BIS Journal №4(27)/2017

27 декабря, 2017

Победа над временем

С момента обнаружения киберугрозы до её закрытия обычно проходит около года. Но ни один департамент информационной безопасности уже сегодня не может позволить себе потратить на решение проблемы столько времени — интервалы между схожими массовыми атаками сократились до нескольких недель. Именно поэтому одна из приоритетных задач сегодня — найти новую модель защиты от угроз, которая могла бы обеспечить защиту бизнеса в приемлемые сроки.

ПРОДУКТИВНЫЙ ПОДХОД

Производители решений для киберзащиты стараются использовать любой информационный повод для продвижения своих продуктов. После WannaCry и Not.Petya в короткие сроки появилось множество статей и инструкций, в которых содержатся рекомендации, как защитить бизнес от атаки вирусов-шифровальщиков. Поставщики защиты от целенаправленных атак напоминают про риск zero day и наличие неизвестных уязвимостей, от которых можно спастись, используя песочницы. Поставщики систем резервного копирования призывают копировать данные, чтобы в случае атаки иметь возможность их восстановить и снизить ущерб для бизнеса. Компании, занимающиеся проверками наличия уязвимостей, версионности ПО и др. убеждают, что своевременная установка обновлений способна защитить от атак, что в какой-то степени соответствует действительности, ведь информация о наличии уязвимостей появилась задолго до самих атак. И сейчас уже все знают, что Microsoft достаточно оперативно выпустил обновления патчей, но мало кто их установил. Поставщики SIEM призывают «мониторить» события, происходящие в вашей сети — обнаружение атаки на ранней стадии может вовсе предотвратить её.

Несмотря на преимущества такого подхода (бить чётко в цель), очевидно, что он сложен в реализации, поскольку носит довольно разрозненный характер и требует от заказчика самостоятельного анализа эффективности использования каждого продукта.

ИНТЕГРАТОРСКИЙ ПОДХОД

Привлечение интегратора избавляет от необходимости досконально знать возможности того или иного продукта, поскольку предполагается, что вместе с услугами интегратора вы покупаете его экспертизу в этом вопросе. Данный подход определённо можно назвать более зрелым, поскольку он основан на понимании необходимости комплексного подхода к безопасности.

Интеграторы дают рекомендации — как лучше строить систему защиты от угроз, какие продукты использовать. Однако при всём удобстве такого подхода ответственность за эффективность всё равно лежит на заказчике.

SECURITY AS A SERVISE (SECaaS)

К сожалению, ни интеграторский, ни продуктовый подходы не соответствуют требованиям, которые предъявляют текущие реалии: чтобы привести вашу систему безопасности к необходимому уровню, нужно затратить непозволительно много времени. Посмотрим, из чего складывается время на ликвидацию проблемы. После атак вирусов-шифровальщиков весной-летом 2017 года многие компании задумались о внедрении системы резервного копирования. Стартует длительный многоэтапный процесс: выбор продукта (встречи с поставщиками, сравнение и составление списка продуктов, отобранных для пилотирования – 2-3 месяца) > реализация пилотов и выбор поставщика (2-3 месяца) > согласование бюджета (сумма будет существенна, поэтому бюджет будет заложен только на следующий год — ещё полгода ожидания) > конкурс (будет проводиться в новом году — 2 месяца) > внедрение (2-3 месяца).

Получаем целый календарный год. Мы помним, что Not.Petya случился всего лишь через 1,5 месяца после WannaCry. Думаю, что к приходу Not.Petya состоялись бы только первые 2-3 встречи с вендорами, что, конечно, никак не отразилось бы на степени защищённости организации.

В редких случаях департаменту информационной безопасности могут выделить бюджет уже в текущем году (если компания стала жертвой вируса), но даже в ускоренном темпе система резервного копирования была бы построена только к концу года. С другими системами ситуация была бы аналогична, а в некоторых случаях процесс занял бы ещё больше времени.

Интеграторский подход, возможно, более распространён, но и он не способен сократить этот немалый срок. Таким образом, очередной вирус нанесёт вам ущерб, возможно, даже больший, чем его предшественники, просто потому, что невозможно подготовиться к атаке, используя старые подходы. Риск от таких атак нельзя недооценивать — многие заказчики, вынужденные приостановить работу некоторых своих бизнес-процессов, пришли к нам именно после инцидента с Not.Petya.

Хорошо всем известный подход аутсорсинга кибербезопасности, заключающийся в привлечении сервис-провайдеров (MSSP), способен существенно сократить сроки построения системы защиты. Например, в ситуации с созданием системы резервного копирования провайдер изучает архитектуру, смотрит, какой объём данных необходимо копировать. Затем предлагает решение, которое базируется на полученных данных и его опыте. Через неделю озвучивает цену услуги. Учитывая время на выбор провайдера (2 недели) и время на подключение услуги (2 недели) получается примерно 1-1,5 месяца с момента обнаружения проблемы до её закрытия. Поэтому механизм аутсорсинга MSSP-провайдера — вероятно, самый быстрый и эффективный способ действительно защитить бизнес от киберугроз и сохранить репутацию ИТ-директора.

А ЧТО ДАЛЬШЕ?

Впрочем, радоваться рано. Через некоторое время даже такой формат будет неэффективен для заказчика, поскольку сложность угроз возрастает. Специалистам по кибербезопасности со стороны клиента придётся быть экспертами высшего класса в умении определить, при помощи каких сервисов можно решить проблему. Но даже быть суперэкспертом — недостаточно. Такой специалист должен обладать достаточным авторитетом среди собственного бизнес-руководства, чтобы уметь обосновать и убедить их в том, что им нужен именно такой набор сервисов, потому что только такой набор решит их проблемы. Бизнес-заказчик не понимает, зачем ему нужна песочница как сервис, например. Если даже понимает, что нужна, то надо объяснить, почему именно эта. Почему мы должны платить в год такую-то сумму, а не в два раза меньшую.

Бизнес-заказчику неважно, какие сервисы кибербезопасности вы используете — обеспечьте безопасность его бизнес-процессов.

Представителям бизнеса сложно ориентироваться в параметрах сервисов кибербезопасности, они не обязаны разбираться в них, в отличие от параметров работоспособности бизнес-процессов и технологических процессов. Если провайдер обеспечивает этот бизнес-SLA и несёт финансовую ответственность в случае отклонения от него — это наиболее предпочтительная ситуация для бизнес-заказчика.

Бизнес может высказывать требования, что время простоя его IT-сервисов не должно превышать, например, 4-х часов единоразово. За такое время простоя он готов заплатить, например, миллион рублей. Если простой больше, то появляется заранее определённый штраф. Чем больше время простоя — тем больше. Это понятные бизнесу категории. Более того — в такие же категории можно уложить даже утечку конфиденциальных данных.

Аналогично, например, строится обеспечение физической безопасности в банке. Банк не требует ту или иную экипировку сотрудников охранной фирмы, не диктует, как они должны быть вооружены. Это дело ЧОПа. Через некоторое время этот же подход будет актуален и для кибербезопасности.

Суть такого подхода заключается в том, что экспертиза подбора механизмов кибербезопасности выносится на сторону провайдера, который будет определять список сервисов и их технических SLA, чтобы обеспечить допустимое время простоя, требуемое время восстановления и др.

Конечно, такая модель применима не ко всем организациям. Некоторые компании федерального и транснационального масштаба предпочтут иметь высококлассного специалиста в штате. Однако для многих будет эффективнее передать экспертизу по выбору решений внешней компании, которая будет нести финансовую ответственность, в отличие от штатного сотрудника.

Можно прогнозировать, что такая модель потребления услуг кибербезопасности станет массовой года через 2-3. Сейчас же это только начинает обсуждаться профессиональным сообществом.  

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

31.01.2023
Скоро появятся российские производители по качеству продукции превосходящие ушедших иностранных поставщиков
31.01.2023
Оплата смартфоном вернётся в столичную подземку
31.01.2023
«Сейчас нам очень стыдно». «Яндекс» признал нарушение собственных принципов
31.01.2023
«Росбанк»: У российского бизнеса сложилось ошибочное впечатление, что китайская банковская система будет стоять чуть ли не в очереди за тем, как бы помочь россиянам
30.01.2023
На «чёрном рынке» растёт стоимость банковских карт
30.01.2023
Baidu вскакивает на поезд OpenAI
30.01.2023
Без «железа» любая операционная система теряет смысл
30.01.2023
Замена техники Ingenico не потребует никаких усилий
30.01.2023
В России необходимо создать собственную среду разработки
30.01.2023
Как работают MDM-приложения, каковы их преимущества и недостатки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных