РАЗВЕДКА КИБЕРУГРОЗ · № 16 iv квартал 2016 РАЗВЕДКА...

IV квартал 2016№ 16

РАЗВЕДКАКИБЕРУГРОЗ

42

Руслан Иванов

Налог на беспечность

Сергей Солдатов

Евгений Акимов

30

Охота на угрозы

Завтра начинается сегодня 22

АНАЛИТИКА

В РЕАЛЬНОМ

ВРЕМЕНИ

АНОМАЛЬНЫЕ

АКТИВНОСТИ

СОТРУДНИКОВ

ВИЗУАЛИЗАЦИЯ

ДАННЫХ

ИНФОРМАЦИЯ

ГРАФ СВЯЗЕЙДОСЬЕ

ДЕТАЛИСВОДКА

INFOWATCH VISION

3 №16 IV квартал 2016

АНАЛИТИКА

В РЕАЛЬНОМ

ВРЕМЕНИ

АНОМАЛЬНЫЕ

АКТИВНОСТИ

СОТРУДНИКОВ

ВИЗУАЛИЗАЦИЯ

ДАННЫХ

ИНФОРМАЦИЯ

ГРАФ СВЯЗЕЙДОСЬЕ

ДЕТАЛИСВОДКА

Все мы время от времени попадаем в нелепые ситуации. Если вы никогда не оказываетесь в подобных жизненных обстоятельствах, то я вообще не понимаю, как вы живете и с кем общаетесь. На одной профессиональной конференции я был соведущим секции, посвященной DDoS-атакам. В зале на 50–60 мест – более 80 чело-век. Мы спросили: «Кто из вас лично сталкивался с DDoS-атаками?». Ноль рук! Даже те, с кем мы накануне говорили на эту тему, втянули головы в плечи.

Я был озадачен и начал задавать коллегам вопросы на сей счет. Ответы ока-зались «дежурными»: в нашей среде не принято делиться своими кейсами. Да, это – правда, но она, скорее, похожа на следствие иных причин, а потому я продолжал искать объяснения нелепой ситуации, в которой оказался. И, кажется, нашел.

Историями своих неудач не любят делиться предприятия всех стран, но в России и США эта тенденция доведена до крайности. Причины – раз-ные. Законодательство США обязывает компании информировать об инцидентах, но они все же утаивают сведения, поскольку знают: инцидент с ИБ станет для сторонних юристов поводом для попыток отсудить компенсации для своих клиентов или нанести урон репута-ции пострадавшей компании. А в России предприятия крайне неохотно признаются в своих слабостях, так как уверены: понабегут те, кто наде-ются этих слабых добить.

Возможно, тайна и решает проблемы департаментов ИБ, сохраняя им бонусы и рабочие места, но не защищает от угроз. В последние годы и весь мир, и способы атак, схемы монетизации и уровень подготов-ки киберпреступников заметно изменились. Ключевым трендом стало появление подпольных сервисов, обеспечивающих повышение скоро-сти и эффективности атак. Объем знаний растет так стремительно, что точечными компетенциями отдельного департамента ИБ добиваться эффективного противостояния темным силам уже невозможно.

Но хорошая новость заключается в том, что всё в мире взаимосвязано. Если современные динамичные знания далеко не всегда можно фикси-ровать «навсегда», их удается преумножаться путем общения в профес-сиональной среде. Конечно, хотелось бы, чтобы служба ИБ не уступала находящимся по другую сторону баррикад в оснащении, методах и способах проти-водействия, располагала достаточным штатом сотрудников для выполнения опера-ционных задач и возможностью нанимать специалистов для разовых мероприятий (реверс-инжиниринга, технического аудита сети и бизнес-процессов). Но так быва-ет крайне редко, поэтому обмен мнениями, практиками, аналитическими данными и прогнозами становится ядром разведки киберугроз и позволяет отойти от крайне неэффективного полицейского подхода к ИБ – «когда убьют, приходите».Симптом улитки – спрятаться и умолчать об инциденте – вовсе не способствует безопасности ни одного из участников цепочки информационного обмена. А в современном мире, позволю себе напомнить, мы все являемся фигурантами таких процессов! Не устаю напоминать, что сегодня можно не быть целью, чтобы стать жертвой.

СИМПТОМ УЛИТКИ

ОЛЕГ СЕДОВГлавный редактор журнала «!Безопасность Деловой Информации»

«!Безопасность Деловой Информации»

ИБ и бизнес

Наталья Касперская отвечает на вопросы экспертов BISA

Основа безопасности цифровой экономикиОлег Седов, главный редактор BISA

Персонал компании: защищать или защищаться?Мария Воронова, руководитель направления консалтинга, ведущий эксперт по ИБ InfoWatch, эксперт BISA Утечки данных организаций из-за действий внутренних нарушителей в 2013–2015 гг.Аналитический центр InfoWatch

ИБ-практика

Завтра начинается сегодняЕвгений Акимов, руководитель отдела развития Департамента ИБ компании Softline

Threat Intelligence: шаг вперед или маркетинговый ход?Александр Бондаренко, генеральный директор компании R-Vision

Охота на угрозыСергей Солдатов, CISA, CISSP, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского», «Стахановец»

12

6

16

20

22

26

30

СОДЕРЖАНИЕ

№16 IV квартал 2016

Противодействие киберугрозам: сила командной игры Илья Егоркин, руководитель специальных проектов компании Positive Technologies

Эквилибристика с одновременным жонглированиемЭльман Бейбутов, руководитель направления аутсорсинга ИБ компании Solar Security

Разведка киберугроз для промышленных предприятийАнтон Шипулин, менеджер по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского»

Налог на беспечность Руслан Иванов, инженер-консультант компании Cisco

Компетенции в ИБ

Безопасность и управление талантами ИТ-компанииИгорь Мялковский, член правления SPb CIO Club, председатель конференции Secure IT World по ИБ СЗФО

Андрей Билый, доцент кафедры военной психофизиологии ВМА им. С.М. Кирова

34

37

40

42

44

«!Безопасность Деловой Информации» 6

ИБ и

биз

нес

Олег Седов: Прошлый год был очень непростым. С вашей точки зрения, что не удалось реализовать, что удалось, а что осталось в планах?

Наталья Касперская: Год действительно был сложным, осо-бенно его середина. Многие платежи откладывались. Кли-енты разводили руками и говорили: «Денег нет, сейчас платить не можем, но вы, пожалуйста, нас не бросайте». Однако к концу года ситуация изменилась, и начали реализовываться даже те контракты, на воплощение в жизнь которых мы не надеялись.Тем не менее мы продолжали развивать новые направления. Например, в уходящем году мы начали развивать аудит инфор-мационной безопасности автоматизированных систем про-мышленных предприятий. Это, безусловно − новая ниша,

В декабре принято подводить итоги уходящего года и строить планы на следующий. Сегодня мы изменили привычный формат интервью и попросили Наталью Касперскую, президента группы компаний InfoWatch, ответить на вопросы нескольких экспертов BISА

НАТАЛЬЯ КАСПЕРСКАЯ президент

группы компаний

InfoWatch

НАТАЛЬЯ КАСПЕРСКАЯ ОТВЕЧАЕТ НА ВОПРОСЫ ЭКСПЕРТОВ BISA

Олег Седов



большая и очень сложная. Проблема состоит в том, что есть три силы – заказчики (они же – пользователи), поставщики автоматизированных систем и ИБ-специалисты. Заказчики не очень признают проблемы ИБ (по крайней мере, публично) и не очень-то хотят об этом думать, но на деле «втихую» заду-мываются. ИБешники – по сути своей, алармисты: они кри-чат и «кошмарят» всех прогнозами о том, что многие заводы вот-вот взорвутся. Поставщики же АСУ ТП «на голубом глазу» утверждают, что проблемы нет и ситуация с ИБ полностью ими решена. И эти три силы пока не могут между собой дого-вориться. При этом на предприятиях за АСУ ТП отвечают технологи, которые не разбираются в ИБ и говорят на ином языке. Ранее в АСУ ТП всегда были жёсткие стандарты безопасности, а сейчас происходит удивительная вещь – ползучее внедрение информационных систем в АСУ промышленных объектов, в ту область, которая раньше была исключительно вотчиной техно-логов и оставалась категорически отрезанной от любого внеш-него доступа. Мир меняется и довольно стремительно!Сейчас много говорят про Интернет вещей и промышленный Интернет вещей! По моему мнению, с внедрением Интернета в критически важные объекты необходимо притормозить до решения вопросов обеспечения безопасности. Как только мы принимаем решение «иметь», мы открываем ящик Пандоры со всеми вирусами, троянскими программами и способами взлома, какие есть у обычного Интернета. Как человек, который профессионально задумывается об обеспечении ИБ, я бы при-держивалась консервативной позиции в вопросах внедрения новомодных устройств и технологий в КВО.

Сергей Воронецкий, главный эксперт отдела ИБ управле-ния службы безопасности RU-CENTER Group: Каким был прошлый год с точки зрения заказчиков? Как изменились их отношение к задачам ИБ, их мотивация и приоритеты?

Н. К.: В начале-середине года многие из них выжидали, наде-ялись, что вдруг отменят импортозамещение и можно будет вер-нуться к прежней жизни. Но потом все поняли, что импорто-замещение – надолго, дальше ждать невозможно и надо что-то делать. И заказчиков, наконец, «прорвало»: сейчас мы не успе-ваем обрабатывать заказы. Я бы поделила заказчиков на три категории. Тех, кто сразу кинулся импортозамещать, можно пересчитать по пальцам одной руки, хотя среди них есть парочка очень крупных заказ-чиков. Есть такие, которые ждут, что из этого выйдет, и нето-ропливо, с сомнением рассматривают российские решения. А представители третьей категории даже не смотрят на отече-ственные продукты. Видимо, эти компании не думают о том, что будет, если вдруг их коснутся санкции. Все их системы пре-вратятся в «тыквы»? Я уже не говорю о том, что любая ИБ-система при желании может быть настроена на получение информации

Сергей Воронецкий


ИБ и

биз

нес

с помощью удаленного доступа. И в случае привлечения ино-странного поставщика с этим даже некуда обратиться. Среди причин того, что заказчики не покупают решения у отечественных компаний, называют следующие: эти продукты недостаточно надежны, недостаточно удобны, недостаточно что-то еще... Но если у нас не будет российских заказчиков, то оттачивать решения под их потребности тоже никто не будет. Понятно, что чем больше у отечественных компаний клиентов, тем лучше будут их продукты. Еще одна причина «неперехода» – сложности трансформации и отказа от уже дей-ствующих на предприятии систем. Например, у нас есть один заказчик, который приобрел наше решение, но никак не начнёт его разворачивать, хотя продукты, которые у него установлены, находятся под санкциями и не обновляются. Заказчика понять можно – в старой системе хранятся ценные данные, которые он потеряет с переходом на новую DLP. Для нас, как разработ-чиков, это означает, что нам нужно писать «мигратор» не только со своих систем, но и с систем конкурентов. Это, безусловно, довольно сильный сдерживающий фактор для продвижения отечественных систем.

Дмитрий Устюжанин, эксперт BISA: Как чувствовал себя в 2016 г. ИБ-рынок России по сравнению с другими точками присутствия InfoWatch – Юго-Восточная Азия, Латинская Аме-рика, Европа и пр.?

Н.К.: Мы еще не имеем финальных цифр по итогам года в России, но они обязательно покажут рост. Во-первых, импор-тозамещение все же медленно, но уверенно проникает в мозги и бюджеты клиентов. Во-вторых, сейчас все темы, связанные с безопасностью – очень «горячие». Еще 3–4 года назад при обсуждении темы ИБ у всех становились кислые лица, а теперь даже консьюмерские телеканалы уделяют внимание этой теме. Все начали понимать, насколько она важна, поэтому рынок обя-зательно вырастет.О специфике зарубежных рынков я могу рассказать с позиций нашего международного присутствия. Сейчас мы работаем пре-имущественно в Азии и на Ближнем Востоке, и с точки зрения подходов к ИБ эти рынки мало различаются. Можно говорить о тотальной глобализации, поскольку на этих рынках присут-ствуют одни и те же глобальные игроки, в нашем сегменте региональных игроков практически нет. Но есть и различия.Рынки Ближнего Востока – сложные, медленные, они характе-ризуются глубоким проникновением американских решений. При этом заказчики не очень глубоко понимают устройство продуктов, и для них важнее удобство пользования. Скажем, в отношении Traffic Monitor то, что мы считаем серьезным плюсом (возможность настройки по скриптам), они воспри-нимают как большой минус. Заказчики не хотят использовать эффективные, но неочевидные решения – мол, все должно быть просто. И мы со своими не самыми легкими с точки

Дмитрий Устюжанин



зрения юзабилити решениями довольно «бледно» выглядели на фоне конкурентов, которые умеют рисовать красивые экраны, но обеспечивают непонятный уровень защиты. Можно сказать, что конкуренция основана на длине функциональных листов. Рынок DLP – совершенно непрозрачный, тут можно заявить ту функциональность, которой у тебя нет. Мы говорим честно, а некоторые конкуренты не стесняются и «приукрасить». Но перспективы все же есть. Во-первых, в этом году мы под-няли на новый уровень внешний вид и юзабилити наших продуктов. Во-вторых, стало понятно, что надо больше зани-маться самопрезентацией, пиаром. Бренд – это очень важно, и если нам удастся получить инвестиции, мы вплотную зай-мемся маркетингом.А вот азиаты гораздо более глубоко вникают в сам продукт, любят возможности дополнительных настройек и при этом хорошо относятся к российским технологиям и, несмотря на засилье американских компаний, они готовы устанавливать альтернативные средства защиты. Я считаю, что именно на ази-атских рынках (таких как быстро растущий рынок Малайзии, рынки Индонезии, Вьетнама, Таиланда и пр.) мы имеем основ-ные шансы. С Латинской Америкой мы пока притормозили, поскольку это очень далеко, а наш продукт требует настройки у клиента. DLP «из коробки» – не бывает. Обеспечить уровень качества сервиса на таком удалении непросто и очень дорого. А в Европе мы работаем через компанию EgoSecure. Как ни странно, мы начали получать запросы из Англии. Я этого не ожидала, поскольку там − весьма серьезная конкуренция, да и отношение к русским последнее время не самое лучшее. Но, похоже, английским компаниям − не очень важно происхож-дение продукта, лишь бы работал.

