Елена ПономарёваОсновные процессы кибербезопасности
Елена ПономарёваЕлена ПономарёваНепрерывное и устойчивое функционирование любой организации требует пристального внимания к обеспечению кибербезопасности. Более того, рост числа кибератак, наблюдаемый ежегодно, требует от служб ИБ максимальной эффективности.
Внедрение технических решений, набор и обучение специалистов или разработка методологий в отрыве друг от друга не приведут к построению результативной кибербезопасности. В дополнение к указанным действиям необходимо добавить выстраивание процессов и их непрерывное развитие. Именно с помощью процессов обеспечиваются слаженное взаимодействие отдельных элементов (технических средств, специалистов), устойчивое функционирование и достижение необходимых результатов.
Какие же процессы кибербезопасности необходимы в организации? Рассмотрим подробнее.
Результат процесса управления недопустимыми событиями (ключевыми рисками) является основой для определения контура защиты и планирования мероприятий по построению и развитию кибербезопасности.
Более подробно об этапах управления недопустимыми событиями описано в разделах про и . Важно отметить, что в связи с постоянными изменениями бизнес-процессов организации (появление новых услуг или продуктов, организационные изменения и т. д.) перечень НС должен регулярно пересматриваться и обновляться. По результатам актуализации должны корректироваться планы развития кибербезопасности, область мониторинга, планы реагирования на инциденты и т. д.
Правильно установленные цели развития, мониторинг и контроль их достижения являются ключевыми факторами успеха построения результативной кибербезопасности.
Стратегия развития кибербезопасности должна учитывать общую стратегию развития организации, стратегию цифровой трансформации, результаты анализа недопустимых событий, результаты контроля состояния защищенности организации и т. д. Достижение поставленных целей должно постоянно отслеживаться и контролироваться при участии руководства организации через заранее определенный набор показателей.
Основной целью процесса является сбор и поддержание сведений об ИТ-активах в актуальном состоянии на протяжении всего их жизненного цикла.
Входными параметрами процесса являются перечни целевых и ключевых систем, полученных по результатам процесса управления НС. В свою очередь, процесс управления ИТ-активами играет немаловажную роль в построении других процессов кибербезопасности и позволяет определить, какие ИТ-активы должны защищаться в первую очередь и какие меры защиты должны быть приняты в зависимости от степени их важности.
Наличие уязвимостей в целевых или ключевых системах оказывает значительное влияние на уровень защищенности организации. Поэтому инфраструктура должна регулярно проверяться на наличие уязвимостей, и обнаруженные уязвимости должны анализироваться и своевременно устраняться.
Необходимо определить параметры процесса, такие как параметры и периодичность сканирования, SLA по устранению уязвимостей, методика приоритизации уязвимостей и т. д. Особое внимание стоит уделить выстраиванию коммуникации между участниками процесса (командами ИБ и ИТ), внедрить инструменты автоматизации.
После проникновения в инфраструктуру организации злоумышленник может находиться в ней недели и даже месяцы, оставаясь незамеченным, собирая информацию о системах и слабых местах в защите. Чтобы этого не допустить, должен быть обеспечен централизованный сбор информации о событиях и усиленный мониторинг всех целевых и ключевых систем с использованием единой платформы, позволяющей автоматизировать обработку событий.
Для этого необходимо с учетом НС определить область мониторинга (перечень источников, типы событий и параметры их регистрации), а также процедуру ее актуализации. Принимая во внимание особенности ИТ-инфраструктуры, актуальные тактики и техники злоумышленников, разработать и внедрить сценарии мониторинга (Use Cases), обеспечить их своевременную корректировку, например в случае ложных срабатываний или при подключении новых источников. Важно организовать защиту данных мониторинга и контролировать возможные ошибки.
Чем быстрее организация обнаружит и локализует инцидент, тем меньше шансов у злоумышленника на то, чтобы реализовать НС. В связи с этим должен быть определен порядок реагирования на инциденты и разработаны сценарии реагирования (playbook).
