Кибербезопасность в условиях ограничений. Новые вызовы

Беспрецедентные ограничительные меры, введенные в отношении России, сделали выбор российских продуктов самым приемлемым и перспективным вариантом считает Денис Чигин, руководитель направления сетевой безопасности компании Softline.

Кибербезопасность в условиях ограничений. Новые вызовы

В течение последних десятилетий российские компании создавали и совершенствовали систему защиты инфраструктуры и ресурсов от кибератак, таким образом обеспечивая сохранение в безопасности бизнес-процессы рынка. Несколько лет назад не имело значения территориальное расположение вендора, то, где разрабатывается и откуда поступает программное обеспечение и авторские разработки. Ограничительные меры последних недель вынудили значительное количество производителей приостановить деятельность на российском рынке и оставить заказчиков в сложной ситуации. Отсутствие технической поддержки, обновления сигнатур и баз антивирусов, межсетевых экранов, сканеров уязвимостей, невозможность обновления программного обеспечения негативно сказываются на работоспособности всех систем и решений. Организации осознают, что по мере того, как программное обеспечение систем защиты инфраструктуры будет устаревать, а сигнатуры перестанут обновляться, возможность отражения кибератаки снизится.

Проблема № 1. Отсутствие технической поддержки

Сервисная составляющая и лицензии, необходимые для продолжения функционирования большинства продуктов также пострадают при прекращении вендорами деятельности на территории России. Они больше не смогут оказывать техническую поддержку в таких условиях. Но если используемый продукт относится к категории отечественных, то и служба поддержки остается доступной для заказчиков. Соответственно обновления, консультации, помощь в решении инцидентов, вопросы работоспособности систем будут доступны в соответствии с выбранным режимом поддержки.

Проблема № 2. Отсутствие обновления программного обеспечения

Системы защиты без регулярного обслуживания и обновления компонентов теряют способность эффективно противостоять новым угрозам и становятся бесполезными, таким образом, постепенно оставляя заказчиков беззащитными.

В качестве примера можно привести решения, которые используют сигнатурный антивирусный анализ, или системы обнаружения (IDS) и предотвращения (IPS) вторжений для защиты инфраструктуры компаний.

Продукты информационной безопасности без своевременных обновлений представляют угрозу для инфраструктуры компании не только из-за невозможности противостояния атакам, также ситуацию усугубляет отсутствие актуальных обновлений или фичей, что влечет за собой невозможность устранения уязвимостей в прошивке самих устройств и программного обеспечения.

Проблема № 3. DDoS-атаки

Необходимо уделить внимание безопасности внешних ресурсов, сайтов и сервисов, разработанных для клиентов и пользователей организаций. Это связано с тем, что злоумышленники атакуют большинство ресурсов, находящихся в российском сегменте интернета. DDoS-атаки, или хакерские атаки на вычислительную систему с целью привести ее к отказу от обслуживания, являются самым популярным видом попыток взлома ресурсов извне. Часто злоумышленники используют Дефейс (Deface), тип хакерской атаки, при которой главная страница веб-сайта заменяется на другую – как правило, вызывающего вида (это может быть несанкционированная реклама или угроза). Часто доступ к остальному сайту блокируется, или же прежнее содержимое сайта вовсе удаляется. Подобные кибератаки могут остановить важные бизнес-процессы организации. Яркий пример, безопасность сайтов, предназначенных для онлайн-продаж или осуществления информационной деятельности.

Проблема № 4. Организация мониторинга

Период времени необходимый для урегулирования ситуации с вендорами и перехода организаций на отечественное программное обеспечение может использоваться злоумышленниками для совершения кибератак. Соответственно, предприятия нуждаются в качественной поддержке в виде регулярного мониторинга и проверки систем безопасности.

Проблема № 5. Недостаток ресурсов

Внутри каждой организации функционируют подразделения, отвечающие за информационную безопасность инфраструктуры. Это небольшая часть команды, которая, как правило, состоит из нескольких человек. В большинстве организаций сотрудники департаментов информационной защиты загружены выполнением повседневных задач и в текущей ситуации получают дополнительную нагрузку по поддержанию эксплуатации систем, оставшихся без поддержки и обновлений, что негативно сказывается на работе организации.  Появляются три разнонаправленные задачи:

  • экстренный переход на использование отечественных продуктов;
  • поддержка тех решений, в которых техническая поддержка вендора недоступна;
  • обеспечение необходимого уровня защиты инфраструктуры.

Вкупе это затрудняет работу профильных подразделений и увеличивают на них нагрузку, что в конечном счете будет сказываться на качестве выполнения этих задач.

Проактивные действия

Проактивную позицию заняли организации, которые переходят на использование отечественных систем. Доля иностранного оборудования, которое планируют переустановить заказчики в большинстве сегментов значительна. Но на это также потребуются ресурсы: время, средства, усилия. Соответственно, будет переходный период, в который важно минимизировать вред для инфраструктуры и обеспечить непрерывность бизнес-процессов. Для чего необходимо предпринять следующие действия:

1) Организация мониторинга и реагирования на инциденты ИБ. В сложившейся ситуации важно своевременно обнаруживать и реагировать на кибератаки и не допускать утечек конфиденциальной информации. Существует два варианта решения данной задачи:

  • Подключение к существующим центрам мониторинга и реагирования на инциденты ИБ (SOC). Плюсом данного варианта является, что можно оперативно организовать должный уровень мониторинга ИБ-инфраструктуры. Однако придется делиться логами своих средств информационной безопасности с компаниями, предоставляющими услуги SOC, что не для всех заказчиков приемлемо.
  • Внедрение собственной SIEM-системы, которая может занять некоторое время. Вариант не быстрый в плане реализации, но зато надежный, так как система устанавливается внутри периметра инфраструктуры заказчика и никакие данные наружу не передаются.

2) Очевидным выходом из ситуации станет замена программного оборудования, обслуживание которого стало недоступным после введения ограничительных мер, на российский вариант. Здесь выделяются разработчики, которые предоставляют решения для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети: «Лаборатория Касперского», Positive Technologies, Group-IB.   

3) Провести тестирование на проникновение, оценку безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя анализ инфраструктуры на наличие уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании.

Например, в инфраструктуре небольшой компании присутствует около 100 уязвимостей высокого уровня риска, тогда как в крупном банке трудно найти даже 1 – 2 слабых места.

Современные системы защиты позволяют обезопасить ИТ-инфраструктуру от конкретных типов угроз, но не дают комплексного представления о происходящем. Получить целостную картину можно с помощью консолидированного анализа событий, поступающих от средств защиты информации.

Вывод

Традиционно выбор продуктов для защиты инфраструктуры основывался на репутации вендора, стоимости и технических характеристиках. Но сегодня курс на интеграцию отечественных технологий стал для заказчиков не только трендом, – ограничительные меры, введенные в отношении России, сделали выбор российских продуктов самым приемлемым и перспективным вариантом.

 

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных