Согласно данным Национального центра защиты персональных данных около миллиона белорусских граждан оказались жертвами утечки данных в интернете за 2024 год. Причем большинство этих утечек произошло из корпоративных сетей. Поэтому с каждым днем важность защиты данных в бизнесе лишь увеличивается.

Читайте: Главные киберугрозы для белорусского бизнеса

О том, из каких элементов состоит система информационной безопасности в современной компании, и почему необходимо уделять внимание этому вопросу, рассказал руководитель направления информационной безопасности Noventiq Belarus Александр Дубина.

Содержание:

---

Почему нужно строить именно систему безопасности, а не полагаться на отдельные решения:

1. Не существует одного универсального решения, которое смогло бы закрыть все бреши в ИТ-инфраструктуре бизнеса. Инструменты защиты предназначены для разных целей, каждый имеет как свои преимущества, так и слепые зоны. Чтобы построить полноценную систему безопасности, необходимо сложить все «кирпичики» вместе.
2. Безопасность – это процесс. Нельзя единожды выделить бюджет, а потом почивать на лаврах. Киберпреступность постоянно совершенствуется, поэтому прогрессивные системы защиты незаменимыми.
3. Финансовая выгода такого подхода. Могу привести пример из практики – у одного из клиентов мы запустили пилотный проект с решением по защите от утечек данных. А спустя 3 месяца он сказал, что с помощью этого решения удалось пресечь коррупционные схемы на сумму более миллиона долларов.

Получить консультацию

Фундамент защиты. Базовый набор

Защита конечных точек

Самый элементарный уровень защиты процессов, бизнес-данных и конфиденциальных сведений. В сфере безопасности эти решения называют «защитой от дурака», так как антивирус защищает от уже известных вирусов, червей, троянов, которые ранее попали в базы.

К фундаменту безопасности также относится лицензионное программное обеспечение, потому что только на нем можно получать регулярные обновления, которые содержат в себе своевременную проработку всех возможных на данный момент уязвимостей.

Защита периметра

Самая первая охранная система на пути злоумышленника – межсетевой экран или фаервол. Это комплекс аппаратных и программных средств, которые контролируют и фильтруют проходящий через него трафик на различных уровнях по заданным правилам. Такая своеобразная стена, граница между организацией и интернетом, через которую можно безопасно взаимодействовать. Основные задачи фаерволов – защита компьютерных сетей от вторжений, контроль доступа пользователей в интернет, проверка трафика на угрозы, фильтрация сетевых пакетов.

Это средство защиты относится к фундаменту безопасности и обязательно для применения, тем не менее оно не может решить все проблемы. Сетевые экраны бывают с разными возможностями, но всегда есть риск, что в них останутся узкие места, которые злоумышленники смогут обойти при продуманной целевой атаке. Также они не защитят от внутренних угроз.

Защита продвинутого уровня

Продвинутая защита конечных точек

Если антивирусы предотвращают проникновение типовых угроз, то EDR, наоборот, выявляет неизвестные сложные угрозы и скрытые атаки. Решение постоянно мониторит состояние конечных точек (почты, виртуальных машин, интернет-шлюзов) и обнаруживает злонамеренную активность путем поведенческого анализа. С его помощью команда безопасности сможет вовремя отследить угрозы, в том числе целенаправленные атаки, и принять меры. 

Главная задача, которую решает EDR – обнаружение и исследование вредоносной активности. Это значит, что внутренние угрозы все-таки могут проникнуть в сеть, и, хотя в решении есть функционал, позволяющий блокировать атаки и изолировать файлы, для максимальной защиты одного EDR недостаточно. Требуется квалифицированная команда аналитиков службы безопасности, которые будут с этой системой работать и интеграция с другими средствами безопасности.

Защита от неизвестных угроз

Песочница – один из элементов комплексной защиты от неизвестных и сложных угроз (ATP). Создается изолированная среда, в которую попадают все файлы, загружаемые пользователями из интернета, письма, документы и т.д. После того, как с помощью поведенческого анализа выясняется, что файлы безопасны, они передаются в распоряжение пользователей.

Песочница – это возможность посмотреть, как бы файл вел себя, если бы попал на реальную рабочую станцию. Если он пытается совершать неправомерные действия, запрашивать доступы, шифровать файлы, распространять вирус по сети, можно легко заблокировать его и не дать проникнуть в реальную инфраструктуру. Песочницы очень популярны, потому что их эффективность высока, а внедрение не требует сложных настроек и весомых затрат при эксплуатации и обслуживании.

