В условиях кратного роста числа кибератак, усложнения методов взлома и активного использования злоумышленниками искусственного интеллекта компании сталкиваются с необходимостью пересмотра собственных подходов к защите информационной инфраструктуры. Эффективная стратегия безопасности не может быть построена без предварительной оценки текущего состояния, поэтому отправной точкой выступает аудит, позволяющий зафиксировать «контрольную точку» и выявить критические разрывы в защите. В ходе вебинара, организованного компанией «Спикател», продуктовый директор Сергей Самоукин представил системный взгляд на построение защиты информационной инфраструктуры. Эксперт поделился практическими подходами к выбору между собственным центром мониторинга и аутсорсинговой моделью, а также озвучил актуальные рыночные сценарии и условия пилотирования сервисов.
Аудит информационной безопасности как стартовый этап
Аудит информационной безопасности является первым и обязательным шагом для любой организации, стремящейся выстроить системную защиту. Основная цель аудита заключается в определении текущего состояния защищенности, включая анализ применяемых средств защиты, нормативно-распорядительной документации, организационных и физических мер безопасности. Аудит позволяет зафиксировать, какие решения уже внедрены, какие отсутствуют, а какие функционируют не в полном объеме. Результаты аудита формируют основу для разработки стратегии развития ИБ, которая в конечном итоге направлена на обеспечение непрерывной защиты инфраструктуры в режиме 24/7.
Проведение аудита силами сторонней специализированной компании имеет ряд преимуществ. Во-первых, обеспечивается независимая оценка, которая дополняет внутреннее видение ситуации. Во-вторых, привлекаются специалисты с опытом в различных отраслях, что позволяет применять лучшие практики и избегать типовых ошибок. Совместная работа внутренней команды и внешних экспертов способствует принятию более взвешенных управленческих решений и формированию реалистичной дорожной карты по устранению недостатков.
Консалтинговые услуги в области информационной безопасности дифференцируются в зависимости от отраслевой принадлежности и регуляторных требований. Универсальным направлением является приведение в соответствие с 152-ФЗ, которое касается всех организаций, обрабатывающих персональные данные. Для объектов критической информационной инфраструктуры (КИИ) и их подрядчиков проводится аудит согласно 187-ФЗ и сопутствующим приказам ФСТЭК (239-й, 235-й). Для компаний, внедряющих системы менеджмента, предлагается аудит на соответствие ISO 27001. Отдельные линейки услуг разработаны для финансового сектора (комплаенс по стандартам СТО БР, ББС, положению 683-П, ГОСТ Р 57580), для государственных заказчиков (приказ ФСТЭК №31 по защите АСУ ТП), а также для организаций, работающих с коммерческой тайной (98-ФЗ). Для предприятий, имеющих собственную среду разработки, предусмотрен консалтинг по построению безопасного цикла разработки (SDLC) с применением статических и динамических сканеров кода (SAST, DAST). Отдельное направление касается организаций, использующих облачные сервисы. В рамках этой работы прописываются договорные требования к поставщикам облачных услуг в части кибербезопасности, поскольку стандартные контракты часто не охватывают все аспекты защиты.
В рамках аудита по 152-ФЗ, который является одной из наиболее востребованных услуг, выполняется следующий объем работ: выявляются нарушения и риски, включая вероятность штрафов и претензий со стороны субъектов персональных данных; проверяются полнота и корректность локальных нормативных актов и согласий на обработку; оцениваются фактические процессы обработки в различных системах (HR, маркетинг, сайт, CRM, подрядные организации); определяются необходимые организационные и технические меры защиты. Аудит может проводиться в трех форматах: экспресс-аудит для быстрого выявления ключевых рисков; полный аудит с глубоким разбором всех процессов и документов; аудит, ориентированный на подготовку к проверкам «Роскомнадзора». По итогам заказчику предоставляются: отчет с выявленными несоответствиями и уровнем риска; дорожная карта с приоритетами, сроками и назначением ответственных; перечень необходимых документов; рекомендации по внедрению мер защиты и настройке процессов. Сроки выполнения аудита варьируются от 5 до 20 рабочих дней в зависимости от масштаба организации, количества сотрудников и активов.
