Покинув категорию малого бизнеса, компания становится интересна киберпреступникам, проводящим целевые атаки

Что нужно изменить в подходах организации к информационной безопасности и при чем тут SIEM с EDR, рассказал региональный представитель «Лаборатории Касперского» в ЮФО и СКФО Игорь Малышев.

— В последние два года Россия подверглась мощной киберагрессии. В сравнении с другими государствами на организации нашей страны пришлось наибольшее число кибератак. Какие компании попадают под удар чаще всего и почему? Каковы цели кибератак и какие потери при этом может понести бизнес?

— Дело в том, что степень «оцифровки» российского бизнеса по мировым меркам очень высока. У нас цифровые сервисы активно используют не только крупные, но и средние компании. Это касается всех составляющих рабочего процесса: от автоматизации документооборота и взаимодействия с госорганами до управления логистикой и производством. Цифровизация повышает эффективность бизнеса, но одновременно делает его более уязвимым к кибератакам.

Для преступников становится рентабельным сосредоточить усилия на конкретной компании, чтобы украсть или зашифровать ее данные, подменить платежные документы для перевода средств или провести другую целевую атаку. Статистика неутешительна — в РФ каждая пятая такая атака нацелена именно на средний бизнес, а ущерб от одного подобного инцидента составляет в среднем 5 млн руб.

В компаниях с несколькими сотнями сотрудников нередко развита экспертиза в IT, и часто даже есть отдельные специалисты, деятельность которых сфокусирована исключительно на информационной безопасности (ИБ). Однако при масштабировании бизнеса и росте организации им перестает хватать времени и инструментария для того, чтобы создавать и поддерживать эффективную защиту от кибератак.

— Расскажите подробнее, в чем причины уязвимости защиты от киберугроз?

— В самом подходе. Небольшие организации для защиты, как правило, используют всего два-три не связанных между собой решения. Это защита конечных точек, предотвращающая на самом базовом уровне заражение простым вредоносным ПО (многие по старинке называют это «антивирусом»), межсетевой экран и средство резервного копирования.

Главная проблема этого подхода в том, что защита, по сути, однослойная. Это поможет избежать случайного заражения. Но если цель хакера — именно эта компания, то он, потратив немного времени на анализ инфраструктуры организации или подбор учетных данных, одиночное защитное решение, скорее всего, обойдет.

Дальше его действия будут малозаметны, обнаружить и остановить злоумышленника будет сложно, а найти следы его активности и провести полноценное расследования — исключительно трудоемко. К примеру, некоторые хакеры проникают в инфраструктуру только с помощью «подручных средств», они эксплуатируют уязвимости легитимного и уже установленного в организации программного обеспечения для администрирования компьютеров. В результате замедленного реагирования и длительного расследования бизнес понесет больший ущерб: хакеры нанесут более значительный урон, а простои на время устранения последствий затянутся.

— Какие обновления требуются, чтобы усилить информационную безопасность, снизить риски и при этом соответствовать требованиям регуляторов?

— Нужно строить эшелонированную защиту, где к уже имеющемуся первому слою базовой безопасности добавятся еще несколько. Во-первых, централизованный мониторинг и сопоставление событий в сети, включая серверы, рабочие станции, виртуальные машины и так далее. Во-вторых, обнаружение аномалий и подозрительной активности (возможно, не вредоносной). И наконец, в-третьих, инструменты для быстрого анализа такой активности, реагирования на инциденты и проведения расследования.

Причем в некоторых сферах бизнеса об этом уже позаботился регулятор. Так, информационная система банка обязана иметь инструментарий для расследований.

Конечно, эти задачи теоретически можно решить с помощью продуктов open source, встроенных инструментов ОС, разного рода самописных сценариев автоматизации и ручной работы. Но такой кустарный подход чаще приносит сложности вместо облегчения. Сотрудникам IT и информационной безопасности гарантированы огромные затраты времени, перегрузка от оповещений и ложных срабатываний, при этом вероятность не заметить по-настоящему важные события или не собрать про них важную информацию весьма высока. Также при таком ручном управлении практически никогда не удается организовать своевременное и эффективное реагирование на инцидент.

— Какие решения более эффективны и каким компаниям они подходят?

— Для эффективного мониторинга в IT-инфраструктуре организации крупные компании давно используют решения SIEM (Security Information and Event Management). Они в реальном времени собирают данные из многочисленных источников (события в приложениях, на серверах, в сети — все это называется телеметрией), объединяют связанные события в группы и позволяют ИБ- и IT-специалистам контролировать, что происходит в инфраструктуре компании. Централизованное хранение данных значительно упрощает обнаружение и расследование инцидентов, а также предоставление информации об инцидентах регулирующим органам.

— А что вы можете порекомендовать менее крупным компаниям?

— Однозначно, Kaspersky Smart I. Это наша новинка. У продукта множество преимуществ, которые позволяют хорошо сэкономить. В частности, лицензии стоят значительно дешевле, чем SIEM для крупного бизнеса. Кроме того, решение быстрое и легкое, его можно запустить на уже имеющемся оборудовании или в виртуальных средах. Затраты и время на внедрение снижаются благодаря большому количеству правил отслеживания и сценариев реагирования, которые поставляются с решением. Ко всему, высокая степень автоматизации сэкономит команде ИБ очень много времени в их ежедневной работе, что позволит не раздувать штат.

Хотя SIEM рекомендовано настраивать на сбор максимального количества подробной телеметрии, наиболее ценным и важным источником данных обычно становится информация о событиях ИБ с рабочих компьютеров и серверов, то есть конечных точек. Для того чтобы собирать ее эффективно, а в дальнейшем успешно расследовать инциденты и реагировать на них, применяется другое защитное решение — EDR (Endpoint Detection and Response).

Если традиционная защита блокирует вредоносный источник (код, ссылки или письма), то EDR зафиксирует и просто подозрительные события. А там уже ИБ-специалист решит, нужна ли ему дополнительная информация о какой-то активности. Если нужна, то EDR легко ее соберет и предоставит прямо с аномально работающего компьютера. Кроме того, EDR позволит и оптимально отреагировать на угрозу, начиная от блокировки сетевой активности на зараженном компьютере и сброса паролей до ужесточения политики безопасности для компьютера.

— EDR — это альтернатива SIEM или эти решения можно использовать в тандеме?

— EDR упрощает как автоматическое обнаружение сложных угроз с помощью индикаторов атаки (IoA), так и ручной анализ. Комбинируя возможности SIEM и EDR, можно визуализировать события на уровне конечных точек, найти похожую активность на различных компьютерах в сети, сконструировать собственный запрос для проактивного поиска угрозы и, конечно, отреагировать по шаблону на всех компьютерах, где обнаружились неприятные находки.

Это своего рода «страховочная сетка», позволяющая обнаружить и пресечь опасную активность, возможно, не замеченную базовым защитным решением. Важно подчеркнуть, что EDR не является «более совершенным антивирусом» и не заменяет собой базовую защиту. Они работают в тандеме, предотвращая разные виды кибератак и снижая нагрузку на специалистов.

Скажу и еще об одном нашем решении — Kaspersky SMART II. Оно объединяет два описанных мною инструмента и помогает компаниям более эффективно использовать их в связке. Решение входит в Единый реестр отечественного ПО Минцифры РФ и закрывает существенную часть имеющихся регуляторных требований по ИБ.

Приобрести Kaspersky Smart или записаться на его демонстрацию можно, заполнив форму на официальном сайте или обратившись к партнерам «Лаборатории Касперского» — они работают по всей России.

АО «Лаборатория Касперского», г. Москва, Ленинградское шоссе, 39А, стр.2

Оперативные новости «Ъ» из регионов Кубань, Адыгея, Крым в Telegram

https://www.kaspersky.com/

Реклама. 16+