Для этого необходимо определить типы инцидентов и критерии их классификации (приоритизации), алгоритм взаимодействия между командами в ходе реагирования, SLA по обработке инцидентов и т. д. Особое внимание стоит уделить применению автоматизированных средств реагирования и регулярной отработке практических навыков по реагированию на кибератаки (например, посредством участия в киберучениях).
Учетные записи (УЗ) пользователей (особенно привилегированных) и пароли являются одной из приоритетных целей злоумышленников. Поэтому доступ должен предоставляться безопасно и постоянно контролироваться. Должна быть исключена возможность доступа к целевым и ключевым системам у пользователей, чьи функциональные обязанности не предполагают его наличие.
Необходимо определить минимальные права для каждой роли согласно функциональным обязанностям пользователя, обеспечить назначение, пересмотр и своевременную блокировку прав, реализовать строгую парольную политику и обеспечить контроль ее соблюдения. Особое внимание стоит уделить безопасности удаленного доступа, контролю доступа пользователей к целевым и ключевым системам с применением многофакторной аутентификации.
Корпоративная сеть — высокорисковый элемент ИТ-инфраструктуры любой организации, поскольку представляет множество возможностей для злоумышленника по проникновению, закреплению и развитию атаки на целевые и ключевые системы. В связи с этим организация должна выстроить процесс обеспечения сетевой безопасности.
Для этого необходимо сегментировать сеть, выделив в отдельные сегменты возможные точки проникновения (соединение с внешними сетями, точки доступа Wi-Fi , каналы удаленного доступа) и наиболее уязвимые сервисы на пути развития кибератаки. Обеспечить усиленный мониторинг и защиту указанных сегментов с применением средств сетевой защиты (например, межсетевые экраны, системы анализа трафика, IDS/IPS), обеспечить безопасность соединений удаленных сотрудников и сервисов.
Одной из распространенных тактик злоумышленников является компрометация рабочих станций с целью перехвата данных учетных записей пользователей, изучения инфраструктуры и дальнейшего развития атаки на целевые и ключевые системы. В связи с этим организация должна обеспечить защиту конечных точек.
Для защиты конечных точек необходимо применять комплексный подход (средства антивирусной защиты, контроль установленного ПО, решения класса EDR (XDR) и т. д.) Дополнительные меры защиты, например средства шифрования жестких дисков, должны применяться для мобильных устройств.
Если организация ведет собственную разработку приложений без учета аспектов безопасности, то рискует получить множество неприятных сюрпризов на этапе эксплуатации в виде уязвимостей ПО, с помощью которых возможна реализация НС, и дополнительных временных и ресурсных затрат на доработку. Организация должна обеспечивать безопасность на этапе разработки.
Необходимо выделить среды для разработки и тестирования в отдельные сегменты сети, разделить обязанности сотрудников по разработке и тестированию, реализовать запрет на использование «боевых» данных для тестирования, удаление УЗ и данных перед вводом в эксплуатацию, внедрить механизмы блокирующих проверок и проверок внешних библиотек, применять средства автоматизированного анализа кода и другие меры.
Практика показывает, что зачастую пользователь является самым слабым звеном в защите. Умение вовремя распознать аномальное поведение системы, не нажать на ссылку в письме от неизвестного отправителя, вовремя сообщить о подозрительной активности — все это является не менее эффективным средством противодействия кибератакам. Организация должна постоянно развивать навыки безопасного поведения сотрудников.
Для этого необходимо разработать программу развития навыков безопасного поведения пользователей, содержащую способы выявления атак с использованием социальной инженерии (фишинг, телефонное мошенничество и др.), признаков инцидентов (а также способы оповещения о них), правила защиты данных, безопасного доступа и т. д. Сведения должны доводиться до пользователей различными способами, например через информационные рассылки, тренинги, интерактивные курсы. Дополнительно стоит позаботиться о постоянном развитии экспертизы специалистов по ИБ. Навыки безопасного поведения должны регулярно контролироваться путем тестирования знаний пользователей.
Вместе с развитием технологий киберпреступность также использует новые методы и инструменты кибератак. Даже организация с высоким уровнем защищенности рискует деградировать и стать уязвимой. Организация должна непрерывно отслеживать и совершенствовать процессы кибербезопасности.
Для этого необходимо организовать регулярное проведение независимых оценок уровня защищенности. Особое внимание стоит уделить практическим проверкам, направленным на подтверждение возможности исключения НС (например, киберучениям или кибериспытаниям). Результаты проводимых мероприятий должны учитываться при выборе и модернизации защитных мер. В целях контроля динамики развития кибербезопасности необходимо установить четкие и понятные критерии (метрики) эффективности.
Отдельно хотелось бы выделить смежные процессы, которые оказывают значительное влияние на уровень защищенности организации. К данным процессам относятся следующие:
Этот процесс тесно связан с процессом управления уязвимостями, поскольку своевременная установка обновлений безопасности является одним из методов устранения уязвимостей. Организация должна обеспечить своевременную загрузку и установку обновлений.
Необходимо определить и соблюдать SLA по установке и тестированию обновлений ОС и ПО, выполнять оценку применимости доступного обновления. Если установка обновления по какой-то причине невозможна, должны применяться компенсирующие меры (выделение в отдельный сетевой сегмент, харденинг, установка дополнительных средств защиты). Крайне важно обеспечить контроль своевременной установки обновлений.
Бесконтрольные изменения могут принести организации немало проблем в виде непредвиденных сбоев систем, несанкционированных изменений параметров конфигураций и т. п. Как следствие — у злоумышленников появляются дополнительные возможности для реализации НС. Поэтому организация должна обеспечить контроль вносимых изменений.
Необходимо организовать регистрацию всех вносимых изменений, классификацию, оценку влияния и планирование этих изменений. Все изменения перед их применением должны проходить процедуру тестирования и контроля по результатам проведенных работ. Стоит особое внимание уделить изменениям целевых и ключевых систем и включить сотрудников ИБ в состав участников процесса с целью контроля влияния вносимых изменений.
В любой системе может быть незадействованная или неправильно настроенная функциональность, который может стать брешью в ее защите. Харденинг (настройка безопасности ОС и ПО) является одним из первых и эффективных шагов для повышения уровня защищенности организации.
Необходимо разработать и внедрить стандарты безопасной конфигурации для всех системных компонентов, сетевого оборудования и межсетевых экранов. Особое внимание стоить уделять критически важной инфраструктуре (внешний сетевой периметр, Wi-Fi-оборудование, целевые и ключевые системы); стандарты конфигураций должны учитывать их ценность и архитектуру. В обязательном порядке должен проводиться мониторинг и контроль применения безопасных конфигураций.
Даже если организация уверена в своей защищенности и устойчивости на все 100%, события типа «черный лебедь» по Нассиму Талебу (чрезвычайные редкие и непредсказуемые события) никто не отменял. Как показывает практика, и без таких событий достаточно случаев, когда нужно быстро вернуться к рабочему состоянию системы. В связи с этим организация должна обеспечить непрерывность и возможность быстрого восстановления процессов при наступлении таких событий.
Необходимо разработать планы восстановления после прерываний, содержащие показатели для успешного восстановления (RTO, RPO), заблаговременно обеспечить резервное копирование. Особое внимание стоит уделить безопасности хранения резервных копий (например, путем дублирования резервных копий и хранения их в местах, недоступных по сети организации, поиска и удаления неиспользуемых бэкапов боевых баз, регулярной проверки мест хранения). Важно организовать проверку готовности через регулярное тестирование планов восстановлений.
В заключение хотелось бы отметить, что вышеприведенный перечень процессов кибербезопасности не является исчерпывающим и может дополняться в зависимости от специфики деятельности организации.
Кроме того, не стоит забывать о том, что процессы и область их функционирования не являются статичными и постоянно изменяются. Необходимо уделять внимание их своевременной адаптации, в том числе за счет применения современных технологий (технических решений), и непрерывному развитию экспертизы команды.