Почему киберразведка становится единственной эффективной ИБ-стратегией

Баланс сил

Команды специалистов по безопасности в компаниях и организациях по мере возможности держат руку на пульсе огромного количества событий и инцидентов, а также эпизодов ложных срабатываний, генерируемых инструментами информационной безопасности (ИБ). Проблема в том, что фронт работ настолько широк, что ресурсы команды распыляются. Отсутствует расстановка приоритетов, что приводит к низкому уровню контроля качества ИБ-периметра.

Согласно отчетам, более чем 80% коммерческих и open-source приложений имеют уязвимости, которые могут привести к серьезным последствиям. Например, к нарушению непрерывности бизнес-процессов или утечкам информации. При этом вредоносное ПО является лидером среди киберугроз по стоимости нанесенного ущерба.

Современные антивирусные средства неэффективны против новых вирусов и другого вредоносного ПО. Большинство традиционных старых методов защиты уже не способны обеспечить приемлемый уровень безопасности от новых неизвестных угроз и векторов атак.

Расклад сил на линии соприкосновения бизнеса и хакеров сегодня выглядит так: среднее время для обнаружения ИБ-угрозы превышает несколько месяцев, а среднее время ее устранения – несколько недель. В то же время злоумышленники имеют неограниченную по времени фору на подготовку атаки, а также возможности замаскировать и осуществить ее незаметно для бизнеса.

Почему так происходит?

Раньше для эффективного решения ИБ-задач хватало традиционного набора инструментов: антивирусы, межсетевые экраны, системы обнаружения и предотвращения вторжений и др. Обычным был «ручной» анализ и расследование инцидентов, на основе которых формировалась корпоративная база инцидентов. Также внедрялись системы мониторинга и корреляции событий, некоторые компании организовывали обмен актуальной информацией по угрозам с коллегами.

Но потом случился 2017 год с его глобальными компьютерными атаками WannaCry и NotPetya. Ущерб от NotPetya, например, в целом составил $10 млрд. Стало очевидно, что ИБ-системы и общий подход к их развертыванию, требования к функционалу и стратегиям предотвращения инцидентов на сегодняшний момент попросту устарели.

ИБ-направление в традиционной реализации оказывается слишком медленным и негибким, не позволяет бизнесу успевать за действиями хакеров. Будучи неспособным, по крайней мере, противостоять им силами своей собственной команды с надлежащим уровнем эффективности.

Целевые атаки

Все дело в том, что все возможности современных IT-решений, которые делают мир современным, цифровым и удобным, также используются для повышения эффективности атак киберпреступников. Борьба с постоянно развивающимися киберугрозами требует соответствующей, своевременной и действенной киберразведки.

Атаки в цифровом пространстве сегодня становятся настоящими IT-проектами высокопрофессиональных команд. Они носят выраженный целевой характер, когда под желаемый конечный результат набирается соответствующая команда, ее обеспечивают необходимыми инструментами, стратегией, планом, и, конечно, соответствующим вознаграждением.

Подобные целевые кибератаки нуждаются в аналогичной целевой защите, с четким представлением о конкретном типе угрозы, направленной на определенную часть IT-ресурсов бизнеса. Только верное понимание контекста угрозы, инструментов и методов противника поможет ускорить обнаружение и устранение киберугроз, сдвинуть фокус внимания с реагирования, по большей части бесполезного в современных условиях, на действенную проактивную защиту.

Как реализовать такой подход к информационной безопасности на практике?

Киберразведка боем

Главным из инструментов в борьбе с новыми и неизвестными киберугрозами, на базе которых сегодня реализуется большинство целевых атак, является стратегия Threat Intelligence (TI), что-то вроде «Разведка киберугроз».  

В самом упрощенном виде TI – это набор данных, процессов и инструментов анализа внутренних и внешних киберугроз для принятия управленческих решений в области ИТ и ИБ. Подход по модели Threat Intelligence помогает на всем жизненном цикле обеспечения безопасности, поскольку включает в себя анализ самых мелких, но порой крайне важных деталей и элементов IT-систем компании.

Все начинается с подготовки, когда ИБ-команда получает четкое представление о том, что она защищает и от чего именно. Тщательно изучаются структура бизнеса и его активы, устройство взаимосвязей различных компонентов бизнес-модели компании, входные точки во внутренний IT-периметр из «внешнего мира».

В фокусе особого внимания оказываются действующие злоумышленники, текущие тенденции в области кибератак, вероятный объем возврата инвестиций от атаки и цели противника. Тщательно моделируются угрозы и сценарии действий злоумышленников.

На этапе формирования проактивной защиты собирается как можно больше информации об угрозах. Собранные из вне данные обогащаются информацией компании о своей работе, происходит отсеивание вариантов ложных срабатываний системы ИБ.

Данные о вероятных киберугрозах включают в себя более 20 разных характеристик, наиболее важные из которых – это инструменты злоумышленников и уязвимости, эксплуатируемые киберпреступниками.

Далее на этапе выявления полученную информацию и проработанные модели атак интегрируют в инструменты мониторинга и аналитики. Это делается для автоматизации борьбы с киберугрозами в режиме реального времени на основе их характеристик и сигнатур. Важный момент: этой информацией в обязательном порядке следует обменяться с другими компаниями и сторонами, задействованными в процессе обеспечения ИБ – бизнес-партнерами, аналитиками, регуляторами, производителями ПО и средств защиты.

На последнем этапе на основе всей полноты сформированной по стандартам Threat Intelligence информации определяются оптимальные реакции на угрозы и тестируются процессы реагирования на атаки.

Чем быстрее, тем безопаснее

Эффективная борьба с киберпреступниками по состоянию индустрии ИБ на начало 2020 года и прогнозам на дальнейшее развитие возможна только при ее организации на основе больших объемов, в том числе исторических, данных об угрозах, злоумышленниках, прошлых инцидентах, уязвимостях, вредоносном ПО.

Всю эту информацию необходимо правильно скоррелировать, показав все существующие взаимосвязи между разными элементами. Например, «вредоносная программа – используемые уязвимости и бэкдоры», «хакеры или группировки, которые применяли эту вредоносную программу – последние инциденты – зараженные ресурсы в сети Интернет».

Для того, чтобы вести такого рода базу данных нужна большая команда международных экспертов в области ИТ и ИБ, которые собирают, анализируют и актуализируют информацию о киберугрозах со всех точек мира. При этом они должны использовать максимально возможное количество источников информации, коммерческие и открытые, в том числе deep и dark web ресурсы, доступ к результатам исследований уязвимостей по всему миру, в первую очередь угроз типа zero-day.

Все эти данные следует постоянно обновлять через использование технологий мониторинга и поиска информации об актуальных угрозах. Результаты мониторинга должны предоставляться в доступном графическом интерфейсе с предоставлением исходных данных для анализа и корреляцией со средствами ИБ, которые непосредственно обеспечивают защиту.

Скорость реакции становится сверхважной характеристикой ИБ в целом. Допустим, сегодня хакеры вывели в обращение какую-то новую zero day уязвимость. Еще 2-3 года назад готовый эксплойт под нее появлялся лишь спустя 1-2 недели, в некоторых случаях и через месяц. Сегодня же все необходимое для использования этой уязвимости против вашей компании будет доступно на GitHub уже через 1-2 дня, а иногда и быстрее.

Нет онлайн-реакции на эти процессы – нет защиты бизнеса как таковой.

Читайте также:

Комментарии
Руководитель, Москва

Самая главная уязвимость человек. 

По большому счету, если есть действительно важная инфраструктура, так держите ее изолированно от внешнего инета.

Адм. директор, Санкт-Петербург

Разведка - это по сути нападение, по затратам - самый дорогостоящий вид действий! И его обосновать надо! 

Проблема с безопасностью была, есть и будет, но "позволить" себе можно ровно ту безопасность, на которую хватает бюджета...

IT-консультант, Украина
Максим Часовиков пишет:

Самая главная уязвимость человек. 

Да, это так. Но уже есть методы поведенческого анализа, так что не все так плохо.

 

 

По большому счету, если есть действительно важная инфраструктура, так держите ее изолированно от внешнего инета.

И как вы будете обновлять ПО?

 

Руководитель, Москва
Андрей Роговский пишет:
И как вы будете обновлять ПО?

ну так вариант(-ы):

1. Работает - не трогай

2. В случае необходимости модернизации - проверять в соотвествии с моделью угроз на тестовом макете

3. Она изолирована от инета - то есть можно только внутрь принести на флешке, которую потом съесть. Но не наружу. 

Вопрос как всегда в величине ущерба от соблюдения процедур / потенциального инцидента. 

