До 87% проверок с использованием методов социальной инженерии заканчиваются компрометацией учетных записей и рабочих станций. Такую статистику приводит УЦСБ, основываясь на собственном опыте проведения имитаций компьютерных атак. Если не исключить, то снизить шансы на проникновение
в корпоративные системы способна культура киберустойчивости.
Как она может быть внедрена и в комбинации с какими решениями — рассказал в интервью CNews Генеральный директор УЦСБ Валентин Викторович Богданов.
CNews: О культуре информационной безопасности можно услышать гораздо реже, чем о других инструментах обеспечения ИБ, хотя казалось бы — машина никуда не поедет, если водитель не умеет водить.
Валентин Богданов: Безусловно. Межсетевой экран позволяет минимизировать риск несанкционированного доступа извне и выстроить защиту, но без администраторов он работать эффективно не будет. И не только без администраторов, но и без политик и процедур. Потому что информационная безопасность — всегда сочетание организационных и технических мероприятий. Две переменные, причем вложения в одну переменную стимулируют рост отдачи от другой.
CNews: Вы говорите о внедрении культуры киберустойчивости на всех уровнях компании. Почему здесь синхронность имеет значение и с кого следует начинать?
Валентин Богданов: Уточню о киберустойчивости и киберосознанности. И начинать точно надо с руководителей. Они — проводники культуры информационной безопасности, проводники на разных уровнях. Если директор издал регламент по обращению с конфиденциальной информацией, но в своей практике ему не следует, то дело не пойдет. Но мы говорим о внедрении культуры не только в иерархическом смысле, но и в корпоративном. А она проявляется на трех уровнях — артефакты (в частности, используемые технологии и средства защиты информации), прописанные цели и неформальные (реальные) правила поведения. Все три уровня должны органично сочетаться.
CNews: Культура складывается и из практик. Каких именно и чем они полезны?
Валентин Богданов: Тем, что минимизируют ошибки человека. Основной драйвер ИБ — инциденты, они происходят всегда и везде вне зависимости от чего бы то ни было. Такова реальность. Без инцидентов не было бы и защиты информации. Поэтому практики основываются на опыте, в том числе собственном. К примеру, один из наших сотрудников получил вредоносное сообщение и зашифровал данные на своем компьютере. Как мы отреагировали? Повысили уровень защищенность периметра почтовой системы, внедрив дополнительные средства контроля и усилив меры по резервному копированию.
Кроме того, мы стали ежеквартально проводить проверки сотрудников. Знают они, как действовать при получении несанкционированного письма и попытке взлома, или не знают? Для УЦСБ как компании, занимающейся системной интеграцией в сфере информационной безопасности, особенно важно знать все передовые решения и технологии защиты, уметь применять их на практике, разбираться в нюансах разных подходов — это основа нашей работы, поэтому очень многие решения мы сначала проверяем внутри компании и только потом предлагаем заказчикам.
CNews: Например, кому?
Валентин Богданов: УЦСБ выполнил сотни проектов, направленных на повышение киберграмотности сотрудников компаний. В качестве примера приведу относительно недавние проекты для «Союзмультфильма» и Rambler&Co. По итогам работ мы выпустили совместные релизы, где поделились опытом проверок действий сотрудников. На «Союзмультфильме» мы провели киберучения, в рамках которых смоделировали четыре наиболее популярных сценария — получение вредоносных писем, переход на фишинговые страницы, подключение к поддельной точке доступа Wi-Fi и подброшенные флеш-накопители. Все это позволяет проникнуть во внутреннюю сеть компании. К примеру, фишинговые страницы имитируют рабочие сервисы студии и провоцируют ввести корпоративные учетные данные. В случае Rambler&Co мы добавили фишинговые QR-коды. Такие проверки обе компании проводят регулярно — они заложены в их стратегии кибербезопасности.
CNews: Но если говорить в иерархическом смысле и если директор всем пример, то как побудить подчиненных следовать правилам?
Валентин Богданов: Здесь работает модель тайного покупателя, только в ИБ она называется киберучениями. Те же рассылка фишинговых писем и тестирование на проникновение. Рассылка, например, позволяет проверить, сколько сотрудников прошли по специально сформированной имитации вредоносной ссылке. В нашей компании мы периодически проводим такие учения и делаем соответствующие замеры. И если раньше по псевдовредоносным ссылкам переходили до 20% сотрудников УЦСБ, то сегодня уже только 3%. Другой работающий подход — открытость и прозрачность. Когда происходит инцидент, то информацию об этом как минимум не стоит скрывать.
CNews: Но в Rambler&Co вы провели еще и аудит?
Валентин Богданов: Аудит ИБ — широкое понятие, оно охватывает множество мер — от анализа лог-файлов до комплексного анализа бизнес-процессов, связанных с сохранностью данных. В последнем случае анализируются не только бизнес-процессы, но также документация, осведомленность пользователей и конфигурации информационных систем компании. Пример же быстрого базового аудита — пентест, позволяющий оперативно выявить критичные уязвимости информационной системы компании. Результат таких тестов очевиден — если мы нашли уязвимости, то с той или иной вероятностью их найдут и злоумышленники. В целом, аудит стоит проводить регулярно: инструментальное тестирование — раз в квартал, комплексный анализ — раз в год.
CNews: Киберучения всегда направлены на проверку действий рядовых пользователей?
Валентин Богданов: Уровни проверок могут быть разными. Как и в любых учениях — здесь также проверяются и вырабатываются действия профильных служб в случае внештатной ситуации. Речь идет об администраторах ИБ и персонале, эксплуатирующем информационные системы. От оперативных и верных действий тех и других зависит, насколько полно и быстро удастся минимизировать потери от инцидента. Поэтому на случай, когда систему атакуют, а информация оказывается скомпрометированной, нужны сценарии реагирования — причем не просто подготовленные, но и отрепетированные. Группе реагирования на инциденты следует ежемесячно проигрывать сценарии — будь то утечка конфиденциальных документов, взлом сервера, проникновение в информационную систему или подозрение пользователя в краже данных. Произойдет инцидент или нет, во многом зависит от информационной гигиены, уровень которой также выявляется в ходе учений. А насколько быстро будет идти эскалация инцидента, уже зависит от открытости компании — насколько оперативно и честно сотрудники сообщают о случившемся. Но оперативность реакции — вопрос не только к пользователям. Для своевременного выявления инцидентов нужны системы контроля состояния активного сетевого оборудования, серверной инфраструктуры. А для разработчиков ПО также важно помнить об внедрении процессов безопасной разработки (DevSecOps) на как можно более ранних стадиях создания продукта. Сегодня защищенность ПО становится в один ряд с такими качественными показателями, как отказоустойчивость и функциональность, является еще одной составляющей киберустойчивости для бизнеса.
CNews: Какие варианты сотрудничества возможны после проведения аудита и киберучений?
Валентин Богданов: ИБ всегда циклический процесс. Оценка текущего уровня защищенности, анализ рисков, выбор стратегии защиты, внедрение и эксплуатация решений, процессы мониторинга и снова анализ — таковы его основные этапы. Но практика показывает, что до 80% имеющихся функций средств защиты часто не используется. Поэтому прежде всего требуется грамотная настройка уже применяемых в компании средств и решений. Современные средства защиты многофункциональны, и наша позиция — максимально использовать их потенциал. И только если риски не купируются, то рассматривать внедрение новых или дополнительных решений и мер. После настройки или внедрения следует эксплуатация, мониторинг, сопровождение и обновление — процесс защиты информации не заканчивается. Новые инциденты — новые проверки, доработка политики безопасности и подходов к эксплуатации систем. И, конечно, повышение осведомленности пользователей. В соответствии со спецификой управления ИБ мы и выстраиваем нашу работу.
Центр кибербезопасности УЦСБ работает как единое окно для обращений заказчиков с разными задачами и масштабом бизнеса. Мы организуем процесс безопасной разработки, проводим аудит ИБ и анализ уровня защищенности, помогаем создать SOC или взять мониторинг инцидентов безопасности к себе на аутсорсинг Экспертиза УЦСБ позволяет работать с объектами критической информационной инфраструктуры, в том числе в самых технически сложных отраслях промышленности. Удобно, когда управление всеми процессами сосредоточено в одном месте, а экосистемой пользоваться выгоднее, чем покупать услуги у разных поставщиков.
За 17 лет работы специалисты УЦСБ реализовали больше 4000 проектов для государственных предприятий, компаний из банковского сектора, нефтегазовой, топливно-энергетической, машиностроительной и других отраслей промышленности. Большинство наших Заказчиков прекрасно понимает, что защита информации — не обременение. Как и тормоза в автомобиле, она не препятствует работе, а, напротив, позволяет двигаться быстрее.
CNews: Но отдельное направление в вашей работе — автоматизация систем ИБ. Какие решения вы предлагаете здесь?
Валентин Богданов: Специалистов по ИБ не хватает, и даже если обучать кратно больше, все равно хватать не будет. Просто скорость роста зависимости от информационных систем и темпы цифровой трансформации кратно выше. Проблема характерна не только для России, но и для всего мира. Мы видим в автоматизации решение кадровой проблемы, как минимум в части рутинных задач защиты информации. Выполнять базовый анализ логов, вести мониторинг и сбор данных об инцидентах, их консолидацию и обработку — все это можно поручить специализированным системам. Поэтому мы предлагаем внедрение систем класса SIEM, EDR, NTA, IRP/SOAR с последующим переходом на автоматизацию сначала рутинных, а потом и системных задач в управлении ИБ. Но только внедрения таких систем недостаточно, мы работаем и с культурой ИБ. В частности, внедряем решения Security Awareness — к классу таких решений принадлежат корпоративные образовательные платформы, которые позволяют выстроить непрерывное обучение в корпоративной среде. Можно назначать курсы сотрудникам, тренировать их посредством имитации атак, тестировать, получать аналитику по уровню киберграмотности организации. Причем содержание программ регулярно обновляется, и обучение выстраивается только на актуальных примерах. Что до роли человека, то он должен сосредоточиться на более трудных задачах — на расследовании сложных инцидентов, на планировании стратегии защиты и на контроле эффективности внедряемых мероприятий.