Журнал "Information Security/ Информационная безопасность" #2, 2018

когда ее проводит APT-хакер (рис. 5). Чем целенаправлен- ный APT-хакер выделяется из основной массы хакеров? Тем, что последние берут несколь- ко тривиальных уязвимостей и перебирают большое коли- чество Web-сайтов в надежде взломать хотя бы некоторые из них, тогда как целенаправ- ленный хакер сосредоточен на одном-единственном Web- сайте. В своей атаке он пере- бирает не сайты, а методики взлома, которых в его арсе- нале предостаточно. Сегодня предприниматели осознают неизбежность столк- новения с проблемами в крити- чески важных для бизнеса Web- приложениях, поэтому они отка- зались от идеи абсолютной без- опасности и взяли курс на управ- ление рисками. Оно заключается в том, чтобы научиться жить в условиях возможной эксплуата- ции уязвимостей, которые не могут быть устранены экономи- чески рентабельным образом. Поэтому усилия по их устране- нию масштабируются по сле- дующей формуле: риск = веро- ятность события x величина последствий. Корпоративная программа кибербезопасности Обеспечение корпоратив- ной кибербезопасности – это нечто большее, чем просто покупка технологий и их раз- вертывание. Она начинается с того, чтобы разработать универсальный фреймворк, который будет отвечать всем этим потребностям. Лучший из существующих на сегодняшний день фрейм- ворков кибербезопасности описан в книге Enterprise Cybersecurity, где подчеркива- ется, что абсолютная неуязви- мость принципиально недости- жима. Это связано с тем, что предприимчивый злоумышлен- ник, имея неограниченное количество времени, способен преодолеть даже самую пере- довую защиту. Поэтому эффективность корпоративной программы кибербезопасности оценивается не в абсолютных категориях, а в относительных: насколько быстро она позво- ляет обнаруживать кибератаки и насколько долго она позво- ляет сдерживать натиск про- тивника. Чем лучше эти пока- затели, тем больше у штатных специалистов времени на то, чтобы оценить ситуацию и предпринять контрмеры. Представленный в книге фреймворк очень удобен для оценки корпоративной про- граммы кибербезопасности; он совместим со всеми совре- менными стандартами кибер- безопасности (в том числе ISO 27001/27002, NIST SP800-53, PCI DSS, HIPAA, HITRUST) и включает в себя 113 аспектов кибербезопасности, сгруппи- рованных в 11 функциональ- ных областей (см. рис. 6). l 24 • Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рис. 5. Как действует APT-хакер Рис. 6. Эффективный фреймворк для корпоративной программы кибербезопасности ТЕХНОЛОГИИ На всех мероприятиях по ИБ (и не только в России) постоянно звучат жалобы безопасников на то, что им не выделяют бюдже- тов, финансируют по остаточному принципу и вообще все плохо. Давайте трезво подумаем над тем, на что не хватает денег и можно ли заниматься своей дея- тельностью. SIEM, DLP с модной UEBA, SOC, анализ Netflow и т.п. Но если честно, так ли они вам нужны? Выжали ли вы все воз- можное из того арсенала, кото- рый у вас есть сейчас? Напри- мер, внутри Cisco 95% угроз закрывается достаточно типовы- ми защитными мерами, которые не требуют серьезных капитало- вложений и людских ресурсов. Да, безусловно у нас остается оставшиеся 5% сложных атак, но надо ли погружаться в их отражение, если мы не решили базовые вещи? Но какие меры являются основополагающими? На чем сконцентрировать свои усилия? Увы, в России пока нет таких документов, которые бы сказали: "Вот 10 (или 20) основных защитных мер, с которых надо начать и которые позволят закрыть боль- шинство угроз". Но тут нам на помощь приходят коллеги с другой части Земли, из Австралии. Их регулятор выпу- стил прекрасный и краткий список, с которого я бы и начал защиту своих активов в условиях нехватки бюд- жетов (в надежде на их увеличение): создание замкнутой программной среды (Аpplication Whitelisting), регулярное обновление приложений и операционных систем, а также ограничение административных привилегий. Эти, всего четыре, защитные меры позволяют "закрыть" 85% угроз! Представляете, всего четыре. Не 160 из приказов ФСТЭК, не 400 из нового ГОСТа Банка России. Всего четыре. Тем, кто реализовал эти меры, австралийский ASD предлагает еще четверку, позволяющую увеличить значение 85% до 95%, – конфигурация макросов в MS Office, усиление защиты приложений пользователей (отключение Flash, блокирование Java и скриптов и т.п.), многофакторная аутентификация, ежедневное резервное копирование. Обратите внимание: все эти меры практически не тре- буют серьезных средств защиты и по сути являются хорошими практиками системного администрирования. Тем, кто реализовал австралийскую "восьмерку", можно идти дальше и реализовать либо список топ-35 того же регулятора, либо топ-20 Center of Internet Security (CIS Controls). А потом уже можно идти к заветным 160 мерам ФСТЭК или 400 Банка России. Главное – пом- нить, что работа безопасника заключается не в том, чтобы ждать бюджета и покупать на него новомодные средства защиты, а заниматься своим делом даже без денег. Алексей Лукацкий, бизнес- консультант по информационной безопасности Колонка эксперта