Фарит Музипов, председатель правления некоммерческого партнерства специалистов ИБ: Как чувствуют себя инве-сторы на рынке ИБ в период кризиса? Они готовы инвестиро-вать в отечественных игроков?

Н. К.: Я бы разделила источники инвестиций. Во-первых, это гранты. Хороший способ, мы его опробовали с несколькими компаниями в Сколково, и у нас получилось. И хотя денег дают мало, это позволило нам начинать проекты, которые иначе мы бы не начали.Во-вторых, государственные фонды. Мы работали с несколь-кими фондами и сложностей с ними возникало много: либо требуется личная гарантия основателя компании, либо выдви-гаются кабальные условия. На деле это – венчурная история под видом государственных средств, но есть повод говорить, что они должны защищать государственные деньги, поэтому они обкла-дываются подушками безопасности с головы до ног. Мы с тру-дом пробираемся через такие препоны, и я не знаю, удастся ли. Рынок для венчурных историй сейчас и так «не очень», а усло-

Фарит Музипов


ИБ и

биз

нес

вие гарантированной сохранности бюджетных средств делает эти фонды малореалистичными источниками получения денег.Частные инвесторы тоже есть, но в настоящий момент они не очень дружелюбны по отношению к объектам инвестиро-вания. В условиях кризиса они хотят за очень маленькие деньги очень большую долю, при этом норовят вставить условия выполнения компанией KPI, чтобы при их невыполнении иметь возможность отнять еще большую долю.Но как только деньги дешевеют, инвесторы начинают улыбаться. При этом я не могу сказать, что на рынке «валяются» замечатель-ные технологии, которые никому не нужны и могут быть отданы за три копейки. Хорошие технологии либо имеют инвесторов, либо научились выживать какими-то иными способами.

Сергей Ходаков, руководитель направления Big Data, фонд «Сколково»: Колоссальный потенциал российского рынка тоже не бесконечен, и у рынка срабатывают предохранители перена-сыщения. Тогда приходит время задуматься о выходе на миро-вые рынки. Каковы шансы российских компаний в этом отно-шении?

Н.К.: Я считаю, что наши шансы всегда были неплохими. Не так много государств в мире реально создают свои технологии – таких стран-производителей можно по пальцам двух рук пере-считать. Наши компании имеют вполне приличные технологии, и, конечно, шанс продавать их на зарубежных рынках у нас есть. Наверное, для того, чтобы идти на Запад, сейчас не самый луч-ший момент. Но есть еще Восток, Азия и Африка – очень быстро растущие рынки. Есть и Латинская Америка, которая, правда, слишком географически удалена от нас. Проблема состоит в том, что отечественные компании не умеют подавать себя так, чтобы быть востребованными у иностранных клиентов. Мы подобны серым воробышкам, вокруг которых кри-чат яркие цветные попугаи. И понятно, что клиент реагирует на то, что поярче. От серости, унылости, зацикленности только на технологических описаниях нам надо избавляться. Я часто знакомлюсь с новым отечественным ПО, поскольку являюсь экспертом по реестру программного обеспечения, соз-данному при Минсвязи. И поняла, как быстро определять «рус-ское/нерусское»: если на унылом сайте много написано о том, как это работает, какие имеются внутренние технологические штуки, то продукт – точно русский. Обидно, что значитель-ное количество наших компаний просто не умеют нормально подавать свои продукты. Что с этим делать – не очень понятно. Может быть, искать опытных маркетологов из сферы товаров широкого потребления, в которой высок уровень конкуренции. Но, к сожалению, сами компании зачастую не осознают эту проблему.

Илья Борисов, главный эксперт по ИБ Thyssenkrupp Industrial Solutions: Я предполагаю полярное развитие рынка

Сергей Ходаков

Илья Борисов



ИБ России. С одной стороны – это нынешние лидеры, кото-рые наполнят свои прайс-листы свежими решениями и про-дуктами. С другой – появление огромного количества новых игроков, вчерашних стартапов, которые вступают в конкурент-ную борьбу с этими лидерами. На ваш взгляд, какое развитие событий, скорее, возможно?

Н.К.: Думаю, эти тренды всегда реализуются параллельно. Развитие должно идти как снизу, так и сверху. Дерево может вырасти из семечка, но и на стволе старого дерева растут новые ветки. И далеко не всегда, когда приходят стартапы, большие деревья валятся. Да, в каких-то случаях молодая поросль может вытеснить даже очень крупных игроков – скажем, при появле-нии неких прорывных инноваций, революционных техноло-гий, которые сметают предыдущие (например, сейчас уже нет пейджеров, устаревшая технология умерла). И если крупные компании достаточно умны, они следят за инновациями, и как только такие технологии возникают – стараются на них реаги-ровать и выращивать их у себя либо просто покупают новинки. В мире имеется немало компаний, которые успешно остаются наверху в течение многих десятилетий. И наоборот, историй того, как стартапы становятся Гуглами, не так уж много. Боль-шинство «малышей» либо умирает на ранней стадии, либо продаётся «крупняку».

Василий Окулесский, начальник управления безопасности АО «НСПК»: В искусстве существует национальная премия «Ника», телевизионные академики вручают национальную пре-мию «Тэфи»… А если бы в России была национальная премия в области ИБ, кого бы вы наградили по итогам уходящего года?

Н.К.: Для того чтобы понять, кто в сфере ИБ в чем преуспел, нужно тщательно разобраться, что именно компания или ее подразделение смогли сделать. Но как ты это выяснишь, если являешься внешним наблюдателем по отношению к закрытой области данной компании? В случае «Ники» все могут смо-треть на экран, сравнивать, и для сравнения есть некие объек-тивные критерии. В области информационной безопасности – все иначе, поскольку она является закрытой. Каждая компания строит свою защиту в соответствии со своими задачами, воз-можностями и приоритетами. И даже если бы мы знали, как она устроена там, изнутри, то сравнение все равно было бы затруд-нительным, поскольку у компаний разные модели угроз, разные бюджетные возможности, разные подходы к защите, а следова-тельно, и результаты будут различаться. Поэтому присуждать такую премию по объективным критериям весьма сложно, если вообще возможно. Ну а если делать это, основываясь на опросах и популярности… Тогда да, можно: кто сумеет лучше, красивее о себе рассказать, тот, наверное, и победит.

Василий Окулесский


ИБ и

биз

нес

Мы часто слышим о важности цифровой экономики для обеспечения эффективности государственной экономики в целом. Так является ли сегодня государство реальным драйвером, способствующим развитию правовой основы цифровой экономики? Об этом мы говорили с Ильей Сачковым, генеральным директором компании Group-IB.

ИЛЬЯ САЧКОВ

генеральный директоркомпании Group-IB

ОСНОВА

БЕЗОПАСНОСТИ

ЦИФРОВОЙ

ЭКОНОМИКИ

Клондайк для черных риелторов

Недавно я участвовал в обсуждении проекта, нацеленного на оказание помощи одиноким пожилым людям. Предпола-галось, что мобильный гаджет будет постоянно отслеживать их самочувствие (давление, пульс и пр.) и при необходимо-сти запрашивать услуги медучреждения. Однако специалисты по ИБ поставили крест на данном проекте, назвав его «Клондайком для черных риелторов». Эта ситуация про-извела на меня сильное впечатление, и не только сама по себе: она показывает, что реализовать в виртуальной среде Олег Седов



интересные идеи без государственных правовых гарантий весьма сложно. Как утверждает Илья Сачков, практически не осталось компаний, которые так или иначе не задействуют онлайн. С помощью онлайн-сервисов решаются бизнес-задачи, бронируются авиабилеты и отели для командировочных, осуществляются оплата услуг, подбор сотрудников и т.д. В государственных организациях взаимодействие с гражданами тоже автоматизируется. Например, сейчас Правительство Москвы запу-стило механизм, позволяющий фермерам бронировать места на ярмарках выходного дня в онлайн-режиме. И зависимость экономики страны от онлайн-сервисов, их доступности и безопасности – самая прямая. Илья Сачков уверен, что в скором будущем историки станут расценивать период, в который мы сейчас живем, как эпоху очередной технической революции – на сей раз цифровой. Жизнь общества, наука кардинально изменились и продолжают постоянно меняться с увеличением процессорной мощности. При этом понятно, что основой любого цивилизованного общества является безопасность. Однако сегодня, как ни печально, то, что связано с обычной жизнедеятельностью граждан в рамках цифрового мира, находится в постоянной опасности – государство их практически не защищает.Например, ваш компьютер был зашифрован cryptolocker-ом, т.е. произошел один из тех инцидентов, с которыми может столкнуться практически каждый. В соответствии с рядом статей УК (создание и распространение вредоносного ПО, вымогательство и пр.) такое вторжение означает, что вы стали жертвой преступления. Соответственно, вы обращаетесь в полицию, рассчитывая на помощь, и… С большой долей вероят-ности ваше заявление даже не принимают, а если все же принимают, то после этого ничего не происходит, поскольку полиция понятия не имеет, как вести подобные дела. Для их расследования необходимы новый уровень знаний, пока недоступный полиции, и правовая регламентация многих новых явлений. Что означает «программа зашифровала файлы», являются ли bitcoin-ы деньгами и т.д., и т.п.? Возникает масса вопросов, ответы на которые совсем не очевидны.

Фундамент цифрового государства

В современных условиях перед киберпреступниками одинаково беззащитны и круп-ные компании, и одинокие старики. Государство худо-бедно обеспечивает безопас-ность граждан в «физическом» пространстве: если в людном месте на вас нападут на глазах полиции, то ее сотрудники, скорее всего, не будут бездействовать. Однако безопасность в киберпространстве пока существует, можно сказать, лишь на «фило-софском» уровне. А ведь граждане платят налоги и вправе ожидать, что государство обеспечит им хотя бы базовую защиту от таких «простых» преступлений, как взлом телефона, страницы в соцсети или кража денег через карточку. Например, социальные сети зачастую используются уже не как развлечение, а как рабочий инструмент. Но если чей-то личный аккаунт будет взломан, государство не станет заниматься данной проблемой и гарантий защиты не даст. Может, памя-туя об импортозамещении, лишь заявит, что с отечественным ресурсом такого про-изойти не могло бы. Но мы-то понимаем, что это не так.Илья Сачков упомянул об опыте Голландии, в которой государство и бизнес совместно ищут пути решения проблем ИБ, и такая работа приносит весьма неплохие резуль-таты. В этой стране понимают, что поддержка цифровой экономики – очень важ-ное направление, сказывающееся на экономике государства в целом. В свою очередь, высокоэффективная цифровая экономика, подразумевающая быстрое и безопасное выполнение поставленных задач, нуждается в бесперебойной работе коммуникаций и их хорошо организованной защите.


ИБ и

биз

нес

Правда, по мнению Сачкова, воевать с Интернет-преступностью на уровне одной страны практически бесполезно. Интернет глобален, киберпреступность – тоже, и самостоятельная борьба с ней приносит результаты, схожие с плодами аналогичной деятельности в области экологии: если другие страны злостно нарушают экологиче-ские принципы, а мы их соблюдаем, то у нас все равно не будет хорошей экологии. И если некто открывает дропперские счета, а завтра намеревается создать компанию, через которую, возможно, будут выводиться деньги, то этой персоне нельзя давать разрешение на такой бизнес. А ИТ-системы не должны позволять отправлять деньги на счета компаний с сомнительной репутацией.Сегодня, не имея должного уровня автоматизации, централизации и возможности обработки больших объемов данных, система правосудия не может работать пол-ноценно. Например, два человека, пострадавших от спама, обращаются в полицию в разных районах города и добиваются того, чтобы их заявления приняли. Однако они попадают к разным следователям, которые не могут сопоставить эти дела, а потому – даже заподозрить, что заявители могли пострадать от одного и того же преступника. То же самое – с экономикой. По мнению Ильи Сачкова, изменению ситуации может способствовать крупная катастрофа с участием ИТ: она станет мощным мотиватором для изменения государственного подхода к обеспечению безопасности цифровой эко-номики.

ОчевиднО, что прорывные технологии и проекты появлялись и будут появляться вне зависимости от наличия или отсутствия правового регулирования. Мало того, изобретения обычно опе-режают регулирование. Вспомните пример с ПДД: эти правила начали формироваться лишь через какое-то время после появ-ления автомобиля.Сейчас скорость изменений быстро растет. Смартфоны вошли в обыденный обиход, автоматически управляемые автомобили и экзоскелеты, совсем недавно казавшиеся фантастикой, уже используются… Вскоре станут повседневной реальностью и приборы, проводящие мониторинг здоровья человека в режиме реального времени и сигнализирующие об опасности для жизни. Думаю, основной вопрос – это соотношение пользы при-менения той или иной инновации и связанных с ней рисков. В случае сервиса для пожилых гораздо больше плюсов, таких как возможности ранней диагностики, вызова профиль-ной команды скорой помощи в критических ситуациях и пр. А со временем могут появиться и устройства, «незаметно» зани-мающиеся лечением на дому. Вероятно также, что приборы, помогающие поддерживать здоровье, будут сопровождать человека от его первых до последних дней – «матрица» станет реальностью.Естественно, правовая база тоже нужна, и ее развитием необходимо заниматься, в том числе, на проактивной основе – понимая тренды развития ИТ, робототехники и биомедицины. Сейчас государство не всегда опера-тивно реагирует законами на изменения цифрового мира, но процесс все же идет, и правовое поле неизбежно будет под-тягиваться под современные реалии.

Сергей Шерстобитов,

генеральный директор ГК Angara


ИБ и бизнесв РФ есть закОны, которые защищают ПДн, причем предусмо-

трена и гражданско-правовая, и административная, и уголовная ответственность. ФЗ «О персональных данных» и соответ-ствующие подзаконные акты определяют ряд обязательных мер по обеспечению сохранности информации, и они доста-точно эффективны в случае их полноценного выполнения. Проблема состоит в том, что законы не всегда выполняются, а нарушители не всегда получают наказание. Однако в последнее время правоохранительные органы все чаще инициируют дела по вопросам защиты ПДн неограниченного круга лиц. Что же касается сервиса для пожилых людей, в случае про-ведения указанных мероприятий можно постараться максимально обезопасить ПДн. Конечно, российские хакеры могут и базу Пентагона взломать, а уж тем более – этот сервис, но драматизировать не стоит. Узнать адрес, год рождения и другие ПДн конкретного человека и без того несложно, а потому информация сер-виса для пожилых не станет козырной картой черных риелторов. Отметим, система ЕМИАС уже содержит подоб-ные сведения, но у черных риелторов они в ход не пошли. Да, люди начали всерьез задумываться о необходимости защиты своих ПДн, но нельзя из-за этого паниковать, отказываться от изменений и в зародыше убивать хорошие проекты, которые позволят значительно улучшить или даже спасти чью-то жизнь.

Екатерина Денисенко,

юрист


ИБ и

биз

нес

Поглядим, как все побегают

Отсутствие организованных на посто-янной основе превентивных действий в отношении сотрудников собственной организации – это серьезная проблема служб ИБ. Считается, что сбор таких данных означает вмешательство в лич-ную жизнь. Но вспомним, как три года назад юрист московской фармацевти-ческой компании расстрелял в ее офисе семь человек. Позже удалось выяснить, что незадолго до убийства он заявил на Интернет-форуме о ненависти, не более и не менее, ко всему чело-вечеству, и что его бросила девушка, сотрудница той же компании. Если бы служба безопасности заранее знала об этих фактах и нестабильном психо-

логическом состоянии сотрудника, то, может быть, трагедию удалось бы пре-дотвратить. Подобных историй – множество. Например, обиженный партнер юри-дической фирмы забирает важнейшие наработки по клиентам, уводит лучших сотрудников и открывает собственное дело. Или, скажем, ИТ-администратор шутит в корпоративных мессенджерах о том, что было бы занятно полностью уничтожить данные в системе и поглядеть, как все побегают, а несколькими неделями позже именно так и происходит…Что же должны делать службы ИБ? Только реагировать на инциденты? А может, исследовать, разведывать и предотвращать угрозы (т.е. зани-маться внутренней контрразведкой) –

Нередко подразделения ИБ недооценивают внутренние угрозы, исходящие от персонала компаний. Сведения о том, каковы психологическое состояние сотрудников, их цели, приоритеты, материальное положение, здоровье, семья и пр., как правило, остаются за кадром. А ведь от всего этого во многом зависит деятельность и информационная безопасность предприятий.

МАРИЯ ВОРОНОВАруководитель направления консалтинга, ведущий эксперт по ИБ компании InfoWatch, эксперт BISA

ПЕРСОНАЛ КОМПАНИИ: ЗАЩИЩАТЬ ИЛИ ЗАЩИЩАТЬСЯ?



вполне реально, и это является лишь вопросом правильной организации процессов ИБ-служб и применяемых ими технологий?

Друзья, жены, злые тещи…

Рассуждая о поведенческом анализе и возможностях контрразведки вну-тренних угроз, нужно учитывать мно-жество психологических тонкостей, которые зачастую становятся причи-нами весьма серьезных последствий для ИБ. Например, было бы вполне логично полагать: чем более высокий статус в компании имеет сотрудник, чем больше у него полномочий, чем больше конфиденциальной инфор-мации ему доступно в рамках долж-ностных обязанностей, тем серьезнее должны быть требования, предъявляе-мые к нему с точки зрения ИБ. Однако на практике происходит с точностью до наоборот: чем выше занимаемая должность и уровень доступа к секре-там компании, тем больше сотрудник хочет свободы в обращении с инфор-мацией. И это обуславливает некоторые особенности работы самой организа-ции и ее безопасников. В каждой компании складываются своя система ценностей и формиру-ется некая миссия. Миссия опреде-ляет деятельность предприятия, ее выполняет персонал, а у персонала всегда есть личная жизнь, которая сильно влияет на качество работы. Если очень хороший сотрудник после работы встретится в баре с друзьями, то на следующий день он будет устав-шим, невнимательным и может наде-лать ошибок. Если же у человека – проблемы дома, они сильно влияют на его работоспособность, креатив-ность, цели и приоритеты. Другими словами, на лиц, имеющих на предприятии доступ к важной инфор-мации и принимающих решения, воздействуют самые разные факторы и люди – друзья, жены, злые тещи... Все это, в конечном счете, может серьезно

влиять на стратегию и тактику ком-пании, на конкретные решения ее собственников, руководителей и клю-чевых сотрудников. И исключить зави-симость стейкхолдеров от каких-либо внешних факторов при управлении предприятием не получится, как бы этого ни хотелось.

Внутренние категории

При обеспечении ИБ и выстраива-нии модели угроз нужно учитывать и то, к каким внутренним «категориям» относятся те или иные сотрудники, а соответственно, какое влияние они оказывают на компанию. Предста-вители каждой из категорий могут по-своему воздействовать на предпри-ятие, приносить пользу или вред, а зна-чит, от них могут исходить абсолютно разные угрозы.В любой организации имеется кате-гория носителей ее секретов и ноу-хау – того, что называют «коммерческой тайной». Другая категория – сотруд-ники, которые знают продуктовую стратегию, маркетинговые секреты и планы развития. Понятно, что пред-ставители этих двух категорий могут по злому умыслу или случайно рас-крыть, украсть, передать заинте-ресованным лицам и т.п. важную информацию. Еще одна особая кате-гория – «держатели инфраструктуры» (ИТ-специалисты и привилегирован-ные пользователи). Эти люди способны разрушить систему, негативно повли-ять на ее целостность и доступность.Основная категория (большинство) сотрудников – просто те, кто допу-щены к работе. Они имеют стандарт-ные права доступа к стандартным системам, обусловленные их должност-ными обязанностями. Для них тоже требуется выстраивать определенные системы контроля на основе вырабо-танной модели угроз. Наконец, при выстраивании модели угроз, определе-нии принципов работы с персоналом нужно не забывать об обслуживающем


ИБ и

биз

нес

персонале. Представители этой кате-гории физически находятся на тер-ритории компании, имеют доступ во все или многие помещения, а следова-тельно, и доступ к секретам, техноло-гиям, инфраструктуре и сотрудникам.

Звоночки для служб ИБ

Работа служб ИБ с отдельными катего-риями подразумевает учет всевозмож-ных ценностей каждого из сотрудников, которые могут влиять на его отноше-ние к выполняемой работе, коллегам, а также обуславливать приносимые им вред или пользу для компании. Так, одним из важнейших факторов, влияющих на эффективность деятель-ности сотрудников, является наличие у них второй работы, заработков на сто-роне или просто «посторонних» инте-ресов. Необходимо четко понимать, каковы истинные ценности сотрудника, как он относится к своей непосред-ственной деятельности, не работает ли на конкурентов, не считает ли работу в данной компании менее важной, чем в другом месте, да и просто – хватает ли у него на все это сил. Следующее, на что обязательно сле-дует обратить внимание, – нали-чие у сотрудника какого-либо хобби и характер такого увлечения. Если у него имеется хобби, то, скорее всего, есть и соответствующий круг общения, в том числе в Instagram и других соци-альных сетях. А значит, не исключена отправка «удачных» фотографий, в том числе сделанных с рабочего места. Да и вообще наличие любого хобби – это звоночек для служб безопасности, возможность на чем-то сфокусировать внимание. Например, дорогостоящее

хобби сотрудника с невысокой зарпла-той – повод задуматься об источниках финансирования его увлечения. Если работник всерьез занимается охотой, снова звенит звоночек: есть ли у него дома оружие, какое, как он его хранит, имеет ли все необходимые разрешения и справки, насколько адекватен и не может ли, появившись в офисе в состо-янии стресса, всех перестрелять? Кроме того, практически в любом коллективе имеются неформальные лидеры, которые так или иначе вли-яют на настроения и ценности сотруд-ников. И, естественно, службы ИБ не должны обходить их вниманием. Нако-нец, следует присматриваться к новым работникам, являющимся «темными лошадками» для коллектива.

Серая зона

Вопрос о том, защищать ли внутрен-ний персонал или от него защищаться, в сущности, похож на пресловутый вопрос ребенку: «Кого ты больше любишь, маму или папу?». Конечно, и защищать, и защищаться! В первую очередь, службе информа-ционной безопасности необходимо сформировать набор признаков, позво-ляющих четко определять, что же внутри корпоративного рабочего пери-метра стоит контролировать, на что обращать внимание. А далее следует создавать определенные механизмы контроля и отслеживать эти признаки, в том числе в автоматизированном режиме.После первого же инцидента, связан-ного с внутренними угрозами, в компа-нии начинает нарабатываться практика их предотвращения. Нужно учиться



мониторить действия персонала, понимать их и адекватно реагировать. Инциденты никогда не происходят «вдруг», им предшествует некая цепочка событий, каждое из которых может ни на что не указывать (произошел какой-то сбой, возникла какая-то непонятная коммуникация, какой-то сотрудник пришел на работу в плохом настроении). Однако при комплексном рассмотрении все эти события могут составить весьма информативную кар-тину, в том числе указать на возмож-ность инцидента. В современной сфере ИБ очень попу-лярно направление threat intelligence. А есть ли что-то похожее, только пред-назначенное для контроля над вну-тренними угрозами? Да, на рынке уже появились решения, которые дают воз-можность выделять и контролировать техническую «человеческую» инфор-мацию (генерируемую персоналом во внутренних системах), тактическую информацию о текущем поведении и ситуациях, стратегическую инфор-мацию. Другими словами, ана-лизировать в динамике big data, генерируемые внутренними сотрудни-ками, а не системами. Таким образом,

современные средства мониторинга внутренних угроз позволили взять под контроль «серую зону», кото-рая прежде, как правило, оставалась незамеченной. Речь идет о непонят-ных связях внутри компании и их анализе, о нестандартных действиях сотрудников в системах и сервисах, о не совсем типичном времени исполь-зования этих сервисов и ресурсов, о нелогичных событиях и возможности повторения уже произошедших инци-дентов и т.п.Использование таких решений ста-нет существенным подспорьем для корпоративных служб ИБ, но крайне важно и другое – делиться с коллегами по отрасли собственной наработан-ной практикой. Это позволит орга-низовывать что-то вроде «CERT’ов», ориентированных «вовнутрь» органи-заций, целью которых станет практика предотвращения внутренних угроз, а в случае их реализации – соответ-ствующего реагирования. Наконец, с помощью средств защиты, контроля и программ повышения осведомлен-ности нужно создать в компании такие условия, в которых ей уже не придется защищаться от собственного персонала.

В 2015 году зафиксировано 984 случая утечки данных по вине сотрудников и руководства организаций. На внутренние утечки пришлось 65,4% от общего числа всех утечек, зарегистрированных в мире.

Объем персональных и финансовых данных, скомпрометированных в результате внутренних утечек, составил 335,3 млн записей.

В период с 2013

по 2015 год уменьшилась доля

непреднамеренных утечек данных

через электронную почту,

бумажные и съемные носители.

Доля непреднамеренных утечек

через сетевой канал, наоборот,

возросла.

УТЕЧКИ ДАННЫХ ОРГАНИЗАЦИЙ ИЗ-ЗА ДЕЙСТВИЙ ВНУТРЕННИХ НАРУШИТЕЛЕЙ В 2013–2015 ГГ.

Большая часть потерь критичной для бизнеса информации происходит сегодня вследствие непреднамеренных действий сотрудников.

С 2013 года доля внутренних утечек, произошедших из-за ошибок персонала и сбоев информационных систем, выросла на 34 п. п. и составила 79,7%.

20152014

2013

45,7%68,2%

79,7%

2013 2014 2015

2013 2014 2015

Распределение непреднамеренных внутренних утечек по каналам передачи информации

Число и доля внутренних утечек информации

1143 утечки

1016 утечек

984 утечки65,4%

72,8%

Кража, потеря оборудования

11,8%

6,4%

6,9%Съемные носители

23,0%

17,3%

15,4%Электронная почта

13,2%

13,7%

14,8%

Бумажные документы

30,4%

36,0%

27,6%

Сеть (браузер,Cloud)

19,9%

26,0%

34,7%

В результате случайных утечек через сетевой канал в 2015 году было скомпрометировано 295 млн записей, относящихся к категориям ПДн и финансовой информации.

Число утечек под воздействием внутреннего нарушителя уменьшается, но объем данных, скомпрометированных в результате неумышленных внутренних утечек по сетевому каналу, растет. Такие утечки отличает «разрушительность»: объем скомпрометированных данных может достигать нескольких миллионов записей ПДн или финансовой информации.

Данные отчета аналитического центра компании InfoWatch комментировал Сергей Хайрук

В результате внутренних утечек все чаще «уходит» критически важная информация.

2013

2014

2015

20132014

2015

Объем записей ПДн и финансовой информации, скомпрометированных в результате непреднамеренных утечек по сетевому каналу.

Распределение внутренних утечек по типам данных

1,9%

4,0%

7,1%

0,9%

8,5%

9,3%

Коммерче-ская тайна

Платежная информация

Если в 2013 году основная масса утечек

критически важных данных произошла

вследствие умышленных действий

внутреннего нарушителя, то в 2015 году мы

наблюдаем обратную ситуацию – львиная

доля критически важных данных была

скомпрометирована случайно.

Распределение внутренних утечек по преднамеренностинепреднамеренности и по типам данных

90,9

%

93,3

%

Персональные данные


Государственная тайна

Коммерческая тайна

Секреты производства

Описать типичную внутреннюю утечку

образца 2015 года можно следующим

образом: это ошибка легитимного

пользователя или сбой

автоматизированных систем обработки

информации, результатом чего стала

компрометация огромного объема данных.

Случайная утечка 2015 – это прямая угроза

бизнесу, поскольку утекает, как правило,

критически важная информация:

персональные данные, платежная

информация, иные виды информации

ограниченного доступа. Внутренние утечки

остаются проблемой номер один для

систем защиты информации, служб ИБ

и бизнеса в целом.

2013 2014 2015

51,6

%

85,7

%

75,0

%

22,0

%78

,0%

37,0

%63

,0%

31,6

%68

,4% 55

,9%

44,1

%

50,0

%50

,0%

48,9

%

84,1

%

51,1

%

88,9

%

82,1

%

25,0

%

9,1% 6,7%

15,9

%

11,1

%

17,9

%

14,3

%

48,4

%

90,9

%

93,3

%

В результате случайных утечек через сетевой канал в 2015 году было скомпрометировано 295 млн записей, относящихся к категориям ПДн и финансовой информации.

Число утечек под воздействием внутреннего нарушителя уменьшается, но объем данных, скомпрометированных в результате неумышленных внутренних утечек по сетевому каналу, растет. Такие утечки отличает «разрушительность»: объем скомпрометированных данных может достигать нескольких миллионов записей ПДн или финансовой информации.

Данные отчета аналитического центра компании InfoWatch комментировал Сергей Хайрук

В результате внутренних утечек все чаще «уходит» критически важная информация.

2013

2014

2015

20132014

2015

Объем записей ПДн и финансовой информации, скомпрометированных в результате непреднамеренных утечек по сетевому каналу.

Распределение внутренних утечек по типам данных

1,9%

4,0%

7,1%

0,9%

8,5%

9,3%

Коммерче-ская тайна


Если в 2013 году основная масса утечек

критически важных данных произошла

вследствие умышленных действий

внутреннего нарушителя, то в 2015 году мы

наблюдаем обратную ситуацию – львиная

доля критически важных данных была

скомпрометирована случайно.

Распределение внутренних утечек по преднамеренностинепреднамеренности и по типам данных

90,9

%

93,3

%

Персональные данные


Государственная тайна

Коммерческая тайна

Секреты производства

Описать типичную внутреннюю утечку

образца 2015 года можно следующим

образом: это ошибка легитимного

пользователя или сбой

автоматизированных систем обработки

информации, результатом чего стала

компрометация огромного объема данных.

Случайная утечка 2015 – это прямая угроза

бизнесу, поскольку утекает, как правило,

критически важная информация:

персональные данные, платежная

информация, иные виды информации

ограниченного доступа. Внутренние утечки

остаются проблемой номер один для

систем защиты информации, служб ИБ

и бизнеса в целом.

2013 2014 2015

51,6

%

85,7

%

75,0

%

22,0

%78

,0%

37,0

%63

,0%

31,6

%68

,4% 55

,9%

44,1

%

50,0

%50

,0%

48,9

%

84,1

%

51,1

%

88,9

%

82,1

%

25,0

%

9,1% 6,7%

15,9

%

11,1

%

17,9

%

14,3

%

48,4

%

90,9

%

93,3

%



Стоит уже сегодня заглянуть за привычный горизонт планирования ИБ, поскольку через три-пять лет в большинстве организаций структура деятельности по обеспечению кибербезопасности станет совсем другой. И тот, кто окажется к этому не готов, неизбежно проиграет.

ЗАВТРА НАЧИНАЕТСЯ СЕГОДНЯ

ИБ-феодализм

Нынешний горизонт планирования деятельности ИБ-подразделения состав-ляет около двух лет. Этого достаточно, чтобы запланировать пилоты несколь-ких «тяжелых» решений, проверить их эффективность, заложить бюджет на следующий год и реализовать наме-ченное. Предугадать, что будет акту-альным через 3–5 лет, весьма сложно, поскольку все очень быстро меняется. Можно сказать, что ситуация с обе-спечением ИБ напоминает эпоху фео-дализма. Крупные компании – это города-государства с крепостной сте-ной из NGFW, внутренними патрулями IdM, двумя эшелонами AV и т.п. Мелкие организации – деревни с частоколом из простейших UTM и одного AV, порой условно бесплатного. При этом корпора-тивные «крепости» сильно различаются по уровню богатства (так, высокомар-жинальный бизнес в нефтегазовой отрасли может себе позволить значи-тельные ИБ-бюджеты), по предыдущему

опыту (если в прошлом году компания подверглась DDoS-атаке, то в текущем в ней уже установлено соответствующее защитное решение), зрелости в вопро-сах ИБ (например, некоторые предпри-ятия пытаются обнаружить пути обхода своей защиты с помощью пентестов и заблаговременно реализуют новые подсистемы). Периодически руково-дители ИБ-подразделений компаний собираются, чтобы поделиться опытом возведения фортификационных соору-жений.Все это – давно сложившаяся и прежде оправдывавшая себя практика. Однако характер инцидентов изменился: происхо-дит все больше хорошо спланированных атак, организованных высококвалифици-рованными преступниками и приводящих к ощутимым потерям. Для предотвра-щения и отражения таких атак службам ИБ необходимы гибкость, оперативность и комплексный подход к защите. А что происходит на практике?Двухлетний цикл технологического планирования в области ИБ включает

ЕВГЕНИЙ АКИМОВруководитель отдела развития департамента ИБ компании Softline



в себя этапы анализа проблемы, поиска вариантов решений, пилотирования/проверки эффективности, финансо-вого планирования, закупок, проектных работ и начала эксплуатации. В соот-ветствии с нашей «фортификацион-ной» аналогией происходит примерно следующее: узнав, что соседний замок захвачен с помощью приставных лест-ниц, защитники города инициируют цикл совещаний с оружейниками для оценки эффективности разных типов котлов для плавления свинца и кипя-чения масла, а потом записываются на прием к барону для защиты бюджета, необходимого для закупки в следующем году такого оборудования. Киберпреступники заставляют под-разделения ИБ отказаться от медлен-ного планирования – рано или поздно придется действовать по упрощенной процедуре, воспринимая всю ИБ как Agile-проект с «резиновым» бюджетом и сверхадекватными исполнителями. Вряд ли это произойдет в ближайшем будущем, а простое ускорение и разум-ное увеличение бюджетов не позволяет дать полноценный отпор киберпре-ступности.Как бы то ни было, эпохе феодализма в области ИБ неизбежно придет конец, и пришло время заглянуть за трех-пятилетний горизонт планирования. А поскольку завтра, как известно, начинается сегодня, рассмотрим еще несколько аспектов нынешнего положе-ния дел.

Бронежилет, каска и волшебные таблетки

Если бы человеческое обще-ство было основано на принципах ИБ-феодализма, то люди просто не доносили бы зарплату до дома, ведь «себестоимость» уличного грабежа – намного меньше сумм отбираемых денег. Каждый человек был бы осна-щен бронежилетом, каской и травма-тическим оружием, и эта амуниция окупалась бы уже за несколько месяцев.

Однако уровень преступности в обществе определяется не столько самой возмож-ностью совершать противоправные дея-ния, сколько неотвратимостью наказания и уровнем культуры этого общества. Можно ли создать в цифровом мире реально работающую правоохрани-тельную систему, которая гарантирует такую же неотвратимость наказания, и достичь высокого уровня культуры общества, защищающего от противо-правных действий лучше полиции? Можно. Вряд ли этого удастся добиться быстро, но работать в данном направле-нии, безусловно, необходимо.Следуем далее. Высококвалифициро-ванным преступникам очень сложно противостоять с помощью нынешнего инструментария ИБ, поскольку обе-спечение защиты подразумевает колос-сальное усложнение и удорожание ИБ-инфраструктуры. Раскроем этот тезис чуть подробнее. Почти все компании предпринимают какие-то действия для защиты от целе-направленных атак (APT), в том числе приобретают специальные решения. Однако, что бы ни твердили про-изводители, «волшебных таблеток» не существует: атаки могут «приходить» по почте, web, с помощью инсайдеров и т.д., а любое конкретное решение направлено лишь на часть векторов атак. В общих чертах возможности про-дуктов, предназначенных для защиты от APT, таковы:• Sandbox («песочницы») служат для

проверки подозрительных файлов (например, аттачментов почтовых сообщений); они детектируют до 80% APT и могут работать в режиме предотвращения;

• Endpoint-модули поведенческого анализа на хостах дают много дополнительной информации и детектируют уже развивающиеся атаки;

• шлюзовые сенсоры обнаружения коннекта с командными центрами бот-сетей также детектируют разви-вающиеся атаки;



• анализаторы сетевого трафика позволяют обнаруживать аномалии, свидетельствующие о распростра-нении атак внутри сети;

• корреляторы событий «объеди-няют» перечисленные компоненты.

Понятно, для организации полно-ценной защиты нужно комплек-сно использовать несколько средств. Но эффективность их работы тоже раз-личается, и в идеале следует на каждом векторе атаки устанавливать эшелони-рованную защиту. Кроме того, обычно результат работы APT-системы является вероятностным и не может использо-ваться автоматически – требуется работа аналитика и квалицированной команды ИБ- и ИТ-специалистов, действующих в режиме 24х7. Наконец, для предотвра-щения, а не просто обнаружения атак необходима установка систем в разрыв, что обходится весьма недешево; внутри-сетевые аномалии пока удается лишь детектировать. Сегодня внимание кибербезопасни-ков сосредоточено на внедрении APT-решений и антифрод-систем, создании SOC, использовании данных от внеш-них CERT или организации собствен-ных (в крупных организациях). Причем

эти проекты нередко не рассматри-ваются как части комплекса, имеют собственные бизнес-обоснования, бюд-жеты, проектные команды и пр., и порой функционал одной из систем частично повторяется в другой. Например, мощ-ные механизмы корреляции SIEM-системы, являющейся технологической основой 99,9% SOC, позволяют обнару-живать и некоторые таргетированные

атаки, и мошеннические транзакции в платежных системах.

Заоблачные дали

Все было бы печально, если бы не облака. Если уж лидер Сбербанка Герман Греф более года назад при-звал «срезАть» пиковые нагрузки, в 2–2,5 раза превышающие обычные, в публичном облаке для оптимизации расходов, то облачную тенденцию пора принять как данность. К слову, на одной из конференций предста-вители банков помельче рассказали, что их руководство решило более не инвестировать в ИТ-инфраструктуру, а когда она «закончится», использовать облачные ИТ-сервисы. Сейчас продажи XaaS-услуг удваива-ются более двух раз в год, опережая закон Мура. Пока ими пользуются не так много Enterprise-компаний, но представители сегмента SMB уже активно передают в облака свои почто-вые сервисы, офисные программы и даже CRM. Это означает, что уже через 3–5 лет ИТ-ландшафт будет суще-ственно отличаться от привычного – объект защиты переместится из кор-

поративного ЦОДа в облако. Сервисы безопасности заведомо будут в нем реа-лизованы, и их можно будет подключать по требованию и даже по фиксирован-ному прайс-листу. Мощная команда кибербезопасников станет работать в режиме 24×7 в интересах множества заказчиков, и затраты на ее деятельность будут делиться между ними. Выбором эффективной платформы для сотен

Пока обеспечение соответствия требованиям к защите ПДн является самой востребованной услугой.



и тысяч клиентов займется провай-дер. Он может подготовиться к работе заблаговременно, изучив опыт более развитых ИТ-рынков, а приступить к продажам, когда услуги станут востре-бованными. Пока обеспечение соответствия требо-ваниям к защите ПДн является самой востребованной услугой – ее запраши-вает примерно половина клиентов ХaaS-провайдеров. Отметим, она увеличивает стоимость облачного сервиса в 2–3 раза, причем лишь немногие провайдеры предоставляют услугу в полном объеме. Некоторые из них предлагают частич-ное соответствие. В простейшем случае это – облако на территории РФ, позво-ляющее компаниям решать наиболее распространенную проблему переноса ПДн граждан России на родную терри-торию. Кое-кто из провайдеров описы-вает механизмы защиты, включающие в себя резервирование и межсетевое экранирование, и это – уже кое-что из требований регуляторов.Правда, их проверки осуществляются планово, нечасто и в большинстве слу-чаев касаются организационных момен-тов, поэтому многие компании задаются вопросом: «Если не видно разницы,

зачем платить больше?». И, понятно, соображения экономии побеждают. Тем не менее спрос рождает предложения, они – конкуренцию, а массовость услуги и ее оптимизация постепенно приведут к радикальному падению стоимости.Популярны и услуги, специфичные для SaaS: например, облачный почтовый сервис часто приобретают в комплекте с антиспамом и антивирусной провер-кой. Реже встречаются услуги проверки вложений на APT с помощью прогона через «песочницу».Итак, трех-пятилетняя стратегия обе-спечения ИБ должна учитывать воз-можность миграции ИТ-систем в облака с предоставлением услуг кибербезо-пасности. А потому, скажем, не стоит в текущем году выбирать DLP-систему и обосновывать бюджет с окупаемостью три года, если через два года ваша почта станет облачной и сервис DLP войдет в контракт. Зато стоит заняться анали-зом зарождающегося рынка SECaaS-услуг и выбором XaaS-провайдера. Мы – на пороге новой реальности, в которой компании избавятся от необ-ходимости заниматься «техническими» вопросами, оставив за собой менед-жмент ИБ.



Новый старый подход

Серьезными условиями для успешной атаки практически на любую органи-зацию являются следующие факторы: • штат ИБ-специалистов предприя-

тия обычно невелик. Лишь отдель-ные компании могут похвастать наличием команды, более-менее серьезной по численности и опыту борьбы с кибератаками. Чаще все-го у них имеются лишь по два-три специалиста, вынужденных решать текущие задачи ИБ с помощью ограниченных ресурсов;

• современные атаки готовятся долго, а осуществляются быстро. В резуль-

тате с момента обнаружения инди-каторов атаки до возникновения связанных с нею серьезных послед-ствий остается очень мало времени для упреждающих действий без-опасников;

• киберпреступность давно превра-тилась в серьезную отрасль, в кото-рой используются специализация, обмен информацией и другие воз-можности, позволяющие кибер-преступникам задействовать опыт огромного количества хакеров со всего мира;

• команды безопасности компа-ний часто «варятся в собствен-ном соку» и не всегда обладают

Недавно я читал сыну пушкинскую «Сказку о золотом петушке» и вдруг подумал, что этот персонаж, собственно, представляет собой систему раннего предупреждения об опасностях. Петушок должен заблаговременно сообщать царю о возможных неприятностях, чтобы тот успел подготовиться и отразить удары. Многие безопасники тоже рады были бы иметь решение, заранее

указывающее на пробелы в их системах защиты и векторы атак, которыми попробуют воспользоваться злоумышленники.

АЛЕКСАНДР БОНДАРЕНКОгенеральный директор компании R-Vision

THREAT INTELLIGENCE: ШАГ ВПЕРЕД ИЛИ МАРКЕТИНГОВЫЙ ХОД?



информацией, необходимой для отражения кибератак. Для решения этой проблемы и предназначено то, что называется Threat Intelligence (TI).

Помните, одно время были популяр-ны решения класса Honeypot, кото-рые умышленно содержали уязви-мости и служили для привлечения внимания атакующих. Это позволя-ло ИБ-специалистам изучать методы нарушителей и, возможно, даже высле-живать их. Такие системы не получили широкого распространения преимуще-ственно из-за того, что в условиях огра-ниченности ресурсов и необходимости решения большого спектра задач (как технических, так и бумажных) специ-алистам по ИБ банально не хватает времени на подобный анализ. Концепция Threat Intelligence, по идее, позволяет получать готовые резуль-таты: скажем, антивирусный вендор, обладающий целой сетью honeypot-ов по всему миру, изучает действия злоу-мышленников и далее в каком-то виде (фид, почтовая рассылка и т.п.) постав-ляет компаниям эту информацию. Вро-де, весьма полезный подход, но похоже, что сейчас вокруг TI раздувается мар-кетинговая шумиха, очень похожая на прежний ажиотаж по поводу облач-ных технологий. Действительно, вир-туализация и предоставление ресурсов в аренду существовали задолго до появ-ления модного слова Cloud, которое лишь позволило вдохнуть новую жизнь в уже существовавшие технологии. Так и с TI: «черные» списки IP-адресов, фиды с хешами вредоносных фай-лов и пр. использовались и ранее, а теперь все это стали называть Threat Intelligence, чтобы привлечь внимание к данным возможностям и, безусловно, на них заработать.

Несколько принципиальных моментов

Специалистам по ИБ, планирующим воспользоваться TI, важно прояснить для себя следующее.

Если вы присматриваетесь к каким-то сервисам и источникам TI, то заранее определите, как вы будете использовать такую информацию. Ее просмотр «между делом» наверняка не сработает: TI нужно сразу встраивать в ваши текущие активности, а в идеале – автоматизировать, интегрируя с при-меняемыми средствами защиты (FW, IPS, SIEM и др.). Например, список IP-адресов известных C&C-cерверов можно подгрузить в имеющиеся систе-мы сетевого мониторинга с целью выявления внутренних узлов, с которых следуют обращения к серверам управ-ления, – скорее всего, это означает, что узел заражен и является частью бот-нета. Затем нужно понять, в каком форма-те будет поставляться информация, что, опять же, связано с возможностя-ми автоматизации ее использования. Если данные приходят в виде e-mail-сообщений, то не факт, что вы сможете их автоматически «парсить» и переда-вать на средства защиты. А значит, эти данные окажутся бесполезными, ведь попытки ручной обработки заведомо обречены. Сейчас не существует единого обще-признанного формата обмена дан-ными, но на эту роль претендуют такие стандарты, как STIX (Structured Threat Information eXpression) и TAXII (Trusted Automated Exchange of Indicator Information). Кроме того, крупные про-изводители, например Intel (McAfee), стали предлагать для обмена информа-цией свои открытые форматы (McAfee Data Exchange Layer – DXL). Нужно учитывать релевантность информации. Может быть, инте-ресно узнать о появлении очередно-го банковского троянца, ворующего данные у клиентов банков где-нибудь в Казахстане, но если такие сведения не имеют отношения к вашей деятель-ности, то зачем они вам нужны с прак-тической точки зрения? Поставщик TI должен обеспечивать настройку филь-трации поступающих данных и обладать



информацией, которая относится именно к вашей отрасли, используе-мым вами технологиям и вашему реги-ону (не секрет, что атаки все чаще име-ют отраслевой и/или географический характер). Где искать источники TI? Практи-чески все крупные антивирусные про-изводители и разработчики средств защиты предлагают соответствующие сервисы поставки информации. Есть и публичные (бесплатные) сервисы, но качество поставляемых ими све-дений очень различается, так что при поиске источников с действительно качественной информацией придет-ся потрудиться. Если вы планируете использовать TI, стоит оценить возмож-ности применение данной информации в уже имеющихся у вас средствах защиты и закладывать требование совмести-мости с вашими источниками TI при выборе новых систем защиты. Не исключено, что понадобится напи-сать собственные скрипты или про-граммы, которые будут обрабатывать поступающие данные и конвертиро-вать их в информацию, передаваемую на соответствующие СЗИ через про-граммный интерфейс (API).

Золотой петушок

Киберпреступники давно научились объединяться и использовать чужой опыт для совершенствования сво-их навыков и повышения вероятно-сти успешного осуществления атак. А вот отрасль ИБ традиционно развива-лась как достаточно закрытая, и сейчас это создает реальные проблемы для корпоративных ИБ-специалистов: столкнувшись с инцидентами, они, как правило, остаются один на один со своими проблемами. Действительно, компании крайне неохотно сообщают об инцидентах, поскольку публичность такой информации может повредить их имиджу, а кроме того, сейчас почти нет механизмов и площадок для обме-на критически важными сведениями и опытом. Threat Intelligence – лишь первая ласточка. Появляется все больше ком-мерческих и государственных центров реагирования на инциденты, законода-тельно вводятся нормы обмена сведе-ниями и уведомлений об инцидентах в России, Европе и США. Конечно, использование данных киберразведки – не панацея от всех бед, а лишь еще один инструмент, появив-шийся как ответ на современные вызо-вы и рост уровня киберпреступности. Однако при его правильном примене-нии, интеграции в реализуемые про-цессы и защитные технологии есть вероятность того, что вы все же обза-ведетесь «золотым петушком», помога-ющим оперативно выявлять направле-ния, по которым ведется атака на вашу компанию.



От слОв – к практике

Решения Threat Intelligence уже вырасли из коротких штани-шек. Прежде основными данными киберазведки были IP-адреса командных серверов, хэш-суммы скомпрометированных фай-лов и прочие индикаторы компрометации (IoC). Современный TI не может ориентироваться лишь на индикаторы компро-метации, которые устаревают очень быстро, иногда сразу после единственной успешной атаки. При противостоянии преступным группам гораздо важнее понимать действия злоу-мышленников и предотвращать их. Откуда берутся данные в TI? Ответ прост: из практики. А именно – из практики противодействия реальным, «живым» атакам, практики киберразведки, практики исследования вре-доносного кода и аналитики угроз, практики поиска авторов зловредного ПО, организаторов и исполнителей атак. Таким образом, эффективная TI – это, в первую очередь, построен-ная на практическом опыте, глубокая и актуальная (по времени, региону, отрасли) аналитика в приложении к конкретной орга-низации. И только во вторую очередь это – IoC-ы, тянущиеся длинным хвостом вслед за действительно важной информа-цией.Современное решение TI – высокоинтеллектуальный и очень непростой продукт. Для его использования требуются допол-нительные ресурсы, высокие компетенции специалистов по ИБ, создание новых бизнес-процессов. К тому же без TI как источника актуальных данных для SIEM и пресловутый SOC не сможет работать эффективно.Впрочем, зачастую все «правильные» слова о рисках, ресурсах и компетенциях разбиваются о реальную ситуацию. Далеко не всем специалистам по ИБ на предприятиях нужна теория SOC, многие устали от разговоров о процессах, коннекторах и корреляции. Необходимы практические решения, которые, в условиях невозможности предотвращать развитие киберкри-минальной ситуации, помогают отражать реальные атаки.Как эффективно использовать весь массив информа-ции, предоставляемой TI? Какие данные наиболее важны? На что обращать внимание в первую очередь? Ответы под-скажут практики – те самые специалисты, которые собирали и обрабатывали информацию, превращали ее в TI. Именно они помогут ИБ-подразделениям конкретных компаний полу-чать реальную отдачу, пользу от применения TI (а не просто гордиться тем, что построенный SOC – intelligence driven), выбирать сценарии использования, которые превращают собранные данные в работающую систему, являющуюся частью общей системы раннего обнаружения атак.И вот тогда организациям, владеющим сценариями и поль-зующимся поддержкой поставщиков TI, уже не потребуется слушать сладкие песни залетных «золотых петушков». Они смогут применять, развивать и совершенствовать собственные системы предупреждения угроз.

Сергей Золотухин,

менеджер по развитию

бизнеса Group-IB


ИБ-практика Производители систем обнаружения

вторжений вынуждены постоянно выявлять в Интернете новые угрозы с целью пополнения сигнатурных баз и последующих проверок корпоратив-ных сетей на их основе. Для поиска угроз применяются и боты-имитаторы действий пользователей, и honeypot-ы, и анализ трафика на узловых нодах лояльных провайдеров, и бот-фермы, и многое другое. Этот подход дает неплохие результаты при поиске уже известного вредоносного ПО, но плохо работает при попытках противостоять целевым атакам с их высоким уров-нем кастомизации тактик, технологий и процедур под конкретную инфра-структуру. А значит, корпоративным ИБ-службам нужно охотиться на угрозы непосредственно в защищаемой сети. Сравним два сценария внутрен-него мониторинга угроз – Alerting и Hunting.

Сценарий Alerting

Alerting предполагает наличие автоматизи-рованных систем, принимающих «сырые» данные (события ИС или сетевого

трафика) и выдающих результаты ана-лиза – события или инциденты (alerts) для последующего реагирования служб ИБ. Продвинутые Alerting-системы выдают и рекомендации о том, как именно следует реагировать. Alerting известен давно и является основой работы классических операци-онных подразделений ИБ, известных как SOC. Принципиальным момен-том является наличие alert, который является результатом отработки кор-реляционной логики применяемых инструментов (например, SIEM) и заблаговременно создается производи-телем инструментария или аналитиками SOC в рамках адаптации применяемых средств защиты информации под кон-кретную инфраструктуру.

Threat hunting – это сравнительная молодая концепция мониторинга угроз корпоративными ИБ-службами, уже подтвердившая свою эффективность в борьбе с целевыми атаками. О ее особенностях и отличиях от других подходов и пойдет речь.

СЕРГЕЙ СОЛДАТОВCISA, CISSP, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского»

ОХОТА НА УГРОЗЫ

Вендор ITW

Alerting IR



Alerting представляет собой замкнутый цикл, что обеспечивает его адаптацию и совершенствование.Процесс выявления инцидентов стано-вится более эффективным, если логика создания и тонкой настройки alert-ов не только формируется производите-лями ИБ-решений, но и пополняется аналитиками SOC практикой реагиро-вания на инциденты (Incident response – IR). К сожалению, так происходит далеко не всегда. Принципиальная проблема Alerting состоит в его реак-тивности – можно обнаруживать только то, под что имеется alert, т.е. инциденты должны быть обнаружены, расследо-ваны и добавлены в Alerting-логику. Кроме того, Alerting-системы обычно не хранят даже те «сырые» данные, анализ которых привел к возникнове-нию alert.

Сценарий Hunting

Hunting основан на сборе и долго-срочном хранении всех «сырых» данных. В дальнейшем их могут ана-лизировать робот или аналитик при проверке гипотезы проведения атак, при выявлении аномалий, которые рас-следуются на основе тех же данных. В данном подходе не используются предопределенные alert-ы, при обра-ботке которых необходимо лишь убедиться, что срабатывание не является ложным, и организовать реагирование. Hunting позволяет не ждать заметных следов атаки в виде alert-ов, а исходить из предположения, что система уже атакована, и проверять разные гипо-тезы поведения атакующих и сценариев развития атак. Осуществляет проверку робот (автоматически) или аналитик (вручную) с учетом множества косвенных факторов и с опорой на наработанную практику. Действительно, проверку всех возмож-ных сценариев развития атак нельзя полностью автоматизировать в виде alert-ов: бесчисленное число комби-наций «подозрительного» поведения

приводит к нескончаемому потоку инцидентов, большинство из которых являются ложными срабатываниями, а это делает невозможной своевремен-ную обработку. Однако можно создать инструменты, позволяющие в полуав-томатическом режиме «выхватывать» из массы неструктурированных данных подозрительные последовательности и «раскручивать» их для понимания того, как именно нужно сделать alert (и в будущем уже не «раскручивать» такой сценарий вручную) либо, при обнаружении легитимного поведения, как скорректировать инструментарий. Расследованный сценарий, не явля-ющийся ложным срабатыванием, довершается с помощью цифровой криминалистики (digital forensics – DF) и анализа ВПО (malware analysis – MA).

В их рамках устанавливаются кон-кретные факты, используемые далее для корректировки работы превентив-ных средств защиты (например, следует добавить обезвреживание в антивирус-ное решение, прикрыть установленные векторы проникновения и т.п.).То, что подход Hunting не предпо-лагает уничтожения данных после их использования, является проактив-ным и обеспечивает создание alert-ов как результатов анализа выявлен-ных инцидентов, оказывается весьма актуальным при анализе целевых атак и/или APT. Собрав новую информа-цию, можно проверить ее по прошлым данным и получить, например, под-тверждение того, что данная атака была активна уже прежде, либо выявить недостающие для расследования факты (скажем, вектор первичного проникно-вения в сеть). На практике потребность



в такой «машине времени» возникает довольно часто.Hunting напоминает сигнатурное детек-тирование, но задействованная в нем детектирующая логика не используется как превентивный механизм, поскольку не дает точного детекта, а лишь сужает область анализа. Несмотря на некото-рую сложность концепции Hunting, для ее успешной реализации необ-ходимы лишь три составляющие: данные, технологии/процесс и люди, которые анализируют данные.

Данные

Набор собираемых нотификаций должен обеспечивать трассировку поведения процессов, анализ которой позволит судить о подозрительности происходящего. Как минимум, это:• старт неизвестного/недоверенного

исполняемого файла;• создание секции на исполнение

(загрузка динамической библио-теки);

• инсталляция неизвестного/недове-ренного драйвера;

• получение неизвестного/недоверен-ного почтового вложения;

• скачивание неизвестного/недове-ренного файла;

• обнаружение неизвестного/недо-веренного файла при проверке объектов автозапуска;

• входящее или исходящее сетевое соединение;

• детект антивирусного решения;• внедрение в код чужого процесса.Список следует дополнить штат-ными событиями ОС и приложений, что позволит выявлять не только подозрительное поведение процесса, но и его влияние на окружение:• создание/удаление, блокировка/

разблокировка, изменение пароля учетной записи;

• создание/удаление группы, добавле-ние/удаление участников группы;

• изменение параметров безопасности; • изменение конфигурации параме-

тров работы системы; • очистка журнала событий;• вход/выход из системы пользовате-

лей/администраторов;• смена/сброс пароля;• изменение учетной записи/группы;• аутентификация под явно задан-

ной учетной записью (Logon With Explicit Credentials);

• создание/изменение ключей рее-стра, отвечающих за автозапуск;

• установка службы/драйвера; • создание задания в планировщике

задач, запуск задачи планировщика;• создание сетевой папки;• изменение политики/остановка сер-

виса аудита событий;• использование критичных привиле-

гий ОС (например, отладки);• изменение системного времени;• использование PowerShell;• запуск команд/файлов через WMI.Перечисленные события следует рас-сматривать в совокупности, коррелируя их между собой.

Процесс

Можно выделить три уровня обработки собираемых событий. Этап TI Farm – сопоставление собранных нотификаций и собы-тий ОС со всевозможными данными об угрозах. Сопоставлению подлежат объекты, доступные в нотификациях, – IP-адреса, адреса URL, хеши файлов. В качестве TI (Threat intelligence) могут использоваться такие характеристики:• репутация IP, URL, категория URL;• популярность ITW, популярность

в данной инфраструктуре;• «похожесть» – специальным

образом рассчитываемый хеш, одинаковый для файлов схожей функциональности;

• неточные поведенческие детекты – они часто выдают ложные сраба-тывания и потому непригодны как превентивный механизм, но под-ходят для сужения объема анализа;

• совпадения с потоками данных



об угрозах (IoC – Indicators of Compromice);

• «белые» списки.Прошедшие IT Farm объекты мар-кируются тегами, которые могут использоваться на дальнейших этапах.На этапе Cases анализируются взаи-модействия объектов в рамках одного компьютера и сетевые коммуникации. Проверяются гипотезы о подозритель-ном поведении, выраженном в виде цепочек нотификаций. Хорошими исходными данными для их построе-ния могут являться:• прошлая практика мониторинга;• публично доступные, приватные

и/или предоставляемые на коммер-ческой основе отчеты о взломах и APT-кампаниях;

• прошлая практика расследования инцидентов (IR) и компьютерной криминалистики;

• практика тестов на проникновение.На этапе анализа сценариев важную роль играет знание контекста: какие инстру-менты удаленного администрирования легитимны, в каких подсетях располагаются какие подразделения, каков характер их деятельности и т.п. Неплохо работают ста-тистические технологии детектирования,

позволяющие вычислять отклонения о «средненормального» поведения. На данном этапе тегами маркируются подозрительные системы, а при вычис-лении рейтинга их «подозрительности» учитываются теги, проставленные на этапе TI Farm.Наконец, аналитик просматривает промаркированный «улов», отправ-ляет подозрительные образцы или образы дисков криминалистам, а в случае ошибок – корректирует цепочки, настраивает фильтры и пр., чтобы затем не повторялось ошибоч-ное маркирование. Обратная связь с криминалистами и аналитиками ВПО становится источником данных для совершенствования процесса.Итак, Hunting является функциональ-ной добавкой к классическому SOC и представляет собой замкнутый цикл, способствующий совершенствованию процесса за счет анализа результатов анализа ВПО, компьютерной кримина-листики и организации реагирования на инциденты. Этот сценарий нельзя полностью автоматизировать, но он обеспечивает хорошие результаты при обо-гащении собираемых данных всевозможной TI, что может выполняться автоматически.

MAТушки

Образы HDD, RAM

DF, IR

Объекты(MD5,FQDN)

Уровень 1:TI Farm

Уровень 2:Cases

Уровень 3:Аналитик

Метки характеристик

Действия в системе

и IPC (может

использовать метки на объектах)

Промаркированные объекты и системы, сырые нотификации



Для борьбы с современными киберугрозами уже недостаточно классических средств защиты и выстроенных процессов. Их необходимо дополнять новейшими инструментами контроля над безопасностью, постоянного оперативного обмена информацией об угрозах и индикаторах компрометации, об актуальных методиках и технологиях проведения атак.

ПРОТИВОДЕЙСТВИЕ КИБЕРУГРОЗАМ: СИЛА КОМАНДНОЙ ИГРЫ

Что такое современные киберугрозы? Ответ на этот вопрос, с одной стороны, очень прост, а с другой − весьма сло-жен, ведь для двух даже очень похожих организаций нельзя составить единый исчерпывающий перечень угроз. Кроме того, нужно принимать во внимание чрезвычайную изменчивость совре-менного мира и ландшафта киберпро-странства. Однако можно выделить ряд наиболее распространенных и вос-требованных хакерами векторов атак, сопоставить эти данные с особенно-стями конкретной информационной инфраструктуры, ее недостатками и уяз-вимостями, а затем сформировать соб-ственную практическую модель угроз.

Под неусыпным контролем

Работа центров мониторинга ИБ должна основываться на практической модели

угроз и необходимости обеспечения непрерывного функционирования про-цессов и информационных систем, наи-более важных для бизнеса. В общем виде задачи SOC можно разделить на четыре ключевые группы:• превентивная подготовка к выявле-

нию и блокированию атак и инци-дентов;

• обнаружение атак и инцидентов, реагирование на них;

• устранение последствий атак и инци-дентов, минимизация рисков их повторения;

• анализ и взаимодействие. Особое внимание следует уделить функ-циям, которые должны автоматизироваться современными SOC-технологиями и без которых невозможно противостоять совре-менным киберугрозам. Среди них – анализ журналов событий, контроль над сетевым трафиком и конечными устройствами.

ИЛЬЯ ЕГОРКИНруководитель специальных проектов компании Positive Technologies



Анализ журналов событий − это настройка правильного режима хра-нения и ротации журналов событий средств защиты информации, операци-онных систем и прикладного программ-ного обеспечения, централизованный сбор событий, их хранение и всесто-ронний анализ. Все это позволяет пони-мать текущую ситуацию в собственной инфраструктуре и выяснять, что, где и когда в ней происходит. Если жур-налы событий хранятся продолжитель-ное время и технологии обеспечивают ретроспективный анализ накоплен-ных данных, то появляется и возмож-ность узнать, не происходило ли что-то подобное ранее.Определять распространение атаки и ее особенности только по журналам и опо-вещениям средств защиты информации – дело достаточно трудоемкое, поскольку зачастую этой информации бывает недостаточно. На помощь приходят технологии анализа сетевого трафика − настоящая “золотая жила” для специ-алистов по расследованию инцидентов. Анализ трафика позволяет определить всю цепочку событий, которая привела к реализации угрозы, отследить распро-странение атаки и понять, какие узлы и сегменты сети участвовали в инци-денте. Кроме того, такой анализ дает

возможность восстановить хронологию событий, получить образцы используе-мого злоумышленниками вредоносного кода, полезной нагрузки и прочие арте-факты.Наконец, контроль над конечными устройствами (использование различ-ных технологий для мониторинга атак на уровне узла) обеспечивает допол-нительный и очень важный источник информации. Он позволяет в деталях определять действия злоумышленника на конкретных узлах и выявлять векторы распространения атак.Для перечисленных функций кри-тически важным является наличие актуальной информации об угрозах, индикаторов компрометации, в том числе сигнатур, репутационных баз, данных об атаках, техниках и такти-ках их проведения, многих других дан-ных, которые могут быть использованы средствами автоматизации. Без всего этого инструменты работают неэффек-тивно. Изменить ситуацию позволяют покупка индикаторов компрометации, получение информации из неструк-турированных и зачастую слабо при-менимых к конкретной организации аналитических отчетов, взаимодействие между участниками профессионального сообщества, деятельность CERT/CSIRT.

Целевые кибеРатаки проводятся уже давно, но в текущем году о них заговорили особенно активно. Между тем, по оценкам экспертов, большинство кибератак не были технически изощренными: использование ранее не известных уязвимостей (0-days) отмечено менее чем в 20% случаев. Чаще всего злоумышленники предпочитают организовывать атаку с минимальными затратами, задействуя уже известные уязвимости. При этом целевые атаки становятся более многоступенчатыми. Например, для атаки на компанию сначала взламывают сеть ее партнеров, а результаты массовой атаки используют для развития целевой. Для противодействия таким угрозам необходимы современные инструменты, позволяющие максимально автоматизировать рутинные операции, наладить обмен информацией, уменьшить частоту ложных срабатываний и объем недостоверной информации, снизить нагрузку на специалистов и дать им возможность сконцентрироваться на борьбе с целенаправленными атаками.



Необходимо проанализировать собран-ную информацию и выделить из нее данные, действительно значимые для конкретной организации. Сейчас в Рос-сии эти функции начинают выполнять главный центр ГосСОПКА и FinCERT.

Кибербезопасность на основе доверия

Отдельного внимания заслуживает проблематика обмена информацией. В свое время на международных конфе-ренциях часто обсуждались вопросы, связанные с технологиями обмена индикаторами компрометации и дове-рием к ним. В большинстве случаев польза от обмена данными подтверж-далась представителями национальных CERT. Обмен опытом крайне важен, и его результаты могут быть вполне осязаемыми ─ это контрольные суммы вредоносных файлов и пути их раз-мещения в системе, различные сиг-натуры, правила корреляции, черные и серые списки вредоносных узлов, центров управления бот-сетями, при-меры фишинговых писем и многое другое.Сейчас регуляторы переходят от старой модели предоставления периодиче-ских отчетов к двустороннему обмену информацией об угрозах, атаках, инцидентах, индикаторах компромета-ции и к формированию адресных реко-мендаций. Это обусловлено тем, что для борьбы с современными угрозами исключительно актуальным является повышение уровня осведомленности, использование результатов коллектив-ного труда, применение полученных знаний и технических данных для настройки ИТ- и ИБ-инфраструктуры, способной противодействовать квали-

фицированным злоумышленникам. Ярким примером является переход ИТ-индустрии от индивидуальной раз-работки к комплексированию разных инструментов и генерации контента всеми участниками системы.Конечно, кое-кто еще пытается в оди-ночку решать проблемы ИБ, сталкива-ясь с нехваткой бюджета, технологий, экспертизы и опыта. Но изменения последних пяти лет подталкивают нас к кооперации, применению лучших мировых и российских практик для обеспечения безопасного функциони-рования сложных информационных систем. Для того чтобы упорядо-чить свои усилия, можно прибегать к поэтапному подходу, используя уже имеющиеся инструменты защиты и дополняя их необходимыми SOC-технологиями в рамках трех уровней зрелости. На первом из них усилия концентрируются на контроле над внешним периметром организации, на втором решается задача контроля над всей информационной инфра-структурой, а уж затем осуществляется переход к выявлению сложных целена-правленных атак.Cегодня сложилась уникальная для отрасли ситуация: инициативы регуля-тора совпадают как с лучшими миро-выми практиками, так и с интересами специалистов по ИБ, нацеленных на практические результаты. Готовящи-еся рекомендации регулятора содержат перечень тех функций, реализация которых позволит эффективно решить задачи коммерческих SOC и центров ГосСОПКА, организовать взаимовы-годное сотрудничество и информаци-онный обмен между государственными структурами и профессиональным сообществом.



Централизованный подход к построению бизнес-системы подразумевает долгосрочное планирование, проектирование и реализацию всех ее слоев. Традиционно разработчики строят саму бизнес-систему, и лишь затем специалисты по информационной безопасности «навешивают» на нее средства защиты.

Однако сегодня заказчики хотят получать решения с уже встроенным ИБ-функционалом, а завтра у них неизбежно возникнут новые запросы. Как ИБ-вендоры должны готовиться к будущему, какие стратегии выбирать?

ЭКВИЛИБРИСТИКА С ОДНОВРЕМЕННЫМ ЖОНГЛИРОВАНИЕМ

Путь в никуда

Одна из самых интересных кибербата-лий уходящего делового сезона была посвящена перспективам и тенденциям деятельности ИБ-вендеров. И первый же вопрос оказался, на мой взгляд, провокационным: с учетом того, что ИБ-вендоры все чаще стремятся реализовать проекты самостоятельно, в чем могут состоять плюсы и минусы таких внедрений? Уверен, что самостоятельное внедре-ние производителями своих продуктов не является устоявшейся тенденцией. Порой вовлечение собственных ресур-

сов в проекты может быть вынужден-ной краткосрочной стратегией, спо-собствующей выводу на рынок нового решения, но рассматривать ее всерьез как долгосрочную – это путь в никуда. И те вендоры, которые считают воз-можным полностью взять на себя вне-дрение, продавать продукты напрямую, без партнеров и, таким образом, зара-батывать больше, проявляют недально-видность при ведении бизнеса. Кроме того, при расширении своего присутствия на рынке растут затраты производителя на сервис и поддержку: приходится создавать команду под-держки инсталлированных решений,

ЭЛЬМАН БЕЙБУТОВруководитель направления аутсорсинга ИБ компании Solar Security



а при массовом внедрении – обеспе-чивать практически линейное увели-чение штата техподдержки. Это для вендора – опять же не профильный бизнес. Значит, ему должны помогать партнерский канал и интеграторы, реа-лизовавшие проект. Очень хорошая практика – стимулировать партнеров на работу по одной-двум линиям тех-нической поддержки (так, например, делает IBM). Это обеспечивается гра-мотными партнерскими программами, обучением сотрудников партнерских компаний и их возможностью на этапе эксплуатации продукта хорошо зараба-тывать на дополнительных услугах.Производитель должен формиро-вать представление о перспективных продуктах в выбранной нише, для чего нужно не только анализировать текущие задачи клиентов, но и пред-угадывать будущие. Стать завтрашним лидером в конкретной нише удастся лишь в том случае, если вендор при-ступит к разработке решения уже сегодня. Если же ключевые разработ-чики занимаются проектами «в полях», а архитекторы погружены в интегра-ционные проблемы отдельных клиен-тов, невозможно создавать продукты в соответствии с будущими запросами. Неизбежно начинается разработка десятков версий продукта под разные инсталляции, теряется фокусировка при создании нового функционала, а сам продукт остается основанным на устаревших технологиях и со време-нем заметно отстает от конкурентов.

Зажигая звезды

Со стороны порой кажется, что чем больше различных продуктов у про-изводителя, тем ему выгоднее вести бизнес и тем больше он должен зара-батывать. Мол, это – диверсифи-кация бизнеса, раскладывание яиц по разным корзинкам и т.п. Однако «изнутри» все воспринимается иначе: продуктовая политика должна быть тщательно продуманной.

Одна из основных задач вендора – раз-рабатывать завтрашние и послезав-трашние решения. С помощью анали-тики и экспертизы нужно предугадывать будущие потребности клиентов и созда-вать соответствующие продукты, пони-мая, что они могут долго оставаться невостребованным. Вендору приходится постоянно прогнозировать, инвести-ровать, искать и разрабатывать свежие решения, обеспечивать востребован-ные функции, добиваться синергии с уже имеющимися продуктами для соз-дания экосистемы, становиться лучшим в определенной продуктовой нише или терпеть фиаско и уходить в новые ниши. Все это порождает как плюсы, так и минусы деятельности производителя.Минусы таковы:• размываются экспертиза и фокуси-

ровка. Под новые продукты отдель-ная команда набирается далеко не всегда, а фокусировка «старой» команды на уникальном функцио-нале и технических преимуществах неизбежно теряется;

• размывается бренд. Например, вендор выпускает лучшие в своем классе продукты для защиты хостов, и его бренд однозначно заслуживает доверия. Но тут у него появляется ветка решений по сетевой безопасности – непло-хих, но уступающих многим кон-курентам. Каким станет отноше-ние рынка к бренду в целом? Скорее всего, начнутся разговоры о том, что производитель потерял лицо, вышел в тираж и т.п.;

• тратятся огромные деньги на соз-дание продуктов, которые могут оказаться не востребованными на рынке и не окупить расходы на их разработку. Если вендор, сде-лав значительные инвестиции, еди-ножды «не попадет в ожидания», то он значительно откатится назад, возможно, сразу по многим направ-лениям. Ну, а если такой промах случится несколько раз, под угро-зой может оказаться весь бизнес.



Так, Nokia не предугадала револю-цию смартфонов, и ее довольно быстро «смыло» с рынка.

Плюс от необходимости сидеть на нескольких стульях – всего один, но некоторые считают, что он пере-крывает все минусы: кто не рискует, тот не пьет шампанского. Согласно бостон-ской модели стратегического анализа в маркетинге, все продукты можно раз-бить на четыре типа: «мертвый груз», «дойные коровы», «темные лошадки» и «звезды». Вендор должен избавляться от первых, неустанно «доить» вторых, искать «темных лошадок» и развивать их до уровня «звезд». Тот, кто в этом преуспеет, окажется на коне, его успех будет нарастать, и он вполне может пре-вратиться в гиганта отрасли.

Круговорот денежной массы

Расширение продуктовой линейки всегда означает инвестиции, а инвести-ции – это риск. Такие гиганты мирового ИБ-рынка, как Cisco, Symantec, Trend-Micro, Fortinet, CheckPoint и Palo Alto, регулярно сообщают как о запуске, так и о сворачивании линеек продуктов. Сейчас за рубежом новые технологии и продукты часто разрабатываются стартапами при поддержке круп-ных венчурных фондов, которые в состоянии пережить провал большей части своих «детей» за счет выигрыша от немногочисленных случаев удачного инвестирования. Успешные стартапы становятся объектами внимания круп-ных производителей, которые погло-щают их, выплачивая фондам значи-тельные суммы (и тем компенсируя их потери), а затем превращают «тем-ных лошадок» в «звезд» за счет вывода на массовый рынок через свои каналы продаж.С точки зрения производителей-гиган-тов запуск новых веток продуктов не представляет угрозы для их «дой-ных коров» и «звезд». Эти компа-нии достаточно стабильны, чтобы позволить себе, сделав приобретение

за сотню миллионов долларов, года через три признать покупку ошибкой и распустить соответствующую команду. Кстати, эта команда может организо-вать собственный стартап и породить другие продукты. Получается кругово-рот денежной массы, подпитывающий рынок новых решений и обеспечива-ющий регулярный запуск очередных линеек продуктов.Российский рынок ИБ − не настолько зрелый и масштабный, а потому инве-стиции на нем возможны в гораздо меньших объемах и требуют осторож-ности. Если производитель не может купить готовые стартапы, ему при-дется разрабатывать все новые решения самостоятельно и ходить по лезвию ножа без права на ошибку, цена кото-рой слишком велика – до половины, а то и вся прибыль компании за год. В следствие таких ошибок без долж-ного финансирования могут остаться «дойные коровы» и «звезды», которые легко начнут чахнуть, а это – смерть и для вендора. Данную проблему сей-час пытаются решать с помощью соз-даваемых отечественных фондов.При этом я убежден, что объем ИБ-рынка не зависит от качества пред-лагаемых продуктов: можно создать прекрасное, но никому не нужное решение. В свою очередь, качество продуктов напрямую зависит от объема рынка ИБ: крупный рынок порождает здоровую конкуренцию. А качествен-ный продукт позволяет занять суще-ственный объем рынка. Наконец, вендор должен искать свобод-ные ниши и формировать у пользова-телей новые потребности. Но так слу-чается крайне редко.



Цели любой разведки – как можно раньше обнаружить признаки угрозы конкретному объекту (государству, компании, человеку) и предоста-вить соответствующу информацию для принятия оперативных и страте-гических решений по обеспечению безопасности. Это же справедливо в отношении разведки киберугроз для промышленных систем.

Внутренняя и внешняя разведка

Киберугрозы могут возникать на разном удалении во времени и пространстве от целевых систем. И чем раньше удастся обнаружить такую угрозу, тем будет больше шансов предотвратить связанные с нею потери и лишние затраты. Один из рубежей разведки должен нахо-диться непосредственно внутри объек-тов. Внутренняя разведка заключается в непрерывном всестороннем монито-

ринге активности в промышленных сетях и системах с целью обнаружения актуальных угроз. Учитывая специфику промышленных сетей, следует использовать механизмы мониторинга, не создающие проблем для производительности и устойчиво-сти контролируемых систем. Это могут быть специализированные решения по мониторингу аномалий в промыш-ленных протоколах, сетевой активности и атак, системы обнаружения уязвимостей, управления событиями безопасности и др. Исследования, опросы и резуль-таты аудитов показывают, что сейчас промышленные сети редко находятся под контролем такого мониторинга. Внутренняя разведка угроз, безусловно, очень важна, но это – не единствен-ное направление работы. Необходимо как можно раньше получать инфор-мацию извне о возникновении и рас-пространении угроз, направленных на конкретный объект или отрасль. Вну-тренним службам безопасности обычно не

Тематика разведки киберугроз для информационных систем активно обсуждается специалистами по ИБ. Что собой представляет такая разведка, и какую помощь она может оказать промышленным предприятиям?

АНТОН ШИПУЛИНменеджер по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского»

РАЗВЕДКА КИБЕРУГРОЗ ДЛЯ ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ



под силу самостоятельно искать и анали-зировать такую информацию, поскольку для обработки огромного объема новых данных требуется высокий уровень авто-матизации. Однако получать данные извне вполне возможно.

Сервисы разведки угроз

Источниками информации для корпора-тивных служб безопасности могут стать специализированные сервисы разведки угроз Threat Intelligence, уделяющие боль-шое внимание промышленным объектам. Процесс разведки состоит из трех этапов:• сбор данных об угрозах с внешних

источников;• обработка и анализ данных;• подготовка релевантных результатов.Внешними источниками данных об угрозах для промышленных систем могут быть:• IRC-каналы;• Threat-фиды других сервисов;• репозитории кода (GitHub, Exploit-db

и др.);• хакерские форумы (например, deep,

dark web);• репутационные базы/сервисы (напри-

мер, Kaspersky Security Network);• публичные сервисы (социальные

сети, новостные ресурсы и др.);• специальные поисковые системы

(Shodan, Сensys, Vulners и др.);• базы уязвимостей (например, ICS-

CERT, CVE);• сенсоры, honeypots (Conpot, GasPot,

GridPot и др.).Консолидированная информация с внешних источников должна комплек-сно характеризовать угрозу, ее источник и объект атаки (в том числе намерения, возможности). После обработки с учетом характеристик, указанных клиентами сер-виса, полученная информация непрерывно предоставляется в нескольких формах с разным уровнем детализации, например:• глобальные/индустриальные тренды;• новые уязвимости в АСУ ТП;• новые уязвимости в смежных системах;• новые инструменты атак;

• «вид» организации снаружи;• рекомендации по повышению

уровня защищенности;• рекомендации по новым инструмен-

там защиты;• информация об обновлениях про-

мышленных систем;• индикаторы компрометации (IOC).Эта информация не только позволяет оперативно реагировать на угрозы (путем настройки средств защиты), но и может использоваться для стратегиче-ского планирования, моделирования угроз, оценки финансирования мер по ИБ.

Обмен информацией

Другим важным источником внешней информации могут стать инициативы по обмену промышленными компа-ниями сведениями об угрозах, инци-дентах, эффективных мерах защиты. В России такие инициативы пока не очень распространены, причинами чего являются отсутствие у предприя-тий доверия, мотивации и боязнь нака-заний. Специалисты начнут делиться сведениями, только если обмен инфор-мацией:• не будет создавать проблем для

их систем (технические детали должны обезличиваться);

• не будет порождать угрозу наказания специалистов, а желательно – и станет поощряться регуляторами;

• начнет обеспечивать оперативную помощь, например в процессе атаки;

• будет приносить информации больше, чем отдается;

• станет осуществляться в удобной и понятной электронной форме;

• будет реально помогать другим пред-приятиям, отрасли, государству.

При правильном использовании инструментов разведки угроз, таких как системы мониторинга активности про-мышленных систем, сервисы разведки угроз и обмен информацией об угрозах, можно всегда быть в курсе потенциаль-ных киберугроз и своевременно на них реагировать.



НАЛОГ НА БЕСПЕЧНОСТЬ

Письмо от регулятора

Человеческий фактор – многозначный термин, описывающий возможность принятия человеком в конкретных ситуациях ошибочных или алогич-ных решений. Именно принятие таких решений и интересует киберпреступ-ников. Как добиться того, чтобы сотруд-ник компании открыл письмо и запустил вредоносное вложение? Раньше потенциальную жертву пыта-лись заинтересовать обещанием финансовой прибыли («нигерийские письма») или заинтриговать сооб-щением «прекрасной незнакомки, мечтающей познакомиться с мужествен-ным принцем». Со временем эти уловки практически перестали действовать, и злоумышленники поменяли тактику. Для того чтобы обеспечить гарантиро-ванный запуск сотрудником компании зловредного кода, имитируются письма от его родственников, знакомых, коллег и руководителей компаний. А основным хитом остаются сообще-ния, поступающие, якобы, от рыночных регуляторов – налоговых, финансо-

вых, пенсионных и т.д. Такие письма имеют обратные адреса, очень похожие на настоящие адреса «отправителей», и их зачастую невозможно отличить от рассылок соответствующих органов, которые почти никогда не подписы-вают свои отправления электронными подписями. Порой преступные группы исполь-зуют зараженные машины в сетях предприятий, которым доверяет мно-жество пользователей (операторов связи, управляющих компаний, прави-тельственных агентств и т.п.). Напри-мер, письмо с вредоносным кодом поступает в ходе почтовой перепи-ски, в которую вовлечены представи-тели нескольких компаний. Доверия к такому письму – гораздо больше, и вероятность того, что пользова-тель запустит вредоносный код, очень высока. Как злоумышленники заставляют пользователей что-то делать в своих интересах, вполне понятно. Они играют на низменных чертах человече-ской натуры (лень, похоть, жадность) либо на банальном незнании базо-

РУСЛАН ИВАНОВинженер-консультант компании Cisco

Известно, что злоумышленники часто используют в процессе атак вкупе с вредоносным ПО методы социальной инженерии.Порой они даже специально разрабатывают новые подходы и нанимают профессионалов в области психологии и анализа человеческого фактора.



вых правил компьютерной гигиены. Очень интересный трюк я подсмо-трел у одного из коллег-безопасников: у него нет в телефоне контактов, назы-вающихся «Мама», «Папа», «Жена» и т.д., потому что это первые контакты, по которым пойдут ссылки в случае заражения телефона вредоносным кодом! И при получении правильно составленного сообщения адресат почти со 100-процентной гарантией выполнит то, что хотят злоумышленники.

Машина судного дня

Программы-вымогатели (или шиф-ровальщики) являются весьма эффективными инструментами кибер-преступников, ведь при очень низких первоначальных затратах удается почти сразу получать легкие деньги. При этом злоумышленник может не обладать специальными знаниями, а шансы его поймать невысоки – оплата обычно производится криптовалютой на обе-зличенный кошелек, находящийся в третьей стране, да и жертва в боль-шинстве случаев не обращается в пра-воохранительные органы.Киберпреступники не гнушаются тра-диционными подходами бизнеса, выхо-дящего в новые ниши: они изучают рынок и выбирают целевую аудиторию. Затем жертве объявляют цену откупа от фокусной атаки, на порядки мень-шую, чем стоимость последствий потери информации или отказа информационной системы. Для жертвы выплата этого «налога на беспечность» психологически «ком-фортнее» атаки. К тому же у пострадав-шей стороны, фактически, нет выбора: если злоумышленники зашифровали ее информацию (данные БД, файлы на сетевом диске и т.п.) и ультимативно потребовали перечислить им деньги к определенному моменту (зачастую устанавливается время менее трех часов, достаточное для отправки денег, но недостаточное для анализа кода вре-доносного ПО), то при невыполнении

этого требования данные будут унич-тожены. Программа-шифровальщик действует на манер «машины судного дня» – при прохождении точки невоз-врата (отсутствии команды на расшиф-ровку или ввода ключа дешифрации) она уничтожает данные автоматиче-ски, без команды злоумышленника. Отметим, во многих странах законо-дательство настолько несовершенно, что сам факт уничтожения информа-ции такой программой не считается составом преступления, а расценива-ется как обстоятельство непреодоли-мой силы. Получается, что злоумышленники почти всегда выигрывают, так как контролируют место и время битвы, а традиционные методы защиты, меж-сетевые экраны и антивирусы оказыва-ются бессильными. Средства ИБ, естественно, тоже раз-виваются, но, к сожалению, менее динамично, чем инструментарий киберпреступников. Действительно, вредоносный код может иметь тысячи модификаций, относясь к одному и тому же семейству, а с точки зре-ния ОС и систем безопасности – даже не являться вредоносным в момент его запуска (не делать ничего предосуди-тельного, маскироваться под работу системных утилит или предостав-лять некий полезный функционал). Он может иметь «спящие» исполни-тельные блоки, которым передается управление при наступлении каких-либо событий – например, при редак-тировании пользователем пятого документа за неделю в MS Word, откры-тии двух Excel-таблиц в день и т.п. И обнаруживать этот вредоносный код очень сложно даже с помощью совре-менных специализированных средств, таких как системы статического и дина-мического анализа кода («песочницы»).Можно ли бороться с подобным вре-доносным ПО и стоящими за ним пре-ступными группами? Да, можно, а вот как – это тема отдельного разговора.