Следующий этап после аудита – разработка документации. В рамках этого блока выполняются следующие задачи: формализуются и описываются процессы обработки персональных данных; подготавливаются обязательные документы; приводятся существующие согласия и договоры в соответствие с 152-ФЗ; закрепляются роли и ответственность сотрудников; определяются порядки хранения и уничтожения данных. Процесс разработки включает сбор информации, интервью с подразделениями (ИT, юристы, администраторы, продажи), инвентаризацию источников и систем («1С», CRM, электронная почта, облачные хранилища, сайты, бумажные архивы), а также определение целей обработки, категорий субъектов и сроков хранения. Результатом являются комплект документов с рекомендациями по утверждению, инструкциями по хранению и ведению журналов, а также чек-лист готовности к проверкам. Сроки разработки документации – от 5 до 15–20 рабочих дней.
Центр мониторинга и реагирования на инциденты
По завершении аудита и устранения выявленных несоответствий перед компанией встает вопрос организации постоянного контроля за событиями информационной безопасности. Создание собственного центра мониторинга (SOC) связано с необходимостью значительных капитальных вложений: закупка оборудования, приобретение лицензий на SIEM-системы, найм и удержание квалифицированного персонала, организация круглосуточных смен. Кроме того, процесс развертывания может занять до года, что неприемлемо в условиях быстро меняющихся угроз. Альтернативным решением является использование SOC как сервиса, что позволяет получить круглосуточный мониторинг, оперативное реагирование и доступ к актуальной экспертизе без единовременных затрат на инфраструктуру.
Актуальность внедрения SOC обусловлена объективными изменениями ландшафта угроз. Количество целевых атак неуклонно растет, что подтверждается как российскими, так и международными отчетами. Методы атак усложняются: злоумышленники активно используют машинное обучение и искусственный интеллект для автоматизации социальной инженерии, создания фишинговых писем и чат-ботов. Скорость реализации атак значительно выросла. В ряде случаев злоумышленники получают доступ к инфраструктуре и закрепляются в ней в течение 30 минут. Стандартные средства защиты, например, антивирусы и межсетевые экраны, не справляются с таким темпом, поскольку их работа основана на сигнатурах и не учитывает поведенческие аномалии. В этих условиях критически важно иметь отлаженный процесс реагирования, позволяющий опережать действия нарушителя.
Кроме того, существуют регуляторные требования к организации мониторинга. Для государственных информационных систем, систем управления производственными процессами (АСУ ТП) и объектов КИИ ФСТЭК России предписывает ведение постоянного контроля событий безопасности. Отсутствие мониторинга влечет риски предписаний, проверок и возможной блокировки деятельности. Юридическая ответственность включает административные штрафы от 3 до 500 млн руб. и уголовную ответственность с лишением свободы на срок до 10 лет (для КИИ). Помимо регуляторных рисков отсутствие мониторинга создает прямые финансовые потери: утечка конфиденциальной информации, коммерческой тайны или персональных данных подрывает доверие партнеров и клиентов, а вирусы-шифровальщики парализуют операционную деятельность, останавливая производственные и логистические процессы.
Современный центр мониторинга базируется на четырех основных компонентах. Первый – SIEM-система (Security Information and Event Management), осуществляющая сбор, корреляцию и анализ событий безопасности. Второй – SOAR-система (Security Orchestration, Automation and Response), автоматизирующая процессы реагирования на инциденты и служащая оркестратором поверх SIEM. Третий – экспертиза аналитиков, которые управляют системами, расследуют инциденты и принимают решения. Четвертый – Threat Intelligence (фиды), т. е. данные о текущих угрозах из открытых источников, баз российских и зарубежных вендоров, а также информация от регуляторов. Эти компоненты составляют минимальную базовую конфигурацию SOC.
Дополнительные модули расширяют возможности центра мониторинга. Среди них: EDR/XDR (Endpoint Detection and Response) для контроля рабочих станций, серверов и конечных точек с возможностью блокировки подозрительной активности; Sandbox для поведенческого анализа подозрительных файлов в изолированной среде (особенно актуально для проверки вложений электронной почты); NTA/NDR (Network Traffic Analysis / Network Detection and Response) для выявления аномалий и скрытых угроз в сетевом трафике на основе поведенческих алгоритмов. NTA особенно ценен тем, что позволяет обнаруживать паразитный трафик, даже если SIEM-правила не сработали и трафик классифицируется как легитимный.
Этапы подключения к SOC: определение перечня недопустимых событий; формирование параметров подключаемых источников; организация подключения к инфраструктуре заказчика; внедрение коллектора; предоставление доступа к личному кабинету и последующий запуск мониторинга. В течение первого месяца работы выполняется пилотирование, в ходе которого оценивается скорость работы внешних аналитиков, формируется отчет с результатами и рекомендациями, выявляются скрытые инциденты, которые ранее проходили незамеченными. Пилот позволяет увидеть реальные атаки на инфраструктуру, проверить эффективность текущих мер защиты и получить доказательства необходимости постоянного мониторинга.
Результатом внедрения SOC являются выполнение требований регуляторов, уменьшение ущерба от возможных атак (стоимость сервиса несопоставима с потенциальными потерями от простоя или утечки), сохранение репутации, экономия на содержании собственной команды, предсказуемость затрат и четкое распределение зон ответственности между провайдером и клиентом.
Эшелонированная защита веб-приложений
Значительная часть современных атак направлена на веб-приложения и API, поэтому защита публичных веб-ресурсов является отдельным критическим направлением. Основной инструмент защиты на прикладном уровне – Web Application Firewall (WAF). WAF осуществляет мониторинг и анализ HTTP/HTTPS-трафика, блокирует типовые веб-атаки, включая инъекции SQL, межсайтовый скриптинг (XSS), подделку межсайтовых запросов (CSRF) и другие угрозы из перечня наиболее популярных. Управление правилами осуществляется через веб-портал с возможностью оперативной настройки под специфику приложений. WAF может поставляться как сервис (SaaS), разворачиваться на инфраструктуре заказчика (on-premise) или в гибридной модели с распределением нагрузки.
Однако WAF не предназначен для защиты от DDoS-атак на сетевом и транспортном уровнях (L3-L4) и имеет ограниченную функциональность по фильтрации ботов. Поэтому рекомендуется использовать эшелонированную модель защиты, состоящую из трех последовательных уровней. Первый эшелон – это специализированное решение по защите от DDoS-атак, которое отсекает трафик на уровне сети, предотвращая исчерпание ресурсов серверов. В качестве второго эшелона применять антибот-решение, которое анализирует поведенческие характеристики запросов, выявляет автоматизированные скрипты и не допускает их к веб-приложению. И третий эшелон – непосредственно WAF, который получает уже очищенный от DDoS и ботов трафик и эффективно отражает прикладные веб-атаки. Такая трехуровневая архитектура делает инфраструктуру устойчивой к комплексным атакам, которые злоумышленники применяют все чаще.
Заключение
Построение эффективной системы кибербезопасности следует начинать с аудита, который позволяет объективно оценить текущее состояние, выявить риски и определить приоритетные направления. Результаты аудита служат основой для разработки нормативной документации и планирования технических мероприятий. Следующий этап заключается в организации круглосуточного мониторинга и реагирования на инциденты через центр безопасности (SOC), который может быть реализован как сервис, что экономически эффективнее создания собственного подразделения. Дополнительным обязательным элементом является защита веб-ресурсов с использованием эшелонированной модели «анти-DDoS – антибот – WAF». Комплексное применение этих мер позволяет обеспечить устойчивость инфраструктуры к современным киберугрозам, соответствие регуляторным требованиям и минимизацию финансовых и репутационных рисков.
Артем Пермяков, Connect
