20 мая в Москве прошла конференция «Информационная безопасность финансовых организаций: актуальные вопросы и новые вызовы». Ее организовали компания «ДиалогНаука», системный интегратор в области информационной безопасности, совместно с Ассоциацией российских банков и при информационной поддержке журнала «BIS Journal — Информационная безопасность бизнеса». На полях мероприятия мы задали несколько вопросов техническому директору АО «ДиалогНаука» Роману Ванерке, выступившему там в роли спикера.
— В самом названии вашего доклада содержится призыв «копнуть» глубже для повышения защищенности. Что вы вкладываете в эти слова?
— На самом деле, весь доклад построен вокруг достаточно понятной для многих истории: с течением времени у компаний, в особенности крупных, происходит внедрение большого количества решений. Это делается силами разных людей внутри команды, которые тоже меняются. И в результате может получиться так, что какие-то продукты были внедрены, но не были настроены. В ходе технического аудита мы анализируем инфраструктуру заказчика и средства защиты с точки зрения того, охватывают ли они те сегменты и направления, которые следовало бы по умолчанию охватить.
Допустим, внедрили какую-нибудь песочницу, а она проверяет на вирусы только почтовый канал. Возможно, она анализирует и веб-канал, но вопросам расшифровки трафика не уделили необходимого времени и так далее. Затем песочница столкнулась с какой-то проблемой, и про нее забыли: система вроде бы работает, но де-факто свою задачу не выполняет. И мы как раз таки хотим помогать нашим заказчикам, подсвечивая слабые места в уже развернутых средствах защиты. Это позволяет при задействовании существующих средств как минимум повысить уровень защищенности.
Второе направление, по которому у нас в настоящее время много проектов — это харденинг. Например, выделю стандарт PCI DSS (Payment Card Industry Data Security Standard) — в нем заложены четкие и понятные требования по тем настройкам, которые должны быть на том или ином оборудовании, операционной системе и базе данных. Эти услуги полезны широкому кругу заказчиков, так как позволяют существенно снизить поверхность атаки без применения каких-либо дополнительных средств защиты. Ведь если посмотреть отчеты международных и российских компаний, по статистике больше половины инцидентов не связаны со сложными атаками. Они связаны с тем, что отсутствовала двухфакторная идентификация, или наружу «торчали» какие-то порты, или был не отключен какой-нибудь NetBIOS (Network Basic Input/Output System) и так далее. А харденинг, будучи простым инструментом, способен сильно помешать злоумышленнику продвигаться вперед.
— Не могли бы вы привести примеры наиболее характерных ошибок?
— Самый популярный канал утечки информации при внедрении DLP — это почта. Дальше можно указать на выгрузки через веб-сервисы, через интернет. К примеру, когда внедряли DLP-систему, своих облаков не было, или они были запрещены к использованию внутри периметра. Время течет, парадигма меняется — сейчас все больше и больше компаний используют облака, а про этот канал утечки информации могли забыть. Также могло быть так, что ранее не было инструментов для расшифровки трафика, но рассчитывали в последующем к этому вернуться. И таким образом получается, что вроде, с одной стороны, DLP-система внедрена, а с другой стороны, она видит далеко не все, и могут происходить утечки.
Все мы знаем, что антивирус — это многофункциональный комплекс, включающий контроль различных политик, уязвимостей, программного обеспечения. Но есть компании, которые в прошлом установили антивирус Касперского, а другие модули для повышения защищенности не используют. Хотя могли бы. Мы это можем подсказать. Или наоборот: они настроили какие-то исключения, потому что так было удобно. Через определенный период времени все уже забыли, для чего, но убрать боятся. А те рискуют быть потенциальным узким местом, которым может воспользоваться злоумышленник.
Таких примеров на самом деле очень много. Поэтому мы стараемся, в зависимости от масштаба и глубины, в которые готов погружаться заказчик, делать разные срезы. На основе профессионального анализа мы приводим инфраструктуру заказчика в более защищенное состояние, фактически не внедряя каких-то новых решений. Заказчик получает дорожную карту, которая дает представление о приоритизации: на что следует обратить внимание в первую очередь, на что — во вторую, а что можно, вообще, проигнорировать, так как не критично.
— Кстати, какие полезные советы вы могли бы дать потенциальным клиентам?
— Я бы порекомендовал то, что может себе позволить каждый и своими силами. Харденинг — это то, что существенно снижает поверхность атаки. У меня знакомые в крупной компании, которая насчитывает тысячи сотрудников, занимаются пентестами. Они видят на своем опыте, что в тех подразделениях, где мы спустили требования по настройке операционных систем, рабочей станции и другого оборудования, злоумышленники/Red Team не могут их взломать. Для этого не нужно изобретать велосипед: есть руководство Best Practices по настройке, CIS Benchmarks и другие инструменты, чтобы начать с малого, отключая ненужные сервисы и учетные записи, «приводя в чувство» парольную политику, и так далее.
Важно осуществить гигиену и тем самым существенно снизить поверхность атаки. Это не какой-то rocket science, а тот базовый минимум, который, как мне кажется, в настоящее время нужно применять всем. Может, поначалу все кажется сложным, но нужно начать это делать, чтобы погрузиться в тематику.
— Какие изменения за последние годы вы бы отметили в том, как компании подходят к вопросам к вопросам информационной безопасности?
— Сейчас ИБ-риски выходят на первый план, и это сегодня очевидно не только для экспертов в нашей области, но даже для простых обывателей. Сами компании, а также государственные органы усиливают требования к защите от возможных рисков. И топ-менеджмент начинает в это вкладываться, инвестируя по возможности больше средств как в людей, так и в процессы. Те, кто подходят грамотно, сперва оценивают угрозы и риски, чтобы сконцентрировать свое внимание на главном, не распыляя ресурсы напрасно. Но тем не менее, все осознают важность данной темы и действуют планомерно.
Вопросы задавал Усам Оздемиров
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)