13 октября 2021 года TAdviser провел конференцию IT Security Day, посвященную актуальной проблематике обеспечения ИБ в разных индустриях. В мероприятии приняли участие более 150 специалистов, в их числе были представители «СберМаркет», ВТБ, «Ак Барс Банка», «Московской биржи», «Ингосстраха», «Газпром нефти», X5 Group, Контрольно-счетной палаты Москвы и многих других структур.
Спикеры рассказали о практике защиты информации, новых ИБ-продуктах, реализованных кейсах. В статусе независимого эксперта по ИБ вел конференцию Алексей Плешков, который и открыл заседание своим докладом, посвященным внешним и внутренним угрозам ИБ, их специфическим проявлениям и методам противодействия.
В своей презентации Алексей Плешков дал, в числе прочего, ссылки на описание реальных атак на объекты критической инфраструктуры США. Эти атаки были реализованы по стандартным сценариям, обратил внимание спикер: фишинг, эксплуатация уязвимостей, проникновение через зараженный компьютер с дальнейшей рекогносцировкой «на местности» и воздействием на ключевые объекты ИТ-инфраструктуры. Также докладчик дал в презентации QR-коды со ссылками на другие полезные ресурсы – «Касперского», Банка России и ряда других.
В России много инцидентов ИБ, но не все организации собирают и ведут информацию по ним, отметил Алексей Плешков. Банк России ведет такую статистику и открыто ее публикует. И далее докладчик остановился на моделях угроз, их выборе, иллюстрации и идентификации, а также на средствах защиты. Напомнил он и о методике оценки угроз ФСТЭК, появившейся в 2021 году, которую предполагается внедрить во всех госструктурах, и о важности проведения тестов на проникновение (пентестов).
Угрозы и методы реализации атак зачастую связаны с крупными инфоповодами в мире и в России, — констатировал Алексей Плешков. — В 2020 – 2021 годах это, во-первых, пандемия коронавируса и большое количество спекуляций посредством социальной инженерии были связаны с этой темой – например, оформление справки о вакционации или тесте на коронавирус. Второе — выборы и все, что связано с политической ситуацией. И еще один ожидаемый инфоповод: перепись населения в октябре-ноябре этого года |
Заказчики — о своем ИБ-опыте
Сергей Демидов, директор департамента информационной безопасности, группа «Московская Биржа», обрисовал риски информационной безопасности прошлого года, проанализировал новые.
В прошлом году было пять главных рисков ИБ:
- удаленная инфраструктура и связанные с этим атаки (например, атака на новозеландскую биржу, приведшая к длительному простою);
- массовые риски использования личных устройств (много кейсов, когда злоумышленник проникал на оконечные устройства);
- снижение внимательности на удаленной работе (большая подверженность фишингу);
- утрата логинов и паролей;
- общее снижение экономики.
Спикер остановился на том, что изменилось для финансового сектора, какие существуют предпосылки для формирования новой повестки ИБ:
1) рост цифрового бизнеса, причем не только в технологическом секторе, но и в реальном, производственном (маркетплейсы у «КамАЗ»а, Росавтодора и др.);
2) рост числа уязвимостей, в том числе – уязвимости нулевого дня, новые технологии не успевают отрабатывать, тестировать;
3) повышение регуляторной нагрузки, поскольку регуляторы пытаются защитить граждан от вала мошенничества, уже есть требования к процессу разработки и эксплуатации продукта;
4) кадровый голод – в России ежегодно не хватает порядка 18500 специалистов по ИБ (данные Минтруда).
Необходима синергия ИТ и ИБ, — констатировал Сергей Демидов. — У ИТ тоже кадровый голод, и нужно помогать друг другу, синхронизировать работу, стратегию развития ИТ и ИБ. |
На возможностях использования современных облаков банком в условиях высоких требований к ИБ остановился Руслан Ложкин, руководитель службы информационной безопасности, «Абсолют Банк». Спикер вывел в ходе доклада следующие постулаты, о которых нужно помнить банку, если он идет в облако:
- нужно обучать своих работников, которые должны понимать, что в облачной инфраструктуре возникают дополнительные риски ИБ и их следует учитывать;
- необходимо провести усиленную аутентификацию;
- требуется максимально разграничить сервисы и полномочия;
- необходимо автоматизировать контроль состояния ИБ в облаке либо встроенными облачными средствами, либо дополнительными, наложенными инструментами;
- необходимо обеспечить микросегментацию;
- необходимо обеспечить мониторинг и реагирование на инциденты;
- необходимо учесть требования регулятора.
Подводя итог, спикер отметил, что сегодня можно обеспечить любой уровень соответствия защиты облака, при условии, что банк доверяет облачному провайдеру и вендору по наложенным средствам защиты.
Если строить облачную инфраструктуру, то в первую очередь надо организовать централизованный, прозрачный доступ пользователей к облачным сервисам, — отметил Руслан Ложкин. — Дальше требуется организовать защиту сети и каналов связи от вредоносного ПО, контроль целостности ОС, настроек облака и реализовать управление доступом к данным. При этом, если предполагается хранить персданные, нужно искать аттестованное облако. Для банковской тайны обязательно соблюдение требований ГОСТ Р 57580. |
Тема доклада Александра Луганцева, начальника отдела ИБ, ВТБ Специализированный депозитарий, не была связана с его текущей работой. Спикер поделился опытом прошлых лет, когда занимался проектами по формированию эффективной политики обеспечения ИБ на различных предприятиях.
Александр Луганцев рассказал о кейсе, реализованном в крупной корпорации, в которую входило порядка 30 организаций. Требовалось упорядочить сферу ИБ, привести ее к единой составляющей. В ходе проекта единая политика ИБ формировалась пошагово, сначала на уровне корпорации, затем на уровне каждой организации.
В ходе доклада спикер отметил, что для успеха важно, чтобы именно высшее руководство возглавило обеспечение ИБ, участвовало в определении целей и задач, в противном случае на выходе можно получить лишь «пачку бумаг».
В ходе проекта на уровне корпорации были разработаны четыре документа:
- концепция ИБ: цели, задачи, взгляды и проч., утверждалась высшим руководством;
- техническая политика ИБ: требования к ИТ-ландшафту, средствам защиты и др.;
- политика ИБ: в документе отражалась зона ответственности высшего руководства, требования к подразделениям, вовлеченным в сферу ИБ, разделение зон ответственности между ИТ и ИБ;
- стратегия развития ИБ: планирование (не более чем на три года) и др.
И затем политика ИБ формировалась на уровне каждой организации.
По моему опыту политика ИБ не может быть одним документом, — поделился Александр Луганцев. — Требуется три: концепция, политика, стратегия. И все должны утверждаться высшим руководством. При этом каждый документ ИБ не должен быть перегружен, оставаться гибким, способным развиваться. |
На двух аспектах одной цифровой реальности предприятия (ИТ и ИБ) и вопросах «выживаемости» специалиста по ИБ в условиях галопирующей цифровой трансформации акцентировал внимание слушателей Максим Королев, директор по кибербезопасности, Сегежа групп.
Доля специалистов ИБ в производственной сфере отличается от финансовой, сказал спикер: на производстве «безопаснику» приходится жестко доказывать свою необходимость компании. И первое, что необходимо сделать, это убедить руководство в том, что простои производства и отгрузки готовой продукции – потерянные деньги. Второе – продемонстрировать, что нарушение законодательства по ИБ влечет штрафные санкции, которые могут составлять до 4% от оборота за одно нарушение. И третья угроза — утечка конфиденциальной информации, последствия которой индивидуальны для каждой компании.
Что касается ИТ-подразделения, то оно должно видеть в ИБ партнера, понимать, что невыполнение требований ИБ приводит к неприятным последствиям. Важная цель ИБ во взаимоотношениях с ИТ: стать помощником в таких рутинных операциях, как управление обновлениями, расследование инцидентов, реагирование на них, резервирование каналов.
В завершение выступления Максим Королев привел три примера реализации проектов по ИБ в следующих сферах: организация удаленной работы, роботизация, тотальное использование мобильных устройств.
ИТ вместе с руководством хотят «улететь в Космос», — отметил Максим Королев. — И понятно, что если соблюдать все запятые в инструкциях по ИБ, никуда улететь не получится, поэтому основная миссия ИБ — стать защитным щитом при передвижении в пространстве бизнеса. |
Старые и новые угрозы ИБ меняют отношение компаний к организации своей защиты, констатировал Андрей Минаев, менеджер по инфраструктуре и информационной безопасности, VOLKSWAGEN Group Rus. Он рассказал, как обеспечивается безопасность web-приложений в компании.
С целью защиты веб-систем и публикации их для доверенных пользователей делается следующее:
- приложения публикуются через обратный прокси-сервер (reverse proxy);
- шифрование по надежным протоколам TLS 1.2,1.3;
- автоматическая выписка и обновление сертификатов шифрования;
- двухфакторная аутентификация, что позволяет допускать только доверенных пользователей
- повышение безопасности с помощью технологии специальных заголовков HTTP Security Headers;
- балансировка нагрузки и обслуживание бэкенд-серверов, которым необходимо постоянное обновление;
- логирование, чтобы иметь возможность вовремя обнаружить закладку;
- использование файерволла (Web Application Firewall).
Мы советуем использовать обратный сервер, балансировщик нагрузки и файерволл для защиты web-серверов, — завершил свое выступление Андрей Минаев. — Важно также использовать централизованные решения, с целью оптимизации затрат. А в целом пожелание такое: автоматизируйте процессы там, где это целесообразно. |
На рисках для информационной безопасности облачных сред и виртуальной инфраструктуры остановился Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, «ЕВРАЗ».
Спикер отметил осторожный подход компании к использованию облачных сервисов, перечислив риски и трудности использования облаков. Риски:
- НСД к данным со стороны третьих лиц: сам провайдер может иметь доступ к данным, а также спецслужбы и др.;
- НСД при управлении сервисом через консоль: разграничение доступа и др.;
- утечка данных;
- риск потери доступа к данным по внешним причинам (санкции, действия Роскомназдора);
- неуверенность в достаточности мер защиты со стороны провайдера;
- неправильная настройка облачных сервисов: возможна ситуация, при которой настройки делаются без учета требований ИБ;
- нарушение изолирования между клиентскими сегментами облачного провайдера;
- несоответствие требованиям законодательства, например, Закону 152-ФЗ.
В числе трудностей при защите облачных сервисов спикер обозначил:
- динамичность виртуальных машин: новые виртуальные машины создаются так быстро, что ИБ не успевает обеспечивать защиту;
- уязвимости виртуальной среды;
- размытый периметр сети;
- процессы разграничение и контроля доступа;
- настройка корпоративных средств защиты.
Использование облаков – это запрос со стороны бизнеса с целью быстрой проверки гипотез и внедрения новых сервисов, — рассказал Андрей Нуйкин. — Наша стратегия безопасного использования облаков: идем в облака теми сервисами, которые напрямую не влияют на производственный процесс. Например, спам-движок или бизнес-аналитика: если они вдруг перестанут работать на некоторое время, работа предприятия не остановится. |
Вендоры — о кейсах, продуктах и о проблематике ИБ
Об особенностях защиты объектов при удаленном доступе рассказал Дмитрий Михеев, технический директор «АйТи БАСТИОН» – компании, занимающейся вопросами управления удаленным доступом привилегированных пользователей, как пояснил спикер.
Он констатировал развитие и усложнение ИТ-ландшафта компаний, а именно:
- расширение и усложнение инфраструктур (сквозной доступ в масштабе предприятия, подключение ранее автономных субъектов, географическое распределение и требование отказоустойчивости, сервисная модель обслуживания и др.);
- усложнение рабочих процессов, рост требований бизнеса и регуляторов;
- сложность и разнообразие используемых технологий, в том числе - виртуализации (сервисные архитектуры IaaS, SaaS, оркестрация и др.).
Это приводит к повсеместному использованию удаленного доступа, высокой стоимости ошибок, росту требований к уровню обслуживания, уменьшению времени реакции на инциденты и, конечно, к нехватке квалифицированных специалистов для поддержания сложной ИТ-инфраструктуры.
Дмитрий Михеев констатировал, что сегодня практически не остается места в компании, куда было бы нельзя зайти удаленно, даже на производстве. Если раньше производственная площадка могла работать автономно, и в качестве естественной меры защиты был «воздушный зазор» между производством и ИТ-инфраструктурой, то сейчас эти воздушные зазоры по разным причинам истончаются. В завершение доклада спикер рассказал о нескольких кейсах. На сессии вопросов и ответов спикер отмели, что продукты компании – не «серебряная пуля», они работают как элемент единой инфраструктуры информационной безопасности вместе с сетевыми экранами, VPN, системами обнаружения вторжений.
Как только мы говорим про задачи обеспечения ИТ-инфраструктуры, ее работоспособности, эксплуатации и развития, возникают вопросы контроля, то есть «бизнесовые», — рассказал Дмитрий Михеев. — Мы создаем продукты, помогающие осуществлять такой контроль. Технически это шлюз протоколов удаленного доступа, предоставляющий возможность управления доступом, контроля изменений, произведенных в инфраструктуре конкретным пользователем, и возможность согласования изменений. |
Елена Ткаченко, специалист по информационной безопасности, «Селектел», остановилась на том, как использовать IaaS в тех случаях, когда требования к безопасности очень высокие.
Высокие требования могут быть в силу:
- требований регуляторов (ФСТЭК, ФСБ, Банк России): например, по сертифицированному гипервизору;
- корпоративных стандартов: некоторые средства защиты не могут быть реализованы в облаке;
- желания сохранить полный контроль за безопасностью.
Все это осложняется необходимостью обеспечить работу в режиме 24/7, гибкость выделения ресурсов, масштабируемость и катастрофоустойчивость, отметила Елена Ткаченко.
Далее спикер остановилась на разграничении зон ответственности облачного оператора и заказчика облачных услуг при работе на платформе Selectel. Оператор отвечает за ИБ своих дата-центров, рабочих мест своих сотрудников, аппаратного обеспечения, среды виртуализации и технологической сети. Заказчик ответственен за управление доступом к своему проекту, за сеть внутри проекта, ОС и прикладное ПО, за данные и резервное копирование.
Системы с самыми высокими требованиями могут использовать IaaS, подчеркнула она в заключение, но при выборе конкретного варианта инфраструктуры необходимо опираться на разграничение зон ответственности. Один из вариантов, когда требуется полный контроль за ИБ, - аттестованный сегмент ЦОД.
Разграничение зон ответственности не такое простое, каким может показаться на первый взгляд, — отметила Елена Ткаченко. — Заказчик обеспечивает безопасность в своей зоне ответственности с помощью инструментов, предоставляемых провайдером. Кроме того, в облаке постоянно появляются новые функции, которые могут повлиять на безопасность систем заказчика, в том числе, в зоне его ответственности. |
Технологию противодействия бот-атакам Radware Bot Manager обрисовал в своем выступлении Владимир Вакациенко, Systems Engineer, Radware. Спикер констатировал, что сегодня половину интернет-трафика генерируют боты, причем порядка 50% из них — плохие боты. Они могут быть использованы для организации DDos-атак, рассылок спама, нелегитимного сбора информации, захвата инвентарных, складских ресурсов торговых онлайн-площадок.
Компрометация платежных данных и нелигитимный сбор информации используются, в первую очередь, для атаки на компании, занимающиеся электронной коммерцией, отметил Владимир Вакациенко. DDOS-атаки, захват учетных данных, инвентарных ресурсов представляют угрозу для любой организации, предоставляющей онлайн-услуги, независимо от индустрии.
Затем спикер рассказал о схеме работы Radware Bot Manager, режимах функционирования (мониторинг и активный режим), механизмах обнаружения, заложенных в решение. В частности, он остановился на анализе поведения на основе намерений — все действия пользователей на сайте кодируются и представляются в виде намерений, которые используются для расчета и выявления аномальных намерений. Система способна различать все боты, плохие и хорошие, отражать все виды атак, и это не просто программа, но и команда опытных специалистов, отметил докладчик.
Захват ботами учетных данных дает большой плацдарм для действий злоумышленников, которые могут дальше развивать атаку, — сказал Владимир Вакациенко. — Они могут осуществлять захват инвентарных ресурсов — например, забронировать все доступные билеты на спектакль, номера в гостинице, поместить в покупательскую корзину все популярные товары, влиять на результаты опросов, маркетинговых исследований и таким образом способствовать принятию неверных управленческих решений. Причем боты атакуют любой онлайн-сервис, без привязки к индустрии. |
Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», рассказал о роли SIEM-системы в ИБ-инфраструктуре.
Спикер обозначил две кардинально разные архитектуры при создании SIEM-решений, которые определяют стилистику решения задач:
- на базе аналитических индексаторов;
- фильтрация и парсинг событий в реальном времени.
Затем он перечислил задачи, которые должна решать система:
- прием и сбор данных;
- анализ данных до инцидентов;
- связь событий, выделение потенциальных проблем, их взаимосвязей;
- инвентаризация активов: какие устройства в наличии, какие из них новые, версия ПО и др.;
- предиктивные функции: где потенциально могут возникнуть проблемы и др.;
- превентивные функции, предусматривающие активную реакцию через скрипты, API и др.
После доклада спикер ответил на вопрос о возможностях локальных SIEM-решений в сравнении с мировыми, например - продукта Elastic SIEM. Выбор упомянутого SIEM-продукта целесообразен, когда требуется создать кастомизированный полуручной инструмент, который можно настроить самостоятельно, отметил Алексей Парфентьев. Но если требуется инструмент для оперативного решения бизнес-задач и удовлетворения требования регуляторов, тогда предпочтительнее решения локальных вендоров.
Современная SIEM-система способна решать широкий круг задач, — заметил Алексей Парфеньтьев. — Когда вы общаетесь с разработчиком при выборе SIEM-системы ключевой момент —это понимание, на каких технических принципах, с какой философией разработчик за нее взялся, как создавал. Именно это поможет понять место SIEM-системы в вашей собственной инфраструктуре, какие задачи она сможет решить. |
Даниил Бориславский, руководитель аналитического отдела, Атом безопасность, остановился на проблематике контроля за сотрудниками, рассказал о системе мониторинга для расследования инцидентов StaffCop.
Контроль над информационными потоками в новых условиях нужен, в первую очередь, для контроля за работой сотрудников на дому и предотвращения утечек информации, отметил спикер. Система StaffCop решает следующие задачи: осуществляет учет рабочего времени удаленных сотрудников, помогает оценивать эффективность работы персонала, обеспечивает расследование инцидентов ИБ, удаленное администрирование.
Система реализуется на классической клиент-серверной модели, для работы сервера достаточно одной виртуальной машины. При этом возможен контроль за действиями пользователей на компьютерах под управлением операционных систем Windows, Linux, MacOS. Кроме того, реализована удаленная установка агента, система готова к сбору данных сразу после инсталляции.
В числе прочего спикер отметил необходимость легитимизации установки такого ПО. Не следует внедрять систему тайно от сотрудников, уверен Даниил Бориславский. Сотрудников надо проинформировать, что они не должны хранить на рабочем месте никакой личной информации, использовать компьютер для личной переписки. Также важно, чтобы они подписали соответствующее соглашение.
С точки зрения инфраструктуры наша система всеядна, — утверждает Даниил Бориславский. — Пусть у сотрудника хотя бы иногда будет интернет, и вы будете знать, что происходит на его компьютере. При этом в тотальном контроле за действиями всех сотрудников нет смысла. Зачем тратить ресурсы на бухгалтеров? У сотрудников, работающих с деньгами – операционистов и других, нужно контролировать входящие и исходящие информационные потоки. Для творческих сотрудников важно понимать настроение – работает он или, быть может, мониторит туристические сайты. |
На дефиците кадров в области ИБ, низком качестве классического высшего ИТ- и ИБ-образования, возможностях решить эти проблемы благодаря Международному Университету IT и кибербезопасности остановился в своем выступлении Ильдар Садыков, Chief Product Officer, компания HackerU Russia.
Всем руководителям ИБ знакомы проблемы поиска и подбора квалифицированного персонала, констатировал спикер. Специалисты зачастую имеют узкую квалификацию, их необходимо доучивать под реалии рынка. При этом количество задач только нарастает. Возможные методы выбора:
- выбрать лучшего, знающего, но это очень дорого;
- пригласить середняка с потенциалом развития, доучить имеющихся в штате специалистов;
- взять студента, выбрав «звездочек», которых несложно доучить.
Ильдар Садыков является сторонником последнего из перечисленных подходов. На первом этапе - стажировка, обучение на реальной инфраструктуре, и далее – в штат. Еще один вариант – обратиться за помощью в Международный Университет IT и кибербезопасности, то есть в HackerU Russia.
Навыки и знания в университетах не соответствуют потребностям рынка, — уверен Ильдар Садыков. — Следование образовательным стандартам гарантирует отставание от рынка. Образование почему-то с каждым годом хуже. Удаленка осложнила ситуацию, люди не понимают, куда они двигаются. Где взять время на обучение? Есть решение – HackerU занимается профессиональным обучением в области ИБ, можем тестировать компетенции. |
В перерыве и по завершении конференции участники общались в неформальной обстановке, а также имели возможность ознакомиться с продуктами и услугами поставщиков ИБ на стендах, развернутых в холле.
Информация о Партнерах:
О компании UserGate
Компания UserGate является российским разработчиком программного обеспечения и микроэлектроники и обеспечивает своими решениями информационную безопасность корпоративных сетей самого разного размера от малого и среднего бизнеса до крупных корпораций с распределенной инфраструктурой. Основой подхода UserGate является разработка собственных технологий, способных конкурировать с лучшими зарубежными аналогами. Все продукты создаются внутри компании с использованием высокоэффективных методик разработки, что позволяет выпускать решения с высокой производительностью, надежностью и уровнем доверия.
Информация о Партнерах
О компании «АйТи БАСТИОН» АйТи БАСТИОН - российская компания, основанная в 2014 году. Производитель «Системы контроля действий поставщиков ИТ-услуг». Продукты компании СКДПУ и СКДПУ НТ внесены в Реестр отечественного ПО. СКДПУ НТ — продукт АйТи БАСТИОН, объединяющий в себе функционал системы контроля действий ИТ-поставщиков СКДПУ с Центром мониторинга и аналитики, модулем отчётности, модулем отказоустойчивости и масштабирования, модулем профилирования пользователей. Эта система обеспечивает всю функциональность PAM — от входа пользователя в систему до «умного» анализа потенциального инцидента. На начало 2021 года заказчики АйТи БАСТИОН - более 100 российских компаний из разных отраслей, в том числе – нефтегазовой, энергетической, банковской, государственного сектора. Среди технологических партнеров АйТи БАСТИОН - Лаборатория Касперского, Positive Technologies, РЕД СОФТ, Мультифактор и др.