Облачный ИБ-периметр (III часть)
(Окончание. Начало в IT News № 8-9/2021)
Законы и стандарты
Мурад МУСТАФАЕВ (руководитель службы ИБ компании «Онланта») сетует, что законодательство в части обработки персональных данных и санкции за его нарушение затрудняют выход ряда поставщиков ПО и оборудования на локальные рынки, но мультиоблачная стратегия помогает расширить географию влияния, не нарушая этих требований. Арендуя мощности у разных локальных провайдеров, можно не только по максимуму удержать сегменты рынка, но и приблизить свои сервисы к пользователю. Что же касается другой стороны медали – доктрины информационной безопасности и политики технологической независимости госкомпаний и объектов критической инфраструктуры РФ, то эти государственные инициативы вынуждают многих вендоров идти по пути импортозамещения – зачастую невыгодному и неудобному, говорит г-н Мустафаев.
Среди новых документов Михаил КРЕЧЕТОВ (эксперт по кибербезопасности облачных инфраструктур STEP LOGIC) отмечает NIST 800-190 “Application Container Security Guide” и свежую (пятую) версию NIST SP 800-53 “Security and Privacy Controls for Information Systems and Organizations”. Сегодня наблюдается повышенный интерес к решениям класса DAG (Data Access Governance): заказчикам важно вычленить данные, требующие защитных мер, строго в соответствии с требованиями регуляторов, в частности для персональных данных. Но с учетом мощного развития отечественных облачных провайдеров вопросы соблюдения 152-ФЗ «О персональных данных» уже не являются исключительно головной болью заказчика. «Например, некоторые провайдеры уже прошли внешний аудит и добровольную аттестацию и предоставляют клиентам возможность обрабатывать в облаке любые категории персональных данных, включая биометрические и специальные – сведения о здоровье, вероисповедании, личных взглядах и др., – поясняет г-н Кречетов. – А с зарубежными сервисами все гораздо сложнее, но международным и национальным стандартам ИБ следуют все поставщики облачных услуг. По крайней мере если речь идет об AWS, Azure, Google Cloud».
Антон ГРЕЦКИЙ (ведущий архитектор по ИБ ActiveCloud) напоминает, что стандартов в сфере обеспечения безопасности облачной инфраструктуры много. Можно вспомнить, например, ISO/IEC 17788 «Информационные технологии – Распределенные прикладные платформы и сервисы – Облачные вычисления – Общие положения и словарь»; ISO/IEC 17789 «Информационные технологии – Облачные вычисления – Эталонная архитектура». И это только малая часть того, откуда можно почерпнуть рекомендации.
В качестве примера Василий СТЕПАНЕНКО (директор центра киберзащиты DataLine) предлагает обратить внимание на требование 152-ФЗ хранить базу персональных данных на территории РФ в облаке, соответствующем 152-ФЗ, 1119-ПП, 21 Приказу ФСТЭК и 378 Приказу ФСБ. Но никто не запрещает обрабатывать ПДн в соответствующем аттестованном облаке, а остальные системы эксплуатировать в других средах. Таким образом, мы получаем тот самый мультиклауд, заключает г-н Степаненко.
Кирилл ГОЛОЖИН (архитектор решений Cloudera) рассказывает о плюсах внедрения подхода SDX (Shared Data Experience), в рамках которого управление безопасностью данных осуществляется из единой панели, даже если платформа используется в гибридном облаке. Если же начинать работу с актуальной средой, стоит задуматься о внедрении озера данных для сбора и аналитики потоковых данных из различных источников в режиме реального времени, полагает он.
Алексей РАЕВСКИЙ (генеральный директор Zecurion) уточняет, что в силу отставания в регулировании облачные технологии находятся в серой зоне: нередко компании не слишком строго следуют букве закона, а разрабатывают соответствующую внутреннюю документацию.
Антон ВЕДЕРНИКОВ (руководитель группы разработки сервисов ИБ компании Selectel) уверен, что в отношении мультиоблачных сред особых проблем нет, хотя международные стандарты, например PCI DSS и ISO, распространены чуть меньше. На стыке 2020-2021 гг. в законодательство внесен ряд изменений, в частности в 152‑ФЗ. В основном они касаются вопросов правового характера и прямо не затрагивают провайдеров: при предоставлении инфраструктуры они являются лицом, осуществляющим обработку персональных данных по поручению. Но главным нововведением стало утверждение ФСТЭК России «Методики оценки угроз безопасности информации», призванной облегчить жизнь и клиентов, и провайдеров IT-инфраструктуры.
Человеческий фактор
Число фишинговых атак продолжает расти, и в списках причин, позволяющих злоумышленникам добиваться поставленных целей, на первом месте, пожалуй, человеческий фактор. Как же с этим бороться?
Василий СТЕПАНЕНКО (DataLine) рекомендует для минимизации ИБ-рисков использовать VDI (виртуальные рабочие столы), особенно если компания не может обеспечить ноутбуками всех сотрудников. А VDI при правильной настройке позволит обрабатывать всю информацию в контуре компании, без передачи на личные устройства.
Александр ЧЕРНЫХОВ (ведущий эксперт ИБ-направления компании «КРОК») убежден: важно не просто купить и установить очередное средство защиты, но и грамотно интегрировать его в бизнес-процесс обеспечения безопасности: во главе угла должны быть правильная эксплуатация и постоянная подстройка под меняющийся IT-ландшафт.
Антон ГРЕЦКИЙ (ActiveCloud) напоминает, что зачастую работник просто не знает, что такое фишинг и как это работает. Необходимо на постоянной основе разъяснять сотрудникам, какую опасность может нести простое открытие Excel-файла от неизвестного отправителя, что такое макросы и для чего нужны сложные пароли.
Антон ВЕДЕРНИКОВ (Selectel) отмечает интересный факт: нельзя с уверенностью описать портрет сотрудника, который чаще всего попадается на учебных фишинговых проверках. Зачастую все зависит лишь от того, насколько он загружен в текущий момент: когда внимание рассеяно, вероятность открыть подозрительное письмо заметно повышается. Что касается общих рекомендаций, то первое требование – организация доступа к корпоративным системам только через VPN с использованием второго фактора аутентификации, добавляет г-н Ведерников.
Иван МЕЛЕХИН (директор по развитию компании «Информзащита») поясняет, что квалификация современного злоумышленника и сложность используемых им инструментариев таковы, что традиционные антивирусы и средства предотвращения вторжений не могут выявить атак. Только квалифицированный аналитик ИБ, обладая достаточной информацией, способен по косвенным признакам используемых техник обнаружить атаку, уверен г-н Мелехин.
Антон ФИШМАН (технический директор RuSIEM) считает, что одними техническими мерами «социалку» не победить, однако пренебрегать ими, конечно же, нельзя. Для защиты удаленных рабочих мест предлагается большое количество методов, в том числе EDR/EPP (программные средства, устанавливаемые на рабочие места), и двухфакторная аутентификация. Так, если сотруднику выделяется ноутбук, на него заранее устанавливается всё необходимое как для офисного рабочего места, так и удаленного: VPN с многофакторной аутентификацией, система контроля рабочего времени. «За служебным компьютером можно только работать, а личными делами следует заниматься на собственных устройствах, – поясняет г-н Фишман. – Иногда сотрудникам разрешают работать с личных устройств в рамках BYOD-концепции: при грамотном подходе такой формат также можно обезопасить, в частности использовать личные устройства только для доступа к VDI/терминалам, работа на которых будет контролироваться».
Николай ФОКИН (руководитель отдела ИБ компании «ЛАНИТ-Интеграция») подчеркивает необходимость донести до сотрудников любой организации, что ИБ начинается с каждого из них. Если говорить о технических решениях, то следует внедрять средства по защите почты, анализу трафика и подозрительных вложений.
Михаил КРЕЧЕТОВ (STEP LOGIC) напоминает, что никто не отменял классического управления уязвимостями и комплаенс-контроля. Однако пока белым пятном остается вопрос предотвращения утечек конфиденциальной информации в случае удаленной работы, в которой преобладает эпизодическое подключение к корпоративной сети. В контексте человеческого фактора не менее важный кейс – безопасность разработки и DevOps, то есть более глобальных источников потенциальных уязвимостей. «В этой сфере всё только зарождается, но мы замечаем растущий интерес к таким классам решений, как SAST/DAST и PAM. Ошибки на стадии разработки и внедрения часто невидимы, но они почти всегда фатальны», – поясняет г-н Кречетов.
Мурад МУСТАФАЕВ («Онланта») советует не только регулярно проводить мероприятия по повышению киберграмотности, прививать ИБ-культуру, но и назначать ответственных за информационные активы компании. Главное – не переусердствовать, принцип Zero Trust применять здесь не стоит.
А в компании HPE полагают, что сосредоточение внимания исключительно на развертывании самой технологии не способствует успеху – решающую роль играет содействие персоналу в ее эффективном использовании.
Классические решения vs облачные
На ИБ-рынке появляется все больше специализированных облачных решений по безопасности. В то же время крупные разработчики классических ИБ-инструментов постепенно оснащают их дополнительными модулями. Какой из этих подходов предпочтительнее – вопрос риторический, однако мы решили выяснить мнение специалистов и по этому поводу.
Антон ВЕДЕРНИКОВ (Selectel) напоминает, что защита инфраструктуры в облаке не исключает и стандартные практики: управление доступом, межсетевое экранирование и изоляция сетей, управление изменениями и устранение уязвимостей, шифрование данных, использование безопасных протоколов. При этом за безопасность отвечает провайдер, а на стороне клиента остается обеспечение безопасности используемых виртуальных машин и сетей, так как провайдер не имеет к ним доступа. Отдельно, полагает он, стоит подчеркнуть тренд на ‘shift left security’.
В свою очередь, Василий СТЕПАНЕНКО (DataLine) поясняет, что даже если самостоятельно шифровать виртуальные машины, то могут быть проблемы с резервным копированием. Иными словами, если провайдер не заботится о защите собственной инфраструктуры, в частности не обновляет ПО, не сканирует системы на предмет уязвимостей, то собственные инструменты клиента не смогут помочь. Г-н Степаненко выступает за то, чтобы в облаке работали оптимизированные для этого решения ИБ.
Александр ЧЕРНЫХОВ («КРОК») отмечает, что разработчики и вендоры применяют целый спектр подходов. Например, решения класса CASB (Cloud Access Security Broker) позволяют разграничивать и управлять полномочиями пользователя в облачных приложениях, осуществлять мониторинг и выявлять подозрительную активность. С другой стороны, ряд DLP-вендоров предлагают функционал по работе с облачными хранилищами.
Иван МЕЛЕХИН («Информзащита») замечает, что большинство облачных ИБ-сервисов очень хорошо интегрированы в само облако: быстро разворачиваются и оплачиваются по схеме pay-as-you-go. Например, семейство Defender 365 для Microsoft Azure позволяет по модели SaaS перекрыть все потребности обеспечения ИБ офисной инфраструктуры, начиная от защиты конечных точек и заканчивая облачным SIEM. А выбор сервисов и продуктов отечественных поставщиков, к сожалению, еще недостаточно широк, сетует г-н Мелехин.
Алексей РАЕВСКИЙ (Zecurion) напоминает, что у заказчика всегда есть выбор: получить более гибкое автономное решение либо ограниченный набор функций системы, которую он уже использует или только планирует использовать без дополнительных затрат.
А по мнению Антона ГРЕЦКОГО (ActiveCloud), нет смысла изобретать велосипед, и это понимают сами вендоры, дорабатывая свои продукты под конкретные задачи. «Правильная система обеспечения ИБ не должна быть избыточной: она должна быть достаточной, ведь не бизнес работает на ИБ, а ИБ на бизнес», – заключает он.
Мурад МУСТАФАЕВ («Онланта») справедливо полагает, что логичнее всего использовать ИБ- и облачные решения провайдеров в комплексе. Инструменты и экспертиза здесь должны быть как можно ближе к уже используемым сервисам: либо присутствовать у самого провайдера, либо у компании из его экосистемы. Достичь эффективности можно, только встраивая ИБ-сервисы в существующие облачные продукты, а не надстраивая их, уверен г-н Мустафаев.
По словам Михаила КРЕЧЕТОВА (STEP LOGIC), движение к облакам отчетливо просматривается последние пять-шесть лет и классические инструменты в большинстве своем следовали ему, поэтому сегодня каждый крупный ИБ-вендор имеет в своем портфеле соответствующие дополнительные модули. Если же развитие облачных технологий в компании только начинается, возможно пойти и по пути разработки специализированных облачных ИБ-решений, но в таком случае уйти от базовых методов, таких как межсетевые экраны, средства управления уязвимостями, EDR, не получится, уточняет он.
Николай ФОКИН («ЛАНИТ-Интеграция») считает разумным грамотно использовать механизмы ИБ, предоставляемые облачным провайдером, а если их не хватает, искать баланс между безопасностью и гибкостью. Разработка же специальных облачных решений – прекрасный подход, но он требует много времени, резюмирует он.
Опубликовано 10.10.2021