«Взгляд сверху» на информационную безопасность: оптимальный ответ на киберугрозы

25 января 2021

Даже самая хорошая, идеально выстроенная система информационной безопасности в компании вынуждена меняться, реагируя на новые угрозы. Сегодня наше представление о ней далеко от того, что было десять и даже пять лет назад. Директор департамента корпоративного бизнеса «Лаборатории Касперского» Вениамин Левцов рассуждает о том, какие тенденции на рынке ИБ подталкивают компании к изменениям, какие решения и сервисы для комплексной защиты актуальны уже сегодня.

Потребность в консолидации ИБ-ресурсов

4.JPGМассовый переход на удаленную работу и связанные с этим изменения в политике ИБ компаний – это, пожалуй, единственный новый тренд 2020 года. В остальном развитие рынка следует в тех же направлениях, что и раньше. Мы видим, что доля устройств на Windows по всему миру снижается по мере возрастания интереса к корпоративным мобильным устройствам. ИТ-инфраструктура предприятий становится всё более сложной. Увеличивается количество атак, в которых используются различные облачные хранилища вроде Dropbox или Яндекс.Диск, и на все эти изменения нам приходится оперативно реагировать. Система ИБ организации перестает подразделяться на системную (защита конечных точек) и сетевую защиту – то, что было очевидным еще десять лет назад. Сейчас речь идет о едином подходе к обеспечению безопасности всех активов и процессов: невозможно говорить о надежности отдельной конечной точки инфраструктуры, не понимая того, что происходит в ее сетевом окружении. Все более широко проникают, становятся более изощренными и разнообразными методы социальной инженерии, которыми пользуются злоумышленники.

Самое важное: получают распространение сложные таргетированные атаки на организации самого разного масштаба и рода деятельности, и злоумышленники используют весь комплекс доступных средств. При этом одиночные решения, такие как антивирус или firewall, не в состоянии эффективно распознавать абсолютно все угрозы.

Нам вместе с бизнесом необходимо адекватно реагировать на эти тенденции. В первую очередь – расширять средства детектирования киберугроз, в дополнение к классическому сигнатурному методу развивать новые подходы: например, расширенный анализ поведения вредоносных объектов, помещенных в изолированную среду, которая моделирует реальную (в «песочницу»). В портфеле решений «Лаборатории Касперского» есть оба известных сегодня класса «песочниц»: потоковые и более сложные исследовательские, предназначенные для профессиональных ИБ-команд.

Также можно использовать различные технологии машинного обучения, особенно в условиях неявного соответствия, когда достаточно сложно, проанализировав поведение объекта, понять, насколько он вредоносен. Заранее обученная система, даже обладая ограниченным объемом информации, будет склоняться к тому или иному вердикту. Подобным образом работает наш продукт Threat Attribution Engine: по наличию в коде исследуемого приложения определенных элементов (генов) мы можем строить надежные гипотезы о его схожести с известными изученными сложными угрозами.

База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) сегодня стала мировым стандартом как глобальная, постоянно пополняемая база сценариев атак. Мы гордимся тем, что эта база используется и в продуктах «Лаборатории Касперского», например, в Endpoint Detection and Response (EDR) при формировании так называемых индикаторов атаки. Фактически продукт получает расширенный набор телеметрических данных конечной точки, нормализует их и накладывает на формально описанные сценарии из MITRE, что является одним из инструментов расширенного детектирования сложных угроз. Наконец, среди детектирующих механизмов, получивших широкое применение в последние годы, хочу отметить Threat Intelligence. Если на первый взгляд безобидный процесс пытается установить соединение с доменом, помеченным как подозрительный в базе Threat Intelligence – очевидно, эта ситуация требует внимания.

В итоге – вся корпоративная сеть становится для компаний «полем боя», и нам необходимо предоставлять клиентам такой инструментарий, который обеспечит так называемый Helicopter View – оптимальный «вид сверху» на все узлы, конечные точки и информационные системы внутри компании. Для этого мы и создаем продукты класса EDR.

В реальности отдельные продукты ИБ, даже от одного вендора, порой всё еще достаточно обособлены. Обнаружение события на одном элементе, скажем, на банкомате, не должно восприниматься как значимое только для этого узла или класса узлов. Необходимо сделать так, чтобы отдельные продукты ИБ работали сообща, используя единое «озеро данных», были оркестрированы общей логикой, имели единый набор политик, причем по возможности использующих предопределенные правила, облегчающие детектирование угроз. Особое значение приобретают расширенные возможности программных интерфейсов и форматы обмена Threat Intelligence. Думаю, мечтой останется возможность полной автоматизации реагирования на события ИБ, но достаточно перспективной представляется концепция assisted incident response, когда система предлагает варианты, а сотрудники службы ИБ принимают решение о применимых средствах. В целом, это все приводит нас к созданию класса решений XDR, Extended Detection and Response – когда единым объектом наблюдения становится вся сеть и все решения, которые на ней установлены: нативно или через различные средства интеграции. Разработка такого решения - ключевая задача для нас.

Сервисы ИБ для бизнеса любого масштаба

Роль эксперта службы информационной безопасности, оперирующего всем инструментарием для борьбы со сложными атаками, с которыми не справляется традиционный антивирус, сегодня возрастает. Департамент информационной безопасности, обеспечивающий бизнесу определенный уровень сервиса, – compliance, соответствие законодательству в отношении КИИ, ЗПДн, других нормативных требований, а также соответствие стратегии развития ИБ в компании общей стратегии развития бизнеса – всегда будет внутренним центром компетенции, без которого невозможно работать с внешними субподрядчиками, подрядчиками, поставщиками сервисов. Но для меня очевидно и то, что с учетом растущей сложности инцидентов и непредсказуемости их воздействия на бизнес в случае возникновения серьезного инцидента компании необходимо привлекать дополнительные ресурсы – сервисных партнеров. Конечно, можно попробовать расширять штат службы безопасности , постоянно инвестировать в обучение сотрудников, но на практике это получается успешно очень редко. Поэтому в этом году мы видим большую потребность компаний разного масштаба к различным видам аутсорсинга по комплексному управлению ИТ (Managed Services Provider, MSP) и управлению ИБ (Managed Security Service Providers, MSSP).

Например, небольшой бизнес заинтересован в услугах провайдера MSP, который готов взять на себя администрирование систем безопасности: защиту конечных точек, сетевой инфраструктуры. Для них собственная служба ИТ может быть непозволительной роскошью. Предприятия среднего бизнеса начинают смотреть в сторону внешнего SOC, поскольку организовывать собственную команду специалистов ИБ – для них достаточно крупная инвестиция, о которой можно говорить только имея долгосрочный (в моем понимании, не менее пяти лет) горизонт планирования. В России, к слову, уже появились несколько сильных игроков на рынке внешних SOC, и мы поддерживаем их своими продуктами Threat Intelligence, помогаем в расследовании сложных инцидентов.

Крупному бизнесу, который может позволить себе собственный полноценный SOC, и даже не один, – помощь все же может понадобиться при расследовании крупных инцидентов, которое невозможно провести только собственными ресурсами. Причем иногда компании предъявляют партнерам настолько серьезные SLA, что количество предложений в этой нише ограничено. Мы рекомендуем в таких случаях налаживать отношения с ИБ-провайдерами заранее: детально описывать модель поведения при возникновении инцидента, коммуникационную модель – иметь под рукой конкретные телефоны и внешних экспертов, которых можно привлечь. Для этого же, в частности, «Лаборатория Касперского» разрабатывает сервис MDR.

Наконец, еще один класс сервисов, которые по своей природе должны быть внешними, – анализ защищенности и оценка зрелости системы информационной безопасности. Это не только Compromise Assessment, выявление следов компрометации в сети, но и Red/Blue Teaming, штабные учения. На мой взгляд, очень важно, чтобы каждая компания, особенно с крупной разветвленной инфраструктурой, постоянно сталкивающаяся со сложными атаками, хотя бы раз год-два проводила такие полноценные учения, привлекая внешнего сервис провайдера. Битва «по правилам» с противником, равным по силе службе информационной безопасности компании, для наработки опыта намного лучше и безопаснее, чем реальная битва со злоумышленниками.

В рамках этих трендов – развития комплексных систем безопасности с учетом потребностей каждого сегмента бизнеса, распространения ИБ-аутсорсинга – «Лаборатория Касперского» и будет разрабатывать и улучшать свои продукты и решения для бизнеса.

2209
Поделиться
Предметная область
Отрасль
Управление