Журнал "Information Security/ Информационная безопасность" #4, 2025

Team или автоматизированные решения? – Для ответа на этот вопрос надо уточнить множество критериев, таких как размер организации, последствия тех или иных атак на ее инфраструктуру, какой бюджет выделяется на проведение регулярного тестирования, готова ли организация держать у себя в штате высококвалифицированных специали- стов по ручному пентесту? И еще ряд других вопросов. Лучше всего, конечно, держать внут- реннюю Red Team, которая будет регу- лярно тестировать инфраструктуру, нахо- дить уязвимые места, помогать их закры- вать. Но это дорогостоящая команда. Если углубленное тестирование необхо- димо проводить несколько раз в год, то лучше воспользоваться услугами сто- ронней Red Team. Для регулярного тести- рования лучше всего подойдут автома- тизированные решения, такие как про- дукты класса BAS (Breach and Attack Simulation – поиск уязвимостей и симу- ляция атак). – Идея моделирования инци- дентов в рабочее время без пред- упреждения – это хорошая прак- тика или экстрим? – Моделирование инцидентов без предупреждения (их еще называют незапланированными учениями или слепыми тестами) – это ни в коем слу- чае не экстрим. Это как раз хорошая передовая практика, которая поможет проверить реальную готовность к отра- жению атаки. Такой подход не позволит команде кибербезопасности действо- вать по заранее заготовленному сце- нарию, зато отлично покажет, как спе- циалисты себя поведут в случае реаль- ного инцидента. В случае неожиданной проверки можно выявить скрытые про- блемы: неправильно составленные алгоритмы реагирования, незакрытые точки отказа оборудования и т. д. Регу- лярные и непредсказуемые тестиро- вания повышают общую культуру без- опасности. Такая практика позволяет провести проверку защиты в боевых условиях. Часто выясняется, что все работает до тех пор, пока не начнется атака. Стоит учесть возможные риски при внезапных проверках. Например, неудач- ная проверка может привести к значи- тельным потерям рабочего времени на устранение последствий моделирования. При этом может остаться нерешенной реальная проблема. Вместо отработки слаженных действий может возникнуть хаос, если процессы не отлажены даже на базовом уровне. Но, конечно, и сотрудники, и сама инфраструктура должны быть готовы к проверке. Если организовать такое моделиро- вание без должной подготовки, то это может привести к реальному простою или потере данных. Чтобы практика моделирования инци- дентов без предупреждения приносила пользу, необходимо внедрять ее поэтап- но, начиная с малого и предупреждая о предстоящих учениях без указания точ- ной даты. Важно четко определить сце- нарий, границы, а также создать культу- ру обучения. Все участники должны быть подготовлены и обучены процеду- рам реагирования, а руководство должно полностью поддерживать эту практику. Цель моделирования инцидента без предупреждения – найти слабые места, а не виновных. Моделирование инцидентов без пред- упреждения – признак зрелости компа- нии в управлении рисками и инцидента- ми. – Как убедить бизнес в эффек- тивности ИБ, не скатываясь в отчеты о проделанной работе? Можно ли визуализировать устой- чивость так же наглядно, как уязвимости? – Чтобы в чем-то убедить бизнес, надо прежде всего говорить на языке бизнеса. Если мы подходим к киберза- щите не формально, а обдуманно, пони- мая реальные угрозы, то следствием наших действий будет сокращение коли- чества инцидентов, предотвращение потенциальных убытков, избежание воз- можных скандалов, связанных с утечкой конфиденциальных данных. Визуализировать устойчивость доволь- но сложно. Это как подтвердить, что чего-то нет. Для уязвимостей, например, можно показать тепловую карту рисков. Для визуализации устойчивости можно использовать, например, диаграмму, показывающую, как ИБ-контроль закры- вает ключевые угрозы. В этой диаграмме должны быть такие оси, как: "защита данных", "отказоустойчивость", "скорость реагирования", "соответствие требова- ниям регуляторов". График снижения инцидентов поможет показать, как продукты и услуги кибер- безопасности помогают бизнесу умень- шить длительность инцидентов, финан- совые потери и время восстановления после инцидента. – Что такое для вас комплекс- ный подход к кибербезопасно- сти? – Комплексный подход к безопасности представляет собой не просто совокуп- ность мер, а полноценную стратегию, охватывающую все аспекты защиты информации и систем. Он позволяет оперативно выявлять уязвимости и эффективно реагировать на инциден- ты, минимизируя их влияние. Этот про- цесс требует постоянного внимания и усилий, так как надежная киберзащита не может быть временной мерой. В компании "Газинформсервис" мы на основе экспертного опыта сформу- лировали семь шагов к обеспечению эффективной киберзащиты любой инфраструктуры. Эти шаги образуют непрерывный цикл, который позволяет вовремя реагировать на новые угрозы и оптимально настроить средства защи- ты информации. Успешность комплекс- ного подхода зависит от накопленного опыта и экспертизы, особенно в работе с реальными инцидентами. Анализ про- шедших случаев помогает выявить сла- бые места и наметить пути их устране- ния. Таким образом, комплексный подход к безопасности является основой для создания устойчивой и надежной циф- ровой инфраструктуры, способной про- тивостоять современным вызовам. – Над чем работает ваша коман- да прямо сейчас? Что интересное стоит ожидать в ближайшее время? – "Газинформсервис" уделяет особое внимание отслеживанию последних тен- денций как в области информационной безопасности, так и в области киберу- гроз. Поэтому одновременно ведется сразу несколько интересных, а главное важных проектов. В то же время совер- шенствуются уже существующие про- дукты. Сейчас в компании "Газинформсер- вис" разрабатывают BAS SimuStrike, который позволит проводить регулярное тестирование инфраструктуры на нали- чие уязвимостей, а также – симуляцию атак. BAS SimuStrike позволяет оценить защищенность инфраструктуры внут- ренними силами службы информацион- ной безопасности. Результатом работы данного продукта является подробный отчет с указанием найденных незакры- тых уязвимостей с рекомендациями по настройке как средств защиты инфор- мации, так и инфраструктуры в целом. "Газинформсервис" не только разраба- тывает новые продукты кибербезопас- ности, но и развивает уже существую- щие, чтобы всегда предлагать заказчи- кам актуальную проактивную защиту. Например, сейчас идет модернизация многофункционального модульного ком- плекса SafeERP, который осуществляет защиту бизнес-приложений для конт- роля ERP-систем, размещенных на платформах 1C и SAP. На сегодняшний день, когда число атак на ERP-системы растет каждый год, данный продукт показывает свою актуальность и вос- требованность. Мы также развиваем GSOC и его услуги. От наращивания зрелости мы перешли к автоматизации и подключе- нию ИИ в помощь аналитикам, чтобы разгрузить первую и вторую линию. Активное развитие за последний год получила услуга выявления следов ком- прометации – Compromise Assessment. И, сейчас мы убедились, что не зря вло- жили в нее столько усилий, – спрос колоссальный. 14 • В ФОКУСЕ