Основные процессы кибербезопасности

Какие процессы кибербезопасности необходимы в организации?

Непрерывное и устойчивое функционирование любой организации требует пристального внимания к обеспечению кибербезопасности. Более того, рост числа кибератак, наблюдаемый ежегодно, требует от служб ИБ максимальной эффективности.

Внедрение технических решений, набор и обучение специалистов или разработка методологий в отрыве друг от друга не приведут к построению результативной кибербезопасности. В дополнение к указанным действиям необходимо добавить выстраивание процессов и их непрерывное развитие. Именно с помощью процессов обеспечиваются слаженное взаимодействие отдельных элементов (технических средств, специалистов), устойчивое функционирование и достижение необходимых результатов.

Какие же процессы кибербезопасности необходимы в организации? Рассмотрим подробнее.

1. Управление недопустимыми событиями (НС)

Зачем?

Результат процесса управления недопустимыми событиями (ключевыми рисками) является основой для определения контура защиты и планирования мероприятий по построению и развитию кибербезопасности.

Каким образом?

Более подробно об этапах управления недопустимыми событиями описано в разделах про определение недопустимых событийопределение недопустимых событийопределение недопустимых событий и составление и использование перечня недопустимых событийсоставление и использование перечня недопустимых событийсоставление и использование перечня недопустимых событий. Важно отметить, что в связи с постоянными изменениями бизнес-процессов организации (появление новых услуг или продуктов, организационные изменения и т. д.) перечень НС должен регулярно пересматриваться и обновляться. По результатам актуализации должны корректироваться планы развития кибербезопасности, область мониторинга, планы реагирования на инциденты и т. д.

Что в результате:

• организация знает, какие события, связанные с кибератаками, являются для нее недопустимыми, и выстраивает кибербезопасность с целью исключения возможности их реализации;
• выделены целевые системы, которые являются главными целями киберпреступников и через которые возможна реализация НС;
• получены сведения, необходимые для определения границ объекта защиты.

2. Стратегическое развитие с фокусом на недопустимые события

Зачем?

Правильно установленные цели развития, мониторинг и контроль их достижения являются ключевыми факторами успеха построения результативной кибербезопасности.

Каким образом?

Стратегия развития кибербезопасности должна учитывать общую стратегию развития организации, стратегию цифровой трансформации, результаты анализа недопустимых событий, результаты контроля состояния защищенности организации и т. д. Достижение поставленных целей должно постоянно отслеживаться и контролироваться при участии руководства организации через заранее определенный набор показателей.

Что в результате:

• четкая и понятная дорожная карта развития кибербезопасности на ближайшие несколько лет;
• возможность прозрачного планирования и обоснования ресурсов на развитие кибербезопасности;
• поддержка инициатив по развитию кибербезопасности со стороны руководства организации;
• непрерывное отслеживание динамики развития кибербезопасности и принятие своевременных корректирующих решений.

3. Управление ИТ-активами

Зачем?

Основной целью процесса является сбор и поддержание сведений об ИТ-активах в актуальном состоянии на протяжении всего их жизненного цикла.

Каким образом?

Входными параметрами процесса являются перечни целевых и ключевых систем, полученных по результатам процесса управления НС. В свою очередь, процесс управления ИТ-активами играет немаловажную роль в построении других процессов кибербезопасности и позволяет определить, какие ИТ-активы должны защищаться в первую очередь и какие меры защиты должны быть приняты в зависимости от степени их важности.

Что в результате:

• организация обладает полными, достоверными и актуальными сведения об инфраструктуре;
• получены входные параметры, необходимые для построения процесса управления уязвимостями;
• повышено качество мониторинга событий ИБ за счет полных и актуальных сведений об активах.

4. Управление уязвимостями

Зачем?

Наличие уязвимостей в целевых или ключевых системах оказывает значительное влияние на уровень защищенности организации. Поэтому инфраструктура должна регулярно проверяться на наличие уязвимостей, и обнаруженные уязвимости должны анализироваться и своевременно устраняться.

Каким образом?

Необходимо определить параметры процесса, такие как параметры и периодичность сканирования, SLA по устранению уязвимостей, методика приоритизации уязвимостей и т. д. Особое внимание стоит уделить выстраиванию коммуникации между участниками процесса (командами ИБ и ИТ), внедрить инструменты автоматизации.

Что в результате:

• на активах организации отсутствуют опасные уязвимости.

5. Мониторинг событий ИБ

Зачем?

После проникновения в инфраструктуру организации злоумышленник может находиться в ней недели и даже месяцы, оставаясь незамеченным, собирая информацию о системах и слабых местах в защите. Чтобы этого не допустить, должен быть обеспечен централизованный сбор информации о событиях и усиленный мониторинг всех целевых и ключевых систем с использованием единой платформы, позволяющей автоматизировать обработку событий.

Каким образом?

Для этого необходимо с учетом НС определить область мониторинга (перечень источников, типы событий и параметры их регистрации), а также процедуру ее актуализации. Принимая во внимание особенности ИТ-инфраструктуры, актуальные тактики и техники злоумышленников, разработать и внедрить сценарии мониторинга (Use Cases), обеспечить их своевременную корректировку, например в случае ложных срабатываний или при подключении новых источников. Важно организовать защиту данных мониторинга и контролировать возможные ошибки.

Что в результате:

• область мониторинга сформирована с учетом НС и покрывает все целевые и ключевые системы;
• осуществляется централизованный сбор, обработка, анализ и хранение сведений о событиях ИБ;
• потенциальные инциденты своевременно обнаруживаются и передаются для последующего реагирования.

6. Реагирование на инциденты

Зачем?

Чем быстрее организация обнаружит и локализует инцидент, тем меньше шансов у злоумышленника на то, чтобы реализовать НС. В связи с этим должен быть определен порядок реагирования на инциденты и разработаны сценарии реагирования (playbook).

Каким образом?

Для этого необходимо определить типы инцидентов и критерии их классификации (приоритизации), алгоритм взаимодействия между командами в ходе реагирования, SLA по обработке инцидентов и т. д. Особое внимание стоит уделить применению автоматизированных средств реагирования и регулярной отработке практических навыков по реагированию на кибератаки (например, посредством участия в киберучениях).

Что в результате:

• своевременное выявление инцидентов ИБ и реагирование на них;
• минимизация последствий от инцидентов ИБ.

7. Управление доступом

Зачем?

Учетные записи (УЗ) пользователей (особенно привилегированных) и пароли являются одной из приоритетных целей злоумышленников. Поэтому доступ должен предоставляться безопасно и постоянно контролироваться. Должна быть исключена возможность доступа к целевым и ключевым системам у пользователей, чьи функциональные обязанности не предполагают его наличие.

Каким образом?

Необходимо определить минимальные права для каждой роли согласно функциональным обязанностям пользователя, обеспечить назначение, пересмотр и своевременную блокировку прав, реализовать строгую парольную политику и обеспечить контроль ее соблюдения. Особое внимание стоит уделить безопасности удаленного доступа, контролю доступа пользователей к целевым и ключевым системам с применением многофакторной аутентификации.

Что в результате:

• снижение возможности реализации НС через компрометацию учетных данных пользователей со стороны злоумышленника.

8. Сетевая безопасность

Зачем?

Корпоративная сеть — высокорисковый элемент ИТ-инфраструктуры любой организации, поскольку представляет множество возможностей для злоумышленника по проникновению, закреплению и развитию атаки на целевые и ключевые системы. В связи с этим организация должна выстроить процесс обеспечения сетевой безопасности.

Каким образом?

Для этого необходимо сегментировать сеть, выделив в отдельные сегменты возможные точки проникновения (соединение с внешними сетями, точки доступа Wi-Fi , каналы удаленного доступа) и наиболее уязвимые сервисы на пути развития кибератаки. Обеспечить усиленный мониторинг и защиту указанных сегментов с применением средств сетевой защиты (например, межсетевые экраны, системы анализа трафика, IDS/IPS), обеспечить безопасность соединений удаленных сотрудников и сервисов.

Что в результате:

• ограничение возможностей злоумышленника по проникновению в сеть организации;
• снижение возможности бесконтрольного перемещения злоумышленника внутри сети, изучению инфраструктуры и развитию атак на целевые системы.

9. Защита конечных точек

Зачем?

Одной из распространенных тактик злоумышленников является компрометация рабочих станций с целью перехвата данных учетных записей пользователей, изучения инфраструктуры и дальнейшего развития атаки на целевые и ключевые системы. В связи с этим организация должна обеспечить защиту конечных точек.

Каким образом?

Для защиты конечных точек необходимо применять комплексный подход (средства антивирусной защиты, контроль установленного ПО, решения класса EDR (XDR) и т. д.) Дополнительные меры защиты, например средства шифрования жестких дисков, должны применяться для мобильных устройств.

Что в результате:

• снижение возможностей злоумышленника реализовать НС через компрометацию рабочих станций и серверов организации, а также хищения особо ценных данных.

10. Безопасная разработка приложений

Зачем?

Если организация ведет собственную разработку приложений без учета аспектов безопасности, то рискует получить множество неприятных сюрпризов на этапе эксплуатации в виде уязвимостей ПО, с помощью которых возможна реализация НС, и дополнительных временных и ресурсных затрат на доработку. Организация должна обеспечивать безопасность на этапе разработки.

Каким образом?

Необходимо выделить среды для разработки и тестирования в отдельные сегменты сети, разделить обязанности сотрудников по разработке и тестированию, реализовать запрет на использование «боевых» данных для тестирования, удаление УЗ и данных перед вводом в эксплуатацию, внедрить механизмы блокирующих проверок и проверок внешних библиотек, применять средства автоматизированного анализа кода и другие меры.

Что в результате:

• бесперебойность работы и безопасность приложений собственной разработки как для сотрудников организации, так и для внешнего потребителя.

11. Обучение практикам кибербезопасности

Зачем?

Практика показывает, что зачастую пользователь является самым слабым звеном в защите. Умение вовремя распознать аномальное поведение системы, не нажать на ссылку в письме от неизвестного отправителя, вовремя сообщить о подозрительной активности — все это является не менее эффективным средством противодействия кибератакам. Организация должна постоянно развивать навыки безопасного поведения сотрудников.

Каким образом?

Для этого необходимо разработать программу развития навыков безопасного поведения пользователей, содержащую способы выявления атак с использованием социальной инженерии (фишинг, телефонное мошенничество и др.), признаков инцидентов (а также способы оповещения о них), правила защиты данных, безопасного доступа и т. д. Сведения должны доводиться до пользователей различными способами, например через информационные рассылки, тренинги, интерактивные курсы. Дополнительно стоит позаботиться о постоянном развитии экспертизы специалистов по ИБ. Навыки безопасного поведения должны регулярно контролироваться путем тестирования знаний пользователей.

Что в результате:

• возможность предупреждения инцидентов ИБ;
• снижение рисков реализации НС методами социальной инженерии.

12. Практическая оценка защищенности

Зачем?

Вместе с развитием технологий киберпреступность также использует новые методы и инструменты кибератак. Даже организация с высоким уровнем защищенности рискует деградировать и стать уязвимой. Организация должна непрерывно отслеживать и совершенствовать процессы кибербезопасности.

Каким образом?

Для этого необходимо организовать регулярное проведение независимых оценок уровня защищенности. Особое внимание стоит уделить практическим проверкам, направленным на подтверждение возможности исключения НС (например, киберучениям или bug bounty в формате охоты на недопустимые события). Результаты проводимых мероприятий должны учитываться при выборе и модернизации защитных мер. В целях контроля динамики развития кибербезопасности необходимо установить четкие и понятные критерии (метрики) эффективности.

Что в результате:

• непрерывно развивающаяся и адаптирующаяся кибербезопасность, отвечающая современным вызовам.

Какие смежные с ИБ процессы оказывают значительное влияние на уровень киберустойчивости организации?

Отдельно хотелось бы выделить смежные процессы, которые оказывают значительное влияние на уровень защищенности организации. К данным процессам относятся следующие:

1. Управление обновлениями

Зачем?

Этот процесс тесно связан с процессом управления уязвимостями, поскольку своевременная установка обновлений безопасности является одним из методов устранения уязвимостей. Организация должна обеспечить своевременную загрузку и установку обновлений.

Каким образом?

Необходимо определить и соблюдать SLA по установке и тестированию обновлений ОС и ПО, выполнять оценку применимости доступного обновления. Если установка обновления по какой-то причине невозможна, должны применяться компенсирующие меры (выделение в отдельный сетевой сегмент, харденинг, установка дополнительных средств защиты). Крайне важно обеспечить контроль своевременной установки обновлений.

Что в результате:

• в активах организации отсутствуют уязвимости;
• стабильная и бесперебойная работа систем и сервисов.

2. Управление изменениями

Зачем?

Бесконтрольные изменения могут принести организации немало проблем в виде непредвиденных сбоев систем, несанкционированных изменений параметров конфигураций и т. п. Как следствие — у злоумышленников появляются дополнительные возможности для реализации НС. Поэтому организация должна обеспечить контроль вносимых изменений.

Каким образом?

Необходимо организовать регистрацию всех вносимых изменений, классификацию, оценку влияния и планирование этих изменений. Все изменения перед их применением должны проходить процедуру тестирования и контроля по результатам проведенных работ. Стоит особое внимание уделить изменениям целевых и ключевых систем и включить сотрудников ИБ в состав участников процесса с целью контроля влияния вносимых изменений.

Что в результате:

• снижение вероятности остановок деятельности, вызванных недостаточно хорошо спланированными изменениями;
• оценка и своевременный контроль влияния вносимых изменений на защищенность организации.

3. Управление настройками безопасности

Зачем?

В любой системе может быть незадействованная или неправильно настроенная функциональность, который может стать брешью в ее защите. Харденинг (настройка безопасности ОС и ПО) является одним из первых и эффективных шагов для повышения уровня защищенности организации.

Каким образом?

Необходимо разработать и внедрить стандарты безопасной конфигурации для всех системных компонентов, сетевого оборудования и межсетевых экранов. Особое внимание стоить уделять критически важной инфраструктуре (внешний сетевой периметр, Wi-Fi-оборудование, целевые и ключевые системы); стандарты конфигураций должны учитывать их ценность и архитектуру. В обязательном порядке должен проводиться мониторинг и контроль применения безопасных конфигураций.

Что в результате:

• снижение возможностей злоумышленника реализовать НС путем использования недостатков в конфигурации.

4. Непрерывность и восстановление

Зачем?

Даже если организация уверена в своей защищенности и устойчивости на все 100%, события типа «черный лебедь» по Нассиму Талебу (чрезвычайные редкие и непредсказуемые события) никто не отменял. Как показывает практика, и без таких событий достаточно случаев, когда нужно быстро вернуться к рабочему состоянию системы. В связи с этим организация должна обеспечить непрерывность и возможность быстрого восстановления процессов при наступлении таких событий.

Каким образом?

Необходимо разработать планы восстановления после прерываний, содержащие показатели для успешного восстановления (RTO, RPO), заблаговременно обеспечить резервное копирование. Особое внимание стоит уделить безопасности хранения резервных копий (например, путем дублирования резервных копий и хранения их в местах, недоступных по сети организации, поиска и удаления неиспользуемых бэкапов боевых баз, регулярной проверки мест хранения). Важно организовать проверку готовности через регулярное тестирование планов восстановлений.

Что в результате:

• при возникновении нештатных ситуаций организация способна быстро восстановить и продолжить работу в штатном режиме.

Заключение

В заключение хотелось бы отметить, что вышеприведенный перечень процессов кибербезопасности не является исчерпывающим и может дополняться в зависимости от специфики деятельности организации.

Кроме того, не стоит забывать о том, что процессы и область их функционирования не являются статичными и постоянно изменяются. Необходимо уделять внимание их своевременной адаптации, в том числе за счет применения современных технологий (технических решений), и непрерывному развитию экспертизы команды.