С момента обнаружения киберугрозы до её закрытия обычно проходит около года. Но ни один департамент информационной безопасности уже сегодня не может позволить себе потратить на решение проблемы столько времени — интервалы между схожими массовыми атаками сократились до нескольких недель. Именно поэтому одна из приоритетных задач сегодня — найти новую модель защиты от угроз, которая могла бы обеспечить защиту бизнеса в приемлемые сроки.
ПРОДУКТИВНЫЙ ПОДХОД
Производители решений для киберзащиты стараются использовать любой информационный повод для продвижения своих продуктов. После WannaCry и Not.Petya в короткие сроки появилось множество статей и инструкций, в которых содержатся рекомендации, как защитить бизнес от атаки вирусов-шифровальщиков. Поставщики защиты от целенаправленных атак напоминают про риск zero day и наличие неизвестных уязвимостей, от которых можно спастись, используя песочницы. Поставщики систем резервного копирования призывают копировать данные, чтобы в случае атаки иметь возможность их восстановить и снизить ущерб для бизнеса. Компании, занимающиеся проверками наличия уязвимостей, версионности ПО и др. убеждают, что своевременная установка обновлений способна защитить от атак, что в какой-то степени соответствует действительности, ведь информация о наличии уязвимостей появилась задолго до самих атак. И сейчас уже все знают, что Microsoft достаточно оперативно выпустил обновления патчей, но мало кто их установил. Поставщики SIEM призывают «мониторить» события, происходящие в вашей сети — обнаружение атаки на ранней стадии может вовсе предотвратить её.
Несмотря на преимущества такого подхода (бить чётко в цель), очевидно, что он сложен в реализации, поскольку носит довольно разрозненный характер и требует от заказчика самостоятельного анализа эффективности использования каждого продукта.
ИНТЕГРАТОРСКИЙ ПОДХОД
Привлечение интегратора избавляет от необходимости досконально знать возможности того или иного продукта, поскольку предполагается, что вместе с услугами интегратора вы покупаете его экспертизу в этом вопросе. Данный подход определённо можно назвать более зрелым, поскольку он основан на понимании необходимости комплексного подхода к безопасности.
Интеграторы дают рекомендации — как лучше строить систему защиты от угроз, какие продукты использовать. Однако при всём удобстве такого подхода ответственность за эффективность всё равно лежит на заказчике.
SECURITY AS A SERVISE (SECaaS)
К сожалению, ни интеграторский, ни продуктовый подходы не соответствуют требованиям, которые предъявляют текущие реалии: чтобы привести вашу систему безопасности к необходимому уровню, нужно затратить непозволительно много времени. Посмотрим, из чего складывается время на ликвидацию проблемы. После атак вирусов-шифровальщиков весной-летом 2017 года многие компании задумались о внедрении системы резервного копирования. Стартует длительный многоэтапный процесс: выбор продукта (встречи с поставщиками, сравнение и составление списка продуктов, отобранных для пилотирования – 2-3 месяца) > реализация пилотов и выбор поставщика (2-3 месяца) > согласование бюджета (сумма будет существенна, поэтому бюджет будет заложен только на следующий год — ещё полгода ожидания) > конкурс (будет проводиться в новом году — 2 месяца) > внедрение (2-3 месяца).
Получаем целый календарный год. Мы помним, что Not.Petya случился всего лишь через 1,5 месяца после WannaCry. Думаю, что к приходу Not.Petya состоялись бы только первые 2-3 встречи с вендорами, что, конечно, никак не отразилось бы на степени защищённости организации.
В редких случаях департаменту информационной безопасности могут выделить бюджет уже в текущем году (если компания стала жертвой вируса), но даже в ускоренном темпе система резервного копирования была бы построена только к концу года. С другими системами ситуация была бы аналогична, а в некоторых случаях процесс занял бы ещё больше времени.
Интеграторский подход, возможно, более распространён, но и он не способен сократить этот немалый срок. Таким образом, очередной вирус нанесёт вам ущерб, возможно, даже больший, чем его предшественники, просто потому, что невозможно подготовиться к атаке, используя старые подходы. Риск от таких атак нельзя недооценивать — многие заказчики, вынужденные приостановить работу некоторых своих бизнес-процессов, пришли к нам именно после инцидента с Not.Petya.
Хорошо всем известный подход аутсорсинга кибербезопасности, заключающийся в привлечении сервис-провайдеров (MSSP), способен существенно сократить сроки построения системы защиты. Например, в ситуации с созданием системы резервного копирования провайдер изучает архитектуру, смотрит, какой объём данных необходимо копировать. Затем предлагает решение, которое базируется на полученных данных и его опыте. Через неделю озвучивает цену услуги. Учитывая время на выбор провайдера (2 недели) и время на подключение услуги (2 недели) получается примерно 1-1,5 месяца с момента обнаружения проблемы до её закрытия. Поэтому механизм аутсорсинга MSSP-провайдера — вероятно, самый быстрый и эффективный способ действительно защитить бизнес от киберугроз и сохранить репутацию ИТ-директора.
А ЧТО ДАЛЬШЕ?
Впрочем, радоваться рано. Через некоторое время даже такой формат будет неэффективен для заказчика, поскольку сложность угроз возрастает. Специалистам по кибербезопасности со стороны клиента придётся быть экспертами высшего класса в умении определить, при помощи каких сервисов можно решить проблему. Но даже быть суперэкспертом — недостаточно. Такой специалист должен обладать достаточным авторитетом среди собственного бизнес-руководства, чтобы уметь обосновать и убедить их в том, что им нужен именно такой набор сервисов, потому что только такой набор решит их проблемы. Бизнес-заказчик не понимает, зачем ему нужна песочница как сервис, например. Если даже понимает, что нужна, то надо объяснить, почему именно эта. Почему мы должны платить в год такую-то сумму, а не в два раза меньшую.
Бизнес-заказчику неважно, какие сервисы кибербезопасности вы используете — обеспечьте безопасность его бизнес-процессов.
Представителям бизнеса сложно ориентироваться в параметрах сервисов кибербезопасности, они не обязаны разбираться в них, в отличие от параметров работоспособности бизнес-процессов и технологических процессов. Если провайдер обеспечивает этот бизнес-SLA и несёт финансовую ответственность в случае отклонения от него — это наиболее предпочтительная ситуация для бизнес-заказчика.
Бизнес может высказывать требования, что время простоя его IT-сервисов не должно превышать, например, 4-х часов единоразово. За такое время простоя он готов заплатить, например, миллион рублей. Если простой больше, то появляется заранее определённый штраф. Чем больше время простоя — тем больше. Это понятные бизнесу категории. Более того — в такие же категории можно уложить даже утечку конфиденциальных данных.
Аналогично, например, строится обеспечение физической безопасности в банке. Банк не требует ту или иную экипировку сотрудников охранной фирмы, не диктует, как они должны быть вооружены. Это дело ЧОПа. Через некоторое время этот же подход будет актуален и для кибербезопасности.
Суть такого подхода заключается в том, что экспертиза подбора механизмов кибербезопасности выносится на сторону провайдера, который будет определять список сервисов и их технических SLA, чтобы обеспечить допустимое время простоя, требуемое время восстановления и др.
Конечно, такая модель применима не ко всем организациям. Некоторые компании федерального и транснационального масштаба предпочтут иметь высококлассного специалиста в штате. Однако для многих будет эффективнее передать экспертизу по выбору решений внешней компании, которая будет нести финансовую ответственность, в отличие от штатного сотрудника.
Можно прогнозировать, что такая модель потребления услуг кибербезопасности станет массовой года через 2-3. Сейчас же это только начинает обсуждаться профессиональным сообществом.
.png)