Думайте сами, решайте сами… Как усилить защиту, не нарушив бизнес-процессов

BIS Journal №2(45)/2022

1 мая, 2022

Думайте сами, решайте сами… Как усилить защиту, не нарушив бизнес-процессов

Начать мы хотели бы с ключевого совета, который был дан одним из топ-менеджеров: «Если вы чего-то не знаете, то это исключительно ваша проблема». Этот совет применим ко многим областям ИБ, но давайте рассмотрим его с позиции влияния средств защиты информации на бизнес-процессы. Данная статья будет интересна специалистам, которые недавно погрузились в вопросы информационной безопасности или имеют небольшой опыт работы.

 

ВЛИЯНИЕ СРЕДСТВ ИБ НА БИЗНЕС 

В любом учебнике по ИБ можно найти описание ключевых параметров безопасности: доступность, целостность, конфиденциальность. Мы специально не будем рассматривать три дополнительных параметра из гексады Паркера, чтобы не усложнять статью. Итак, начнём. Если конфиденциальность и целостность в любой компании являются незыблемыми авторитетами, то в части доступности всегда будут прения с бизнесом, особенно если вы работаете в коммерческой организации. Бизнес всегда будет недоволен вводимыми ограничениями и всегда будет пытаться их обойти или снять. «Выложенная в интернет база со свободным доступом» всегда будет удобнее для бизнеса, чем использование построенных вами систем безопасного доступа, и тут стоит искать здравый компромисс. При построении любой системы доступа к информации нужно изучать бизнес-процессы и оценивать влияние средств защиты на них.

 

ЗАЩИТА ВНЕШНЕГО ПЕРИМЕТРА И СЕО-ОПТИМИЗАЦИЯ 

Возьмём известный всем процесс построения периметральной системы защиты для вашего интернет-ресурса, в первую очередь сайта компании. Чтобы защитить доступный из сети ресурс, понадобятся: Firewall (межсетевой экран), Web application firewall, IPS/IDS (системы предотвращения вторжения) и система защиты от DDoS (на канале провайдера или систем очистки трафика сторонней компанией).

А как это всё влияет на отклик сайта? И как отклик влияет на поисковый рейтинг? Если закрутить гайки проверок на этих средствах на максимум, то каждый пакет будет проверяться довольно долго, а значит, влияние окажется значительным. Давайте попробуем рассмотреть настройки IPS и как можно их подкрутить под изученный бизнес-процесс. Как известно, есть трафик пользовательский, а есть серверный, и для них существуют разные угрозы. Очевидно, если речь идёт про защиту сайта, это серверный трафик, а значит, постарайтесь сделать настройки средства защиты информации так, чтобы проверки пользовательского трафика на него не распространялись. Вам незачем включать проверки, относящиеся к пользовательским рабочим станциям, угрозы для пользовательских операционных систем для вас неактуальны. Отключив проверки трафика для пользовательского сегмента, вы не уменьшите уровень защиты, но проверка трафика будет проходить в разы быстрее.

Допустим, у вас есть сервис получения различных файлов от клиентов, а проверку файлы проходят в песочнице. Постарайтесь понять, в каких процессах у вас участвует сбор информации от клиентов. Какая это информация? В каких форматах? Чем больше вы узнаете о сервисе, тем проще вам будет настроить профиль защиты, а главное, что у вас будет описание того, что проверяется и почему и что может проходить свободно без проверки. Добавьте к этому аргументы по минимизируемым рискам, и бизнес будет доволен.

Посмотрите на построенную вами систему защиту для предотвращения вторжения. Поговорите с владельцем бизнеса, и, может быть, у вас появятся преднастроенные правила, такие как превентивная блокировка трафика по геопозиции. Это позволит сделать собираемые сигнатуры более чистыми. Не вносите таких изменений без изучения процесса, иначе вы можете заблокировать валидный трафик, а значит, будет много жалоб на ваше средство защиты и зайдёт речь о том, что оно скорее мешает, чем помогает.

 

ПЕРЕХОД ОТ МОНИТОРИНГА К БЛОКИРОВАНИЮ 

О превентивных способах защиты информации. В мире ИБ большинство компаний предпочитают использовать средства защиты информации как системы мониторинга. Таким образом, они не предотвращают внешние или внутренние угрозы, а разбирают уже совершившиеся инциденты и после пытаются «залатать» дыры. Указанный подход не должен применяться в среднем и крупном бизнесе, а также в государственных и муниципальных структурах.

Приведём несколько примеров обязательных блокировок. Утечка информации – одно из важнейших направлений. Сейчас мы живём в эпоху облачных технологий (хранение файлов, мессенджеры, почта и т. д.), ограничивать весь поток информации во внешний мир представляется невозможным, а на тонкие настройки могут уйти месяцы, в то время как ситуация может меняться каждые несколько дней. Необходимо ввести «ответственность за передачу»: если сотрудник отправляет информацию во внешний мир и система DLP выдаёт заключение об инциденте ИБ, сотруднику приходит ответное письмо, указывающее, что сотрудник, возможно, нарушает политику безопасности и должен подтвердить «уверен ли он, что хочет отправить файл».

Вы удивитесь, но результаты на нашем примере оказались следующими: за квартал до внедрения системы было порядка 200 инцидентов, после введения ограничений в первый месяц – около 40, а во второй и третий – всего несколько. Таким образом можно мягко помочь бизнесу понять, что ответственность за утечку данных носит индивидуальный характер и подтверждения отправки документов являются дополнительным мотиватором не совершать инциденты.

Конечно, придётся погрузиться и изучить несколько бизнес-процессов, а может быть, и внести в них коррективы, которые не отнимают времени и сил у представителей бизнес-подразделений, но серьёзно повышают уровень защищённости. Например, внедряя портал по обмену конфиденциальной информации с клиентами/партнёрами, интегрируйте его с SIEM, DLP, песочницей. Это не внесёт серьёзных корректив в работу бизнеса, но позволит вам знать всё про движение информации и получать больше информации для расследований, а в дальнейшем и для построения правильных блокировок.

Внедрение систем управления ИТ-инфраструктурой (например, SCCM от Microsoft) позволит сотрудникам выбрать необходимое им ПО из разрешённого списка и в пару кликов установить необходимые инструменты для работы. Это позволит вам избежать ненужных загрузок из интернета и использовать уже преднастроенные инструменты. Автоматическая классификация документов (файлов) позволит более точно контролировать движение значимой информации без участия пользователей. Система позволяет защитить документы как с юридической точки зрения (проставления грифов/меток), так и со стороны ИБ (шифрование, ограничение доступа и т. д.).

 

СЕГМЕНТАЦИЯ СЕТИ И ГРУППИРОВКА СЕРВИСОВ 

Время – деньги. Сегментация сети –один из самых старых механизмов защиты внутренней сети. Есть примеры компаний с одним-единственным сегментом, а есть и те, у кого каждый узел – в своём сегменте. Любая сегментация будет вызывать аллергическую реакцию ИТ и бизнеса, если она не формализована и нет правил её использования. Постарайтесь посмотреть на сегментацию с точки зрения бизнеса.

Сколько времени у бизнеса занимает вывод нового сервиса в разделённой среде? Написание матриц доступов к нему? Консультаций с рабочими группами и т. п.? Если вы формализовали правила использования сегментов, то вывод нового сервиса в правильный сегмент займёт минимальное время. Старайтесь знать все процессы, которые существуют в компании, — это поможет сразу делать корректную сегментацию, а вновь появляющиеся системы и процессы должны лишь корректировать вашу модель. Правильно сгруппированные сервисы дадут возможность найти оптимальный баланс между требованиями ИБ и скоростью работы бизнеса.

Вообще, вопрос «группировки сервисов» намного более тяжёлый, чем кажется. Нужно очень хорошо отдавать себе отчёт, в каких процессах участвует сервис, какие сервисы являются техническими/обслуживающими основной бизнес-процесс. Можно ли создавать маленькую экосистему вокруг одной бизнес-системы или проще разделить по техническим критериям. Здесь нет «таблетки от всех болезней», каждый случай будет уникальным. И так как ответа на вопрос «как правильно сегментировать сеть, чтобы защитить и не навредить?» не найти в интернете, то нужно на него ответить самому. Сможете придумать устраивающие вас критерии группировки – выделяйте сегмент. Не можете – дробите мельче, но всегда имейте единый план, понятный бизнес-заказчикам и ИТ.

 

ЗАКЛЮЧЕНИЕ: ВСЕГДА ДУМАЙТЕ И ПРОСЧИТЫВАЙТЕ 

Мы постарались показать несколько примеров, не нарушающих бизнес-процессы компании. Очевидно, что в наше время развитие ИТ является важнейшим залогом ведения успешного бизнеса. Средства информационной безопасности влияют на множество вещей, начиная от простого доступа к сайту, заканчивая правилами, как работать за компьютером в офисе. Для многих не будет секретом, что другие подразделения «недолюбливают» подразделения безопасности, так как безопасность закрывает доступы, «мешая» работе или «пристают со своими рекомендациями и правилами». Ведь неверно настроенный межсетевой экран или система контроля доступа в интернет могут остановить работу всей компании.

К сожалению, множество наших коллег стараются следовать стандартам безопасности или указаниям регуляторов, не предлагая никаких альтернатив бизнесу. Подобное поведение заставляет сотрудников нарушать политики компании, «лишь бы выполнить» свою работу, за которую они получают деньги, а если сотрудник имеет процент от продаж, то его мотивация в нарушении политик безопасности увеличивается в разы. Выполняя свою работу, подумайте, как сделать так, чтобы собственноручно не подтолкнуть сотрудников к нарушениям.

Смотрите также

25.09.2022
Модели угроз, выстроенные ФСТЭК, в целом оправдали себя
25.09.2022
Банк России строит свой подход от рисков
24.09.2022
Эволюция технологий, единство людей. Открыта регистрация на SOC-Форум 2022
24.09.2022
«Стать перед зеркалом, признаться и покаяться»
23.09.2022
Узбекистан приостановил обслуживание карт «Мир». Не всех и временно
23.09.2022
«Чтобы финансовая система продолжила работать бесперебойно»
23.09.2022
Хакеры по сравнению с производителями зарубежного ПО — это безобидная история
23.09.2022
ФСТЭК России в ближайшее время выпустит методики оценки критичности уязвимостей и тестирования обновлений
23.09.2022
«Газпромбанк» на очереди?
22.09.2022
Целью HR-мошенников может быть включение устройства соискателя в ботнет-сеть