Экономика безопасности: когда ИБ становится полезной и понятной для бизнеса
Все безопасники сталкиваются с необходимостью экономического обоснования инвестиций в ИБ. Существует много подходов к тому, чтобы подсчитать, сколько же нужно инвестировать в ИБ, но все они не очень просты для понимания и использования.
Что делать в таком случае и как все-таки найти точки пересечения интересов бизнеса и ИБ? Об этом шла речь на сессии «Экономика безопасности», состоявшейся в первый день SOC-Форума «Практика противодействия кибератакам и построение центров мониторинга ИБ».
Исключить недопустимые события
Ведущий сессии Роман Чаплыгин, директор по бизнес-консалтингу Positive Technologies, высказал предположение, что нередко призывы к ИБ говорить на языке бизнеса не достигают своей цели, потому что у каждого «разные точки зрения, кругозор, области внимания».
«Мы понимаем, что бизнес нацелен, прежде всего, на получение дохода. Цель ИБ – защита от угроз, непонятных бизнесу. При этом бизнес все время настаивает на оптимизации, эффективности, сохранении расходов. Мы говорим о новых средствах защиты. Сходимся мы в том, что хотим исключить какие-то определенные моменты из своей деятельности. Безопасники хотят поменьше инцидентов ИБ. Бизнес хочет исключить различные непредвиденные потери. Наверное, если мы соединим эти две области, то сформируется какая-то единая история, понятная и специалистам ИБ, и бизнесу. Понятие «недопустимые события» имеет отклик, как со стороны бизнеса, так и со стороны безопасников. Приходит время, когда специалисты ИБ, обладая технической экспертизой, становятся полезными и понятными для бизнеса», – высказал свою точку зрения на проблему Роман Чаплыгин.
В сессии «Экономика безопасности» (прошла в формате mix – доклады, и дискуссии) принаняли участие ряд экспертов: Дарья Кошкина, руководитель направления аналитики киберугроз, Ростелеком-Солар; Ринат Сагиров, руководитель отдела систем мониторинга ИБ и защиты приложений ЦИБ, Инфосистемы Джет; Владимир Дмитриев, руководитель направления сервисов киберзащиты CyberART ГК Innostage; Алексей Комаров, региональный представитель, УЦСБ; Александр Шахлевич, директор по продажам в России и СНГ Algosec.
Экономика ИБ: по обе стороны баррикад
Дарья Кошкина, руководитель направления аналитики киберугроз, Ростелеком-Солар рассказала о стоимости и соотношении того, сколько стоит инцидент для атакованной компании и сколько средств туда вкладывают злоумышленники.
Среди главных тенденций эксперт отметила постепенное снижение стоимости проведения атаки в связи с доступностью инструментария. Сейчас не нужно обладать ни высокой квалификацией, ни большим бюджетом, чтобы приобрести необходимые инструменты и использовать их в противоправных целях.
«Нами было установлено, что порядка 10% российских компаний уже заражены различного вида ВПО. Разумеется, это не означает, что в них произойдет киберинцидент. Но если хотя бы в половине из них наступит киберинцидент, то это может привести к ущербу как минимум 45 млрд рублей», – отметила Дарья Кошкина.
Фишинг по-прежнему остается наиболее популярным инструментом преступников. В том числе благодаря тому, что здесь задействован пресловутый человеческий фактор, «на котором играли, играют и будут играть злоумышленники», подчеркнула эксперт.
Она рассказала о разработанных в Ростелеком-Солар моделях уровней нарушителей. Среди них эксперты выделяют, например, злоумышленников, приносящих наибольший урон экономике. Защита от них требует высококвалифицированных средств и компетенций. Есть уровень – киберхулиган – это низкоквалифицированые атаки, которые как укусы комара – неприятно, но пережить можно.
«Нами было подсчитано, что базовая атака с применением шифровальщика стоит не более полумиллиона рублей. Суммы вполне доступные для злоумышленников», – считает Дарья Кошкина.
Отвечая на вопрос, как нужно защищаться и что использовать, эксперт отметила, что в основном хватает базового инструментария. «И большинство инструментов – это то, что все мы уже привыкли называть кибергигиеной», – подчеркнула она.
Гибридные SOC
Ринат Сагиров, руководитель отдела систем мониторинга ИБ и защиты приложений ЦИБ компании «Инфосистемы Джет», в своем докладе «Гибридный быстро-SOC» рассказал о построении такого рода SOC.
По словам, эксперта, при построении центра реагирования в начале определяют задачи, которые он должен решать и уже потом составляющие компоненты – технологии, процессы и т.д. Необходимо также понять, кто это будет реализовывать такой проект.
«Заказчик часто не знает, какую модель сорсинга ему выбрать – инхаус, облачный вариант либо же гибридный, – отмечает Ринат Сагиров. – Мы задаем ряд вопросов, которые помогают определиться с моделью сорсинга».
Согласно статистике две трети заявок, которые получает компания в настоящее время – это заявки на построение как раз гибридного SOC. «За последние два года у нас уже 8 проектов по построению гибридных SOC, которые либо реализованы, либо в процессе завершения».
«Мы определяем, что гибридный SOC – это когда технологии находятся у заказчики, а все сервисы, которые определены для SOC, реализуют MSP-провайдер», – объясняет Ринат Сагиров. Эксперт также рассказал о существующих технологических архитектурах по реализации гибридных SOC.
Чем выше уровень SOC, тем больше затраты
Владимир Дмитриев, руководитель направления сервисов киберзащиты CyberART ГК Innostageуверен, что в настоящее время SOC является не опцией, а бизнес-требованием, неким must have. Конечно, это еще не означает, что бизнес выделит на безопасность необходимое количество средств, добавил он.
«Для того чтобы получить деньги на SOC, нужно определиться, какой уровень защиты он должен предоставлять. Нужно понять из каких компонент складывается затраты на SOC и стремиться сделать его экономически эффективным», – отметил эксперт.
Владимир Дмитриев рассказал о подходе для определения ключевых затрат. В первую очередь, необходимо обозначить те уровни защиты, которые должен предоставлять SOC. Эксперт выделил четыре уровня защиты.
Во-первых, базовый SOC – наиболее распространённый, работает с базовыми инцидентами и событиями. Во-вторых, уровень улучшенного SOC – характеризуется наличием дополнительных технологий. В-третьих, SOC продвинутого уровня – с гораздо более высоким качеством работы. Наконец, профессиональный SOC – характеризуется большой степенью автоматизации, наличием широкой аналитики, специальных метрик, дополнительных технологий, глубоко интегрирован в ИТ-инфраструктуру. В качестве проверки эффективности такого SOC применяются кибеучения.
«Из чего состоят затраты на SOC? – задается вопросом Владимир Дмитриев и сам же на него отвечает. – Это, в первую очередь, персонал, набор и подготовка команды. Это инструменты, которые необходимо внедрить, сопровождать и поддерживать. И это затраты на различные экспертные сервисы, например, расследование инцидентов. Соответственно чем выше уровень SOC, те больше затраты».