Алексей ЛукашФормирование программы кибертрансформации
Ядро методологииАлексей ЛукашАлексей ЛукашАлексей ЛукашВ концепции результативной безопасности кибертрансформация является ключевым этапом: именно при этом процессе происходят изменения, в результате которых организация обретает устойчивость к возможным хакерским атакам. Приступать к разработке программы кибертрансформации можно только после того, как были выполнены первоочередные шаги: определены целевые и ключевые системы, точки проникновения, пользователи целевых систем с избыточными правами, а также другие уязвимые места (подробнее — в статье ).
Кибертрансформация включает в себя четыре компонента, приведенные на рисунке 1.
Рисунок 1. Компоненты кибертрансформации
Чтобы повысить уровень киберустойчивости организации, необходимо провести комплексные работы на уровнях бизнеса, подразделений IT и ИБ. Для запуска кибертрансформации нужно разработать программу. Объем программы напрямую зависит от ресурсов компании и готовности бизнеса к построению результативной кибербезопасности. Важно подчеркнуть, что программа кибертрансформации индивидуальна, поскольку разрабатывается с учетом внутренних особенностей каждой организации, ее ресурсов и IT-ландшафта.
Чтобы понять специфику каждого компонента и то, какую роль они играют в кибертрансформации, рассмотрим их подробнее.
С точки зрения результативной кибербезопасности значимость бизнес-процесса напрямую зависит от того, задействованы ли в нем целевые системы. Процедура изменения бизнес-процессов также известна как реинжиниринг и производится для повышения защищенности целевых систем (подробнее — в статье «Реинжиниринг бизнес-процессов»).
Любые изменения должны начинаться с их анализа. Это нужно для получения наглядного представления о том, в рамках каких бизнес-процессов используются целевые системы, есть ли необходимость в таком использовании и возможно ли исключить систему из процесса. На этапе изменения бизнес-процесса следует ограничить прямой контакт сотрудников с целевой системой, например с помощью опосредованных сервисов и ESB-решений, способных реализовать обмен данными между разными системами, дополнительных средств многофакторной аутентификации как для доступа к целевым системам, так и для подтверждения важных операций. А в особых случаях — перестроить некоторые бизнес-процессы, чтобы исключить из них целевую систему: ущерб в случае ее компрометации может превысить выгоду от использования.
Внесение изменений позволит:
Однако, представить кибертрансформацию невозможно без выстроенных и отлаженных процессов подразделений IT и ИБ. Узнать подробнее о том, какие процессы для этих подразделений являются основными можно в статье .
Очень часто во время развития атаки хакеры делают ставку на человеческий фактор. Среди самых распространенных ошибок сотрудников можно выделить переход по ссылкам из фишинговых писем, открытие приложенных к письмам вредоносных файлов, подключение к рабочей станции неизвестных внешних накопителей.
Результативная кибербезопасность подразумевает увеличение уровня осознанности сотрудников в области кибербезопасности, выработку навыков, которые позволят если не свести роль человеческого фактора в успешной кибератаке к нулю, то хотя бы снизить вероятность его проявления. Обучение должно содержать сведения о популярности фишинговых атак, а также о практике использования информационных систем, обращения с конфиденциальными данными, идентификации потенциальных угроз и реагирования на них. Образовательная программа может включать в себя лекции в формате очных встреч или в режиме онлайн, вебинары, курсы, тесты и практические занятия, круглые столы с участием сотрудников службы безопасности или приглашенных экспертов в области ИБ, где можно обменяться опытом и узнать про лучшие практики.
Важно не только обеспечивать работников базовыми знаниями и навыками, но и поддерживать актуальность информации. Кроме того, следует контролировать и оценивать эффективность обучения сотрудников, чтобы убедиться, что они имеют представление о современных цифровых угрозах, и понимают способы предотвращения атак. Нужно создать культуру безопасности в корпоративной среде: сотрудники должны осознавать необходимость соблюдения правил в повседневной деятельности. Подробнее ознакомиться с аспектами кибербезопасности для сотрудников можно в статье «Аспекты кибербезопасности, которые необходимо знать всем сотрудникам».
Также нельзя забывать про штат специалистов по ИБ. Сотрудники подразделения, ответственного за кибербезопасность, должны обладать знаниями и навыками, позволяющими успешно противостоять действиям злоумышленников. Учитывая скорость развития киберугроз, сотрудники на постоянной основе должны поддерживать актуальность знаний и умений в своей области. Этому способствуют прохождение профессиональных курсов, получение соответствующих сертификатов, которые не только подтвердят знания, но и станут весомым аргументом в портфолио сотрудника, что также является одним из мотиваторов для профессионального роста. Отточить навыки специалистов и выявить в них изъяны можно путем проведения внутренних киберучений, в ходе которых имитируются реальные атаки на IT-инфраструктуру организации.
Защита IT-инфраструктуры организации — очень ресурсоемкий процесс, требующий привлечения экспертов, закупки, настройки и постоянного обновления оборудования и программного обеспечения, а также других действий, связанных с крупными финансовыми вложениями. Применение принципов результативной кибербезопасности позволяет наиболее эффективно с точки зрения практического результата распределить бюджет, выделенный на обеспечение ИБ. При харденинге IT-инфраструктуры упор делается на целевые и ключевые системы, а также на точки проникновения.
Системы, для которых своевременно не устанавливаются обновления, или некорректно сконфигурированные сервисы могут стать частью вектора атаки хакера, направленной на реализацию недопустимого события. Поэтому необходимо уделять повышенное внимание защите критически важных объектов инфраструктуры. В первую очередь следует проанализировать все IT-активы, которые существуют в организации, чтобы определить границы харденинга, и понять, для каких активов инструкции по усилению защищенности уже существуют или нуждаются в разработке. Далее необходимо оценить, какие из IT-активов, не имеющих инструкций, наиболее ценны как для организации, так и для потенциальных хакеров, чтобы приоритизировать разработку. В рамках создания инструкции важно:
Далее начинается этап, когда разработанные инструкции реализуются на практике. Например, устанавливаются обновления, подключаются и усиливаются механизмы аутентификации, закрываются неиспользуемые сетевые порты, отключаются уязвимые службы. Как только изменения будут внесены в целевые и ключевые системы, а также на точках проникновения, инструкции масштабируются для менее приоритетных объектов IT-инфраструктуры. Узнать подробнее о выстраивании процесса харденинга можно в статье «Выстраивание процесса харденинга в организации».
Мониторинг представляет собой сбор и анализ событий, полученных из различных источников, таких как антивирусное ПО, системы обнаружения вторжений (IDS), журналы событий, сетевой трафик. Основная задача мониторинга — обнаружение признаков компрометации внутри IT-инфраструктуры.
Реагирование на инциденты является логическим продолжением мониторинга и включает в себя оперативное предотвращение кибератак и устранение их последствий. Реагирование можно проводить вручную или использовать практики машинного обучения, заранее сформированные логику и алгоритмы для автоматизации и повышения эффективности.
При выстраивании или адаптации процессов мониторинга и реагирования в соответствии с принципами результативной кибербезопасности приоритет отдается объектам, которые могут быть интересны хакеру, то есть целевым и ключевым системам, а также точкам проникновения. Только потом подключаются менее значимые объекты IT-инфраструктуры в последовательности, зависящей от степени их важности. Так, например, при наличии большого числа объектов под первоочередной мониторинг попадут:
В концепции результативной безопасности ответственность за мониторинг целевых и ключевых систем, точек проникновения и за реагирование на инциденты возлагается на центр противодействия киберугрозам. ЦПК — это структура, состоящая из набора программных и программно-аппаратных средств, персонала, утвержденных процессов и процедур, которые в совокупности позволяют не только своевременно обнаружить риски, но и ликвидировать последствия киберинцидентов до нанесения компании неприемлемого ущерба. Центр может быть реализован как подразделение в организации либо выстроен силами внешнего подрядчика, имеющего опыт мониторинга, анализа киберугроз и реагирования на них (подробнее о ЦПК — в статье «Принципы построения центра противодействия киберугрозам»).
Мы рассмотрели основные компоненты кибертрансформации. Как отмечалось ранее, ее программа разрабатывается индивидуально с учетом возможностей организации, особенностей IT-инфраструктуры и существующей программы кибербезопасности. Формирование программы заключается в грамотном распределении ресурсов, планировании и реализации всех ее составляющих с сохранением баланса, при котором обеспечивается надежная защита бизнеса от киберугроз.
Рисунок 2. Баланс — залог успешной кибертрансформации
Организации могут распределять ресурсы между компонентами и выбирать оптимальный вариант, что дает гибкость при построении системы защиты.
Формируя программу кибертрансформации, следует учитывать масштабы компании и ее сетевого периметра, число сотрудников и текучесть кадров, связи и точки соприкосновения систем IT-инфраструктуры, а также другие факторы, которые могут влиять на выбор программы.
В качестве примера рассмотрим особенности кибертрансформации двух организаций с разными направлениями деятельности и условиями функционирования, а именно — банк и телекоммуникационную компанию. Банковские организации чаще всего имеют ограниченный сетевой периметр, поэтому им логично сделать акцент на харденинге и мониторинге внешних ресурсов. Телекоммуникационные компании, в отличие от банков, преимущественно имеют большой сетевой периметр и широко распределенную IT-инфраструктуру — харденинг внешних ресурсов может оказаться менее эффективным. За то время, которое требуется для обновления ПО и распространения золотых образов на конечные точки внешнего сегмента сети, организация может подвергнуться атакам хакеров десятки раз.
Похожая ситуация обстоит и с обучением персонала. Поддерживать высокую степень осознанности всех сотрудников гораздо проще в небольших организациях, где скорость смены кадров ниже. Однако, независимо от размеров компании и числа осведомленных работников, от наступления недопустимых событий ее могут отделять одно письмо и в случае успешной кибератаки — несколько последующих действий хакера. Но разве борьба с киберугрозами — это профессиональная обязанность операционных специалистов? Нет. Сотрудники должны выполнять поставленные задачи, руководствуясь теми правилами обеспечения ИБ, которые установлены в компании, а в парадигме результативной кибербезопасности за противодействие киберугрозам отвечает ЦПК. Именно поэтому для обеих организаций, рассматриваемых в качестве примера, мониторинг событий ИБ и реагирование на инциденты во внутренней сети являются основой своевременного предотвращения недопустимых событий.
Выстроить непрерывный мониторинг внешних ресурсов за счет четко определенного периметра проще в банке, чем в телекоммуникационной компании. Для контроля событий ИБ на сетевом периметре ей потребуется значительно больше ресурсов, что в условиях ограниченного финансирования практически невозможно. Поэтому в подобной ситуации для организации рациональным будет перераспределить свои ресурсы, в том числе ресурсы ЦПК, и сосредоточить силы на обеспечении безопасности отдельных сегментов внутренней сети, целевых и ключевых системах.
При формировании программы кибертрансформации любой организации важно понимать: у злоумышленника всегда есть шанс попасть во внутренний сегмент сети и реализовать недопустимое событие. Тогда все будет зависеть от того, удастся ли обнаружить и пресечь атаку хакера до того, как он реализует недопустимое событие. При подобном подходе такие компоненты кибертрансформации, как реинжиниринг бизнес-процессов, харденинг IT-инфраструктуры, обучение персонала, приобретают страхующую функцию. Обученный сотрудник не откроет письмо с вредоносным вложением и вынудит злоумышленника изменить вектор атаки. Вовремя обновленная система будет устойчива к некоторым популярным эксплойтам, что позволит вам обнаружить нелегитимные действия внутри IT-инфраструктуры с помощью средств мониторинга. Все вышеперечисленное (и не только) поможет команде ЦПК вовремя предотвратить недопустимое.