Определение первоочередных шагов кибертрансформации

Что такое кибертрансформация

В рамках методологии результативной кибербезопасности под понятием кибертрансформация понимается процесс построения эффективной системы защиты от кибератак, включающий комплекс изменений в IT-инфраструктуре и бизнес-процессах, обучение сотрудников практическим аспектам кибербезопасности, внедрение систем защиты информации, а также создание центра противодействия киберугрозам.

Цель кибертрансформации — создание таких условий, при которых злоумышленник не сможет реализовать недопустимые события в результате кибератаки.

Первоочередные шаги кибертрансформации

Отправной точкой в определении первоочередных шагов кибертрансформации является перечень недопустимых для организации событий. Кибертрансформация проводится на действующей IT-инфраструктуре с учетом ее текущей конфигурации, бизнес-процессов, набора внедренных средств защиты информации, состава и квалификации сотрудников подразделения безопасности. Поэтому для разработки программы необходимо определить наиболее слабые места с точки зрения защиты, причем сделать это с нескольких сторон:

со стороны информационных систем: выделить целевые и ключевые системы, точки проникновения;
со стороны бизнес-процессов: определить влияние текущих бизнес-процессов на возможность реализации недопустимых событий;
со стороны пользователей: определить, есть ли пользователи целевых систем с избыточными привилегиями;
со стороны сети: выявить наиболее короткие пути нарушителя к целевым системам.

Процесс кибертрансформации применяется для уже существующих IT-инфраструктур. Однако принципы, описанные в этой методике, могут использоваться и для проектируемых IT-инфраструктур на основе их предполагаемых архитектуры и условий функционирования.

Кого привлечь для определения первоочередных шагов кибертрансформации

Первоочередные шаги должны формулироваться руководителем подразделения информационной безопасности либо заместителем генерального директора по ИБ (при наличии такой функции в организации) совместно с руководителем подразделения информационных технологий.

Как определить первоочередные шаги кибертрансформации

Для определения первоочередных шагов необходимо провести анализ в четырех основных направлениях:

1. Анализ текущего IT-ландшафта в контексте информационных систем заключается в составлении перечней целевых и ключевых системключевых системключевых систем для каждого недопустимого события и всех точек проникновенияточек проникновенияточек проникновения. Методики составления таких перечней представлены в соответствующих разделах.

2. Анализ текущего IT-ландшафта в контексте бизнес-процессов заключается в определении тех бизнес-процессов, в которых задействованы целевые системы, и оценке безопасности реализации таких процессов с точки зрения угрозы наступления недопустимого события. Методика наложения целевых систем на бизнес-процессы представлена в соответствующем разделеразделеразделе.

3. Анализ текущего IT-ландшафта в контексте пользователей целевых систем заключается в оценке избыточности доступа к целевым системам как с точки зрения количества пользователей, так и с точки зрения их привилегий. Для проведения такого анализа необходимо выполнить следующие шаги:

1) получить в IT-подразделении списки пользователей целевых систем с указанием уровня их привилегий;

2) на основании описаний бизнес-процессов (при их наличии) или интервью с владельцами целевых бизнес-процессов определить, для каких пользователей доступ к целевым системам необходим для выполнения служебных обязанностей, и оценить уровень их привилегий в системе с точки зрения избыточности. В ходе такого интервью необходимо получить ответы как минимум на три вопроса:

какие пользователи должны участвовать в бизнес-процессе;
какие привилегии в целевой системе им необходимы для решения рабочих задач;
возможно ли решение поставленных задач без доступа к целевой системе или с более низким уровнем привилегий в ней.

3) для тех пользователей, которые не задействованы в целевом бизнес-процессе, но могут подключаться к целевой системе, провести дополнительный анализ, который может включать интервью с владельцами соответствующих учетных записей и их руководителями. В рамках такого интервью необходимо получить ответы как минимум на два вопроса:

для каких целей пользователь подключается к целевой системе и какие задачи выполняет в ней;
могут ли рабочие задачи быть выполнены без подключения к целевой системе или с более низким уровнем привилегий в ней.

По результатам такого анализа необходимо принять решение о блокировке учетных записей или изменении уровня привилегий.

Целевой бизнес-процесс — процесс, в рамках которого может быть реализовано недопустимое событие в целевой системе.

4. Анализ текущего IT-ландшафта в контексте сегментации сети заключается в выявлении кратчайших путей нарушителя к целевым системам. В рамках этой методологии путь злоумышленника — вектор атаки, который завершается реализацией недопустимого события. Путь может считаться кратчайшим, если удовлетворяет одному из критериев:

внешний нарушитель может атаковать целевую систему напрямую без необходимости преодолевать границы сетевых сегментов. Например, это происходит в случаях, когда целевая система расположена на внешнем сетевом периметре организации;
внешний нарушитель не может атаковать целевую систему напрямую без необходимости преодолевать границы сетевых сегментов, но в сегменте с целевой системой расположена точка проникновения. К примеру, в одной сети с целевой системой может находиться сервер с интерфейсом внешней сети или беспроводная точка доступа.

Кратчайшие пути злоумышленника к целевой системе должны быть устранены при выполнении первоочередных шагов кибертрансформации. Ниже приведена схема сетей абстрактной организации с указанием сетевой связности между сегментами, целевых систем и точек проникновения. На этой схеме кратчайшими путями к целевым системам являются беспроводная точка доступа принтера в сети с системой «банк — клиент» и сервер с доступом в интернет в сегменте с директорией обмена.

Построение схемы кратчайших путей нарушителя к целевым системам

На рисунке ниже представлен пример кратчайших путей нарушителя к целевым системам организации. Информация, полученная по результатам анализа такой схемы, может стать основой для формирования программы первоочередных шагов кибертрансформации.

Кратчайшие пути нарушителя к целевым системам Рисунок 1. Кратчайшие пути нарушителя к целевым системам

Как оформить результат определения первоочередных шагов кибертрансформации

По результатам проведенного анализа руководитель подразделения информационной безопасности либо заместитель генерального директора по ИБ (при наличии такой функции в организации) формулирует выводы о текущей готовности IT-инфраструктуры и бизнес-процессов к исключению возможности реализации недопустимых событий. С учетом сделанных выводов и с привлечением сотрудников подразделений ИТ и ИБ он формулирует перечень первоочередных действий, направленных на устранение выявленных недостатков. Пункты этого перечня становятся первоочередными шагами в программе кибертрансформации. Перечень может быть составлен в свободной форме, например в виде текстового списка или таблицы.

Пример первоочередных шагов кибертрансформации с учетом рассмотренной ранее схемы представлен ниже.

№	Пример первоочередных шагов кибертрансформации
1	Использовать отдельную систему «1С:Предприятие» для проведения платежей, отделить ее от других бизнес-процессов: - расположить эту выделенную систему в отдельном сегменте; - ограничить доступ к такому сегменту сети со стороны других сегментов, которые не задействованы в процессе проведения платежей; - проанализировать необходимость доступа к этой выделенной системе, предоставить доступ только тем, кому это необходимо в рамках бизнес-процесса проведения платежей; - обеспечить режим единого окна для доступа к системе «1С:Предприятие» в остальных бизнес-процессах, чтобы минимизировать число пользователей с доступом к этой системе
2	Проанализировать текущий список пользователей с доступом к директории обмена и системам «банк —клиент». Оставить доступ только тем сотрудникам, которым он необходим. Обеспечить минимально необходимый набор привилегий
3	Убрать серверы с интерфейсами внешней сети из сегмента «Сеть 6 («Серверы-3»)» либо выделить сервер с директорией обмена в отдельный сегмент сети: - в таком сегменте не должно быть серверов с точками проникновения (например, с доступом из интернета); - ограничить доступ к выделенному сегменту с директорией обмена со стороны других сетевых сегментов (кроме выделенного сегмента для финансово-экономического департамента)
4	Проанализировать необходимость VPN-подключений в сегмент «Сеть 7 («Банк — клиент»)», не использовать удаленный доступ без необходимости
5	Проанализировать необходимость доступа к принтеру в сегменте «Сеть 7 («Банк — клиент»)» из сегмента «Сеть 102 («Продажи»)», закрыть доступ в отсутствие необходимости
6	Закрыть доступ из сегмента «Сеть 1 («Офис»)» в «Сеть 7 («Банк — клиент»)»
7	Выделить компьютеры сотрудников, вовлеченных в процесс проведения платежей, в отдельный сегмент сети (бухгалтерия, казначейство и прочие подразделения ФЭД), сейчас они расположены в едином сегменте с другими департаментами («Сеть 1 («Офис»)»)
8	Выделить устройства и учетные записи сотрудников, другие системы, задействованные в проведении платежей, в отдельный домен без доверительных отношений с основным корпоративным доменом
9	Обеспечить усиленную настройку безопасности и усиленный мониторинг всех целевых и ключевых систем, а также точек проникновения после изменений инфраструктуры и уменьшения поверхности атаки

Как убедиться, что первоочередные шаги кибертрансформации определены правильно

Практическое подтверждение правильно выбранных первоочередных шагов и в целом программы кибертрансформации может быть получено по результатам проведения практической верификации недопустимых событий или киберучений на действующей IT-инфраструктуре организации. Эти мероприятия проводятся на финальных этапах трансформации для оценки ее эффективности.

До того как программа будет сформирована и реализована, определить корректность выбранных первоочередных шагов кибертрансформации можно оценочно, опираясь на критерии:

шаги нацелены на исключение возможности реализации недопустимых событий в результате кибератаки;
шаги конкретизированы в привязке к целевым, ключевым системам, точкам проникновения, сегментам сетей с целевыми системами, бизнес-процессам, в которых задействованы целевые системы, и (или) пользователям целевых систем.

Например, если в сегменте с целевой системой расположена точка проникновения внешнего нарушителя, то одним из первоочередных шагов кибертрансформации должно стать удаление такой точки проникновения либо перенос целевой системы в другой сегмент, в котором точки проникновения отсутствуют. Если целевая система задействована одновременно в множестве бизнес-процессов организации, из-за чего к ней имеет доступ избыточное количество сотрудников, одним из шагов может стать разделение бизнес-процессов по разным системам таким образом, чтобы минимизировать количество пользователей целевой системы или внедрение отдельной системы для целевого бизнес-процесса. Если в сетевые сегменты с целевыми системами есть доступ из других сегментов сетей, сотрудники которых не участвуют в целевых бизнес-процессах, то такая сетевая связность должна быть устранена. Если сеть организации вовсе не сегментирована (плоская сеть), то одним из первых шагов кибертрансформации должна стать сегментация сети на основе бизнес-процессов.

Сколько первоочередных шагов кибертрансформации необходимо сформулировать

Количество первоочередных шагов не регламентировано, но оно должно соответствовать количеству выявленных недостатков в обеспечении защиты, которые позволяют нарушителю реализовать недопустимые события или упрощают вектор атаки на целевые системы. Перечень должен состоять из такого количества и таких шагов, которые в совокупности позволяют устранить все выявленные недостатки.