«1500 сотрудников в штате, а мне говорят, что кибербезопасность не приоритет»

Дали лиду по информационной безопасности выговориться и показали его монолог эксперту из крупной ИБ-компании.

Материал подготовлен при поддержке «Лаборатории Касперского»

Наш герой — специалист по информбезопасности (ИБ) одной логистической компании. У него есть тысяча причин для того, чтобы кричать. Вот его монолог:

«У нас в штате 1500 сотрудников. За ИБ отвечаю я один, в ИТ-отделе 50 человек. Остальные — непосредственно логисты, менеджеры разных звеньев, экспедиторы, агенты по закупкам, брокеры, фрахтовщики, ревизоры, финотдел. Им говоришь не открывать сомнительные ссылки в почте, но толку никакого. Просишь не качать файлы со случайных сайтов — как об стенку горох 😫😫

Понимаю, что им всё равно. Своей работы полно, а тут ещё какой-то ибэшник до кучи на мозг капает. “Деньги бизнесу приносим мы, а зарплата больше у него” — слышал о себе и такое. Но мне-то тоже надо выполнять свою работу. Я один — за всем не уследишь. Ночного дежурного нанять не дают. Систематизации никакой. А-А-А-А-А-А. Жаловался руководству, но оно говорит: “не приоритет”. При этом, если данные утекут, во всём буду виноват я».

Спросили у эксперта из «Лаборатории Касперского», можно ли ему помочь. Вот что тот думает.

Сегодня большинство средних и крупных компаний используют хоть какие-то базовые средства защиты. Скажем, антивирус, почтовый и сетевой шлюзы. С их помощью они поддерживают общую ИБ-гигиену. Но чем больше сотрудников, операций и личных данных клиентов, тем выше риски взломов и утечек. На мой взгляд, компаниям со штатом даже 500 человек нужны более зрелые комплексные решения. Что уж говорить о 1500.

Антивирус — это хорошо. Но он «живёт» только в том устройстве, на котором установлен. Он не знает, что происходит на соседних компьютерах. В таких условиях крайне нелегко распознать сложную атаку и связать действия на одних устройствах с другими. А злоумышленник тем временем уже прошёл периметр и находится в системе — перепрыгивает с одной «машины» на другую, пытается заполучить права и доступы.

Без дополнительной помощи антивирус не сможет даже определить такой инцидент — и это нужно понимать. С платформенным решением получится не только выявить атаку, но ещё и заблокировать «заражённые» устройства. По сути, перекрыть злоумышленникам путь и остановить распространение вируса.

Почта действительно один из наиболее популярных способов проникнуть в корпоративную сеть. Фишинг совершенствуется: злоумышленники подделывают домены и email-адреса, чтобы прикидываться реальными партнёрами или клиентами.

Хакеры взламывают учётные записи сотрудников и пишут другим от их имени. Подделывают счета и документы. А ещё распространяют QR-коды, которые ведут на вредоносные сайты и фальшивые сервисы для оплаты. Коллеги верят в слова о срочности и важности и в итоге сами отдают все доступы. Проще говоря, злоумышленникам не нужно искать уязвимости в системах, достаточно правильно воздействовать на человека.

С сотрудниками можно говорить бесконечно, но человеческий фактор никто не отменял. Эффективнее разговоров — автоматический анализ входящего трафика на предмет неизвестных угроз. Вместо того чтобы рассчитывать, что сотрудник усомнится в письме и не станет открывать ссылку или скачивать файл, лучше отфильтровать эти письма и файлы ещё до того, как они попадут к нему на почту.

Система обнаруживает объект и отправляет его в «песочницу» на проверку — есть в нём угроза или нет. Если есть — блокирует его. Думать, что виноват всегда сам сотрудник, не стоит.

Да, беспечные люди встречаются. Но и ИБ-специалисты порой переоценивают себя. Однажды к нам обратился заказчик: он использовал два наших решения и запросил третье, «чтобы усилить защиту на всякий случай». А случай уже наступил. После подключения сервис обнаружил и троян, и бэкдор, и ещё ряд уязвимостей на сетевом оборудовании. Защита давно требовала усиления, а он думал, что всё хорошо.

У человека ограниченный ресурс внимания. Ему свойственно уставать, каким бы ответственным он ни был. Но это не оправдание. Именно потому, что уследить за всем невозможно, и придумали автоматизацию. Без неё копятся ошибки в системе, упускаются срабатывания периметровой защиты. Атака идёт — и чем сильнее распространяется, тем сложнее её остановить.

Если есть централизованное решение вроде SIEM-системы (Security information and event management, «управление событиями и информацией о безопасности»), можно собирать данные из разных источников, связывать их, устанавливать инциденты и исправлять. И это точно под силу одному человеку, даже если в штате несколько тысяч человек.

Приведу пример: среди клиентов «Лаборатории Касперского» есть крупный заказчик. Он использует Kaspersky Anti Targeted Attack (KATA) для защиты от угроз по ключевым векторам атак: сети, почте и вебу. Администрирует систему и разбирает инциденты в этой компании всего один человек, хотя в её инфраструктуре 30 тысяч почтовых ящиков. И это не так уж и много. Бывают компании, где по 300 тысяч ящиков, в них с платформой работает не один, а четыре человека. Дело в том, что с этой системой сотруднику не нужно реагировать абсолютно на все инциденты здесь и сейчас. Она подсвечивает, какое событие требует срочной реакции, а у какого низкий приоритет.

В ночь и выходные работать необязательно. На рынке есть системы, которые могут автоматически блокировать подозрительную активность и на почтовом, и на сетевом шлюзах. Если «песочница» пометила объект на подсети как опасный — сервис автоматически заблокирует письмо или объект, который обнаружил. Так атака не перекинется дальше.

В пограничных кейсах — когда реагирование может положить работу систем — сервис будет ждать одобрения от администратора. Но таких случаев не так уж и много. В основном это те атаки, которые можно пресекать в моменте, когда никого нет на смене. А уже по возвращении на смену все инциденты можно проанализировать.

Конечно, если использовать точечные ИБ-решения, то отслеживать атаки трудно. Перед глазами нет цельной картины происходящего. Но платформы для анализа входящего трафика обычно составляют подробные карты инцидентов. Для этого используют матрицу MITRE ATT&CK: она описывает тактики и техники злоумышленников, а также паттерны их поведения, которые подсказывают, чего ждать и как быть.

Сами объекты, ссылки и хеши можно также проверить по базам ИБ-данных — получить по ним так называемую киберразведку. Что за файл, какая группа его использовала, на каком этапе атаки его применяют, что могло пострадать.

Так мы будем знать не только о том, что с одного компьютера на другой ушёл какой-то пакет данных. Мы увидим, какие ещё действия совершали на этих компьютерах, к чему подключались злоумышленники, какие сервисы запускали. Возможность быстро раскрутить цепочку атаки сокращает время реагирования.

Если вы ищете платформу для анализа сетевого трафика, почты и веба — присмотритесь к Kaspersky Anti Targeted Attack. Решение состоит из «сетевой песочницы», модуля анализа сетевого трафика KATA Network Detection & Response (NDR) и усилено защитой конечных устройств Kaspersky Endpoint Detection & Response Expert. С ними ИБ-отдел получает объединённую базу уведомлений и вердиктов по всем узлам и инцидентам от всех трёх решений, которые можно настраивать в единой консоли.

Опрос компаний из госсектора и сфер транспорта, добычи ископаемых и телекома показал, что на обслуживание системы требуется в среднем два человека. Организациям, которые разворачивают её самостоятельно, «Лаборатория Касперского» помогает всё настроить и даёт рекомендации. Если система обнаружит инцидент, с которым заказчик не может разобраться, — компания заберёт артефакт на проверку и подскажет, на что обратить внимание.

Решение включено в реестр российского ПО. А ещё у KATA есть Сертификаты ФСБ, ФСТЭК и МО РФ.

Реклама, АО «Лаборатория Касперского»