Всего четыре шага являются ключевыми элементами трансформации бизнеса и достижению состояния, где недопустимое невозможно. Об этом на примере своей компании рассказал технический директор центра компетенций Positive Technologies Евгений Зубов в рамках конференции GIS Days 2021.

 

Предыстория

По словам спикера, до сих пор в большинстве компаний информационная безопасность опирается на некие стандарты уровней зрелости, которых обычно 7-8, причем «на восьмом творится полное мракобесие, которое не достижимо в принципе». Но для простоты он объединил их в три: базовый, продвинутый и экспертный. «И все, чем занимается среднестатистический безопасник в организации, он пытается перейти с базового на продвинуты, с продвинутого на экспертный уровень для того, чтобы соответствовать статусу компании и быть более защищенным», — сказал Евгений Зубов.

Однако у такого подхода есть множество недостатков. Во-первых, это долго и дорого. Во-вторых, все загнаны в рамки одного рынка специалистов, на котором их количество супер ограничено, не говоря уже про узкий скоп безопасников, способных доставлять результат на уровне компании, которая значима в масштабах индустрии или государства. В-третьих, показатели, которыми эксперты кибербеза измеряют качество своей работы, непонятны бизнесу. И при этом ответ на вопрос «А нас взломать-то можно?» до сих пор носит вероятностный характер.

 

Немного личного примера

Поэтому в компании Positive Technologies задумались над тем, а нельзя ли сделать что-то гарантированно невозможным. И искать ответ начали с себя. Поэтому первый вопрос, который они задали сами себе: «А что для компании Positive Technologies с точки зрения кибербеза является недопустимыми событиями или сценариями Судного дня, после которых мы как компания можем закрыться?».

«Ответ первый самый банальный — это кража денег в объеме «более, чем...». У нас много обязательств перед нашими партнерами и клиентами, если у нас со счетов компании украдут определенную сумму денег (мне ее не разрешают называть, но она внушительная, поверьте), мы, наверно, прям не выполним обязательства, и компания Positive перестанет существовать», — поделился Евгений Зубов. 

Второй сценарий Судного дня — утечка отчета теста на проникновение. Компания ежегодно делает более ста консалтинговых работ по проведению пентеста, по итогу которого формируется отчет, по факту являющийся инструкцией как взломать их клиента. «Мы, конечно, очень бережно к ним относимся, и не было еще ни одного такого случая, чтобы эти отчеты утекали в паблик, но если это вдруг произойдет, доверие к компании будет подорвано, и мы, наверно, этого не переживем», — сказал спикер.

И третий сценарий — установка хакерами бэкдора в их ПО. «Мы являемся производителями программного обеспечения в области кибербеза. Если хакеру удастся получить доступ к нашим билд-серверам, залить бэкдор, который мы потом вместе с апдейтами разошлем нашим клиентам, ну все, наверно, еще один из факторов, которые могут подорвать репутацию компании и на этом можно наш бизнес маленький завершать», — пояснил Евгений Зубов.

Как они к этому пришли? Изначально они обратились к своему топ-менеджменту и поинтересовались, чего тот боится больше всего. И уже на основании ответов сформировали перечень недопустимых событий или сценариев Судного дня. Затем нашли «владельцев» этих страхов и обратились к ним, чтобы выявить целевые системы для компрометации. И уже после этого вместе с ИТшниками раскопали все до инфраструктуры.

«По факту мы определили все три уровня недопустимых событий или рисков. Что у нас по итогу получилось? Получился некий реестр недопустимых событий, где у нас есть сценарии реализации (мы, конечно, верифицировали все то, чего мы боимся, с помощью наших хакеров, которые показали нам существующие пути, как этого можно добиться), мы определили целевые системы и критерии реализации (то, как мы договорились с нашими хакерами, как мы считаем, что они добились целей и смогли реализовать то или иное недопустимое событие)», — пояснил Евгений Зубов.

