Журнал "Information Security/ Информационная безопасность" #6, 2021

Несмотря на мощный ликбез в области ИБ, взлом через сотрудников компании все еще остается эффектив- ным и наиболее легким в исполнении. Важный тренд – компла- енс, то есть соответствие сервисов и инфраструктуры требованиям информацион- ной безопасности, опреде- ленным законодательством или международными стан- дартами. Тренд Security-as-a-Servi- ce относится к общей тен- денции облачного рынка – развитию Managed-серви- сов, где клиент может деле- гировать большую часть сложных задач внешним экспертам. Если у компании нет воз- можности поддерживать постоянный штат таких спе- циалистов, хорошим реше- нием могут быть Managed Services в сфере информа- ционной безопасности. корпоративных систем в 2021 г. в целом остался неизменным. Все так же лидируют взломы с использованием методов соци- альной инженерии, подбор паролей, ошибки конфигура- ции и атаки на сервисы внутри сети. Действия киберпреступников становятся более сложными, они начинают использовать искусственный интеллект для создания максимально персо- нализированных имейл-лову- шек. Но факт остается фактом: несмотря на мощный ликбез в области ИБ, взлом через сотрудников компании все еще остается эффективным и наи- более легким в исполнении. С ростом популярности уда- ленки и мультиплатформенно- сти сервисов добраться до чело- века стало проще. Из-за того, что сотрудник может заходить в важные для компании систе- мы с мобильного телефона или работать по Wi-Fi в ближайшей кофейне, происходит размытие границ периметра безопасно- сти. Нередко рабочие компью- теры заменяют людям бытовой лэптоп: днем ты работаешь в системе аналитики данных ком- пании, а вечером собираешь продуктовую корзину в сервисе доставки. Традиционных средств обес- печения безопасности – шиф- рования данных, использова- ния безопасных протоколов, сетевых фильтров – уже недо- статочно. Поэтому появляются новые инструменты, основная цель которых – восстановление тех самых границ сетевой без- опасности за счет выделения безопасных зон для работы или ограничения работы с ПО и некоторыми сайтами. Это такие решения, как Cloud Access Security Broker, Applica- tion Control, Sandbox, Web-Fil- tering. Иногда ограничения необходимы, чтобы сотрудник не выносил конфиденциальные данные компании в удобные для себя сервисы, а выбирал из списка программного обес- печения, одобренного безопас- никами. Мониторинг безопасности Еще один трендовый сег- мент ИБ-решений – монито- ринг. Всем известны решения по мониторингу инфраструк- туры, такие как Prometheus, Zabbix и др., которые отправят тревожный сигнал при превы- шении сетевой нагрузки и дру- гих аномалиях на серверах. А теперь представьте инстру- мент, который сможет мони- торить систему информацион- ной безопасности вашего сер- виса, находить уязвимости в соответствии с последними апдейтами или замечать нети- пичное поведение пользова- теля благодаря технологиям ИИ. Сертификация систем Еще один важный тренд – комплаенс, то есть соответствие сервисов и инфраструктуры тре- бованиям информационной без- опасности, определенным зако- нодательством или междуна- родными стандартами. Конеч- ные потребители продукта, осо- бенно это характерно для B2B и B2С, понимают важность обеспечения безопасности и требуют этого от своих подряд- чиков. Наиболее популярный способ подтверждения – серти- фикация или аттестация на соответствие какому-либо стан- дарту от уполномоченной орга- низации. Возьмем один из самых акту- альных для российского биз- неса закон 152-ФЗ "О персо- нальных данных". Приведение в соответствие инфраструкту- ры on-premises – долгая и неприятная процедура, поэто- му здесь на помощь приходят провайдеры. Как правило, лидеры рынка специально при- водят свои услуги в соответ- ствие закону, чтобы это не ста- новилось головной болью кли- ента, собирающего и обраба- тывающего персональные дан- ные. Например, в Selectel тре- бованиям 152-ФЗ соответ- ствуют облачные и выделен- ные серверы, а также облако на базе VMware. Международ- ные стандарты, например PCI DSS и ISO, распространены чуть меньше, но ряд провай- деров готовят инфраструктуру и под них. Аттестованный сег- мент ЦОД, например, мы при- водим к широкому спектру стандартов. Security-as-a-Service Тренд Security-as-a-Service относится к общей тенденции облачного рынка – развитию Managed-сервисов, где клиент может делегировать большую часть сложных задач внешним экспертам, если нет собствен- ных специалистов с необходи- мыми компетенциями. К тому же с экономической точки зре- ния найм и онбординг одного или нескольких сотрудников будет стоить дороже, чем при- обретение услуги у специали- зированного провайдера. Довольно популярны ИТ- услуги по системному админи- стрированию инфраструктуры, помощь с миграцией с выде- ленных серверов в облако. Подобные сервисы появляются и в сфере информационной безопасности. Настройка сете- вой безопасности, правильный подбор инфраструктуры, опти- мизация портфеля ИБ-реше- ний – это сложная задача для отдельно взятой группы без- опасников. И если у компании нет возможности поддерживать постоянный штат таких спе- циалистов, хорошим решением могут быть Managed Services в сфере информационной без- опасности. Выбор провайдера как часть стратегии ИБ Зачастую забота об инфор- мационной безопасности начи- нается именно с выбора про- вайдера инфраструктуры. К нему стоит подходить с той же логикой, что и к выбору банка, но с поправкой, что хра- нятся не деньги, а данные. Выбирая надежную компанию с опытом на рынке, вы уже формируете базовую концеп- цию защиты. Некоторые про- вайдеры имеют дефолтную защиту от DDoS-атак, а если кто-то из соседей по публично- му облаку будет проявлять подозрительную сетевую актив- ность, провайдер на законных основаниях может ограничить ему сетевой трафик. Еще один аргумент в пользу хорошего провайдера – разно- образие продуктов. Арендуя инфраструктуру, вы можете сразу заказать необходимые для ИБ сервисы: межсетевые экраны, безопасное VPN-соеди- нение, защиту конечных точек и др., которые легче интегри- ровать в инфраструктуру, а стоимость ниже. И самое важное – надежные провайдеры идут в ногу со вре- менем, а значит, перечисленные выше тренды либо уже реали- зованы у них, либо заложены в роадмапе развития продуктов на следующий год. l • 29 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru