О чем статья
Мы уже обсуждали в журнале концепцию результативной кибербезопасности и говорили о том, что нужно и чего не нужно хотеть от ИБ. Пора переходить к следующему вопросу: «Бизнес-запрос сформирован, а что дальше?»
Безопасность в понимании топ-менеджмента
Каждый сталкивался с мошенниками: от пресловутых операторов кол-центров до просьб проголосовать за сыночку-корзиночку в детском конкурсе. Эти атаки имеют массовый характер: злоумышленники вкладывают в них силы и ресурсы (обучение операторов, покупки баз данных и т. д.) в надежде, что вложения окупятся и принесут N-ное количество денег.
Но что будет, если злоумышленник вложит условные сто тысяч рублей, чтобы изучить лично вас и подготовить целенаправленную атаку? Он может провести OSINT, проанализировать соцсети (в том числе ваших друзей и близких), купить информацию из утекших баз данных и подобрать инструменты для точечной социальной инженерии.
А теперь представьте, что злоумышленник инвестирует в атаку даже не сто тысяч рублей, а миллион… Ведь есть люди, компрометация которых стоит этих денег! За миллион можно попытаться получить доступ к банковским счетам (особенно если речь не о топовом банке), взломать камеру на роботе-пылесосе или перевести в аварийный режим бойлер на даче. Вариантов полно!
Задайте себе вопросы: «Интересен ли я как объект атаки?», «Какое событие/ИБ-инцидент является для меня недопустимым?» и, наконец, «Сколько денег нужно будет потратить злоумышленнику, чтобы реализовать это недопустимое событие? За сколько меня выгодно взломать?» Именно корреляция между затратами злоумышленника и потенциальным ущербом ведет нас к определению объема инвестиций в личную кибербезопасность.
К чему все это? В бизнесе все устроено аналогичным образом: ИБ-служба должна обеспечить компании уверенность, что злоумышленнику придется потратить слишком много ресурсов для реализации недопустимого события (НС). Проще говоря, нужно сделать так, чтобы ломать вас было попросту невыгодно.
И это задача службы ИБ: обеспечить такое состояние киберустойчивости, при котором злоумышленнику невыгодно пытаться реализовать недопустимое событие в компании. Как это сделать, читайте ниже.
Перечень типовых недопустимых событий по отраслям
Мы провели ряд сессий с топ-менеджерами компаний из разных секторов рынка и сформировали реестр типовых НС с разбивкой по отраслям. Подробнее об этом читайте в статье.
Отметим, что наш реестр нельзя применять «как есть»: у каждой компании и топ-менеджера будет свой список НС, зависящий от специфики бизнеса. К примеру: коммерческий директор одного уважаемого вендора определил в качестве недопустимого события компрометацию CRM-системы («Это же наше конкурентное преимущество!»). Но когда оказалось, что для ее защиты придется потратить около 50 млн руб. (чтобы гарантированно не допустить компрометации), событие сразу перестало быть настолько уж недопустимым :) «На самом деле, половина нашей CRM висит на госзакупках, а вторая у дистрибьюторов, да и контакты у конкурентов примерно те же…»
Мораль этой истории проста: идеальный запрос на киберустойчивость должен исходить от человека, который действительно заинтересован в том, чтобы недопустимое событие не было реализовано.
Как безопасникам обеспечить киберустойчивость
Оценка
Итак, недопустимые события определены и утверждены руководством. Что дальше? Как не допустить их реализации? Определим состав будущих работ/проектов.
Для начала нужно оценить текущий уровень киберустойчивости:
- Проанализировать зрелость ИБ (сканирование на наличие уязвимостей, внутренний или независимый аудит, оценка ХардкорИТ и т. д.) или хотя бы провести верхнеуровневую экспертную оценку.
- Ответить на вопрос «Как и за сколько меня можно взломать сейчас?» с помощью классических тестов на проникновение, сложных RedTeam и кибериспытаний.
Насчет последнего пункта. Кибериспытания — это, по сути, вывод своих недопустимых событий на багбаунти-платформу. При этом сумма вознаграждения за их реализацию и есть ответ на вопрос «За сколько меня можно взломать?». Иными словами, если вы установили стоимость реализации недопустимого в сто тысяч рублей и вам сдали отчет, то это и есть материальная оценка защищенности компании.
А дальше… Само собой, сделать все и сразу вряд ли получится — это бесконечно дорого и бесконечно сложно. Здесь нам на помощь придет правило TTA > TTR: время реализации атаки должно быть больше, чем время реагирования. Даже если злоумышленник сможет проникнуть в периметр компании, он должен продвигаться мучительно медленно и громко «звенеть», чтобы мы успели вовремя среагировать. Либо вообще понять, что игра не стоит свеч.
Как показывает практика, внедрение микросегментации (уровень ИТ) отбивает у многих хакеров желание ломать. Им просто становится невыносимо скучно тратить усилия на горизонтальные движения, не получая доступ к целевым объектам атаки.
Необходимые проекты
Наши кейсы РКБ в 2024 году показали, что базовый портфель проектов можно разделить на три группы:
- Превентивные защитные механизмы
Харденинг: сегментация, микросегментация, настройка хостовых мер безопасности, приклада и т. д. на всех слоях инфраструктуры — начиная с железа и заканчивая высоконагруженными приложениями. Чаще всего в компаниях ИТ развивались хаотично, реагируя под текущие запросы бизнеса. О строгих архитектурных стандартах и best practices зачастую никто не думал. Накопилось много legacy, безопасностью которых всегда некогда заниматься системно. Да и в целом у ИТ-подразделения много операционки. Именно запрос топ-менеджмента на киберустойчивость через призму недопустимых событий позволяет, наконец, заняться этими работами и приоритизировать их. Важно понимать, что один раз сделать это точно придется, а дальше нужно будет только поддерживать.
Внедрение превентивных СЗИ (файрволы, антивирусы и т. д.). Имеется в виду тонкая настройка средств защиты информации, так называемое «результативное внедрение». СЗИ должны максимально усложнять жизнь хакерам, не требовать дополнительных ресурсов и обеспечивать цели киберустойчивости.
- Мониторинг и реагирование
Если в предыдущем блоке мы усложняли жизнь злоумышленнику, то здесь мы хотим его видеть и для этого насыщаем инфраструктуру сенсорами. Используем решения классов SIEM, EDR, NTA и т. д., обеспечивающие видимость на уровне хостов, сети, периметра. Кроме того, нужен инструментарий, позволяющий команде ИБ реагировать на атаки.
К слову, средства для мониторинга и реагированиа нужно обязательно дотюнивать с учетом специфики вашего бизнеса.
- Процессы информационной безопасности
Так как инфраструктура динамична, нельзя забывать про процессы. При этом с нуля классическую процессную модель реализовать сложно, поэтому стоит начать с базовой гигиены. Речь об управлении активами (нужно вовремя выявлять новые активы и накатывать на них меры безопасности, заводить на мониторинг и т. д.), управлении уязвимостями и изменениями конфигураций, обеспечении процессов мониторинга и реагирования.
- Документация
Желательный, но не обязательный этап — документирование, так как команды ИТ и ИБ меняются и нужно застраховать себя от потери актуальных данных об инфраструктуре.
Заниматься РКБ без привлечения ИТ-подразделения попросту невозможно. Поэтому необходимо еще на старте работ озаботиться тем, чтобы ИТ- и ИБ-команды разделяли поставленные цели. Через задачу обеспечения киберустойчивости у ИТ- и ИБ-подразделений сформируется понимание, как правильно делать, как пересобрать и адаптировать под себя лучшие практики.
Важный момент: в зависимости от того, как развивалась ИТ-инфраструктура компании, объем работ и приоритетные задачи в подобных проектах могут быть разными. Например, если у вас уже выстроена безопасная разработка, а архитектура сервисов соответствует принципам secure by design, вам понадобится внедрить минимум наложенных средств защиты. По сути, они станут лишь вишенкой на торте кибербезопасности. При этом сами проекты по защите от недопустимого будут понятным и логичным развитием общей идеологии ИТ и ИБ. В противном случае (если компания находится на ранней стадии ИБ-зрелости) вишенка может вырасти до размеров самого пирога: придется сначала реализовать ряд достаточно сложных и длительных проектов, пересмотреть привычные процессы, внедрить новые подходы и технологии.
Пример Positive Technologies
Positive Technologies готова заплатить багхантерам по 60 млн руб. за реализацию недопустимых событий «внедрение вредоносного кода в наши продукты» и «кража денежных средств со счетов компании». Но все понимают: чтобы взломать Positive Technologies, нужно собрать команду и как минимум полгода готовить атаку, причем с непредсказуемым исходом. Таким образом, суммарная материальная оценка безопасности нашей компании на данный момент — 120 млн руб.
***
Именно увеличение стоимости реализации НС взлома и есть правильное целеполагание для службы ИБ. Дальше мы расскажем, что делать, если это все-таки произойдет. Спойлер: страхование…
