Алексей Лукацкий
Бизнес-консультант по информационной безопасности, Positive Technologies
Идеи результативной кибербезопасности продолжают проникать на рынок, но итоги уходящего года в этой сфере неоднозначные, потому что эта концепция охватывает сразу несколько важных идей.
В первую очередь речь идет об определении недопустимых событий, которые приводят к катастрофическим последствиям для бизнеса. Кто-то считает, что это обычные риски, только стратегического или критического уровня. И мы не настаиваем на конкретном определении. Главная задача здесь — донести до руководства, что в сфере ИТ есть вероятность реализации событий, которые могут привести к катастрофическим последствиям. В этом плане мы видим позитивную динамику: тема начинает поддерживаться и регуляторами, и руководителями служб ИБ, и специалистами по безопасности. Несмотря на то что это некоторое упрощение одной из концепций кибербезопасности, в современном динамичном мире, когда времени глубоко во всем копаться нет, такой подход нашел свое достойное место.
Второй элемент результативной кибербезопасности — это центр противодействия киберугрозам. От обычных SOC они отличаются тем, что заточены на обнаружение и, самое главное, на реагирование на недопустимые события. Здесь пока можно отметить, что мы движемся в нужном направлении. Многие понимают необходимость выстраивания не только мониторинга, но и реагирования у себя в организациях. С другой стороны, компаниям сложно связать недопустимые события с мониторингом и реагированием. Обычно SOC отслеживают атомарные события безопасности, иногда объединяя их в цепочки событий, а недопустимые события — явления более высокого порядка. Перебросить мостик от первых ко вторым — задача достаточно нетривиальная, поэтому многие компании притормаживают на этом этапе. Они понимают сам подход, у них есть SOC, они, возможно, даже вышли на багбаунти, но мониторинг недопустимых событий все еще остается для них задачей на перспективу.
Третий ключевой компонент — это верификация недопустимых событий через платформы багбаунти и с использованием других способов продвинутого тестирования на проникновение без серьезных ограничений. На базовом уровне это направление в России активно развивается, однако до верификации способов реализации недопустимых событий дошло, кроме Positive Technologies, не так много организаций. В 2024 г. это планирует сделать компания Innostage, а также ряд наших клиентов, с которыми мы вместе прошли весь этап построения результативной кибербезопасности. Таким образом, в целом мы все еще находимся на начальном этапе внедрения результативной кибербезопасности как подхода, хотя отдельные его составляющие развиты очень и очень неплохо.
Строители результативной кибербезопасности
Positive Technologies помогает в данный момент запускать результативную ИБ госучреждениям и коммерческим компаниям из области ритейла, медицины, энергетики и финансов. В масштабах страны это достаточно крупные и зрелые в ИБ организации. Многое здесь, как правило, зависит от зрелости руководителей служб ИБ и первых лиц компаний, их понимания того, что воздействие на ИТ-инфраструктуру или технологические процессы может повлечь за собой катастрофические последствия. Если два этих момента в одной организации сходятся, возникает благодатная почва для запуска проекта по результативной кибербезопасности. Бывает и так, что к результативной кибербезопасности организация приходит после серьезного инцидента, когда руководство начинает задаваться вопросом, а почему это все случилось при тех инвестициях, что делались в ИБ, и что сделать, чтобы это не повторилось. Главное, чтобы начальный задор руководителя не исчез с течением времени. Поэтому зрелость является важнейшим фактором перехода от традиционной ИБ к результативной.
Более широкий круг организаций может реализовать отдельные этапы результативной кибербезопасности — например, построить функции мониторинга и реагирования и выйти на багбаунти, как делают «Тинькофф», VK или Сбер. Кроме того, Указ Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» требует непрерывного анализа событий безопасности и мониторинга защищенности от почти полумиллиона организаций.
Наконец, программа багбаунти стала обязательным мероприятием для региональных органов исполнительной власти, поэтому в следующем году можно ожидать увеличения числа госучреждений, выходящих на запуск таких программ.
С точки зрения мониторинга и реагирования количество компаний еще больше. Привязка к отрасли здесь не прослеживается, многое зависит от зрелости руководителя ИБ и его способности донести этот вопрос до топ-менеджмента.
Типология недопустимого
В отличие от киберугроз, которые касаются всех более или менее в равной степени, и рисков, которые также почти для всех одинаковы, недопустимые события в каждой организации, как правило, свои. Обычно их не больше 5—7 на одну компанию. Типизация недопустимых событий — неправильный путь для компаний. Здесь нужно думать и принимать решения самостоятельно, а не просто ставить галочки в подготовленных кем-то перечнях.
Компания Positive Technologies составила согласованные с организациями списки типовых неприемлемых событий для десятка отраслей, включая транспорт, электроэнергетику, медицину, госорганы, финансы. Универсальное недопустимое событие для любых организаций — потеря денежных средств, но пороговые суммы различаются. Для одних недопустима потеря 100 млн руб., а для других — нескольких миллиардов.
Для транспортных компаний неприемлемыми могут быть, например, коллапс на дорогах, повреждение какого-то важного или опасного груза, причинение ущерба здоровью или массовая гибель пассажиров. В сфере здравоохранения, к примеру, недопустимо массовое отключение электричества в медучреждениях, неправомерное использование или удаление медицинской информации, а также неоказание медпомощи гражданам в результате кибератаки.
Мониторинг или усиление инфраструктуры
В зависимости от ситуации, в организациях могут использоваться либо мониторинг, либо усиление инфраструктуры (харденинг). Мы рекомендуем всегда находить оптимальный баланс между двумя подходами, потому что не во всех случаях правильно только мониторить атаку и реагировать на нее. Можно потратить драгоценное время, совершить ошибку и допустить неприемлемые последствия. Наш подход заключается в том, чтобы начать с уменьшения площади атаки и блокировать возможности реализации недопустимого события, — например, за счет устранения публично доступных уязвимостей, закрытия портов и отключения ненужных сервисов на периметре организации. Это приведет к тому, что путь хакера до цели внутри организации станет длиннее, а его продвижение — дольше. И если нам удастся сфокусироваться на мониторинге и реагировании в ключевых и целевых системах, тратя на эти действия время, меньшее, чем время атаки, то можно считать, что мы выполнили свою задачу, не допустив катастрофических последствий для организации.
Такой подход (с точки зрения и финансов, и затрат времени и усилий специалистов по ИБ) гораздо эффективнее, чем концентрация только на мониторинге и реагировании. Подчеркнем, что все будет зависеть от конкретной организации: если ее службы ИТ и ИБ друг с другом не дружат, то может получиться перекос — например, в сторону мониторинга и реагирования (организация будет строить SOC и мониторить инциденты, но уязвимости, из-за которых они происходят, устраняться не будут). Если за функции безопасности отвечает служба ИТ, то произойдет перекос в харденинг, когда компания будет больше заниматься управлением патчами и сегментацией, но годами не замечать находящихся в инфраструктуре злоумышленников.
Автопилот для ИБ
По большому счету, все инструменты на рынке сегодня уже есть, и на текущем этапе инструментарий сильно не изменится. Ядро современного центра противодействия киберугрозам представляют три ключевых компонента: SIEM-система, которая мониторит логи с различных средств защиты и узлов, NTA-система для анализа сетевого трафика и EDR-решение для отслеживания процессов, аномалий и нарушений на конечных устройствах. Если добавить к этому систему SOAR или IRP, то получится полноценное ядро ЦПК — при условии привязки к недопустимым событиям.
С ростом количества атак возрастает и масштаб мониторинга, а число специалистов по ИБ при этом радикально не увеличивается. В таких условиях на рынке придется либо рассчитывать на блицобучение кадров на курсах «молодого бойца» без длительных теоретических занятий, либо компенсировать нехватку профессионалов с помощью автоматизации ИБ. Именно поэтому Positive Technologies идет в направлении решений, которые можно было бы назвать автопилотом. Для специалистов по ИБ у нас есть MaxPatrol O2, позволяющий мониторить и реагировать на события безопасности, объединяемые в цепочки действий злоумышленников, способных привести к недопустимым событиям. Кроме того, мы разработали MaxPatrol Carbon, автоматизирующий процесс анализа инфраструктуры, выявления ее слабых мест и площади атаки. Данный инструмент предназначен главным образом для ИТ-специалистов. Помимо этого, разрабатывается MaxPatrol 1-2-3, который в режиме автопилота позволит уменьшить площадь атаки и помешать злоумышленникам увеличить число векторов, для того чтобы они не смогли атаковать ключевые и целевые системы организации.
Эта тройка метапродуктов позволит найти оптимальный баланс между харденингом и мониторингом и реагированием. У MaxPatrol O2 уже есть первые покупатели, а в ближайшие два года в продажу поступят и два других инструмента. Когда это произойдет, массовое внедрение автопилота в кибербезопасности станет реальной историей, позволит в условиях роста атак и дефицита ИБ-специалистов защищать организации от неприемлемых для них событий, связанных с катастрофическими последствиями.
Указ № 250
Указ Президента № 250 позитивно сказался на развитии результативной кибербезопасности. Мы видим увеличение количества заместителей руководителей организаций по ИБ.
Иногда это формальные назначения — чтобы выполнить требования указа. Но число ответственных за ИБ людей в топ-менеджменте действительно существенно возросло, а сама тема вошла в повестку руководителей компаний. Это произошло как в организациях, которые традиционно плотно занимались безопасностью (банки и финансовые компании), так и в госструктурах, где, наряду с руководителями отделов защиты информации, появились ответственные за ИБ заместители министров и вице-губернаторы. Встречаются и курьезные случаи: например, когда в районной поликлинике ответственной за ИБ назначают старшую медсестру, а в филармонии — дирижера. В целом уровень зрелости руководства компаний в области ИБ постепенно меняется. Это связано не только с исполнением Указа № 250, но и с растущим числом атак на организации.
В поисках баланса
Ситуация с изменением подходов к результативной кибербезопасности — двоякая. С одной стороны, столкнувшись с ростом числа атак с начала 2022 г., организации задумались о выстраивании всех процессов мониторинга и реагирования, а это неотъемлемый элемент успеха движения в направлении РКБ. Затем появился Указ № 250, положения которого определили порядок некоторых действий в этом направлении. Например, требуется сообщать в ГосСОПКА об инцидентах в режиме 24/7, что подразумевает кардинальную перестройку процесса мониторинга и реагирования и опять же способствует становлению результативной кибербезопасности.
С другой стороны, в нормативных документах появляются такие понятия, как недопустимые события и багбаунти, но многие организации еще не готовы выполнять на практике связанные с этим требования и воспринимают их как концепцию, навязываемую сверху. Чтобы этого не произошло, Минцифры, ФСТЭК или ФСБ должны проводить мероприятия по повышению осведомленности о результативной кибербезопасности. Необходимо найти баланс между дополнительными требованиями в рамках такого подхода и естественным ростом уровня зрелости компаний. Большинство из них, столкнувшись с киберинцидентами и ознакомившись с примерами успешных проектов коллег, неизбежно придут к необходимости внедрения компонентов результативной кибербезопасности.