Однако есть в песочнице и слабые места. Например, для целевых атак может создаваться вредоносное ПО, которое запускается только при наличии определённых приложений и утилит на рабочей станции, а если они будут отсутствовать в изолированной среде эмуляции, то и зафиксировать атаку песочница не сможет, а вредоносный файл попадет в реальную инфраструктуру. Тем не менее, в комплексе с другими средствами песочница служит незаменимым звеном в системе информационной безопасности. 

Защита сети

Системы анализа сетевого трафика выявляют угрозы, исследуя события на уровне сети. Возможности мониторинга трафика позволяют обнаружить присутствие злоумышленников на ранней стадии атаки, оперативно локализовывать угрозы, а также контролировать соблюдение регламентов. NTA способны хранить копию обработанного трафика, что важно при расследовании инцидентов.

Эти решения оперируют большими объемами трафика. Это значит, что с их помощью отслеживаются не единичные срабатывания, а выстраивается цепочка атаки. Это возможно благодаря комбинации поведенческого анализа, машинного обучения, ретроспективного анализа, индикаторов компрометации и др. NTA обнаруживают подозрительную активность в трафике, которую пропускают фаерволы, и лучше отслеживают действия злоумышленников в слепых зонах.

Предотвращение утечек, защита данных

Защищаясь от внешних угроз, нельзя забывать про опасность изнутри. DLP – это технологии, а также программные или программно-аппаратные средства для предотвращения утечек конфиденциальной информации. Они отслеживают пересылки документов по электронной почте, копирование информации на съемные носители, передачу через веб-сервисы, соцсети, облачные хранилища, даже фотографирование и печать документов. Эти технологии выявляют утечку, инициированную сотрудником или вредоносным ПО, блокируют передачу данных вовне и уведомляют об этом сотрудника по информационной безопасности. 

DLP также выполняют побочные задачи. С их помощью можно отслеживать, что сотрудники делают в течение рабочего дня, что печатают, какие письма пересылают и т.д. Это стало особенно популярным в период массовой удаленной работы. Многие руководители хотят располагать такой статистикой для контроля и управления командой. Но с помощью этих возможностей можно выполнять и более весомые задачи - выявлять коррупционные схемы, теневые взаимодействия, контракты по завышенным ценам и т.д. Даже на этапе пилотных проектов DLP обнаруживают нарушения.

Как уже отмечалось выше, по словам одного из наших заказчиков, за 3 месяца пилота компания сэкономила около миллиона долларов.  А пилоты в таких проектах частое явление, так как решения довольно сложны в исполнении и требуют последующего администрирования высококвалифицированными специалистами.

Читайте: Как DLP-решения спасают конфиденциальную информацию компаний

VPN-решения используются рядовыми пользователями, чтобы сохранить анонимность в сети и пользоваться заблокированными ресурсами. Компании же применяют VPN, чтобы зашифровывать конфиденциальные данные при удаленной работе. На предприятиях выстраиваются защищенные каналы связи между филиалами и контрагентами, шифруются каналов связи для защиты передаваемой информации. VPN обеспечивает доставку зашифрованной информации из точки A и ее расшифровку при в точке B. Из минусов: протокол безопасности может быть сложно настроить, а ошибки в настройке могут привести к уязвимостям и утечкам, поэтому для работы с ним необходимо привлекать опытных специалистов.

Прогрессивная защита. Фокусные решения

Решение внутренних задач безопасности

В каждой компании есть свой специфический набор задач по безопасности в зависимости от бизнес-процессов, отраслевых стандартов. Чем больше инфраструктура, тем проще упустить что-то в ее защите. Поэтому необходимо иметь инструмент, который будет проверять систему безопасности на наличие ошибок - сканер безопасности. С его помощью можно «просветить» инфраструктуру организации на наличие уязвимостей, отсутствие обновлений и т.д. Сканер дает понять, на что стоит обратить внимание и какие бреши закрыть.

Например, в организации забыли обновить фаервол, а за это время в его модели стала общеизвестной какая-либо уязвимость. Злоумышленники получают прекрасную возможность «прощупать»  это слабое место, а значит, предприятие будет под угрозой. 

Сканер работает с базой данных актуальных уязвимостей и указывает на потенциальные дыры. Обязательное сканирование может быть закреплено даже законодательно в отраслевых стандартах. Например, банки обязаны по закону проводить аудит безопасности и предоставлять отчеты о сканировании. Недостаток этого инструмента может заключаться в том, что он делает статичный снимок состояния инфраструктуры, поэтому регулярность сканирования – обязательный пункт для безопасности. Также при анализе данных сканером всегда требуется оценка снимка квалифицированными специалистами. 