Таким образом в Positive Technologies выработали пошаговый план, который помог им перейти к тому, что они смело могут сказать, что выделенные ими сценарии Судного дня недопустимы в их организации:

  1. Определение недопустимых событий ИБ (рисков)
  2. Декомпозиция рисков на целевые системы
  3. Определение модели угроз и возможных сценариев реализации рисков (определение ключевых систем)
  4. Харденинг ИТ-инфраструктуры/Изменение бизнес-процессов
  5. Построение ЦПК
  6. Оценка эффективности принятых мер. Киберучения
  7. Адаптация политик ИБ (включая харденинг и мониторинг) по результатам проведенных киберучений

 

Четыре великих шага

«Если говорить крупноблочно, то ключевыми элементами в этой трансформации к осознанию и к достижению состояния, где недопустимое невозможно, по факту являются четыре шага», — отметил Евгений Зубов.

Первый шаг — это сценарный анализ и определение ущерба. «Чаще всего их могут сформулировать исключительно топ-менеджеры компании, потому что то, что кажется безопаснику недопустимым, иногда топ-менеджеру или владельцу бизнеса так не кажется. В этом смысле вовлеченность топ-менеджмента — это супер важный и критичный момент, потому как только на этом уровне можно действительно понять, а чего организация боится и какие действительно сценарии Судного дня у организации существуют», — сказал спикер.

Второй шаг — верификация рисков и моделирование угроз. Это сложный процесс, когда мы говорим: «вот недопустимое событие, сценарий его реализации такой, через такие целевые, ключевые системы злоумышленник может, скомпрометировав их, реализовать этот самый сценарий Судного дня». «По факту для нас это карта и скоп работ, которые мы должны выполнить для того, чтобы сделать так, чтобы недопустимые для компании события не случались», — пояснил Евгений Зубов.

Третий шаг — формирование программы кибер-трансформации. Эксперт еще раз отметил, что здесь крайне важно вовлечение топ-менеджмента, потому что именно он является драйвером изменений и трансформации в компании. И если драйвить эту историю будут безопасники, то «это прям грустная история, ИТшники от нее отнекиваются, начиная даже с самого простого процесса управления уязвимостями, и только бизнес по большому счету может придать динамики этой истории».

Четвертый шаг — киберучения и повышение устойчивости. Как рассказал спикер, они уже провели три киберучения в своей компании, когда приглашали своих коллег с рынка, их конкурентов, которые в течение порядка 45 дней атаковали инфраструктуру Positive Technologies с целью реализовать те события, которые для них являются недопустимыми сценариями. И сразу спойлер: ни у кого не получилось, так как их заметили раньше, чем они добрались до тех критериев, которые в Positive Technologies считали успехов в этой истории.

«Но знаете какую важную мысль мы отсюда вынесли? И даже не сами, а нам помог заказчик. Говорит: «Смотрите, вы такие хитрые, вы пускаете третью сторону к своей инфраструктуре, потому что за вами нет атомной станции». Мы помозговали — ну как бы не совсем так. Мы являемся поставщиками оборудования и программного обеспечения, в том числе в различных отраслях нашей промышленности — за нами все, извините. И когда мы проводим такого рода работы, мы как раз хотим сказать, что с нами безопасно, мы что-то можем гарантировать», — отметил Евгений Зубов.

 

В заключение

«Что важно? Подводя итог всему вышесказанному, результат, когда ИБшник что-то гарантирует, бизнесу понятен. Там нет метрик, которые эфемерны, которые увеличиваются на проценты, все понятно: «можно меня взломать? — Нет, нельзя». Я не говорю, что нельзя сломать целиком. Если у нас у бухгалтерии, например, зашифруется несколько рабочих станций или первая линия будет майнить биткоин для кого-то, мы, конечно, чуточку расстроимся, но это не будет для нас сценарием Судного дня, наши ИТшники все починят. И я могу сказать так: что сейчас уже заметен запрос бизнеса к ИБ в формулировках, о которых я сегодня уже поговорил», — заключил Евгений Зубов.

 

BIS Journal — информационный партнер GIS Days 2021.

11 октября, 2021