИБ, настройка серверов, виртуальный патчинг и многое другое. Кроме того, на этом этапе необходимо модернизировать имеющиеся средства защиты информации и приобрести недостающие (рис. 1). 

Рисунок 1. Когда недопустимые события и пути их реализации определены, компании необходимо поработать над защитой инфраструктуры — заняться усилением её безопасности. 

 

Это позволит повысить защищённость компании на техническом уровне. Все предыдущие пять этапов можно считать теоретической подготовкой, без которой трудно понять, какие элементы инфраструктуры нуждаются в наибольшей защите.

 

7. ПОСТРОЕНИЕ ЦЕНТРА ПРОТИВОДЕЙСТВИЯ УГРОЗАМ

Центр противодействия угрозам (ЦПК) — это комплекс технических средств, процессов и, конечно, специалистов по ИБ, которые совместно отвечают за невозможность реализации недопустимых событий и реагируют на любые попытки вмешательства злоумышленников в работу ИT-инфраструктуры компании. ЦПК должен работать по принципу «обнаружить и остановить». Обнаружить — значит увидеть возможную угрозу безопасности, понять и проанализировать её, а остановить — значит грамотно отреагировать и при необходимости привлечь специалистов из смежных подразделений. 

Для реализации такого режима работы ЦПК, особенно в условиях нехватки персонала, все его компоненты должны работать как единый оркестр, дирижёром которого выступает система автоматического противодействия угрозам MaxPatrol O2. Нацеленность ЦПК на предотвращение недопустимых событий делает его ключевым инструментом результативной кибербезопасности. 

 

8. КИБЕРУЧЕНИЯ

Прежде чем заявлять о построении результативной кибербезопасности, необходимо измерить эффективность всех принятых мер. Для этого компании требуется провести киберучения — мероприятия для достоверной и объективной оценки защищённости бизнеса. Приглашённая команда этичных хакеров пытается реализовать недопустимое событие в ИT-инфраструктуре компании и составляет по итогам работы аналитический отчёт. На его основе организация может доработать центр противодействия киберугрозам: произвести дополнительную настройку технических средств, отладить процессы и обеспечить готовность персонала. 

На первый взгляд кажется, что этот этап можно пропустить, ведь в ходе декомпозиции недопустимых событий специалисты отдела ИБ выяснили, по какому пути могут идти злоумышленники. Однако этого недостаточно: штатные эксперты по ИБ не всегда способны объективно оценить защищённость своей компании, поэтому необходимо привлекать людей извне. При этом важно, чтобы киберучения были регулярными. Если проводить их, например, раз в год, пользы будет немного: методы и инструменты киберпреступников модернизируются гораздо чаще, а ИT-инфраструктура самой компании непрерывно изменяется.  

 

9. УЛУЧШЕНИЕ ЗАЩИТЫ ИНФРАСТРУКТУРЫ

На этом этапе компаниям необходимо проделать почти такие же процедуры, как и на этапе защиты инфраструктуры. Но если изначально защита выстраивается исходя из недопустимых событий, то усиление защиты производится по итогам киберучений. Именно поэтому важно проводить их регулярно, с приглашением разных атакующих команд. 

 

10. БАГБАУНТИ

Финальный этап на пути к результативной безопасности — это запуск программы багбаунти для проверки возможности реализации недопустимых событий. В отличие от киберучений, у такой программы нет ограничений по срокам завершения; к реализации недопустимого события привлекается неограниченное число этичных хакеров и команд багхантеров. Багбаунти организуется на специальной платформе, а исследователи получают вознаграждение, только если кибератака проведена успешно и отчёт вовремя принят экспертной комиссией для триажа [1]. 

Участие в программе багбаунти демонстрирует уверенность CISO и руководства в высоком уровне защищённости организации. Так, Positive Technologies предлагает белым хакерам вознаграждение до 30 млн рублей за вывод средств со счетов компании. На российском рынке есть и другие крупные компании, которые запустили программы багбаунти для поиска уязвимостей: к платформе Standoff 365 уже присоединились VK, «Азбука вкуса», Rambler&Co и другие. 

Рисунок 2. Разумеется, представленная дорожная карта настраивается индивидуально.

 

Разумеется, представленная дорожная карта (рис. 2) настраивается индивидуально. Чтобы достичь результативной кибербезопасности, одним компаниям потребуется выполнить лишь половину этапов, а другим нужно будет пройти весь путь. При этом у всех будет как минимум один общий этап, который нельзя пропустить, — правильная постановка чёткой измеримой цели в области защиты бизнеса. 

 

[1] Триаж — валидация, анализ и приоритизация отчётов об уязвимостях, полученных в результате багбаунти.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных