Информационная безопасность: тенденции кризисного года

20 июля 2015

Интервью с главой представительства Check Point в России и СНГ Василием Дягилевым.

На текущий год IDC предсказывает нулевой рост рынка ИТ-безопасности. Как ваша компания планирует действовать в такой ситуации? Как ваши клиенты переживают кризис?

Не надо забывать, что IDC выполняет все расчеты в долларах США. В прошлом году наш оборот даже в долларах рос, в рублях же этот рост превышал 40%. Думаю, что в этом году мы сохраним такой рост, во всяком случае, в рублях. Динамика в долларах будет зависеть от текущего обменного курса.

Мы не видим кризиса в таком выражении, как это было в 2008 году. Сейчас многие заказчики оптимизируют расходы, но не путем прямого сокращения, а ищут новые пути развития. Они не пытаются просто поддерживать то, что есть, но намерены применять решения, которые в среднесрочной перспективе позволят им сокращать издержки. Имеется ввиду внедрение эффективных в ценовом отношении технологий последних двух-трех лет.

Пример. Многие компании используют технологии защиты от угроз. Мы выделяем три вида угроз: угрозы, которые мы знаем и знаем, как им противостоять; угрозы, которых мы не знаем, но знаем примерно, как с ними бороться; угрозы, которые нам неизвестны и мы не знаем, что с ними делать.

Наиболее распространена у нас защита от известных угроз. Теперь же заказчики задумываются о внедрении технологий превентивной защиты, то есть защиты от неизвестных угроз. Это позволит сократить расходы на поддержание уже созданной инфраструктуры. Лучше прерывать вредоносные действия на подступах, чем бороться с тем, что уже проникло внутрь.

Кризис влияет на ситуацию и по-другому. Возьмем финансовый сектор. Первый вектор – это количество инсайдеров. Увольняется много людей, по 30-40% персонала. Уходя, эти люди крадут информацию, ее надо защищать.

Другой вектор — идет охота за действительно ценной информацией. Представьте базу данных владельцев авто, которые систематически покупают дорогую страховку, но не попадают в аварии. Это ценность, за которую стоит побороться. Третий вектор – без работы остается много людей, которые знают, как устроены внутренние системы банков. Они начинают заниматься фродом.

Поэтому банки начинают все пристальнее заботиться о своих наиболее уязвимых и ценных активах. Это не попытка, как раньше, защититься от всего, что есть, это попытка действовать более целенаправленно, точечно. И использование наших технологий как раз позволяет это сделать.

Таргетированные атаки: насколько это значимый тренд?

Один из ключевых сейчас. Традиционными средствами от таких атак невозможно защититься. Если вредоносное ПО создается специально для конкретной организации с вполне определенной целью, то оно не попадет ни в какие базы антивирусов, а администраторы компании могут просто не зафиксировать, что их сеть вообще была атакована.

Чтобы противостоять таким атакам, нужны специальные инструменты. Так, наши системы аналитики фильтруют почту еще до того, как она будет доставлена в почтовые ящики. Если отмечается какая-то активность, выходящая за рамки нормы со стороны входящих файлов и писем, возникает тревога. Адресат письмо получает, но с предупреждением, что оно содержало вредоносное вложение, и с текстовым файлом с содержанием письма.

Когда мы говорим о таргетированных атаках, первое, что нам отвечают: «Да бросьте, ну кто я такой, чтобы меня взламывать». Компании недооценивают риск, которому они подвергаются. Есть понятие партнерских угроз. Представим большую корпорацию. На ее внутреннем портале на Sharepoint есть функция заказа пиццы у местной пиццерии. Хакеры не могли пробить корпоративную систему защиты. Но они взломали сайт этой пиццерии и через него проникли внутрь большой корпорации. Когда в ходе расследования это выяснилось, руководство пиццерии было в изумлении: «У нас красть-то нечего, мы 400 пицц в день продаем, ну какие это деньги?».

Цель таргетированной атаки – попасть внутрь защищенного периметра. Известна история о взломе в ФБР: на парковке перед их офисом была брошена флешка с логотипом ФБР. Один из сотрудников поднял ее, принес домой, посмотрел что на ней есть, ничего не нашел и отдал ребенку. Но за время просмотра вредоносное ПО уже попало на ноутбук сотрудника, с которым он на следующий день пришел на работу, вошел в корпоративную сеть, а вирус начал распространяться внутри.

Однажды мы говорили с крупной нефтяной компанией, где с насмешкой отнеслись к таргетированным атакам: «Ну что они нам могут сделать, ну танкер с нефтью что ли угонят?» Однако есть интересный пример на эту тему. Инцидент произошел на нефтеналивном терминале компании Aramco в Саудовской Аравии. Один из портовых компьютеров, управляющий загрузкой нефти в танкеры, был заблокирован вредоносным ПО. Соответственно, загрузка на этом терминале не велась. За двое суток лучшие специалисты по безопасности, приглашенные компанией, разобрались в проблеме и устранили действие вредоносного ПО. Но за эти двое суток цена нефти на бирже скакнула на несколько процентов, и те, кто знал заранее об этой атаке, смогли очень выгодно использовать ситуацию.

Так что таргетированные атаки – большой и ярко выраженный тренд. Любая сервисная организация должна понимать, что случайно занесенный в сеть обслуживаемой компании вирус может обернуться очень неприятными последствиями, вплоть до потери бизнеса в целом.

Управление информационной безопасностью бывает организовано по-разному. Общая безопасность, ИТ-отдел и ИБ-подразделения не всегда находят общий язык. Кто должен доминировать?

Основная задача ИТ – сделать так, чтобы сервис был доступен. ИТ-отдел должен обеспечить беспрепятственное прохождение информации в любую точку компании в любое время. У службы безопасности задача прямо противоположная. Самый безопасный компьютер – это тот, который выключен из розетки. Схему взаимодействия этих служб каждая организация подбирает под себя и ищет баланс между «слишком много рисков» и «сервисы недоступны». Помочь найти этот баланс может только бизнес. Только он может трезво оценить риски, но для этого все трое: ИТ, служба безопасности и бизнес, — должны вместе обсудить ситуацию. Должен быть в компании механизм, возможно, выделенный организационно, который решал бы эти задачи, устраняя противоречия. А если его нет, пора его создавать. Мы уже находимся на уровне, когда вопросы ИТ-безопасности – это не удел ИТ-гиков, а прямо связанные с бизнесом проблемы.

Банки и другие финансовые организации поняли это раньше, и для них вопрос падения в результате атаки интернет-банкинга, например, – это бизнес-проблема. Сейчас мы видим, что и другие отрасли постепенно начинают осознавать серьезность ситуации. К решению этих вопросов должны быть привлечены и те, кто отвечает за финансово-экономическую безопасность и кадры. Чаще всего инструктаж вновь принятых сотрудников проводится формально, а проблемы потом расхлебывают ИТ-отдел и служба безопасности.

Частный случай таких проблем – использование личных гаджетов для работы. Не лучше их вовсе запретить, так же как и мобильный доступ к корпоративной сети?

Относительно BYOD лучший принцип — «не можешь запретить, возглавь». Сколько бы не утверждали топ-менеджеры, что у них в компании запрещены личные гаджеты и мобильный доступ, чаще всего в реальности это не так. Люди хотят работать с мобильных устройств и будут это делать, поэтому вместо того чтобы запрещать, лучше думать о том, как сделать ситуацию разумной и управляемой.

Меняется организация бизнеса. Многие компании начинают отправлять людей по домам. Действуют распределенные колл-центры. В нашем собственном офисе на каждого сотрудника приходится 0,4 посадочных места. Если мой менеджер сидит в офисе, то не очень ясно, чем же он занят. Довольно много появляется территориально-распределенных бизнесов, использующих облачную инфраструктуру. Это естественно в кризис: бизнес осваивает новые модели.

BYOD – это неминуемая тенденция. Если раньше компании могли себе позволить всем сотрудникам купить по ноутбуку, то теперь не могут. Хотя личные девайсы труднее обслуживать, зато они позволяют экономить на корпоративном оборудовании и повышают производительность труда.

Раньше безопасность мобильных устройств воспринималась, прежде всего, как ограничения в доступе – к ресурсам, к документам. Теперь доминирует другая идея: не нужно громоздить ограничения. Лучше просто разграничить использование гаджета, выделить в нем зону приватную, где человек делает, что хочет, и зону рабочую, где он выполняет служебные операции. Зоны эти не пересекаются, и служебная зона находится под защитой необходимого уровня. Ее называют «корпоративной капсулой». Капсулу можно установить на устройство вне зависимости от того, какие еще приложения на нем работают, и можно уничтожить удаленно из корпоративной сети, если что-то случилось с этим устройством, оно потеряно или украдено. Как только устройство включается, внутри капсулы можно работать так же, как внутри периметра корпоративной сети. Доступ к ней может быть не только по паролю, но и по отпечатку пальца.

Безопасность в облаках до сих пор вызывает большой скепсис. Что вы ему противопоставляете?

Применение облаков – уже свершившийся факт. Их популярность будет увеличиваться вместе с ростом нового бизнеса, который уже не строит собственной инфраструктуры, а использует облачную. Облака позволяют строить точно такие же системы безопасности, какие можно было бы развернуть в собственной серверной. Причем кроме традиционных подходов появляются и новые модели взаимодействия.

Если речь идет о частном облаке, мы защищаем его так же, как раньше – корпоративную сеть. Если клиент использует публичные облака, например Amazon, мы предоставляем услуги виртуальной системы безопасности, действующей в этом облаке. Для корпоративной сети все выглядит так, как будто у вас под столом стоит сервер CheckPoint. На самом деле это виртуальный gateway. У нас есть и другая услуга: весь трафик мобильного телефона можно отправить фильтроваться в облаке CheckPoint. Шлюзами безопасности этого облака вы будете управлять, как своими. Причем мы же теперь еще и сервера свои в Россию перевезли, и тот трафик, который раньше передавался по миру, теперь полностью обрабатывается внутри страны.

Когда облачные провайдеры говорят: «У нас все безопасно и защищено», они имеют ввиду, что ваши данные внутри облака не мешаются с данными других клиентов, и что снаружи это облако защищено от вторжений. Но если вы сами в свою часть облака через свою корпоративную сеть занесли «заразу», она там и останется.

Есть разные модели взаимодействия между корпоративными системами безопасности и облачными сервисами безопасности. Критически важные приложения могут работать только внутри, а почта может фильтроваться через наши облачные сервисы.

В России мы даем возможность провайдеру продавать наш сервис внутри его облака. Мы можем обеспечить защиту периметра самого провайдера. Партнеры тоже могут стать облачными провайдерами наших услуг, есть и такие модели. И российский клиент может получить сервис из глобального облака CheckPoint. Плюс все возможные гибридные решения.

Что из последних действий регуляторов кажется вам наиболее важным?

Впервые государство взялось регулировать безопасность АСУТП, первые такие инициативы уже прозвучали. Уже разрабатываются такие нормативные акты. Мы ждем принятия этих законов и участвуем в их разработке.


4124
Поделиться

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

Предметная область
Отрасль
Управление