1 октября 2018, 11:25
Количество просмотров 243

Межотраслевая интеграция требует новых подходов к информационной безопасности

По сложившейся традиции наша компания ежегодно проводит опрос респондентов и осуществляет комплексную оценку проблем и их решений в области кибербезопасности с целью представить общую картину и нащупать основные тренды развития. Такой подход позволяет понять, какие тенденции будут определять развитие технологий, и наоборот, какие технологические решения вероятнее всего окажут самое серьезное влияние на поведение участников процесса.
Межотраслевая интеграция требует новых подходов к информационной безопасности

[caption id="attachment_410359" align="alignright" width="150"]Межотраслевая интеграция требует новых подходов к информационной безопасности - рис.1 Павел Легеня, руководитель Отдела системной интеграции THALES, Россия[/caption]

Итак, давайте вооружимся графиками и диаграммами из аналитических отчетов компании THALES. Данные, которые мы анализируем, базируются на опросах руководителей высшего звена по всему миру (около 1200 мнений в 2018 году), включая респондентов из ключевых региональных рынков США, Великобритании, Германии, Японии, Швеции, Нидерландов, Кореи и Индии. Мы также рассмотрели ключевые сегменты в этих странах, включая государственный сектор, розничную торговлю, промышленный сектор, энергетику и транспорт, финансы и здравоохранение. Хотя все респонденты имеют как минимум некоторое влияние на принятие решений в области безопасности данных, более трети (34%) оказывают «основное» влияние на эти решения, и почти половина (46%) имеют единоличные полномочия по принятию решений.

Поясню свою мысль: дальнейшее проникновение финансовых сервисов во все аспекты деятельности и все более глубокое их внедрение на производственном и бытовом уровне создают новые точки уязвимости и ускоряют перенос вектора атаки на производства и сферы потребления услуг, с одновременным сохранением и даже увеличением интереса злоумышленников к финансовым системам.Наш разговор традиционно пойдет об  информационной безопасности и защите данных, но акценты будут несколько смещены с проблематики безопасности банковских операций и электронных платежей в сторону новых тенденций кибер-защиты и общих инфраструктурных решений. Однако в итоге, как вы сможете убедиться, мы все равно вернемся и к теме безопасности финансовой индустрии через призму актуальных вызовов и технологических тенденций, которые побуждают развитие новых решений и трансформацию привычных сфер человеческой деятельности.

Результаты последнего опроса THALES демонстрируют новый тренд

Информационная безопасность в финансовом секторе в силу понятных причин изначально была на переднем крае противостояния атакам преступников. Мы помним «романтиков» времен первых атак, похищавших денежные средства из банков в особо крупных размерах не столько для того, чтобы обогатиться, сколько для демонстрации значимости своих успехов и снискания себе славы гениального хакера. Как вы помните, преступниками у обывателей они поначалу даже и не считались, потому что атакуемый сегмент был достаточно слабо связан с конкретным гражданином и его собственными средствами.

Межотраслевая интеграция требует новых подходов к информационной безопасности - рис.2

Однако ситуация и ее восприятие обществом заметно изменились с появлением современных платежных сервисов, когда население стало ближе к финансовым операциям. Несмотря на то что средний ущерб от единичного воздействия стал значительно меньше, новые потери частных клиентов, помноженные на количество инцидентов, дали показатели значительно большие, чем первые в истории кибер-ограбления. Но самое главное – они стали затрагивать вполне конкретные интересы частных лиц и организаций, что сразу повлекло за собой осознание обществом, что это самые что ни на есть преступления, и необходимо выстроить против них защиту как в организационном, так и технологическом плане, закрепив линию обороны требованием соблюдения технических норм и стандартов. Надо отметить, что финансовый сектор в этой обороне достаточно сильно преуспел, и современные среды, работающие с финансами, серьезно защищены как на уровне хранения критически важных данных и совершения транзакций, так и в плане комплексных систем защиты информации.

Современные технологии в финансовой сфере попадают как раз в те среды, где уровень киберзащиты не столь высок

Многие аналитики предрекают сегодня, что за счет серьезных успехов по противодействию угрозам в финансовом секторе вектор атаки киберпреступности сместится в сторону промышленных предприятий и ритейла, где к информационной безопасности и защите данных еще далеко не везде наблюдается столь квалифицированный подход, а многообразие технологического ландшафта не позволяет подойти к решению задачи в унифицированном виде. Да, такие тенденции действительно прослеживаются, но означает ли это, что атакующие перестанут искать новые методы воздействия на финансовый сектор и натиск будет ослаблен, а в промышленном секторе офицерам безопасности достаточно будет просто повторить путь «более опытных товарищей» из финансового сектора и рано или поздно «закрыть» проблему? Конечно же, нет! Надо понимать, что негативное воздействие на финансовые информационные системы сохранится не столько за счет упорства атакующих, сколько за счет того, что современные технологии в финансовой сфере продолжают развиваться и с присущей им диссипацией проникают все глубже на уровень производства и потребления товаров и услуг, тесно интегрируясь с промышленными системами и попадая как раз в те среды, где уровень киберзащиты не столь высок.

Межотраслевая интеграция требует новых подходов к информационной безопасности - рис.3

В наиболее развитых реализациях информационных систем данные и сервисы все чаще выходят за рамки защищенного корпоративного периметра, размещаясь в сложных средах с использованием мобильных устройств и общественных сетей. Давайте задумаемся, каковы механизмы этой интеграции? Здесь мы видим такие направления, как виртуализация и контейнеры, облачные технологии (PAAS, IAAS, SAAS), Интернет вещей (IoT) и мобильные технологии, аналитические системы и Большие данные (Big Data) и в перспективе – технологии распределенного реестра (блокчейн). Не правда ли, достаточно пестрый набор технологий с точки зрения обеспечения информационной безопасности?!

Если подробно остановиться на каждом из этих направлений, можно увидеть, что они требуют особого подхода для предотвращения киберугроз именно в плане защиты данных. Ситуация, когда данные информационной системы, принадлежащие предприятию, размещаются в активах, ему не принадлежащих, сегодня является обычной. Но, по данным нашего опроса, 85% респондентов заявили, что в их компании развиваются или планируются к использованию хотя бы два из перечисленных направлений, при этом 63% опрошенных отмечают, что у них начинают внедрять эти технологии прежде, чем будет разработан какой-либо план для эффективной защиты используемых в них данных, 17% полагаются на защиту, предложенную провайдером услуги, технологии или платформы. И только 5% задумываются о собственных стратегиях защиты данных, которые могли бы им обеспечить как необходимый уровень доверия к использованию внешних сервисов, так и полную независимость при миграции на другие аналогичные платформы или альтернативные решения. Неудивительно, что оценки уязвимости своих предприятий респондентами «в общем» растут с 88% в 2017 году до 91% в 2108 году, а ощущения «очень» или «крайне» уязвимы достигают уже 44% в 2018 году против 30% того же показателя годом ранее.

Эти ощущения респондентов вполне справедливы и согласуются с нашими данными о количестве нарушений безопасности в результате атак. Как видно из графиков (рис. 1–2), этот показатель успешности воздействия растет из года в год, несмотря на ежегодный рост расходов на обеспечение защиты.

Все большее количество компаний планируют увеличение расходов на нужды кибербезопасности, а число желающих оставить финансирование на том же уровне или сократить неуклонно падает (см. рис. 3).

Межотраслевая интеграция требует новых подходов к информационной безопасности - рис.4

Несмотря на это, мы видим, что тактика, технологическая подготовка и высокая мотивация помогают атакующим оставаться на шаг впереди зачастую сильно перегруженных и осажденных защитников.

Очевидный вопрос заключается в том, следует ли пересматривать набор используемых сегодня методов киберзащиты и не нужно ли переставить акценты и точки приложения этих методов, для того чтобы добиться общей эффективности, отвечающей современным вызовам?

По сути дела, мы только сейчас начинаем отходить от привычной парадигмы ИТ-безопасности, в которой большинство данных и информационных систем содержалось в «четырех стенах» организации за корпоративными брандмауэрами и устройствами защиты от вторжений, средствами контроля утечек и другими подобными технологиями. Но при развитии глобальных сетей, распределенных систем и средств удаленного доступа к корпоративному сегменту очень скоро пришло понимание, что простой защиты периметра недостаточно. С развитием мобильных устройств аргументация в ключе «Нашей организации не требуются комплексные системы ИБ и средства аналитики, т. к. локальная сеть не имеет выхода в интернет» кажется не только легкомысленной, но откровенно преступной.

Межотраслевая интеграция требует новых подходов к информационной безопасности - рис.5

Обратите внимание на рейтинг оценки эффективности типовых средств ИТ-без-опасности (см. рис. 4). Мы видим, что в ретроспективе за три года оценка эффективности периметральных средств падает, в то время как оценка эффективности аналитических систем остается на прежнем уровне. Оценка же средств защиты данных, содержащихся внутри информационных систем, постепенно растет. Если посмотреть на графики запланированных бюджетов на те или иные направления ИБ в каждом году, то мы увидим, что на фоне общего роста затрат на киберзащиту продолжает расти финансирование всех классов средств ИБ (см. рис. 5). Но если посмотреть на размер дельты, мы увидим, что для тех же пунктов 1–3 разрыв сокращается, а для пунктов 4–5 он увеличивается.

Межотраслевая интеграция требует новых подходов к информационной безопасности - рис.6

Смещение акцентов при выборе стратегии защиты уже происходит в сторону комплексного подхода, ядром которого выступают аналитические системы, регистрирующие инциденты и другие (зачастую мало связанные) события, происходящие в разных точках «ИТ-организма» компании. Многие организации уже выстроили многоуровневую оборону, внедрив набор SIEM, организовав работу собственных или внешних SOC, подключившись к профильным CERT, настроив аналитические системы и приняв другие меры комплексного подхода. Многое из перечисленного позволяет справляться с внешними угрозами и бороться с уязвимостями, которые уже детектированы сообществом. Используется опыт ведущих специалистов и лабораторий, наиболее продвинутым командам удается заниматься разведывательной деятельностью и опережать атаки, а порой даже пользоваться услугами «белых хакеров», развивающих собственные ботнеты и «заманивающих» киберпреступников, чтобы изучить их методы и планы. Все это выглядит не менее интересно, чем традиционный детектив со своими схватками и погонями. Фантастических ощущений добавляет использование аналитических систем на основе упомянутых Больших данных, нейронных сетей и искусственного интеллекта.

Участники рынка уже осознают необходимость защищать сами данные, а не то место, где они содержатся

Однако не будем забывать, что аналитические системы – это инструмент, которым могут воспользоваться и злоумышленники. При этом те же самые объемы данных, на основе которых мы строим корреляционный анализ, при их ненадлежащей защите могут стать бесценным источником информации для атакующих, не говоря о том, что они могут быть искусно искажены, что спровоцирует дальнейшее развитие атаки. Кроме того, нельзя забывать, что SIEM получают данные с сенсоров, которые в большинстве своем расположены в средствах периметральной защиты – в сетевых экранах, системах контроля доступа, средствах обнаружения вторжений и т. п. Иными словами, мы видим, что, если строить комплексные системы ИБ, базируясь только на традиционных средствах, то качественных оценок в анализ не добавляется. Напрашивается вывод, что надо не только защищать сами данные, но и контролировать любые их изменения и попытки несанкционированного доступа к ним. Как мы видим, интерес к этой тактике подтверждается п. 5 на двух предыдущих диаграммах (см. рис. 4–5).

Межотраслевая интеграция требует новых подходов к информационной безопасности - рис.7Обратите также внимание на рейтинг угроз. Как видно из диаграммы, в последнее время специалисты определяют внутренние угрозы как более опасные уязвимости, которые могут выступать источником опасности как сами по себе, в случае инсайда, так и с учетом того, что доступ атакующих осуществляется, в конечном итоге, через внутренние аккаунты системы. Это еще раз говорит о необходимости защищать сами данные, а не то место, где они содержатся. Для этого можно прибегнуть к одной из технологий сокрытия данных в процессе их передачи или обработки – токенизации, маскировке или шифрованию. Защита данных в распределенной среде в момент передачи их в другую систему или в удаленный интерфейс – дело само собой разумеющееся. Но мы видим перспективы выстраивания защиты именно data at rest, поскольку место хранения в эпоху «облаков», всеобщей виртуализации и взаимопроникновения информационных систем в целом может быть любым и в процессе развития системы неоднократно меняться.

Кроме того, мы видим интересные возможности расширения списка событий, на которые могла бы реагировать SIEM или более развитые инструменты аналитика. Ведь запрос на доступ или изменение данных, закрытых ключами, легко отследить и обработать в зависимости от роли пользователя в системе. Подход к защите самих данных в сочетании со средствами исключения человеческого фактора при управлении ключами дает достаточно интересную составляющую, прекрасно интегрирующуюся в структуру комплексной ИБ в компании. Офицеры безопасности получают возможность контроля доступа к данным и даже ограничения возможностей системных администраторов.

В заключение отмечу, что такой подход абсолютно не нов для финансовых организаций, уже задействовавших его в структуре электронных платежей и процессинга, но мы призываем расширять его принципы на общую деятельность организаций и информационных систем. Кроме того, мы хотим обратить ваше внимание на то, что взаимопроникновение финансовых сервисов и систем производства и потребления товаров и услуг – ощутимый тренд, который позволяет требовать от коллег вне финансового сектора сопоставимых средств защиты данных, позволяющих в конечном итоге выстроить высокий уровень кибербезопасности вне зависимости от мотивов и целей атакующих.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube