Содержание |
18 октября в Москве TAdviser провел конференцию по информационной безопасности — TADVISER SUMMIT КИБЕРБЕЗОПАСНОСТЬ. Представитель Минцифры рассказал здесь о результатах программы Bug Bounty, спикеры от бизнеса поделились видением характера новых угроз ИБ и опытом использования ИБ-продуктов разных классов, методологическими наработками по риск-менеджменту и созданию количественных метрик, а вендоры описали возможности своих решений.
Конференцию посетили представители таких организаций, как Министерство энергетики Российской Федерации, Центральный банк РФ, Российский государственный архив НТД, Казначейство России, X5 Group, «Металлинвестбанк», «Сбербанк», «Аэрофлот», ГБУ «Малый бизнес Москвы», ЦНИИОИЗ Минздрава России, префектура Зеленоградского АО г. Москвы, Пензенский государственный технологический университет и многие другие. Вел мероприятие Алексей Воронин.
Награда за ошибку
О результатах государственной программы Bug Bounty («награда за ошибку») — поиске уязвимостей в двух ГИС за вознаграждение — рассказал Евгений Хасин, заместитель директора департамента обеспечения кибербезопасности, Минцифры России. Эта программа была запущена в 2023 году, и в ее работе приняли участие около 8 тыс. сторонних исследователей, тестировавших две ГИС: «Госуслуги» и ЕСИА.
В результате найдено 37 уязвимостей, в числе которых оказались и критические, связанные с архитектурой и логикой. Программа реализовывалась на базе двух отечественных платформ: BI.Zone Bug Bounty и Standoff 365 — общая сумма выплат исследователям составила чуть меньше двух млн рублей.
По итогам программы:
- повышена защищенность ГИС;
- отработан формализованный и легитимный процесс передачи информации об уязвимостях;
- сокращено время жизни уязвимости;
- снижены затраты на выявление уязвимости;
- проверена работа центра мониторинга ИБ в боевых условиях;
- выполнены требований законодательства.
Информационная безопасность начинается с инвентаризации информационных систем, — подчеркнул Евгений Хасин. — Важен и пентест, но это разовое мероприятие и притом дорогое, поскольку оплачивается вне зависимости от результата исследования, которое может ничего и не дать. Bug Bounty же дает возможность привлечения неограниченного количества независимых исследователей с выплатой вознаграждения за достигнутый результат. |
Докладчик подчеркнул, что нормативное законодательство нуждается в доработке, в частности, для того, чтобы независимые исследователи, участвующие в легальном поиске уязвимостей, чувствовали себя более защищенными от возможных претензий со стороны правоохранительных органов. TAdviser выпустил Гид по российским операционным системам
Глеб Лигачев, директор по ИТ, «Системный оператор Единой энергетической системы» (СО ЕЭС), напомнил, что эта компания полностью принадлежит государству и работает как единый диспетчерский центр для всех электростанций, которые подсоединены выделенными каналами связи.
В больших компаниях вопросам ИБ уделяли внимание и до февраля 2022 года. Были выстроены ИБ-процессы, внедрены инструменты, утверждена нормативная база. А вот в малых и средних компаниях, по оценке спикера, позволить себе процессы ИБ мог только «или сумасшедший, или шибко дальновидный акционер». Однако в 2022 году и у них возникла необходимость в инструментах обеспечения информационной безопасности. При этом считается, что подрядчики тоже занимаются ИБ, но чаще всего у них «полный бардак» в этом отношении, уверен Глеб Лигачев, поэтому один из самых распространенных способов нападения на организацию — через подрядчиков или поставщиков.
Спикер предупредил, что даже при сотрудничестве с известными ИБ-вендорами необходимо проверять конкретных ее представителей на соблюдение правил ИБ. Он рассказал о случае, когда один специалист хранил на внешнем диске боевые параметры настройки межсетевых экранов «Газпрома» и других крупных структур — клиентов ИБ-вендора — представителем которого он и являлся.
В завершение докладчик перечислил новые вызовы ИБ. Например, охранять надо не только компанию, но и ее внешних подрядчиков (а так же «дочек» и партнеров). Подозревать «в нехорошем» стоит не только обновления иностранного ПО, но и отечественного тоже. На почту приходит все более правдоподобный фишинг, поэтому следует приучать сотрудников к ИБ-чистоплотности. Кроме того, чисто технически атаковать теперь могут «любые недоноски», как выразился выступающий, поэтому требуется укрепление периметра для автоматического отражения атак.
Отказ от удобных иностранных решений в пользу отечественных, часто с происходить с существенным снижением функционала.
Российским решениям не хватает комплексности, чтобы при их использовании можно было делать много, быстро и малыми силами, — утверждает Глеб Лигачев. — При этом российские вендоры часто продают не то, что имеют в наличии, а «картинку будущего», анонсируя создание необходимой функциональности через год или два. |
По мнению спикера, разнообразие новых производителей и непредсказуемость их продукции делает разумным объединения в профессиональные сообщества. Например, такие, как ассоциация «Цифровая энергетика».
Хакеры подают команды голосом
О том, как изменился характер киберугроз в течение 2022-2023 годов и что именно стало главным вызовам для российской индустрии ИБ, рассказал Сергей Демидов, директор департамента операционных рисков, информационной безопасности, группа компаний «Московская Биржа». Угрозы ИБ трансформировались, выросла интенсивность и сложность атак, появились новые виды действий, угрожающих безопасности.
В 2022 году многие атаки, ранее считавшиеся не опасными, например, DDoS, сместились в «красную зону», стали критичными. Появились дополнительные угрозы: проблемы с обновлениями или вредоносные закладки в открытом исходном коде. Спикер признал невозможность отказаться от использования открытого кода и призвал находить баланс между безопасностью и необходимым развитием бизнеса.
К новым угрозам Сергей Демидов отнес и искусственный интеллект, который способен скоординировать атаки, сделать их еще более массовыми.
Из новых угроз информационной безопасности — искусственный интеллект, — сказал он. — Атакующим сейчас не хватает координации, чтобы делать по-настоящему массовые атаки. Искусственный интеллект позволяет анализировать большой объем инфраструктур, выдавая ключевые уязвимости. Стало возможно голосом дать задание, то есть сказать «собери наиболее часто встречающуюся уязвимость для финансового сектора», и получить инструмент для атаки на финансовые организации. |
Докладчик напомнил, перевод всех государственных ведомств на платформу «Гостех» приведет к тому, что уязвимости будут появляться одновременно у всех государственных ведомств, и тут есть о чем поразмышлять. Далее он прошелся по актуальным вызовам, в числе которых выделил:
- нормативное регулирование — необходимость соответствия специфическим требованиям, ГОСТам, общим требованиям в области кибербезопасности, приказам ФСТЭК;
- импортозамещение — замена средств защиты, повышение эффективности, адаптация под новые угрозы;
- культура — пока сотрудники не начнут воспринимать ИБ как элемент бизнеса, ничего не изменится;
- прозрачность кибербезопасности для бизнеса — необходимость объяснять бизнесу, на что тратятся деньги, пока не случился инцидент ИБ;
- управление рисками ИБ.
Ориентируемся по рискам
Практикой обеспечения корпоративной ИБ с применением риск-ориентированных подходов поделился Андрей Абашев, руководитель по направлению методологии и развитию ИБ, департамент защиты информации и ИТ-инфраструктуры, «Норильский никель». Компания развивает риск-ориентированный подход к управлению информационной безопасностью с 2018 года.
Глобальная цель — повышение прозрачности и обоснование принимаемых решений внутри ИБ для бизнеса — сказал он. |
При использовании риск-ориентированного подхода может быть три основных цели:
- идентификация и количественная оценка рисков реализации кибератак на ИТ-инфраструктуру, а также минимизация этих рисков за счет сбалансированного подхода к выбору механизмов защиты;
- оптимизация и балансировка требований ИБ, чтобы они не увеличивали сроки и стоимость реализуемых инициатив;
- формирование экономического обоснования расходов на ИБ.
Андрей Абашев подробнее остановился на способах достижения каждой из трех целей. Так, для идентификации и количественной оценки рисков необходимо определить ожидаемые сценарии атак на инфраструктуру, рассчитать вероятные финансовые последствия. После проведения количественной оценки рисков становится возможной процедура их страхования, отметил спикер.
Для оптимизации требований ИБ может применяться качественная оценка, с использованием классической «тепловой карты». При планировании инвестиций для ключевых проектов в области ИБ следует оценивать возможные последствия переноса или полного отказа от проекта.
Если в процесс просчета убытков от простоя бизнеса в случае реализации рисков ИБ вовлечены другие кросс-функциональные направления, выводы получатся более точными и реалистичными, считает Андрей Абашев.
Александр Луганцев, начальник отдела ИБ, «ВТБ Специализированный депозитарий», рассказал об этапах реализации риск-ориентированного подхода к обеспечению информационной безопасности бизнеса. Во внедрении данного подхода он обозначил три этапа.
На начальном этапе необходимо понять, чем занимается компания, какова ее организационная структура, выделить основные и вспомогательные бизнес-процессы, и, соответственно, основные и вспомогательные информационные системы. На втором этапе требуется выяснить, какие информационные системы задействованы во всех процессах: как основных, так и вспомогательных. Для этого изучаются взаимосвязи между подразделениями, информационные потоки и узлы, которые надо защищать. На третьем этапе выполняется описание технологических и бизнес-процессов, определяются взаимосвязи.
Основной источник получения информации на производстве — интервью с главными инженерами и технологами. Последние наиболее полезны, — дополнил картину Александр Луганцев. — В финансовом секторе полезно также и общение с сотрудниками операционного зала. |
По итогам проведенной работы составляется таблица, дающая представление о последствиях негативного события с выходом из строя каждой ИС, о необходимости резервирования каждой информационной системы, и о времени, требуемом для их восстановления.
Комплексный подход
Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, «Евраз», поделился результатами небольшого исследования эффективности продуктов класса EDR (Endpoint Detection and Responsed). Он сразу предупредил, что проведенное исследование, давшее материал для выступления, не является окончательным и не предназначено для того, чтобы дискредитировать какие-либо решения или подходы к обеспечению ИБ.
Суть проведенного эксперимента состоит в следующем. На тестовом стенде были размещены четыре компьютера с ОС Windows и разными настройками, различным набором ИБ-продуктов, а именно:
- компьютер с Windows и заводскими настройками, установлен антивирус «Лаборатории Касперского»;
- компьютер с Windows и заводскими настройками, установлен KEDR;
- компьютер с Windows Hardening Admin (учетная запись имеет административный доступ);
- компьютер с Windows Hardening NoAdmin (учетная запись не имеет административного доступа).
Андрей Нуйкин отметил, что выбор в качестве средства защиты EDR-решения продукта от «Лаборатории Касперского» не был принципиальным, результат интересен с любым EDR-продуктом.
К настроенным таким образом компьютерам применили 30 хакерских атак. Компьютер с Windows Hardening NoAdmin отразил 8 разновидностей атак, антивирусное решение закрыло 18 штук, а в сумме обе конфигурации отразили 20 разных атак (несколько техник заблокировано обоими решениями). EDR-продукт добавил еще 4 выявленных техники, дополнительно к предыдущим решениям. Таким образом, EDR-продукт повысил защищенность, но не кардинально.
В целом, подтвердилась старая истина: защита должна быть комплексной.
Защита должна быть эшелонированной и обеспеченной комплексом решений, которые дополняют друг друга, — сказал Андрей Нуйкин. — Что касается EDR, то мы пришли к выводу: на критичных направлениях ставить целесообразно, на некритичных достаточно правильной настройки Windows. |
Актуальные методы нападения в киберпространстве и способы защиты ИБ описал Александр Оводов, директор департамента информационной безопасности, процессинговая компания Uniteller. В числе актуальных способов кибератак он назвал использование вирусного ПО (шифровальщики, шпионы и др.), социальную инженерию, эксплуатацию уязвимостей, компрометацию учетных записей, а также цепочек поставок или доверенных каналов связи, DDoS и атаки на API.
Для защиты открытого контура компании необходимо использовать межсетевой экран для веб-приложений (WAF), защищенный API. Меры для защиты закрытого контура: межсетевой экран нового поколения (NGFW), сегментация внутренней сети, антиспам для почты. В обоих случаях необходимо управление уязвимостями.
Александр Оводов обратил внимание участников конференции на важность развития персонала с целью обеспечения ИБ, и в этом контексте необходимо выполнить следующие действия:
- провести инвентаризацию информационных активов: кто, с какими системами работает, какая информация в них циркулирует;
- определить нарушителей;
- определить недопустимые события;
- оценить роль персонала в создании недопустимых событий;
- выработать и применить меры кибергигиены.
Когда сотрудникам объяснили их возможную роль в допущении недопустимых событий ИБ, они самостоятельно и с большей охотой стали соблюдать ИБ. Количество инцидентов снизилось на 30%. Мы занимались этим больше года, — дополнил Александр Оводов. |
На разных аспектах обеспечения информационной безопасности объектов КИИ: развитии законодательной базы, опыте успешных проектов, возможностях тиражирования лучших практик — остановился Алексей Плешков, независимый эксперт. Спикер подчеркнул постоянное развитие законодательной базы в области КИИ, представив аудитории, в том числе, подборку нормативных документов для промышленности и транспортной области.
Из инициатив регулятора Алексей Плешков выделил создание нового технического комитета по стандартизации ТК167 «Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них», а также недавнюю инициативу ФСТЭК по разработке единого классификатора мер защиты, указанных в приказах №17, 21, 31 и 239. Выделил спикер и приказ Минпромторга от 31.05.2023 № 1981 «Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации».
Говоря про указ президента №250 от 01.05.22, Алексей Плешков посоветовал воспринимать этот документ как помощь в вопросах организации ИБ, поскольку уже есть лучшие практики, наработки в этой области. Доклад спикера содержал много полезных ссылок на нормативно-правовые документы, а также на лучшие практики и опыт защиты объектов КИИ.
Теперь следует внимательнее относиться к категорированию компании, — сказал Алексей Плешков. — Даже компании с минимальным госучастием могут быть отнесены к объектам КИИ. |
«DLP не работает на 100% функционала»
KPI как основу поддержки безопасности на требуемом уровне определил Андрей Минаев, руководитель направления информационной безопасности, Fuelup. Он уверен, что проведение аудита информационной безопасности недостаточно — необходимо выделить метрики процессов корпоративной безопасности, определить KPI.
Выработанные метрики необходимо применять к следующим процессам:
- управление доступом, активами;
- сетевая безопасность;
- защита конечных устройств;
- безопасность данных;
- управление инцидентами ИБ, уязвимостями;
- обучение корпоративной безопасности;
- безопасная разработка.
Спикер полагает, что для каждого процесса можно выработать метрики. «Мы знаем, когда к нам придут аудиторы ИБ, и мы к этому готовимся. Но когда они уходят, что происходит с безопасностью? — задался вопросом Андрей Минаев. — Она снижается. Для того, чтобы поддерживать информационную безопасность на требуемом уровне нужны метрики ИБ — KPI — и регулярные расчеты и отчеты по ним».
Типы метрик таковы: покрытие СЗИ, покрытие процесса, качество СЗИ, качество процесса. В качестве примера Андрей Минаев взял процесс «безопасность конечных устройств» с точки зрения антивирусной защиты. Его метрики:
- доля АРМ с установленным антивирусом (метрика «покрытие»);
- процент антивируса, функционирующего без ошибок («качество»);
- процент обработанных антивирусом инцидентов («покрытие»);
- процент обработанных в срок инцидентов («качество»).
Для каждой метрики определяется алгоритм расчетов, подчеркнул спикер, то есть как именно считаем, откуда берем значения. При этом метрики сами по себе ничего не дают. Для каждой метрики необходимо определить пороговые значения, ниже которых — высокие риски, выше — низкие. Не все метрики должны быть на 100%, необходимо определить целевое значение, при котором риски низкие, а еще важно назначить персонально ответственного за процесс.
Андрей Минаев также перечислил преимущества внедрения метрик и отчетности по ним:
- улучшение показателей корпоративной безопасности;
- постановка целей сотрудникам;
- выявление проблем и рисков ИБ;
- демонстрация объемов работы;
- обоснование бюджетов и закупок: видим, где ухудшаются метрики и где необходимы люди, инвестиции;
- принятие управленческих решений.
Защита данных на всех этапах жизненного цикла, особенно при передаче на обработку во внешнюю среду, требует к себе пристального внимания, по оценке Вячеслава Касимова, директора департамента информационной безопасности, МКБ. Он напомнил этапы жизненного цикла любых данных: ввод, передача, использование, хранение, удаление.
Докладчик определил защиту данных как возможность осуществлять все переходы, определенные жизненным циклом, при отсутствии нелегитимных действий — искажение данных, их утечка и др. При этом DLP-решения недостаточно успешно справляются со своими задачами. Данные необходимо защищать другими способами (на этапах ввода и удаления), например, с помощью автоматизации их ввода, а если ввод все же ручной, то за ним нужен усиленный контроль. Кроме того, удаление должно быть надежным и авторизованным.
Необходимые действия при использовании данных таковы. Во-первых, лучше минимизировать использование данных, поскольку в этом случае автоматически снизится и потребность в передаче и хранении. Во-вторых, нужно не забыть про контроль доступа и выгружаемых данных, на уровне прав и логов. В-третьих, экран всегда можно сфотографировать, а хранимое в головах изложить в документе, поэтому нужно постоянное обучение, повышение ИБ-грамотности сотрудников.
Нигде DLP не работает на 100% функционала, — констатировал Вячеслав Касимов. — Контролировать каналы утечки можно, но нужно их непрерывно инвентаризировать, гоняться за вендором, добиваться получения превентивного функционала. И если производители DLP-решений не начнут делать полноценный DLP, то все уйдут в модель изолированных сред. |
Сетевая безопасность
На обеспечении сетевой безопасности средствами российского межсетевого экрана класса NGFW остановилась в своем выступлении Кира Малухина, начальник отдела по развитию ключевых проектов, «Код Безопасности». Она рассказала о сетевом продукте «Континент 4» — многофункциональном межсетевом экране (NGFW/UTM) с поддержкой алгоритмов ГОСТ, который решает следующие задачи:
- централизованная защита периметра корпоративной сети;
- предотвращение сетевых вторжений;
- контроль доступа пользователей в интернет;
- организация защищенного удаленного доступа.
Докладчица обрисовала архитектуру решения, используемые сетевые технологии (динамическая маршрутизация, поддержка NAT, Multi-WAN, QoS, кластеризация узлов безопасности), а также перечислила сценарии использования устройства (интегрированный межсетевой экран, высокопроизводительный межсетевой экран, детектор атак) и другие возможности «Континента 4».
Нами реализовано централизованное управление устройствами из единого окна, с настройкой групповых политик, — отметила Кира Малухина. |
Она подчеркнула, что в контексте импортозамещения доступен прямой импорт в «Континент 4» политик Check Point версий 77.30, 80.X, 81.X. Миграция с Palo Alto Networks, Cisco, Juniper и FortiGate осуществляется через промежуточный импорт в Check Point, а затем — в «Континент 4.1.7» при помощи специальной утилиты.
Варианты применения поисково-аналитической платформы IQPLATFORM осветил в своем докладе Владимир Базылев, начальник отдела развития бизнеса, «Айкумен ИБС» (входит в «Ростелеком»). Он подчеркнул, что платформа обладает набором коннекторов, позволяющих интегрироваться с любым источником данных.
С помощью IQPLATFORM можно осуществлять:
- сбор и анализ информации о контрагенте с целью проверки его благонадежности, анализа активов, выявления подозрительного окружения, возможного конфликта интересов;
- мониторинг обстановки в регионе с автоматическим мониторингом большого количества источников информации в сети на предмет событий, с автоматическим определением степени их критичности, при этом данные о событиях могут отображаться на карте, преобразовываться в отчеты;
- ведение паспорта безопасности (антитеррористической защищенности) объекта, автоматический мониторинг информационного поля и анализ событий, происходящих в географической близости к объектам охраны;
- мониторинг репутационного фона вокруг мероприятия и др.
Объектами исследования платформы IQPLATFORM могут быть регион, объект, организация, конкретная персона или устройство сети и логи, связанные с этим устройством, — перечислил Владимир Базылев. |
В перерыве и по завершении конференции участники общались в неформальной обстановке, а также имели возможность ознакомиться с решениями и услугами ИТ-поставщиков на стендах, развернутых в холле мероприятия.