Аналитик, Брянск

Единственная угроза снаружи - это "обвал" сети если спровоцировано что-то вроде "широковещательного шторма", либо проникновение во внутреннюю сеть через корпоративный Wi-Fi. Все остальные угрозы возникают только из-за человеческого фактора.

"Все начинается с подготовки, когда ИБ-команда получает четкое представление о том, что она защищает и от чего именно. Тщательно изучаются структура бизнеса и его активы, устройство взаимосвязей различных компонентов бизнес-модели компании, входные точки во внутренний IT-периметр из «внешнего мира»."

В большинстве случаев, если у вас малый или, даже, средний бизнес, данный подход является избыточным.

Главный инженер, Липецк

Все разговоры про информационную безопасность мне напоминают старый анекдот :

Стоит мужик и бьет ломом по поверхности реки Волги. К нему подходит
прохожий и спрашивает:
-Что вы делаете?
-Крокодилов пугаю!
-Здесь нет никаких крокодилов!
-Значит, хорошо пугаю.

Столько денег вливается в эти решения, но где реальные кейсы с разорением компаний или зафиксированным ущербом, вне банковского сектора ?

Сколько из этих атак были так или иначе основаны на инсайдерской информации ?

 

IT-консультант, Украина
Максим Часовиков пишет:

1. Работает - не трогай

2. В случае необходимости модернизации - проверять в соотвествии с моделью угроз на тестовом макете

3. Она изолирована от инета - то есть можно только внутрь принести на флешке, которую потом съесть. Но не наружу. 

Вопрос как всегда в величине ущерба от соблюдения процедур / потенциального инцидента. 

1. У вас ПО для технологического узла. Разработчик сообщил, что в связи с ошибкой через 400 дней произойдет авария. И что будем делать?

2. У вас есть пару миллионов для покупки лицензии на ПО для тестового макета?

3. Обновление ПО происходит через само ПО - меню "О программе", обновить. Обновления на флешке не предусмотрено разработчиком ПО.

 

Руководитель, Москва
Андрей Роговский пишет:
1. У вас ПО для технологического узла. Разработчик сообщил, что в связи с ошибкой через 400 дней произойдет авария. И что будем делать?

Вот прям так через 400? не поверил бы.  Дальше вопросы - в чем именно ошибка, на что влияет, как исправили. Если важная тема - то через тестирование и дальше менять. 

Андрей Роговский пишет:
2. У вас есть пару миллионов для покупки лицензии на ПО для тестового макета?

С бизнесом обсуждать. Я описываю риски и последствия. Совместно решаем что дешевле.  Дальше решаем. Если для бизнеса важен актив - то деньги найдем. Если готов рисковать - его право. 

Андрей Роговский пишет:
3. Обновление ПО происходит через само ПО - меню "О программе", обновить. Обновления на флешке не предусмотрено разработчиком ПО.

На этапе формирования ТЗ требовониях прописываем работу в изолированном контуре. 

В реальности большистве случаев в Ваших примерах на безопасность забиваем, с согласия бизнеса.

Аналитик, Брянск
Андрей Роговский пишет:
1. У вас ПО для технологического узла. Разработчик сообщил, что в связи с ошибкой через 400 дней произойдет авария. И что будем делать?

Делаем маршрутизацию в ручную. Жестко связываем входы по методу точка-точка ( ethernet ). В большинстве случаев проблем нет. 

Андрей Роговский пишет:
2. У вас есть пару миллионов для покупки лицензии на ПО для тестового макета?

Как правило все возможные ситуации, за исключением форс-мажора, прописаны в договоре.

Андрей Роговский пишет:
3. Обновление ПО происходит через само ПО - меню "О программе", обновить. Обновления на флешке не предусмотрено разработчиком ПО.

Вы правы. Но, повторюсь, при грамотном юридическом сопровождении, грамотном построении топологии сети и гармотной реализации её на физическом уровне глобальные угрозы можно быстро локализовывать, а возможный ущерб от них переложить на плечи поставщика ПО. 

Но, если перефразировать Задорнова: "на любую хитрость всегда найдется глупость". Человеческая некомпетентность - единственная глобальная угроза для существования любой организации.

Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
Сколько офисные работники в России тратят на дорогу, еду и одежду

В опросе приняли участие 3824 офисных работника из 8 городов-миллионников.