Web Application Firewall похож по своим функциям на межсетевой экран для защиты периметра, но предназначен для веб-приложений, к примеру, для защиты интернет-банкинга. Пользователи вводят в форму свои личные данные, пароли, проводят платежи и делают все это за пределами периметра безопасности банка. Через форму сайта злоумышленники часто взламывают внутреннюю базу данных и делают это путем элементарного подбора паролей. WAF закрывает это узкое место в защите при условии грамотной настройки и адаптации под клиента.   

Анализ исходного кода

Application Inspection – решение для выявления ошибок и уязвимостей в исходном коде или готовом приложении. С его помощью выстраивается процесс безопасной разработки. В первую очередь, это решение полезно самим разработчикам, так как они заинтересованы в качестве своей продукции и репутации. Однако, чем тщательнее компания относится к безопасности, тем больше в ней стремления не доверять на слово, а самостоятельно проверять все потенциальные источники угроз.

Таким образом, самостоятельно проведенный анализ дает заказчику возможность точно установить уязвимости и право требовать их устранения за счет разработчика, согласно договору. Это решение можно приобретать как лицензию или услугу вплоть до ручного анализа кода, когда специалисты точечно разбирают каждую строчку кода и пытаются эксплуатировать уязвимости.

Управление правами

Этот класс решений призван бороться с «мертвыми душами» – неудаленными учетными записями ушедших из компании сотрудников. Чем они опасны? Тем, что не все покидают компанию лояльно, и могут использовать свои права доступа как способ навредить бывшему работодателю. И даже если такой цели нет, злоумышленники иногда специально ищут представителей «мертвых душ» по конкретным компаниям, а устоять перед возможностью легкого заработка могут не все. Тем более что найти виновных практически невозможно. Ведь по факту не происходит никакого взлома, злоумышленник проникает в систему легитимно. IDM-системы позволяют автоматизированно управлять правами доступа от момента прихода сотрудника в компанию, когда необходимо пройти процесс согласований и предоставлений прав и доступа, до момента его официального увольнения.

Читайте: Как защитить данные компании при уходе сотрудника?

Чтобы избегать инцидентов, необходимо вовремя удалять учетные записи и до тех пор, пока размеры компании позволяют администратору справляться с этой задачей в ручном режиме, нет острой необходимости в IDM-системе. Но чем больше в компании сотрудников и информационных систем, тем больше вероятность допустить ошибку, которая может стоить потери бизнеса. Как правило, в больших компаниях, которые уже много лет ведут свою деятельность, «мертвые души» встречаются в огромных количествах, что делает эту уязвимость одной из самых распространенных. 

Управление доступом

Применение 2FA и PAM довольно обширно ввиду небольшой стоимости и высокой результативности. Двухфакторная аутентификация (2FA) управляет доступом к системам компании на уровне пользователей. Она служит усилением парольной защиты, то есть при подключении к ресурсам недостаточно просто ввести правильный пароль, нужно еще авторизоваться, получив дополнительный код, например, на почту или телефон. Сегодня это особенно актуально, так как обычные пароли для злоумышленников практически перестали быть барьером.

PAM или Privileged Access Management – это управление привилегированным доступом на уровне администраторов. С помощью этого класса решений компании могут контролировать собственных сисадминов и точно знать, что они не превышают своих прав. Еще этот инструмент полезен, когда, к примеру, падает какая-то система и необходимо разобраться в причинах. PAM дает возможность поднять хронологию действий и вычислить, где и кем была допущена ошибка. Контролировать с помощью PAM можно не только своих, но и внешних подрядчиков. Если приходится привлекать специалистов для работы с ИТ-системами, необходимо защищать себя и видеть все совершаемые действия.

Управление ИБ и инцидентами

Если компания растет, то неизбежно растет и ее система информационной безопасности. Купив антивирусы, фаерволы, EDR, 2FA, другие решения для головного офиса и всех филиалов, компания рано или поздно сталкивается с проблемой – как за всем этим следить? Ведь у каждого из этих инструментов своя зона ответственности и ограниченные возможности, а обеспечение безопасности должно быть комплексным. Да, есть ИБ-специалисты, но люди не обладают возможностями ежесекундно отслеживать все происходящие в компании процессы.

SIEM собирает информацию со всех инструментов безопасности, в том числе от различных производителей, и выводит ее на один экран. Помимо удобства отображения информации, ценность системы в подробном сборе событий, их объединении в логическую цепочку и оповещении о возможности инцидента. Дело в том, что средства безопасности по отдельности могут не видеть злонамеренную активность и обнаружить ее можно только при корреляции информации из разных источников.

Читайте: Что мешает компаниям начать полноценно пользоваться SIEM-системой?

Так, с помощью SIEM ИБ-специалисты получают возможность видеть всю картину безопасности в организации целиком, получать уведомления о всех возможных нарушениях и максимально оперативно предотвращать инциденты, которые другими средствами безопасности могли быть пропущены. В последние годы SIEM становится одним из часто покупаемых решений, несмотря на высокую стоимость, так как растет понимание необходимости построения систем ИБ, а не покупки отдельных решений.

Реагирование на инциденты

Если SIEM-системы нацелены на сбор информации и подразумевают в большей степени управление и реагирование в ручном режиме, то SOAR – это инструмент автоматизации и оркестрации. То есть с его помощью можно управлять системами безопасности и координировать их работу. При этом в решении предусмотрены широкие возможности автоматического сбора данных, анализа и реагирования на инциденты. Из-за того, что природа атак усложняется, а поток инцидентов иногда становится лавинообразным, потребность выполнять шаблонные и рутинные операции без привлечения человека становится с каждым днем актуальнее. SOAR позволяет специалистам сфокусироваться на сложных инцидентах, а также совершенствовании системы ИБ. 

Комплексная система безопасности

SOC – это вершина построения той самой системы безопасности, о которой говорилось в самом начале. Центр мониторинга и реагирования на инциденты строится на базе описанных технологий, главным образом на SIEM и SOAR, с обязательным участием ИБ-специалистов. Главная задача сотрудников SOC – любыми путями не допускать инцидентов, эффективно устранять их и расследовать. Для этого выстраивается сложный комплекс из технических средств, рабочих процессов и консалтинговой работы специалистов. Это позволяет контролировать состояние ИТ-инфраструктуры так детально, насколько это вообще возможно.

Читайте: Требования к Центрам кибербезопасности (SOC)

За счет того, что SOC это не просто технология или разовая услуга, а целый центр, он помогает реализовывать главный принцип безопасности – процессный подход. Ведь злоумышленники постоянно совершенствуются, и, чтобы противостоять им, нужен комплекс из технологий и неутомимых воинов на «светлой стороне». SOC можно построить самостоятельно, но без должного опыта это затратно и слишком сложно, гораздо выгоднее делегировать это профессионалам и воспользоваться SOC как услугой.

Мониторинг информационного пространства

Идеальная характеристика защиты – проактивность. Сервис ETHIC создан специально для выявления потенциальных угроз задолго до того, как их признаки начнут проявляться в инфраструктуре. Он сочетает в себе технические разработки и труд аналитиков, которые направлены на постоянный мониторинг угроз и рисков для бизнеса, а также своевременное реагирование для их предотвращения. Это решение позволяет видеть в интернете все, что касается компании. С помощью ETHIC выявляются слитые базы, «мертвые души», поддельные сайты компании, созданные для обмана, утечки конфиденциальных данных и многое другое.

Например, если кто-то на форуме в даркнете интересуется организацией, ищет людей с правами доступа, выискивает IP, то сервис засечет эти упоминания, что даст преимущество отделу ИБ в подготовке к возможным атакам, либо, если это возможно, они будут сразу заблокированы в рамках сервиса.

Как определить, на какой стадии ваша безопасность?

Руководителю любой компании нужно начинать с инвентаризации всей информационной системы, на которой построены бизнес-процессы:

• Создать коллектив из юристов, специалистов по ИТ и ИБ.
• Посмотреть на угрозы, риски и разработать механизмы нейтрализации этих угроз. Механизмы могут быть и организационными, и правовыми, и техническими, и социальными.

Чтобы окончательно определить уровень безопасности в компании, необходим профессиональный аудит, который покажет, как работает компания в реальном времени. Таким образом, построение системы безопасности вашей компании, необходимо начать с аудита и закончить аудитом. 

Для любых целей, связанных с кибербезопасностью, вы можете обратиться в белорусский офис Noventiq. Вы получите консультацию, услуги, продукты для построения системы безопасности базового, продвинутого или прогрессивного уровня.

За консультацией по любым вопросам, связанным с информационной безопасностью бизнеса, вы можете обратиться к специалистам Noventiq в Беларуси.