"Не проект, а непрерывный процесс". Эксперт рассказал о современной кибербезопасности

Пандемия COVID-19 стала настоящим испытанием для подразделений, которые обеспечивают информационную безопасность (ИБ) предприятий. Ведь переход компаний на удаленную работу стал причиной роста не только количества инцидентов информационной безопасности, но и масштабов их последствий.

Директор по кибербезопасности компании Softline EE&CA Вячеслав Алисеевич ответил на главные вопросы об информационной безопасности в современных условиях.

- Как пандемия COVID-19 повлияла на развитие цифровых инноваций в сфере кибербезопасности?

- Пандемия ускорила внедрение цифровых технологий в самых разных областях. В онлайн-среду стремительнее начали переходить медицина, образование, торговля, киноиндустрия и в целом организация работы предприятий. Однако цифровая трансформация породила и проблемы для служб ИБ: появились новые векторы угроз, расширился спектр уязвимостей для потенциальных атак злоумышленников.

- С какими новыми угрозами приходится сталкиваться специалистам по кибербезопасности?

- Я бы не сказал, что появились какие-то новые угрозы. Как известно, все новое - это хорошо забытое старое. Большое внимание злоумышленников привлекли системы удаленных коммуникаций: Zoom, Skype, Webex, Slack и т. д.

Увеличилась доля атак на физических лиц посредством социальной инженерии, фишинга и т. д. Увеличение количества онлайн-платежей привело к росту мошенничества с QR-кодами и мобильными платежами. Широкое распространение получили атаки, связанные с компрометацией цепочки поставок (supply chain attacks). Самыми громкими стали атаки на Blackbaud и SolarWinds. В фокусе атакующих также остаются инструменты для организации удаленного доступа.

Второе дыхание получил всем известный RDP-сервис (уязвимость в службах удаленных рабочих столов Windows - удаленное выполнение вредоносного кода на атакуемой системе).

- Какие уязвимости "подсветил" переход сотрудников на удаленную работу?

- Защищать, контролировать и обслуживать единый, хоть и большой, периметр ИТ-инфраструктуры всегда проще, чем нескольких мелких. Резкий и масштабный переход сотрудников на удаленную работу (до 75%, а где-то и все 100%) размыл границы защищаемого периметра. Основными проблемами многих компаний стали:

• невозможность быстрой масштабируемости ИБ-решений;
• слабая интеграция ИБ-решений и, как следствие, низкая автоматизация всех процессов ИБ и непрозрачность инцидентов ИБ в сложных ИТ-инфраструктурах;
• уязвимость цепочки поставок, о которых упоминалось ранее;
• низкая киберграмотность общества
• и, как ни странно, кризис кадров в сфере ИБ.

- На ваш взгляд, переход в облака привел к росту количества потенциальных угроз? Расширило ли это возможности для злоумышленников?

- С приходом COVID-19 использование облачных сервисов превратилось из стратегического преимущества в залог выживаемости бизнеса. Облака - это не только удобно и выгодно в плане экономии, но и быстро и просто в плане реализации. Традиционно риски нарушения безопасности в облаке оцениваются выше по сравнению с традиционными локальными ИТ-средами. Основные угрозы у облаков:

• неправильная конфигурация облака (доступа и т. д.);
• несанкционированный доступ к конфиденциальной информации;
• небезопасный интерфейс доступа к облакам.

Главная причина всех опасений - тот факт, что традиционные средства защиты не предназначены для решения сложных задач безопасности облака.

- По данным отчета McAfee Labs о киберугрозах за I квартал 2021 года, киберпреступники начали отказываться от массовых кампаний в пользу единичных, но более прибыльных атак. Мишенями в таких случаях становятся большие предприятия, под которые специально создаются вымогатели. Как, на ваш взгляд, мы как провайдер решений кибербезопасности можем это использовать?

- Противодействие кибератакам чаще напоминает игру в догонялки. В роли догоняющего, к сожалению, чаще всего находятся игроки светлой стороны.

Ни одна система не безопасна. Есть даже одноименный фильм, по сюжету которого группа молодых хакеров проникает в сеть Федеральной разведывательной службы Германии, использует социальную инженерию и фишинг.

Мы, как глобальный провайдер решений и сервисов кибербезопасности, используя наш опыт и опыт наших уважаемых вендоров, можем максимально усложнить задачу злоумышленникам и снизить риски реализации той или иной атаки и провести оценку уже реализованных мер по защите у клиента. При этом на месте больших предприятий я бы задумался о предъявлении определенных требований по обеспечению ИБ более мелким контрагентам. Особенно это нужно тем, кто по ряду причин имеет доступ к ИТ-инфраструктуре или информационным системам большого предприятия. Ведь намного проще взломать маленького контрагента, чем большую компанию, при условии, что она поддерживает ИБ на должном уровне.

- Одним из главных трендов 2021 года Gartner называет концепцию адаптивной безопасности. Не могли бы вы рассказать, что такое адаптивная безопасность и почему она стала одним из главных трендов этого года?

- Обеспечение ИБ компании - это ни в коем случае не проект. Это непрерывный процесс. С учетом того что технологии, принципы и векторы атак постоянно меняются, системы ИБ должны постоянно эволюционировать. Сама по себе методология построения адаптивной безопасности подразумевает создание непрерывного и адаптивного процесса, безопасности, риска и доверия, который в идеале предвосхищает риск от постоянно усложняющихся киберугроз (начиная от борьбы с программами-вымогателями до непосредственно кибератаки). Ситуация с COVID-19 как раз является доказательством правильности такого подхода. Не все компании и системы ИБ смогли оперативно адаптироваться к реалиям ведения бизнеса в условиях пандемии.

- Расскажите, пожалуйста, также про политику "нулевого доверия". Что это значит для простых сотрудников?

- Политика "нулевого доверия" - это набор парадигм сетевой безопасности, в основе которого лежит принцип "никому ничего не доверяй". В отличие от классического подхода обеспечения безопасности, огромное внимание в котором уделяется защите периметра организации и ее сегментов, модель "нулевого доверия" делает фокус на защиту именно ресурсов. В рамках этой модели пользователи, устройства и приложения подлежат проверке каждый раз, когда запрашивают доступ к тому или иному корпоративному ресурсу. И не важно, внутренний он или внешний.

- Вячеслав, спасибо за интересную беседу!