Журнал "Системы Безопасности" № 1‘2021

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 67 www.secuteck.ru февраль – март 2021 СПЕЦПРОЕКТ КИБЕРБЕЗОПАСНОСТь ЦИФРОВОГО ПРЕДПРИяТИя К орпоративные файлы, коммерческую информацию, технологические процес- сы, персональные данные – все это необхо- димо защищать решениями следующих классов: l средства защиты сетевой инфраструктуры (как корпоративной, так и технологической); l средства защиты электронной почты и фай- ловых хранилищ; l решения для поведенческого анализа и дето- нации вредоносного ПО; l решения для защиты рабочих станций. 187-ФЗ – это хороший шаг регуляторов, кото- рый напоминает всему рынку подумать о без- опасности. Но это не панацея от атак зло- умышленников. Устаревшие и затянутые под- ходы к сертификации продуктов, жесткая политика импортозамещения и отсутствие здоровой конкуренции на рынке средств ИБ, к сожалению, приводят к только "бумажной" безопасности. Невозможно отражать атаки злоумышленников, которые совершенствуют свои техники каждый день, решениями, кото- рые не обновлялись минимум год. Первостепенная задача цифрового предприя- тия – обеспечение безопасных процессов при его работе и соблюдение законодательства РФ. О серьезном опыте прохождения проверок ФСТЭК говорить преждевременно, так как мас- штабные проверки начнутся в текущем 2021 г. и затронут организации, информация о которых была включена в реестр три года назад. После- довательно проверки затронут и субъекты, кото- рые подавали данные сведения позднее. В бли- жайшее время также ожидается принятие изме- нений в КоАП о штрафах за непредставление сведений о результатах категорирования и за невыполнение требований по защите. Основной совет для субъектов в свете этих нововведений – ускориться в выполнении тре- бований НПА, описывающих необходимые действия по категорированию и защите объ- ектов КИИ. Из документов, опубликованных ФСТЭК России, это приказы № 235 и 239. После процедуры категорирования рекоменду- ем не затягивать с оценкой текущей ситуации в части соответствия данным требованиям. Регулярные утечки чувствительной информа- ции – это результат неготовности инфраструк- тур к отражению сложных целевых атак, что, в свою очередь, результат высокой квалифи- кации злоумышленников, недостаточного финансирования в сфере ИБ, непонимания ландшафта угроз, технологического отстава- ния применяемых объектов и средств защиты, невыстроенных политик обновлений и поли- тик безопасности, человеческого фактора. Категорически неприменим подход, когда делается упор на сертифицированные инстру- менты, но не на квалифицированного пользо- вателя этих инструментов. Инструменты – сканеры разной степени сертифи- цированности, правильный ручной анализ. Под- ходы – системность проверок и регулярные про- верки по простым и понятным векторам типа социотехнических тестов, встраивание процессов ИБ в ежедневную деятельность организации и т.д. Три кита уверенности в информационной без- опасности предприятия: 1. Кадры. Постоянно повышать квалификацию ИБ-специалистов по новым методам злоумыш- ленников, а для обычных пользователей про- водить регулярные обучения цифровой гра- мотности. 2. Технологии. Все решения, используемые пред- приятием для отражения атак, должны своевре- менно обновляться, возможности таких решений должны применяться на реальной практике. 3. Процессы. Важность создания правил и про- цессов в ИБ уже оправдала себя не раз. n Станислав Фесенко Руководитель департамента системных решений компании GROUP-IB МНЕНИЕ ЭКСПЕРТА Вырежи и сохрани: чек-лист по защите предприятия Group-IB THF для реактивной защиты и проактивной охоты за угрозами внутри и за пределами сети Представляет Group-IB www.group-ib.ru 2. Детектирующие технологии. Продвинутый анализ ссылок и запароленных архивов, анализ объектов в различных виртуальных машинах, анализ более 100 расширений объектов. 3. Подробный контекст угрозы и отчеты. Видео- запись исполнения объекта в виртуальной среде, подробное древо исполнения объекта, выгрузка отчета по анализу объекта. 4. Граф. Автоматизированная система графово- го анализа для расследования киберпреступле- ний, выявления готовящихся атак, фишинга и онлайн-мошенничества. 5. Автоматическая корреляция событий и алер- тов в инциденты и их последующая атрибуция до семейств ВПО или атакующих групп. 6. CERT-GIB и поддержка. 7. Страхование киберрисков. Эффекты от внедрения и эксплуатации Среднее время разворачивания проекта – 7 дней. Group-IB THF обеспечивает сокращение: l времени обнаружения инцидента – от несколь- ких дней до нескольких минут; l времени реагирования на инцидент – в сред- нем на 3–6 часов; l трудозатрат на реагирование на инцидент – в 3 раза. n см. стр. 144 "Ньюсмейкеры" Появление на рынке 2014 г. Ценовой сегмент Средний l эксплуатации уязвимостей в сетевых сервисах и приложениях; l других типов угроз и новых атак. Технические особенности Threat Hunting Framework – комплексное реше- ние, предназначенное для выявления сложных и целевых атак и неизвестных угроз, охоты за угрозами как внутри защищаемого периметра, так и за его пределами, реагирования на инци- денты и их расследования. Технические подходы Group-IB THF: l Глубокий анализ сетевого трафика для выявле- ния аномалий и вредоносного трафика. l Поведенческий анализ файлов и ссылок в изо- лированных виртуальных средах. l Выявление аномалий в поведении пользова- телей и работе программного обеспечения. l Автоматизированная проверка гипотез нали- чия неизвестных угроз. l Использование индикаторов, получаемых от Threat Intelligence. l Корреляция событий, собираемых модулями Group-IB THF. Конкурентные преимущества 1. Детонация вредоносного ПО. Полноценная имитация рабочей станции в виртуальной среде для анализа файлов. Защита от сложных и целевых атак Технологии, используемые при разработке Group-IB THF, позволяют эффективно защищать от всех ключевых типов угроз, распространяе- мых и управляемых через компьютерные сети: l банковских и мобильных троянов; l вредоносного ПО, используемого для осу- ществления целевых атак; l средств скрытого удаленного управления; l эксплойтов для браузеров и плагинов; l DDoS- и спам-ботов; Потребители Финансовая отрасль, промышленность, ТЭК, телеком, ритейл, государственный сектор Лицензии и сертификаты Сертификат ФСТЭК. Реестр отечественного ПО Реклама