В конце мая компания «Инфосистемы Джет» провела V ежегодную конференцию «Информационная безопасность: никакой теории, только практика». За прошедший год направление ИБ в бизнесе компании выросло более чем на треть, выручка составила 2,08 млрд руб.

 Игорь Ляпунов, директор Центра информационной безопасности (ЦИБ) компании «Инфосистемы Джет», отметил три знаковых события, произошедших со времени проведения предыдущей конференции и не имевших прецедентов в нашей стране: открытие коммерческого центра мониторинга и реагирования на инциденты безопасности (Jet Security Operation Center − JSOC), выпуск первого аналитического продукта в области ИБ Jet inView Security и первый проект по комплексному аутсорсингу информационной безопасности, осуществленный в «Лето Банке». Говоря в целом о рынке ИБ, он озвучил несколько тезисов, которые могут показаться неожиданными, однако они основаны на практическом опыте компании:

  • информационная безопасность не является «центром вселенной», требования ИБ не могут быть основанием для выбора тех или иных бизнес-решений и архитектур. Разумнее выбирать их с точки зрения бизнеса, ИТ или даже злоумышленника;
  • не существует ни информационной безопасности, ни экономической, ни физической как таковых, есть только безопасность бизнеса, соответственно, проекты в области безопасности должны быть «конвергентными». В ритейле, например, появились схемы хищений, выполняемые ИТ-средствами с формально безупречным выполнением всех бизнес-процессов, и традиционная объектовая безопасность с контролем физического доступа и видеонаблюдением уже не в состоянии их «увидеть». Надо обратить внимание на аномальные показатели в конкретной системе, такие как, скажем, высокий процент возвратов товара, проводимых через конкретную кассу, а затем уже понаблюдать, кто и когда их выполняет. По опыту компании «Инфосистемы Джет», реализация конвергентных проектов на стыке экономической, ИТ- и физической безопасности позволяла вернуть ритейлерам до 2–4% выручки;
  • основой безопасности ИТ-систем являются безопасность кода и грамотное отношение персонала к логинам и паролям. Современный хакер скорее будет действовать методами социальной инженерии, нежели идти по пути взлома файрвола. Между тем компании уделяют этим аспектам недостаточно внимания. Такой вывод был сделан по результатам тестов на проникновение;
  • больше половины задач по защите информации компания не в состоянии решить самостоятельно (если только это не огромная корпорация с большим штатом профессиональных «безопасников»). Так, например, чтобы правильно установить и настроить решение SIEM, нужно обладать высокой квалификацией в узкой области. Специалистов, умеющих писать коннекторы к бизнес-системам, правила корреляции событий, выполнять тюнинг системы для исключения ложных срабатываний, на рынке не так уж много, и позволить их себе могут только крупные специализированные структуры;
  • система управления информационной безопасностью – не опция к инфраструктуре безопасности, а ключ к ее полноценному функционированию. Судя по распределению бюджетов на строительство систем безопасности и на управление ими, этот момент многими заказчиками не учитывается.

Ведущий эксперт компании Forrester Research Сергей Македонский согласился с тем, что на информационную безопасность необходимо смотреть глазами бизнеса. При этом он отметил ряд тенденций в мире ИКТ, которые влияют на подходы к обеспечению информационной безопасности. Современный рынок – рынок потребителя. Потребитель ожидает разнообразия сервисов и удобства их использования: система поставщика услуг должна узнавать пользователя независимо от того, по какому каналу он обращается, и оказывать ему проактивную поддержку, включая подсказки и напоминания в нужный момент. Задача ИБ – обеспечить доверие потребителя к сервисам. Дополнительные риски ИБ создаются все возрастающей мобильностью пользователей и цифровизацией всех процессов, и эти риски необходимо минимизировать. Наконец, увеличение объемов накопленных данных о потребителях, которые к тому же проходят аналитическую обработку, создает у злоумышленников повышенный интерес к информационным активам компаний. Поэтому защита от утечек приобретает все большую актуальность.

Тему тенденций в мире информационной безопасности продолжил Юрий Черкас, руководитель направления систем инфраструктурных ИБ-решений ЦИБ. Параллельно он рассмотрел вопросы выбора решений из числа представленных на рынке.

Анализ вендорских отчетов за 2013 г. позволяет говорить о возрастании количества инцидентов, которые не удается идентифицировать, и неизвестных типов атак. Типы атак меняются не столько технически, сколько методологически. Основных векторов атак пять: таргетированные атаки через Интернет, использование уязвимостей приложений, атаки через соцсети и мобильные устройства, бот-сети и DDoS-атаки, спам и фишинг. В свою очередь, заказчики обращаются в ЦИБ со следующими основными запросами: защита от DDoS, защита веб-приложений, защита сетей нового поколения, контроль привилегированных пользователей (в том числе собственных администраторов), защита веб-трафика и предупреждение угроз «нулевого дня».

От DDoS-атак можно защититься только с помощью оператора связи. Но лучше комбинировать собственные средства защиты и сервисы оператора. В таком случае при превышении порогового значения загрузки канала устройство на территории заказчика сигнализирует об этом провайдеру (важно, чтобы на стороне провайдера поддерживалась такая сигнализация). Оператор включает собственную систему очистки трафика, гораздо более мощную, чем система на стороне заказчика.

Веб-приложения находятся сегодня на острие атак, по данным отчетов, 77% сайтов сегодня имеют уязвимости. При этом более чем у 50% взламываемых сайтов существуют ошибки на уровне логики их работы. Наиболее эффективный путь защиты – проведение пен-тестов с определением уязвимостей и последующей формулировкой требований к защите. После установки Web Application Firewall (WAF) и его «обучения» проводится повторный пен-тест.

Что касается защиты сетей, то использование файрволов, закрывающих неиспользуемые порты, уходит в прошлое. Немногие заказчики знают, какие их приложения и в каком объеме используют интернет-каналы. Устройства нового поколения умеют работать не с портами, а с приложениями, кроме того, с конкретными пользователями, разрешая или запрещая им доступ к тем или иным приложениям. При выборе решения следует заранее сузить круг рассматриваемых систем с учетом задач конкретного предприятия – внедрение файрвола требует тестирования, и если перебирать в пилотных проектах все доступные на рынке системы, проект непозволительно затянется.

Функционал представленных на рынке решений для контроля действий привилегированных пользователей в целом сопоставим. Нюансы заключаются в режимах работы, использовании агентской или безагентской схемы, удобстве использования.

При выборе Web Gateway нужно начать с определения необходимого функционала, количества пользователей и точек установки. Стоимость решения следует просчитывать на три-пять лет вперед, поскольку такие решения, как правило, продаются по схеме подписки, а стоимость подписки в первый и последующие годы может отличаться. Одна из современных тенденций – интеграция Web Gateway с «песочницами» (sandbox).

Нельзя не сказать несколько слов о новом инструменте компании «Инфосистемы Джет» по аутсорсингу информационной безопасности – JSOC. Как сообщил руководитель направления аутсоринга ИБ ЦИБ Владимир Дрюков, команда JSOC насчитывает более 30 человек. В ее составе – дежурные смены инженеров по администрированию и мониторингу инцидентов ИБ, работающие в круглосуточном режиме в Москве и Нижнем Новгороде, а также группы инженеров реагирования на инциденты и эксперты, обеспечивающие работоспособность и развитие JSOC. Инфраструктура JSOC развернута в двух территориально распределенных дата-центрах уровня надежности Tier 3. В настоящее время JSOC обслуживает 12 заказчиков. Ежедневно обрабатываются по 135–150 инцидентов с выполнением требований SLA на уровне 98%.

Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку