Мінімізація ризиків кібератак: реактивний та попереджувальний підходи

2730
1

Нещодавній серйозний спалах шкідливої програми Ex.Petya (відомої також як ExPetr, NotPetya, тощо) завдав значної шкоди підприємствам в Україні та інших країнах. Сьогодні багатьом компаніям бракує досвіду у сфері захисту своєї ІТ-інфраструктури. Більше того, деякі з них навіть вважають кібербезпеку непотрібною для бізнесу. Однак у нашому світі, де все взаємопов’язано, будь-яке підприємство може стати об'єктом кібератаки. Навіть якщо вашій компанії пощастило не зазнати шкоди від того чи іншого нападу, вам варто запитати – чи дійсно ваш бізнес у безпеці?

Фахівець компанії Infopulse із питань кібербезпеки Володимир Булдижов спеціально для AIN.UA пояснює, як «універсальні» рішення безпеки можуть зашкодити вашому бізнесу і які переваги має превентивний підхід до попередження та мінімізації ризиків.

Вам потрібен план

Остання сумновідома кібератака була очевидним сигналом того, наскільки вразливими є організації до подібних нападів. Атаковані компанії досі відновлюють свої інфраструктури та змушені справлятися зі збитками. Тепер головним завданням для керівників та ІТ-менеджерів будь-якої компанії є зниження ризиків майбутніх жахливих атак, подібних до Ex.Petya.

На хвилі загальної паніки від вірусу-вимагача, багато системних інтеграторів безпеки почали активно просувати власні, начебто універсальні, пропозиції. Багато з них позиціонуються як «панацея» від усіх проблем. Однак, згідно з найкращими практиками в галузі кібербезпеки, у світі ще немає універсального засобу захисту від кібератак, окрім як відключити пристрій від інтернету. Інтегратори безпеки, які часто лише перепродають програмне забезпечення (далі – ПЗ), насправді пропонують реактивний підхід до кіберзахисту.

Давайте розглянемо, чому превентивний підхід до кібербезпеки кращий, ніж реактивний підхід, а також які існують реальні способи зменшення ризиків.

Недоліки реактивного підходу

Однією із яскравих ознак реактивного підходу є зосередження на винятково вразливих місцях, шкідливих програмах, схемах та умовах, що вже призвели до кібератаки. Наприклад, одне з рішень безпеки від шкідливого впливу NotPetya, яке пропонують інтегратори безпеки, полягає в ізоляції небезпечних додатків, таких як скомпрометоване ПЗ M.E.Doc, що було основним джерелом спалаху. Ми не заперечуємо слабкість моделі оновлення M.E.Doc, як і небезпеку таких методів ланцюгів постачань, проте таке ПЗ є лише одним із слабких місць, які потенційно можуть призвести до інцидентів із безпекою.

Чому це погано? Якщо ви зосередитесь виключно на минулих недоліках кіберзахисту, ви не будете готові до нових проблем. Швидше за все, старі лазівки в системі втратять свою актуальність для майбутніх кібератак. Такі тимчасові одноразові рішення, як-то використання апаратних засобів безпеки та ПЗ, орієнтованого на конкретну проблему, забезпечують фрагментарний та/або короткочасний ефект, і лише спорадично вирішують проблеми безпеки. Таким чином, реактивний підхід не може бути стратегією захисту від майбутніх атак. У той час, як недостатньо лише усунути основні вразливі місця, зосередження уваги на другорядних недоліках у системі захисту є надмірним і малоефективним заходом.

Разом із тим, інтегратори безпеки ігнорують інші ризики, як людський фактор, що є основним джерелом різних загроз кібербезпеки і призводить до хакерських зламів та витоків даних. Отже, реактивний підхід може бути ознакою лише фінансового інтересу інтеграторів безпеки. Все це робить реактивний підхід неефективним і не найкращим рішенням ситуації.

Відповідно до найкращих практик кіберзахисту, оптимальна безпека досягається шляхом оцінки ризиків та постійної підтримки процесів безпеки у поєднанні з одноразовими рішеннями та усуненням вразливих місць. Управління безпекою – це комплексний систематичний процес, що стосується всіх аспектів діяльності компанії: від найму та звільнення кадрів до управління постачальниками, від впровадження обладнання та програм безпеки до управління безперервністю бізнесу, резервного копіювання даних, моніторингу подій та реагування на інциденти.

Саме з цих практик починається справжній превентивний підхід.

Переваги превентивного підходу

Ми поділяємо думку спільноти кібербезпеки, що для досягнення кращого результату в процесах безпеки та управління превентивний підхід є більш ефективним. Цей підхід є системним і надає компаніям чіткіше розуміння проблем безпеки разом із раціональним обґрунтуванням вкладених інвестицій, але також потребує додаткові час та ресурси, у порівнянні зі швидким придбанням нового обладнання.

Існує багато перевірених часом стандартів та найкращих практик управління безпекою компанії, основними з яких є NIST, PCI DSS, ISF SoGP, ISO 27000, OWASP, ITIL та інші. Однак їхнє нерозсудливе використання призводить до того, що ці стандарти можуть бути занадто складними, і викликати занепокоєння серед власників бізнесу щодо значної кількості документації та організаційних процесів.

Зазвичай, клієнти в питаннях безпеки мають поверхневу обізнаність і не готові зануритися в усі процеси, процедури, записи та показники. Саме тому деякі компанії віддають перевагу водночас системному та простому підходу.

Сьогодні питання інформаційної безпеки можна вирішити швидкими та оптимальними способами, які легко знайти у порівняно невеликому документі під назвою «The CIS Critical Security Controls for Effective Cyber Defense» («Показники критичної безпеки CIS для ефективного кіберзахисту»). Документ, розроблений Інститутом SANS, постійно оновлюється CIS (Center for Internet Security) – Центром інтернет-безпеки – неприбутковою організацією під керівництвом представників американських компаній та установ.

Вищенаведений документ містить 20 груп заходів скоріше технічного, аніж організаційного характеру:

  1. Інвентаризація дозволених та несанкціоновано підключених пристроїв;
  2. Інвентаризація дозволеного та несанкціоновано встановленого програмного забезпечення;
  3. Безпечні налаштування апаратного та програмного забезпечення для мобільних пристроїв, ноутбуків, робочих станцій та серверів;
  4. Безперервний аналіз та усунення вразливих місць;
  5. Контроль використання адміністративних привілеїв;
  6. Супровід, моніторинг та аналіз журналу реєстрації подій;
  7. Захист електронної пошти та веб-браузера;
  8. Захист від шкідливих програм;
  9. Обмеження та контроль мережевих портів, протоколів і служб;
  10. Організація відновлення даних;
  11. Безпечні налаштування для мережевих пристроїв, таких як брандмауери, маршрутизатори та комутатори;
  12. Захист периметра;
  13. Захист даних;
  14. Контроль доступу на основі принципу мінімізації повноважень;
  15. Контроль доступу через бездротові пристрої;
  16. Моніторинг та контроль облікових записів;
  17. Оцінка навичок із безпеки та проведення необхідних тренінгів;
  18. Безпека прикладного програмного забезпечення;
  19. Організація реагування на інциденти;
  20. Тести на проникнення та тренування команд реагування.

Таким чином, як компроміс між повномасштабним процесним і процедурним підходами та підходом «універсального» рішення, ми пропонуємо використовувати перелічені заходи контролю, спрямовані на зміцнення безпеки ІТ-інфраструктури.

Стратегія щодо покращення безпеки та зміцнення інфраструктури

Наразі аналіз ризиків є одним із найкращих способів оптимізації витрат на апаратне і програмне забезпечення для захисту від кібератак, разом із аудитом та моніторингом безпеки, тестами на проникнення, зміцненням інфраструктури, тощо. Це також дозволяє запобігти спалахам шкідливих програм та іншим інцидентам безпеки.

Обираючи «розумні» підходи щодо посилення захисту інфраструктури та методи побудови внутрішньої безпеки, ви не здійснюєте жодних переплат за рішення, що виявляються безсилими перед новими проблемами та нападами. Іншим варіантом захисту є індивідуальні рішення, що будуть задовольняти конкретні бізнес-потреби. Це також сприяє підвищенню безпеки всієї ІТ-інфраструктури і, зокрема, покращенню захисту від шкідливих програм.

Автор: Володимир Булдижов, фахівець компанії Infopulse із питань кібербезпеки

Оставить комментарий

Комментарии | 1

Поиск