Журнал "Information Security/ Информационная безопасность" #6, 2018

Факты таковы, что для защиты от современных угроз, для успешного отра- жения сегодняшних комплексных деталь- но спланированных атак под руковод- ством настоящих профессионалов ста- новится уже недостаточно использовать только решения, ориентированные на автоматическую блокировку угроз. В вопросе противодействия сложносо- ставным угрозам первостепенное значе- ние имеют именно эффективное рассле- дование и своевременное реагирование с привлечением специалистов. Важным фактором становится возмож- ность вовремя нейтрализовать действую- щую атаку до нанесения ею значимого ущерба. В дополнение к этому организа- ции государственного сектора сегодня попадают под надзор наших регуляторов и, соответственно, строгих обязательств по соблюдению требований законода- тельства в отношении защиты критиче- ской информационной инфраструктуры (КИИ). Это требует пересмотра действую- щей стратегии защиты ИТ-систем, фигу- рирующих практически во всех критиче- ски важных бизнес-процессах компаний, и фокусирования на самых ресурсоемких и дорогостоящих задачах по выявлению, расследованию и реагированию на слож- ные киберинциденты. Давайте посмотрим, что у нас сейчас происходит на самом деле. К сожалению, часть организаций продолжает думать, что истории о сложных угрозах и направ- ленных действиях злоумышленников их не касаются, постоянно обходят эту тему стороной и будут обходить и дальше. Эти компании предпочитают игнорировать проблему и осознанно принимают риск встречи со сложными инцидентами, под- крепляют свое "виденье" просчитанными на коленке возможными убытками от направленных действий злоумышленни- ков, зачастую указывающие на меньшую сумму необходимых затрат на построение комплексной стратегии защиты от совре- менных угроз. Очевидно, при такой поста- новке вопроса весы практически всегда склоняются на сторону принятия риска и надежды на безынцидентное будущее. Компании этого же типа мышления, но которые уже сегодня попадают под надзор регулирующих органов, смотрят на слож- ные угрозы через призму давления со стороны законодательства и начинают неохотно задумываться о выстраивании передовой защиты. Другая часть организаций пытается защититься от сложных угроз, используя только традиционный подход – эксплуа- тацию решений, построенных на базе превентивных технологий, которых уже становится недостаточно в силу ряда причин, хотя бы потому, что технология превентивной защиты создавалась в эпоху массовых угроз и технологически не способна заблокировать тщательно запланированные, растянутые во времени многоступенчатые атаки наших дней, так как не поддерживает встроенную корре- ляцию событий, возможность ретроспек- тивного анализа, контроля всех возмож- ных точек проникновения и пр. Эти реше- ния не поддерживают также централизо- ванную запись и хранение телеметрии и вердиктов и, как результат, не могут помочь организациям соответствовать требованиям по оперативному предостав- лению данных по случившимся компью- терным инцидентам в рамках законода- тельства по защите КИИ. Еще встречаются организации, которые в дополнение к периметровой защите используют несколько специализирован- ных, но не связанных между собой инстру- ментов (Network Traffic Analyzer, монито- ринг, песочница, EDR, Threat Intelligence, Threat Hunting, Incident Response и др.). Использование нескольких инструментов сопряжено с увеличением количества руч- ных операций и ожидаемо приводит к неэффективному использованию и пере- грузке ИБ-служб задачами по сопоставле- нию полученных от разных решений инци- дентов и необходимости переключения внимания с одного интерфейса на другой, что далеко не способствует концентрации, необходимой в процессе расследования сложных инцидентов. Такой подход при- водит также к перегрузке специалистов ИТ-департамента, зачастую задействован- ных в процессе реагирования на огромное количество разрозненных инцидентов, которые вполне себе могут быть элемен- тами цепочки одной сложной атаки. Несмотря на вышесказанное, сегодня для большинства организаций главным показателем эффективности работы ИБ- служб становятся качество и скорость реагирования на инциденты. Что это озна- чает? Что общее понимание того, что инциденты неизбежны и достаточно регу- лярны, все же приходит. А также – что организациям придется выстраивать у себя процессы расследования и реагиро- вания на инциденты, формировать хотя бы минимальную экспертизу и подбирать инструменты для противодействия слож- ным угрозам. Сегодня для эффективной защиты организаций от сложносоставных угроз и целенаправленных атак необхо- димо активное участие специалистов. Неоспоримым тут является тот факт, что при обилии различных решений, направ- ленных на противодействие сложным угро- зам как зарубежного, так и отечественного производства, организации испытывают колоссальный дефицит кадров. Получается, что перед организациями сегодня стоит задача, не привлекая дополнительные ресурсы и, в идеале, снижая общие трудозатраты ИТ- и ИБ- департаментов, во-первых, обезопасить бизнес от сложных угроз, что означает обеспечить непрерывность его функцио- нирования. А во-вторых, следовать тре- бованиям регуляторов, что означает выстроить процесс расследования и реа- гирования на сложные инциденты и быть готовым своевременно предоставлять в нужном объеме информацию о найденных компьютерных инцидентах. Организации в условиях нехватки ресурсов не могут себе позволить неэффективно использовать и перегру- жать имеющиеся кадры рутинными задачами. И здесь резонно возникают вопросы: а можно ли сегодня помочь компаниям без дополнительных трудо- затрат обеспечить эффективное рассле- дование комплексных инцидентов и реа- 36 • УПРАВЛЕНИЕ Формирование стратегии противодействия сложным угрозам при дефиците кадров егодня даже того небольшого числа обнародованных случаев киберинцидентов от общего колоссального объема скрываемых становится достаточно, чтобы понять, что ландшафт угроз стремительно меняется в сторону усложнения. Статистика это подтверждает, указывая на ежегодный рост финансовых последствий от целенаправленных действий злоумышленников. С Яна Шевченко, эксперт по информационной безопасности