Облачный ИБ-периметр (II часть)

(Продолжение. Начало в IT News № 8/2021)

Никита СЕМЕНОВ (ТАЛМЕР):

Количество кибератак продолжает расти всегда, а текущая общемировая ситуация дает почву для ускорения этого роста. Безусловно, изменились векторы кибератак, так как изменилась стандартная архитектура предприятия. Наибольшая активность наблюдается в поиске и эксплуатации уязвимостей cloud-based систем.

Руководитель отдела ИБ компании ТАЛМЕР Никита СЕМЕНОВ считает, что изменились векторы кибератак, так как изменилась стандартная архитектура предприятия. При этом наибольшая активность, по его мнению, наблюдается в поиске и эксплуатации уязвимостей cloud-based систем.

Николай ФОКИН («ЛАНИТ-Интеграция»):

«По оценкам экспертных организаций, более 80% инцидентов связаны с киберпреступностью, а количество кибератак продолжает расти. Одной из самых серьезных угроз стал рост атак с использованием ransomware (вирусы-шифровальщики)».

Антон ГРЕЦКИЙ (ActiveCloud):

«Участились атаки, реализуемые путем эксплуатации ошибок конфигурирования оборудования и средств защиты. В остальном все то же: в топе фишинг, XSS, социальная инженерия».

Ведущий архитектор по ИБ ActiveCloud Антон ГРЕЦКИЙ уверен, что количество атак растет и будет расти, так как увеличивается количество ценных активов.

Василий СТЕПАНЕНКО (DataLine):

«Важная тенденция — рост числа атак через подрядчиков. Компании, обеспечив внутреннюю защиту, не задумываются, что доступ к их критически важным данным можно получить через тех, с кем они сотрудничают, тех же облачных провайдеров».

Директор центра киберзащиты DataLine Василий СТЕПАНЕНКО отмечает, что о кибербезопасности заговорили даже по ТВ, однако основное внимание в медиапространстве уделяется ИБ-угрозам, направленным на пользователей в их повседневной жизни. Дело в том, что бытовое мошенничество приобрело цифровой характер: злоумышленники крадут квартиры с помощью подделанной электронной подписи, похищают большие суммы денег у доверчивых клиентов банков с помощью различных схем обмана через звонки и онлайн-сервисы. При этом говорить о том, что взломали компанию в корпоративной среде, не принято, особенно в России, тогда как на Западе бизнес все же занимает более открытую позицию. По мнению г-на Степаненко, возможно, раньше атак было столько же, но не было столь пристального внимания к ним.

Владимир ПРОЖОГИН (Dell Technologies):

«75% компаний, которые заплатили выкуп в прошлом году, подтвердили, что не смогли воспользоваться резервной копией для восстановления данных».

Руководитель направления «Системы резервного копирования и восстановления данных» Dell Technologies в России Владимир ПРОЖОГИН отмечает кардинальные изменения тактики злоумышленников. Теперь они атакуют резервные копии до или одновременно с атакой на операционные данные, вследствие чего проверенные методы защиты, такие как создание резервных копий и хранение их в удаленном data-центре с целью аварийного восстановления, не работают.

Кирилл ГОЛОЖИН (Cloudera):

«Чтобы противостоять росту угроз, организации внедряют различные точечные решения для обеспечения безопасности, которые генерируют слишком много предупреждений по разным аспектам ИБ. В итоге компаниям просто не хватает квалифицированных ИБ-аналитиков, чтобы изучить их».

Архитектор решений Cloudera Кирилл ГОЛОЖИН считает, что эффективный ИБ-мониторинг требует ежедневного автоматического анализа терабайтов неструктурированных журнальных данных (с помощью Big Data) с целью предоставления корректных и интерпретируемых предупреждений для аналитиков.

Александр ЧЕРНЫХОВ («КРОК»):

«Удаленная работа привела к многократному росту количества открытых ИТ-ресурсов и облачных ресурсов: от RDP и VPN до IoT-устройств и консолей администрирования устройств безопасности».

Ведущий эксперт ИБ-направления компании «КРОК» Александр ЧЕРНЫХОВ говорит о смещении вектора атак с корпоративных сетей на конечные устройства сотрудников. Это связано с тем, что вне корпоративной сети любое устройство, даже с использованием VPN, менее защищено. Кроме того, многие сотрудники стали использовать персональные устройства, которые априори хуже защищены. Возросли и объемы успешных атак с помощью фишинга и социальной инженерии.

Алексей РАЕВСКИЙ (Zecurion):

«Особенно остро встала проблема инсайдерских угроз. По оценкам нашего аналитического центра, количество утечек возросло в 3-5 раз».

Мурад МУСТАФАЕВ («Онланта»):

«Атаки стали масштабнее и серьезнее: это и многочисленные фишинговые рассылки, связанные с тематикой COVID-19, и крупнейшая в истории утечка 8,4 млрд паролей в июне текущего года».

Руководитель службы ИБ компании «Онланта» (группа ЛАНИТ) Мурад МУСТАФАЕВ подчеркивает, что на сегодняшний день самыми используемыми инструментами хакеров являются вирусы-вымогатели и банковские трояны. Пандемия стала источником вдохновения для злоумышленников – они смогли добиться максимальных результатов в условиях глобальной неопределенности.

Иван МЕЛЕХИН («Информзащита»):

«Количество инцидентов, зарегистрированных нами в первом полугодии 2021 года, уже превысило цифры за весь 2020 год».

Директор по развитию компании «Информзащита» Иван МЕЛЕХИН утверждает, что возросла и тяжесть кибератак: все чаще встречаются Advanced Persistent Threat – целевые продолжительные атаки повышенной сложности, атаки с целью использования чужих IT-ресурсов для незаконного майнинга, а также атаки шифровальщицов-вымогателей.

Михаил КРЕЧЕТОВ (STEP LOGIC):

«Кажется, ни о какой стабилизации говорить не приходится, новый формат работы приводит к экспоненциальному росту трафика, и как следствие, увеличению количества эффективных атак».

Эксперт по кибербезопасности облачных инфраструктур STEP LOGIC Михаил КРЕЧЕТОВ предлагает оценить «сухие цифры»: по итогам 2020 года 52% организаций столкнулись с вредоносным ПО на удаленных устройствах, то есть по сравнению с 2019-м рост составил 41%. Из всех удаленных устройств, подверженных атакам и заражению, 37% не были ограничены в доступе к корпоративной электронной почте после взлома, а 11% продолжали пользоваться облачными хранилищами. 28% организаций регулярно использовали ОС с известными уязвимостями безопасности. По сравнению с допандемийным периодом наблюдается заметное увеличение (до 100%) числа подключений к неприемлемому контенту в рабочее время. Однако c учетом адаптации ИБ-служб к новым условиям, сделанных выводов и реализации актуальных защитных мер 2021 год в целом должен быть не таким сложным. Г-н Кречетов, как и другие участники обзора, не мог обойти стороной модель нулевого доверия, отметив, что при ее грамотной реализации такие изощренные атаки, как SunBurst, становятся неэффективными.

Антон ФИШМАН (RuSIEM):

«В принципе, и раньше постоянно появлялись новые угрозы и атаки, не скажу, что что-то изменилось принципиально, скорее это закономерное развитие».

Технический директор RuSIEM Антон ФИШМАН отмечает рост новых социальных атак – злоумышленники пользуются темой COVID-19, чтобы выманивать у людей деньги. Увеличилось и число атак типа CNP (Card Not Present), то есть мошеннические интернет-покупки через мобильные и интернет-банки. Если говорить о юридических лицах, то сам по себе переход на удалёнку и ошибки, связанные с его реализацией, позволили злоумышленникам проникнуть в инфраструктуры большого количества компаний, похитить много данных и денег. Кроме того, необходимо наблюдать за быстрым ростом и изменениями на рынке RaaS (шифровальщики-вымогатели), считает г-н Фишман.

Антон ВЕДЕРНИКОВ (Selectel):

«Наиболее популярными остаются фишинговые атаки, эксплуатация известных уязвимостей, поиск неправильной конфигурации окружения и DDoS-атаки».

Руководитель группы разработки сервисов ИБ компании Selectel Антон ВЕДЕРНИКОВ подчеркивает, что кардинально участились попытки проникновения за периметр. Бизнес все чаще сегодня имеет онлайн-представительство, а значит, и количество целей злоумышленников продолжает расти.

Отдельно стоит рассмотреть ситуацию в прошлом году. Помимо массовой миграции в онлайн, у этого процесса есть и еще одна причина — резкое ужесточение конкуренции в кризисное время спровоцировало использование не самых честных приемов со стороны менее этичных представителей бизнеса. Результаты исследований Voip Unlimited и DDoS-GUARD говорят, что количество DDoS-атак ежегодно увеличивается на 100%: более 50% их жертв теряют данные, интеллектуальную собственность и выручку, а 9 из 10 подвергаются атакам повторно. «По нашим данным, в первый месяц удаленной работы, в апреле 2020 года, число DDoS-атак увеличилось в 10 раз по сравнению с аналогичным периодом предыдущего года. Однако уже к сентябрю ситуация стабилизировалась, активность хакеров вернулась к допандемийному уровню», – рассказывает г-н Ведерников.

ИБ-специалисты компании HPE поясняют, что на смену традиционным векторам атак на приложения (уязвимости кода), системное ПО и ОС пришло новое направление – микрокоды аппаратных компонентов. Получение прямого доступа к компонентам IT-инфраструктуры открывает возможность обойти традиционные методы защиты периметра. Атака инициируется изнутри скомпрометированным компонентом, которому в традиционной модели угроз принято доверять. Так, происходит переход от классической модели обеспечения ИБ – многорубежной, в которой мы выстраиваем множество периметров защиты, к модели защиты «нулевого доверия», в которой каждый участник взаимодействия (программа/сервис/устройство/пользователь) должен подтверждать свои данные при обращении к любому ресурсу.

В HPE все облачные сервисы, доступные через публичное облако, среди которых и облачные консоли управления (серверы, СХД, сетевые устройства), и облачные сервисы по хранению корпоративных данных – как первичных, так и резервных копий, построены по модели «нулевого доверия». В компании используется открытый фреймворк SPIRE и реализующий его открытый интерфейс SPIFFE для доверенной аутентификации. Кроме того, вводится «цифровой страж» (Silicon Root of Trust) – исполнительный модуль в каждом компоненте IT-инфраструктуры, призванный обнаруживать инциденты и реагировать на них, что позволяет противостоять атакам изнутри.

Замкнутый круг недофинансирования

Малые бюджеты, выделяемые на развитие ИБ, – давняя и наболевшая в узких кругах проблема. Говорить, что трансформация структуры ИБ-рисков кардинально повлияла на отношение к финансированию ИБ-направления, преждевременно. Однако позитивная динамика все же наблюдается. Среди непрофессионалов бытует мнение, что при внедрении облаков тратить на ИБ следует еще больше. Так ли это?

Читайте также

Даешь импортозамещение: промышленные микрофоны «Октава»

За пять лет своей работы новый стартап «Октава ДМ» на базе легендарного завода в Туле стал лидером по выпуску высокотехнологичной электроакустической аппаратуры благодаря современным достижениям и инновациям. Пятьдесят наименований продукции под брендом «Октава» поставляется как на внутренний рынок, так и в страны СНГ и БРИКС. А сегодня это еще и ведущий производитель по импортозамещению микрофонной техники общепромышленного назначения в России.

Никита СЕМЕНОВ (ТАЛМЕР):

Незащищенная облачная инфраструктура (даже если это private cloud) – открытая книга для злоумышленника. Такая система является более уязвимой, чем классические инфраструктуры, для которых давно изобретены в том числе бесплатные средства защиты, обеспечивающие хотя бы базовый уровень защищенности. Бизнесу проще понять и осознать уязвимость данных, расположенных в облаке, как следствие, ИБ проще вести диалог о выделении дополнительного финансирования. Также внедряемые системы защиты демонстрируют более наглядный результат инвестиций. Условно говоря, для тех, кто знал, как пользоваться ROSI (Return on Security Investment), ничего не изменилось, а тем, кто не знал, стало значительно проще.

Василий СТЕПАНЕНКО (DataLine):

«Если обращаться к услугам опытного провайдера, то переход в облако не сильно повышает стоимость ИБ по сравнению с самостоятельными мероприятиями по обеспечению внутренней безопасности».

Василий СТЕПАНЕНКО (DataLine) считает, что сегодня происходит переосмысление рисков и чаша весов начинает склоняться от организационных мер в сторону технических. Тем, кто уже использовал средства NGFW, WAF, SIEM и т. д., придется потратиться на увеличение лицензий и выделить дополнительные ресурсы на перенастройку. Кроме того, не все ИБ-решения легко масштабируемы, в таком случае поможет подход SECaaS (безопасность как сервис) с ежемесячной платой только за используемые ресурсы, объем которых при необходимости можно оперативно увеличить.

Антон ВЕДЕРНИКОВ (Selectel):

«Внедрение облаков не вынуждает компанию тратить на ИБ больше».

Антон ВЕДЕРНИКОВ (Selectel) поясняет, что, конечно же, с увеличением количества удаленных сотрудников придется нарастить мощность уже используемых решений или заменить «железо», на котором они размещались. В то же время переход в облака позволяет неплохо сэкономить: то же оборудование, которое компания могла разместить у себя за 1–1,5 млн рублей, можно взять в аренду примерно за 50 тыс. рублей в месяц. Это не только помогает решить проблему, но и позволяет отнести расходы, связанные с обеспечением безопасности, в категорию операционных (OpEx). Как считает г-н Ведерников, для небольших компаний это единственный вариант использования современных дорогих решений.

Владимир ПРОЖОГИН (Dell Technologies):

«Компания должна выделить ключевые для функционирования бизнеса данные и системы и обеспечить их защиту. Это обеспечит выживание бизнеса в случае кибератаки».

Владимир ПРОЖОГИН (Dell Technologies) отмечает, что необязательно модернизировать все сразу – можно выбрать наиболее востребованную часть инфраструктуры, позволяющую получить быстрый экономический эффект. Например, при модернизации системы резервного копирования заменить устаревшие ленточные и дисковые системы хранения на современные комплексы с широкими возможностями в области резервного копирования, аварийного восстановления данных и поддержкой функции дедупликации.

Антон ГРЕЦКИЙ (ActiveCloud):

«Проблема решается путем приобретения услуги Security as a Service».

Антон ГРЕЦКИЙ (ActiveCloud) говорит, что использование SECaaS избавляет от необходимости содержать свой стек средств защиты, получать компетенции по их настройке и администрированию, а мониторинг и реагирование на инциденты так же ляжет на поставщика услуги. Популярность SOC (Security Operations Center) растет, именно он позволяет решать проблемы безопасности и экономить средства. Кроме того, растет популярность собственных SOC-центров.

Кирилл ГОЛОЖИН (Cloudera):

«Нужно грамотно использовать уже имеющиеся активы, коими являются данные».

Александр ЧЕРНЫХОВ («КРОК»):

«На каждый рубль, инвестированный в ИБ, приходится 100 рублей, сэкономленных на потерях от ИБ-инцидентов».

Александр ЧЕРНЫХОВ («КРОК») говорит, что сегодня вместе с облаками клиенты приобретают и средства ИБ. Более того, появилась возможность выбора вендоров, предоставляющих конкретное решение в рамках одного облака. Поэтому задача заказчика сводится к обеспечению безопасных каналов передачи данных.

Иван МЕЛЕХИН («Информзащита»):

«Полагаю, нужно пересматривать парадигму финансирования ИБ по остаточному принципу, после ИТ».

Иван МЕЛЕХИН («Информзащита») уверен, что зачастую защита облачной инфраструктуры у крупных провайдеров существенно лучше, а стоит дешевле. С точки зрения физической, инфраструктурной, сетевой безопасности облако обычно выигрывает у локальной инфраструктуры. Тратить на ИБ приходится больше в силу изменившегося ландшафта угроз и возросших киберрисков, считает он. И для обеспечения адекватной защиты при использовании полностью локальных, внутренних решений тратить нужно существенно больше с точки зрения как капитальных, так и операционных солдат.

Николай ФОКИН («ЛАНИТ-Интеграция»):

«Один из лучших способов решить эту проблему – увеличить бюджеты на ИБ. Но будем объективны, это не всегда возможно».

Руководитель отдела ИБ компании «ЛАНИТ-Интеграция» (ГК «ЛАНИТ») Николай ФОКИН полагает, что для части компаний удобнее было бы перейти на продукты со схемой лицензирования PAYG (Pay-as-you-go, оплата по мере потребления). Кроме того, могут помочь open-source-решения: они доступны, неплохо документированы и не требуют прямых затрат. Но с ними связана другая проблема – отсутствие некоторых возможностей и время на внедрение. Пересмотр политик и конфигураций IT-оборудования и ПО также может дать хорошие результаты и повысить уровень защищенности компании, заключает г-н Фокин.

Алексей РАЕВСКИЙ (Zecurion):

«Проблемы при работе с облаками решаются с помощью инструментов облачной безопасности, а вот тратить на них деньги или нет – зависит от рисков конкретной компании».

Генеральный директор Zecurion Алексей РАЕВСКИЙ считает, что компаниям необходимо научиться адекватно оценивать свои риски с точки зрения как compliance, так и конкуренции. От этого напрямую зависит объем выделяемых на ИБ средств. Поэтому говорить, что при использовании облачных технологий приходится больше тратить на ИБ, не совсем корректно.

Михаил КРЕЧЕТОВ (STEP LOGIC):

«На практике риски при использовании облачных и мобильных технологий достаточно высоки, и без специализированных средств ИБ нивелировать их практически невозможно».

Михаил КРЕЧЕТОВ (STEP LOGIC) отмечает, что при развитии средств ИБ зачастую пренебрегают таким базовым понятием, как оценка рисков, а по классике ИБ именно с этого надо начинать. Совершенно необязательно тратить много на ИБ, если модель рисков компании этого не предполагает. Однако важно понимать, что подобные модели должен строить внешний аудитор. В то же время внедрение ИБ-инструментов при использовании облачных технологий реализуется проще, так как есть встроенные средства облачных платформ и специализированные средства в маркетплейсах, которые позволяют обойтись без сложной предварительной подготовки.

Мурад МУСТАФАЕВ («Онланта»):

«Очевидно, что провайдер с наибольшей достоверностью может заявлять об уровне защищенности собственного облака и его соответствии закону».

Мурад МУСТАФАЕВ («Онланта») называет три варианта развития системы ИБ параллельно с углубленным использованием облачных сервисов. Первый – взращивать собственную ИБ-экспертизу, самостоятельно разворачивать инструментарий и действовать в соответствии с законодательными требованиями. Второй – привлекать экспертизу профильной ИБ-организации на аутсорсинге параллельно с использованием услуг облачного провайдера. Третий – пользоваться ИБ-сопровождением и экспертизой провайдера, с которым компания работает в рамках облачного контракта.

В частности, компания HPE упрощает заказчикам использование облачных технологий в своих локальных ЦОДах и/или ЦОДах сервисных провайдеров. В рамках сервисного портфеля HPE GreenLake оборудование вендора может быть установлено в удобную для заказчика локацию. При этом он оплачивает его как сервис и при желании может задействовать дополнительные ресурсы из буфера, который также устанавливается на площадке заказчика и может быть возвращен, когда перестает быть нужным.

(Продолжение следует)