Ком

пете

нции

ИБ

БЕЗОПАСНОСТЬ И УПРАВЛЕНИЕ ТАЛАНТАМИ ИТ-КОМПАНИИ

То, как сотрудники воспринимают свою компанию, каковы их уровни мотивации и вовлеченности в бизнес-процессы предприятия, непосредственно влияет на его прибыль и стабильность. Так какие методы и инструменты позволяют осуществлять оптимальный подбор кадров? Как управлять деятельностью сотрудников на основе систематического всестороннего изучения их возможностей, талантов и склонности к определенным видам деятельности?

АНДРЕЙ БИЛЫЙдоцент кафедры военной психофизиологии ВМА им. С.М. Кирова

ИГОРЬ МЯЛКОВСКИЙчлен правления SPb CIO Club, председатель конференции Secure IT World по ИБ СЗФО

Новый инструмент мотивации

Руководители обычно оценивают дея-тельность организаций, опираясь на «жесткие» финансовые показатели – прибыль, возврат инвестиций, обо-рот, движение денежных потоков.


Ком

петенции ИБ

Проактивные лидеры нередко поль-зуются «мягкими» оперативными показателями, отражающими извест-ность бренда, лояльность потребителей и мотивацию сотрудников. В 1998 г. компания Gallup провела интервью более чем с 1 млн работ-ников. Двенадцать групп оценки позволяли определить связь между текучестью кадров, лояльностью потребителей, производительностью бизнес-единиц и прибыльностью компании. Под бизнес-единицей под-разумевалась элементарная структура активных ресурсов (людей и средств автоматизации), которую позднее в международных стандартах сервиса (Service Desk) стали называть «конфи-гурационной единицей» (Configuration Item – CI). Результаты исследования показали: то, как сотрудники воспри-нимают свою организацию и себя в ней, непосредственно влияет на ее прибыль и стабильность на рынке. Другие исследования подтверж-дают эти выводы. Например, с 2011 г. активно развивается запатентованная в России Экспертная система комплекс-ного анализа личности – ЭСКАЛ. Внедрение ЭСКАЛ в ряде компаний обеспечило уменьшение числа дней трудопотерь почти в три раза (наблю-дения проводились 6 лет – до и после внедрения системы). Очевидно, что сотрудники осознали возможности самореализации и свою ценность для компаний, а внедрение системы менед-жмента качества обеспечило рост вовлеченности и мотивации персонала.

Цикл Деминга

Рассмотрим для примера типич-ные бизнес-процессы ИТ-компании, занимающейся сборкой серве-ров из комплектующих. В Visio, BPWin, Aris принято изображать бизнес-процессы в виде простых нотаций – последовательностей пря-моугольников, рядом с которыми указываются время исполнения элемен-

тарных действий и должностные роли их исполнителей. В более сложных нотациях приводятся вероятностно-временные характеристики каждого действия/группы действий. Нам нужно оценить в таких процессах мотивацию людей, их вовлеченность в интересы производства. Воспользу-емся для этого моделью Деминга (Plan, Do, Check, Act – PDCA), учитывающей, в отличие от большинства моделей бизнес-процессов, человеческий фак-тор (см. рисунок): • Plan – планирование текущей дея-

тельности от идеи до практической реализации (в том числе плани-рование рекламы, производства, тестирования, продаж);

• Do (действие) – заключение дого-воров, внедрение, взаимодействие между участниками производства, работа над новыми продуктами с использованием нестандартных подходов;

• Check (контроль) – учет результатов Do с фиксацией отклонений, анализ результатов маркетинговых иссле-дований, продаж, потребностей клиентов, деятельности бухгалте-рии, службы безопасности (в том числе ИБ), ИТ-инфраструктуры, работа над продуктами по типовым схемам (например, использование промышленного конвейера сборки и тестирования серверов);

• Act (непрерывное улучшение) – решение конфликтных вопро-сов с клиентами, обратная связь, поиск «слабых мест» и направле-ний развития. Работники группы Act – серьезные эксперты, рацио-нализаторы, инноваторы. Деминг сознательно заложил в свою модель конфликт интересов между сотрудниками, с утра до вечера занятыми текущей работой (DO), и сравнительно свободными в рабочее время, но получающими более высокую зарплату (Act);

• далее цикл повторяется – возвра-щение к Do.


Ком

пете

нции

ИБ

В соответствии с циклом Деминга «оче-ловеченный» бизнес-процесс создания нового сервера может выглядеть так: • Plan – идея;• Do – поиск путей реализации и реа-

лизация;• Check – формирование (запуск)

«конвейера» и его работа;• Act – непрерывное улучшение про-

изводства, поиск путей повышения эффективности затрат.

После появления нового продукта (линейки серверов) на рынке цикл пере-ходит на следующий уровень:• Plan – реклама продукта, поиск клиентов;• Do – переговоры, заключение договоров;• Check – обеспечение договорных

условий;Каждый из этапов цикла предъявляет

свои требования к персоналу, обуслав-ливает подбор определенных свойств/талантов его участников. Это позволяет выдвигать требования к сотрудникам с учетом вида их деятельности в произ-водственном цикле компании. Данный подход может быть трансформирован и на другие модели бизнеса – скажем, на сферу услуг, консалтинг.

Практическое применение цикла Деминга

В общем виде требования к персоналу на этапах цикла Деминга таковы:• Act – работа с конфликтными ситу-

ациями.• Plan – способность быстро пере-

ключать внимание, хорошие

PlanИдея,

вдохновение

CheckАнализ,

формирование «конвейера»

Do,Поиск путей реализации

и реализация

Закл

ючени

е

догово

ра

Реклама,

переговоры

Рабо

та

с ко

нфли

ктны

ми

ситу

ация

ми

Обеспечение

договорных условий

ActУлучшение производства

Вывод продукта на рынок

Схема создания и вывода продукта на рынок по Демингу


Ком


коммуникативные навыки;• Do – способность идти до конца,

понимание того, что необходимость решения задачи превалирует над всем остальным;

• Check – точность, пунктуальность;• Act – способность к монотонной

работе, стремление избегать кон-фликтов.

Команда, подобранная в соответ-ствии с этой моделью для конкретного производства, будет работать наи-более эффективно. Остается понять, с помощью какого метода/инструмента осуществлять подбор сотрудников, не напрягая людей массой психологи-ческих тестов или даже «полиграфами», как управлять вертикальной и горизон-тальной ротацией кадров на основе систематического всестороннего изу-чения их возможностей, талантов, предпочтений, склонности к опреде-ленным видам деятельности. Для эффективного производства (в нашем случае – сборки серверов) необходимы следующие условия:• входной (инструментальный,

но психологически не напрягающий людей) мониторинг особенностей

потенциальных сотрудников при трудоустройстве:

• документальное описание основ-ных бизнес-процессов компании с применением различных эксперт-ных систем по модели Деминга. Необходимо задействовать про-цессы индивидуальной мотивации с использованием ключевых пока-зателей эффективности (Key Performance Indicator – KPI), чтобы способности человека максимально соответствовали ролевым требова-ниям конфигурационной единицы (CI). Если конфигурационная единица соответствует ролевым функциям согласно рекоменда-циям библиотеки ITIL, методикам ITSM и ИСО20000, то способности людей постепенно станут в наи-большей степени соответствовать их должностям или пересечению должностей (функциональных ролей). Производственная группа станет сплоченной, слаженной, менее зависимой от неожиданно-стей подбора персонала;

• систематический контроль лояль-ности персонала;

Табл.1

МЕРОПРИЯТИЯ

МЕРЫ ПРОТИВОДЕЙСТВИЯ ИНСАЙДИНГУ

ЧТО ОЦЕНИВАЕТСЯ ИНСТРУМЕНТ

Стратегические Вовлеченность персонала Система менеджмента качества + ЭСКАЛ

Оценка уровня лояльности персонала

ЭСКАЛ, оценка скрытой мотивации, лояльности

Расследования конкретных случаев

ЭСКАЛ + профайлинг + полиграф

Оперативные

Индивидуальные


Ком

пете

нции

ИБ

• формирование кадрового резерва (потенциала) – возможности верти-кальной и горизонтальной ротации персонала.

При этом с помощью ЭСКАЛ можно оперативно и без психологического напряжения для сотрудников опре-делять соответствие их характеров и склонностей функциональным требованиям. Сотрудникам можно и нужно находить такие рабочие места, на которых их способности будут максимально соответствовать этапам цикла Деминга конкретных бизнес-процессов. Соответствие можно

определять по каждому из пунктов Деминга, облегчая службе управления персоналом формирование кадрового резерва.

Противодействие инсайдингу

Меры противодействия инсайдингу можно разбить на группы (стратегиче-ские, оперативные и индивидуальные), поставив в соответствие каждой свой инструмент (табл. 1).Обследование сотрудников на Поли-графе с целью противодействия инсайдингу обычно проводит опыт-

Табл.2

ЗАДАЧИ, ФУНКЦИИ, ТРЕБОВАНИЯ ПОЛИГРАФ ЭСКАЛ

Оценка профессиональных качеств

Прогнозирование аддиктивного поведения

Определение фактов связи с аддиктивным поведением в прошлом

Определение и/или прогноз уровня внутреннего напряжения в деятельности

Оценка рисков безопасности респондента

Применение в расследованиях при правонарушениях

Требуются специальные технические средства

Обследование проводит опытный специалист

Время обследования

Время обработки данных

Требуется специальная программа обследования

Негативная эмоциональная нагрузка на персонал

3–4 ч.

2–4 ч.

10-50 мин.

СРАВНЕНИЕ ПОЛИГРАФА И ЭСКАЛ


Ком


ный полиграфолог по специальной программе, причем для обследования одного-двух человек требуется около 8 ч. Испытуемый воспринимает такое обследование как свидетельство недо-верия к нему, что может приводить к снижению лояльности персонала к руководству и другим негативным последствиям. Система ЭСКАЛ позволяет оценивать риски инсайда без психологического напря-жения. Обследование проводится не более часа, присутствие психолога не требуется. При сравнении особенностей Полиграфа и ЭСКАЛ (табл. 2) становится очевидно, что одни задачи эффективнее выполняются с помощью Полиграфа, а другие – с помощью ЭСКАЛ.

Создавая комфортн у ю среду, в которой способности сотрудников максимально соответствуют требо-ваниям бизнес-процессов, можно сочетать профилактику инсайда с увеличением уровня вовлеченности персонала. Развитие мер борьбы с угрозами без-опасности – диалектический процесс. И цивилизованное общество заинте-ресовано в том, чтобы в этой борьбе преобладали меры оперативного противодействия, эффективность торжествовала над безуспешностью, доступность и практичность – над возрастающей сложностью и возмож-ностью нанести ущерб, гуманное отношение к людям – над наказанием.

Остается понять, с помощью какого метода/инструмента осуществлять подбор сотрудников, не напрягая людей массой психологических тестов или даже «полиграфами».


ЖУРНАЛ «!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ»Авторы

Наталья Касперская, президент группы компаний InfoWatchСергей Воронецкий, главный эксперт отдела ИБ управления службы безопасности RU-CENTER GroupДмитрий Устюжанин, эксперт BISAФарит Музипов, председатель правления некоммерческого партнерства специалистов ИБ Сергей Ходаков, руководитель направления Big Data, фонд «Сколково»Илья Борисов, главный эксперт по ИБ Thyssenkrupp Industrial SolutionsВасилий Окулесский, начальник управления безопасности АО «НСПК»: Илья Сачков, генеральный директор компании Group-IBСергей Шерстобитов, генеральный директор ГК AngaraЕкатерина Денисенко, юристМария Воронова, руководитель направления консалтинга, ведущий эксперт по ИБ компании InfoWatch, эксперт BISA Сергей Хайрук, аналитик компании InfoWatchЕвгений Акимов, руководитель отдела развития департамента ИБ компании SoftlineАлександр Бондаренко, генеральный директор компании R-VisionСергей Солдатов, CISA, CISSP, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского»Илья Егоркин, руководитель специальных проектов компании Positive TechnologiesЭльман Бейбутов, руководитель направления аутсорсинга ИБ компании Solar SecurityАнтон Шипулин, менеджер по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского»Руслан Иванов, инженер-консультант компании CiscoИгорь Мялковский, член правления SPb CIO Club, председатель конференции Secure IT World по ИБ СЗФОАндрей Билый, доцент кафедры военной психофизиологии ВМА им. С.М. Кирова

Информация

Номер журнала: №16, IV квартал 2016 г.Тираж: 1000 экз. Распространяется бесплатно Номер свидетельства: ПИ № ФС 77 – 54908 Свидетельство о регистрации СМИ: ПИ № ФС 77 – 54908 Зарегистрировавший орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций

Главный редактор: Олег Седов Литературный редактор: Наталья Соболева Верстка и дизайн: Алена Яковлева

Адрес редакции: 123022, Москва, ул. Верейская, д. 29, стр. 134, БЦ «Верейская Плаза» Дизайн и печать – типография «ЮСМА»: 109316, Москва, Волгоградский пр-т, д. 42, корп. 5 Интернет-версия издания: http://bis-expert.ru/bdi

Контакты по вопросам рекламы и размещения материалов Е-mail: [email protected] Рукописи не возвращаются и не рецензируются. Редакция не несет ответственности за достоверность рекламных материалов. Любое воспроизведение материалов и их фрагментов возможно только с письменного согласия редакции.

Наши выпуски

Журнал о трендах, знаниях и личном опыте в области защиты информационных активов

WAF SAST DAST

INFOWATCHATTACK KILLER

РАЗВЕДКА КИБЕРУГРОЗ · № 16 iv квартал 2016 РАЗВЕДКА...

Documents