Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ

15.09.2021 0 Автор News

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ

За сегодняшним ростом киберинцидентов стоят существенные изменения IT-ландшафта, связанные с пандемией. Попробуем разобраться в этом вопросе.

(Продолжение. Начало в IT News № 8/2021)

 

Никита СЕМЕНОВ: «Модифицировать модули к старым решениям – принципиально неверный подход»

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Никита Семенов, руководитель отдела информационной безопасности компании ТАЛМЕР

Что касается сегмента облачной безопасности, то здесь, видимо, надо сказать, что изменился весь облачный бизнес, так как ограничения способствовали его популяризации. Как следствие, изменился и сегмент облачной безопасности. В последние полтора года многие компании сделали свой выбор в сторону облачных вычислений, переместили свои активы в облако. Как следствие, существенно возросли требования к безопасности, а также появились запросы заказчиков по формированию безопасного облака, отвечающего стандартам соответствующего ФЗ (в зависимости от хранимых и обрабатываемых данных). Ранее не востребованные на отечественном рынке технологии, такие как защита контейнеров и защита распределенных сред вычисления, облачные межсетевые экраны, стали необходимостью.

Предварительные результаты вкратце можно описать так: отечественный рынок и бизнес не были готовы к переходу на удаленную работу, большинство остается неготовыми и сейчас. Процесс трансформации, безусловно, запущен, ИТ-компоненты в большинстве случаев развернуты и функциональны, наступила очередь наложенных средств защиты. Далеко не все заказчики смогли позволить себе развернуть инфраструктуру для защищенной удаленной работы и ограничились переиспользованием приобретенных ранее СЗИ. К текущему моменту времени становится понятно, что этого крайне недостаточно и сэкономить на предложенной архитектуре не выйдет.

Количество кибератак продолжает расти всегда, а текущая общемировая ситуация дает почву для ускорения этого роста. Безусловно, изменились векторы кибератак, так как изменилась стандартная архитектура предприятия. Наибольшая активность наблюдается в поиске и эксплуатации уязвимостей cloud-based-систем.

Подавляющее большинство компаний выделяет мало средств на развитие ИБ. При этом сейчас они вынуждены чаще использовать облачные и мобильные рабочие инструменты, но при внедрении «облаков» тратить на ИБ нужно еще больше. Эта проблема решается ответами на предыдущие вопросы. Незащищенная облачная инфраструктура (даже если это private cloud) – открытая книга для злоумышленника. Такая система является более уязвимой, чем классические инфраструктуры, для которых давно изобретены в том числе бесплатные средства защиты, обеспечивающие хотя бы базовый уровень защищенности. Бизнесу проще понять и осознать уязвимость данных, расположенных в облаке, как следствие, ИБ проще вести диалог о выделении дополнительного финансирования. Также внедряемые системы защиты демонстрируют более наглядный результат инвестиций. Условно говоря, для тех, кто знал, как пользоваться ROSI (Return on Security Investment), ничего не изменилось, а тем, кто не знал, стало значительно проще.

Со стандартами безопасности и соблюдением требований законодательства при работе в облаках при правильном подходе дела обстоят даже лучше, чем в классической on-premise-инфраструктуре. Специалисты компании ТАЛМЕР реализовали одну из первых в России действительно сертифицированную облачную среду (с подтверждающими документами), поэтому мы всегда готовы проконсультировать, что делать с мультиоблачной и мультивендорной средой в части выполнения требований отечественного и международного законодательства.

Осуществлять работу с любыми ИБ-угрозами стоит единственным способом – внедрять средства защиты, такие как MDM и VDI в защищенном исполнении, формирующие защищенный контейнер для хранения и обработки корпоративной информации, а также работы с корпоративными активами. Естественно, появились риски некачественно построенной системы защиты и риски человеческого фактора (компрометация информации через фишинг на личную почту), но это также решается корректными средствами защиты и правильно организованной системой удаленного доступа. Безусловно, об осведомленности персонала тоже не стоит забывать, но на практике подобные системы в нашей стране в силу менталитета не всегда показывают эффективность. От глаз любопытных домочадцев поможет поляризованный защитный экран.

Традиционные ИБ-решения не всегда способны решать вопросы облачной безопасности. Технологии должны развиваться и решать новые задачи, а модифицировать модули к старым решениям – принципиально неверный подход. Существует достаточное количество средств защиты, ориентированных и спроектированных для облачных сред. Причем традиционные средства зачастую просто не имеют функциональной возможности решать поставленные задачи в облаке. Нет необходимости разрабатывать, достаточно просто обратить внимание на те решения, которые ранее были не так актуальны, как сейчас.

Никита Семенов,

руководитель отдела информационной безопасности

компании ТАЛМЕР

====================================

Кибератаки 2020-2021

 

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Николай ФОКИН («ЛАНИТ-Интеграция»):«По оценкам экспертных организаций, более 80% инцидентов связаны с киберпреступностью, а количество кибератак продолжает расти. Одной из самых серьезных угроз стал рост атак с использованием ransomware (вирусы-шифровальщики)».

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Антон ГРЕЦКИЙ (ActiveCloud):«Участились атаки, реализуемые путем эксплуатации ошибок конфигурирования оборудования и средств защиты. В остальном все то же: в топе фишинг, XSS, социальная инженерия».

Ведущий архитектор по ИБ ActiveCloud Антон ГРЕЦКИЙ уверен, что количество атак растет и будет расти, так как увеличивается количество ценных активов.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Василий СТЕПАНЕНКО (DataLine):«Важная тенденция — рост числа атак через подрядчиков. Компании, обеспечив внутреннюю защиту, не задумываются, что доступ к их критически важным данным можно получить через тех, с кем они сотрудничают, тех же облачных провайдеров».

Директор центра киберзащиты DataLine Василий СТЕПАНЕНКО отмечает, что о кибербезопасности заговорили даже по ТВ, однако основное внимание в медиапространстве уделяется ИБ-угрозам, направленным на пользователей в их повседневной жизни. Дело в том, что бытовое мошенничество приобрело цифровой характер: злоумышленники крадут квартиры с помощью подделанной электронной подписи, похищают большие суммы денег у доверчивых клиентов банков с помощью различных схем обмана через звонки и онлайн-сервисы. При этом говорить о том, что взломали компанию в корпоративной среде, не принято, особенно в России, тогда как на Западе бизнес все же занимает более открытую позицию. По мнению г-на Степаненко, возможно, раньше атак было столько же, но не было столь пристального внимания к ним.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Владимир ПРОЖОГИН (Dell Technologies):«75% компаний, которые заплатили выкуп в прошлом году, подтвердили, что не смогли воспользоваться резервной копией для восстановления данных».

Руководитель направления «Системы резервного копирования и восстановления данных» Dell Technologies в России Владимир ПРОЖОГИН отмечает кардинальные изменения тактики злоумышленников. Теперь они атакуют резервные копии до или одновременно с атакой на операционные данные, вследствие чего проверенные методы защиты, такие как создание резервных копий и хранение их в удаленном data-центре с целью аварийного восстановления, не работают.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Кирилл ГОЛОЖИН (Cloudera):«Чтобы противостоять росту угроз, организации внедряют различные точечные решения для обеспечения безопасности, которые генерируют слишком много предупреждений по разным аспектам ИБ. В итоге компаниям просто не хватает квалифицированных ИБ-аналитиков, чтобы изучить их».

Архитектор решений Cloudera Кирилл ГОЛОЖИН считает, что эффективный ИБ-мониторинг требует ежедневного автоматического анализа терабайтов неструктурированных журнальных данных (с помощью Big Data) с целью предоставления корректных и интерпретируемых предупреждений для аналитиков.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Александр ЧЕРНЫХОВ («КРОК»):«Удаленная работа привела к многократному росту количества открытых ИТ-ресурсов и облачных ресурсов: от RDP и VPN до IoT-устройств и консолей администрирования устройств безопасности».

Ведущий эксперт ИБ-направления компании «КРОК» Александр ЧЕРНЫХОВ говорит о смещении вектора атак с корпоративных сетей на конечные устройства сотрудников. Это связано с тем, что вне корпоративной сети любое устройство, даже с использованием VPN, менее защищено. Кроме того, многие сотрудники стали использовать персональные устройства, которые априори хуже защищены. Возросли и объемы успешных атак с помощью фишинга и социальной инженерии.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Алексей РАЕВСКИЙ (Zecurion):«Особенно остро встала проблема инсайдерских угроз. По оценкам нашего аналитического центра, количество утечек возросло в 3-5 раз».

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Мурад МУСТАФАЕВ («Онланта»):«Атаки стали масштабнее и серьезнее: это и многочисленные фишинговые рассылки, связанные с тематикой COVID-19, и крупнейшая в истории утечка 8,4 млрд паролей в июне текущего года».

Руководитель службы ИБ компании «Онланта» (группа ЛАНИТ) Мурад МУСТАФАЕВ подчеркивает, что на сегодняшний день самыми используемыми инструментами хакеров являются вирусы-вымогатели и банковские трояны. Пандемия стала источником вдохновения для злоумышленников – они смогли добиться максимальных результатов в условиях глобальной неопределенности.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Иван МЕЛЕХИН («Информзащита»):«Количество инцидентов, зарегистрированных нами в первом полугодии 2021 года, уже превысило цифры за весь 2020 год».

Директор по развитию компании «Информзащита» Иван МЕЛЕХИН утверждает, что возросла и тяжесть кибератак: все чаще встречаются Advanced Persistent Threat целевые продолжительные атаки повышенной сложности, атаки с целью использования чужих IT-ресурсов для незаконного майнинга, а также атаки шифровальщицов-вымогателей.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Михаил КРЕЧЕТОВ (STEP LOGIC):«Кажется, ни о какой стабилизации говорить не приходится, новый формат работы приводит к экспоненциальному росту трафика, и как следствие, увеличению количества эффективных атак».

Эксперт по кибербезопасности облачных инфраструктур STEP LOGIC Михаил КРЕЧЕТОВ предлагает оценить «сухие цифры»: по итогам 2020 года 52% организаций столкнулись с вредоносным ПО на удаленных устройствах, то есть по сравнению с 2019-м рост составил 41%. Из всех удаленных устройств, подверженных атакам и заражению, 37% не были ограничены в доступе к корпоративной электронной почте после взлома, а 11% продолжали пользоваться облачными хранилищами. 28% организаций регулярно использовали ОС с известными уязвимостями безопасности. По сравнению с допандемийным периодом наблюдается заметное увеличение (до 100%) числа подключений к неприемлемому контенту в рабочее время. Однако c учетом адаптации ИБ-служб к новым условиям, сделанных выводов и реализации актуальных защитных мер 2021 год в целом должен быть не таким сложным. Г-н Кречетов, как и другие участники обзора, не мог обойти стороной модель нулевого доверия, отметив, что при ее грамотной реализации такие изощренные атаки, как SunBurst, становятся неэффективными.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Антон ФИШМАН (RuSIEM):«В принципе, и раньше постоянно появлялись новые угрозы и атаки, не скажу, что что-то изменилось принципиально, скорее это закономерное развитие».

Технический директор RuSIEM Антон ФИШМАН отмечает рост новых социальных атак – злоумышленники пользуются темой COVID-19, чтобы выманивать у людей деньги. Увеличилось и число атак типа CNP (Card Not Present), то есть мошеннические интернет-покупки через мобильные и интернет-банки. Если говорить о юридических лицах, то сам по себе переход на удалёнку и ошибки, связанные с его реализацией, позволили злоумышленникам проникнуть в инфраструктуры большого количества компаний, похитить много данных и денег. Кроме того, необходимо наблюдать за быстрым ростом и изменениями на рынке RaaS (шифровальщики-вымогатели), считает г-н Фишман.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Антон ВЕДЕРНИКОВ (Selectel):«Наиболее популярными остаются фишинговые атаки, эксплуатация известных уязвимостей, поиск неправильной конфигурации окружения и DDoS-атаки».

Руководитель группы разработки сервисов ИБ компании Selectel Антон ВЕДЕРНИКОВ подчеркивает, что кардинально участились попытки проникновения за периметр. Бизнес все чаще сегодня имеет онлайн-представительство, а значит, и количество целей злоумышленников продолжает расти.

Отдельно стоит рассмотреть ситуацию в прошлом году. Помимо массовой миграции в онлайн, у этого процесса есть и еще одна причина — резкое ужесточение конкуренции в кризисное время спровоцировало использование не самых честных приемов со стороны менее этичных представителей бизнеса. Результаты исследований Voip Unlimited и DDoS-GUARD говорят, что количество DDoS-атак ежегодно увеличивается на 100%: более 50% их жертв теряют данные, интеллектуальную собственность и выручку, а 9 из 10 подвергаются атакам повторно. «По нашим данным, в первый месяц удаленной работы, в апреле 2020 года, число DDoS-атак увеличилось в 10 раз по сравнению с аналогичным периодом предыдущего года. Однако уже к сентябрю ситуация стабилизировалась, активность хакеров вернулась к допандемийному уровню», – рассказывает г-н Ведерников.

ИБ-специалисты компании HPE поясняют, что на смену традиционным векторам атак на приложения (уязвимости кода), системное ПО и ОС пришло новое направление – микрокоды аппаратных компонентов. Получение прямого доступа к компонентам IT-инфраструктуры открывает возможность обойти традиционные методы защиты периметра. Атака инициируется изнутри скомпрометированным компонентом, которому в традиционной модели угроз принято доверять. Так, происходит переход от классической модели обеспечения ИБ – многорубежной, в которой мы выстраиваем множество периметров защиты, к модели защиты «нулевого доверия», в которой каждый участник взаимодействия (программа/сервис/устройство/пользователь) должен подтверждать свои данные при обращении к любому ресурсу.

В HPE все облачные сервисы, доступные через публичное облако, среди которых и облачные консоли управления (серверы, СХД, сетевые устройства), и облачные сервисы по хранению корпоративных данных – как первичных, так и резервных копий, построены по модели «нулевого доверия». В компании используется открытый фреймворк SPIRE и реализующий его открытый интерфейс SPIFFE для доверенной аутентификации. Кроме того, вводится «цифровой страж» (Silicon Root of Trust) – исполнительный модуль в каждом компоненте IT-инфраструктуры, призванный обнаруживать инциденты и реагировать на них, что позволяет противостоять атакам изнутри.

 

Замкнутый круг недофинансирования

 

Малые бюджеты, выделяемые на развитие ИБ, – давняя и наболевшая в узких кругах проблема. Говорить, что трансформация структуры ИБ-рисков кардинально повлияла на отношение к финансированию ИБ-направления, преждевременно. Однако позитивная динамика все же наблюдается. Среди непрофессионалов бытует мнение, что при внедрении облаков тратить на ИБ следует еще больше. Так ли это?

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Василий СТЕПАНЕНКО (DataLine):«Если обращаться к услугам опытного провайдера, то переход в облако не сильно повышает стоимость ИБ по сравнению с самостоятельными мероприятиями по обеспечению внутренней безопасности».

Василий СТЕПАНЕНКО (DataLine) считает, что сегодня происходит переосмысление рисков и чаша весов начинает склоняться от организационных мер в сторону технических. Тем, кто уже использовал средства NGFW, WAF, SIEM и т. д., придется потратиться на увеличение лицензий и выделить дополнительные ресурсы на перенастройку. Кроме того, не все ИБ-решения легко масштабируемы, в таком случае поможет подход SECaaS (безопасность как сервис) с ежемесячной платой только за используемые ресурсы, объем которых при необходимости можно оперативно увеличить.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Антон ВЕДЕРНИКОВ (Selectel):«Внедрение облаков не вынуждает компанию тратить на ИБ больше».

Антон ВЕДЕРНИКОВ (Selectel) поясняет, что, конечно же, с увеличением количества удаленных сотрудников придется нарастить мощность уже используемых решений или заменить «железо», на котором они размещались. В то же время переход в облака позволяет неплохо сэкономить: то же оборудование, которое компания могла разместить у себя за 1–1,5 млн рублей, можно взять в аренду примерно за 50 тыс. рублей в месяц. Это не только помогает решить проблему, но и позволяет отнести расходы, связанные с обеспечением безопасности, в категорию операционных (OpEx). Как считает г-н Ведерников, для небольших компаний это единственный вариант использования современных дорогих решений.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Владимир ПРОЖОГИН (Dell Technologies):«Компания должна выделить ключевые для функционирования бизнеса данные и системы и обеспечить их защиту. Это обеспечит выживание бизнеса в случае кибератаки».

Владимир ПРОЖОГИН (Dell Technologies) отмечает, что необязательно модернизировать все сразу – можно выбрать наиболее востребованную часть инфраструктуры, позволяющую получить быстрый экономический эффект. Например, при модернизации системы резервного копирования заменить устаревшие ленточные и дисковые системы хранения на современные комплексы с широкими возможностями в области резервного копирования, аварийного восстановления данных и поддержкой функции дедупликации.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Антон ГРЕЦКИЙ (ActiveCloud):«Проблема решается путем приобретения услуги Security as a Service».

Антон ГРЕЦКИЙ (ActiveCloud) говорит, что использование SECaaS избавляет от необходимости содержать свой стек средств защиты, получать компетенции по их настройке и администрированию, а мониторинг и реагирование на инциденты так же ляжет на поставщика услуги. Популярность SOC (Security Operations Center) растет, именно он позволяет решать проблемы безопасности и экономить средства. Кроме того, растет популярность собственных SOC-центров.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Кирилл ГОЛОЖИН (Cloudera):«Нужно грамотно использовать уже имеющиеся активы, коими являются данные».

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Александр ЧЕРНЫХОВ («КРОК»):«На каждый рубль, инвестированный в ИБ, приходится 100 рублей, сэкономленных на потерях от ИБ-инцидентов».

Александр ЧЕРНЫХОВ («КРОК») говорит, что сегодня вместе с облаками клиенты приобретают и средства ИБ. Более того, появилась возможность выбора вендоров, предоставляющих конкретное решение в рамках одного облака. Поэтому задача заказчика сводится к обеспечению безопасных каналов передачи данных.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Иван МЕЛЕХИН («Информзащита»):«Полагаю, нужно пересматривать парадигму финансирования ИБ по остаточному принципу, после ИТ».

Иван МЕЛЕХИН («Информзащита») уверен, что зачастую защита облачной инфраструктуры у крупных провайдеров существенно лучше, а стоит дешевле. С точки зрения физической, инфраструктурной, сетевой безопасности облако обычно выигрывает у локальной инфраструктуры. Тратить на ИБ приходится больше в силу изменившегося ландшафта угроз и возросших киберрисков, считает он. И для обеспечения адекватной защиты при использовании полностью локальных, внутренних решений тратить нужно существенно больше с точки зрения как капитальных, так и операционных солдат.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Николай ФОКИН («ЛАНИТ-Интеграция»):«Один из лучших способов решить эту проблему – увеличить бюджеты на ИБ. Но будем объективны, это не всегда возможно».

Руководитель отдела ИБ компании «ЛАНИТ-Интеграция» (ГК «ЛАНИТ») Николай ФОКИН полагает, что для части компаний удобнее было бы перейти на продукты со схемой лицензирования PAYG (Pay-as-you-go, оплата по мере потребления). Кроме того, могут помочь open-source-решения: они доступны, неплохо документированы и не требуют прямых затрат. Но с ними связана другая проблема – отсутствие некоторых возможностей и время на внедрение. Пересмотр политик и конфигураций IT-оборудования и ПО также может дать хорошие результаты и повысить уровень защищенности компании, заключает г-н Фокин.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Алексей РАЕВСКИЙ (Zecurion):«Проблемы при работе с облаками решаются с помощью инструментов облачной безопасности, а вот тратить на них деньги или нет – зависит от рисков конкретной компании».

Генеральный директор Zecurion Алексей РАЕВСКИЙ считает, что компаниям необходимо научиться адекватно оценивать свои риски с точки зрения как compliance, так и конкуренции. От этого напрямую зависит объем выделяемых на ИБ средств. Поэтому говорить, что при использовании облачных технологий приходится больше тратить на ИБ, не совсем корректно.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Михаил КРЕЧЕТОВ (STEP LOGIC):«На практике риски при использовании облачных и мобильных технологий достаточно высоки, и без специализированных средств ИБ нивелировать их практически невозможно».

Михаил КРЕЧЕТОВ (STEP LOGIC) отмечает, что при развитии средств ИБ зачастую пренебрегают таким базовым понятием, как оценка рисков, а по классике ИБ именно с этого надо начинать. Совершенно необязательно тратить много на ИБ, если модель рисков компании этого не предполагает. Однако важно понимать, что подобные модели должен строить внешний аудитор. В то же время внедрение ИБ-инструментов при использовании облачных технологий реализуется проще, так как есть встроенные средства облачных платформ и специализированные средства в маркетплейсах, которые позволяют обойтись без сложной предварительной подготовки.

Облачный ИБ-периметр (II часть) | Тренды на Рынке ИТ Мурад МУСТАФАЕВ («Онланта»):«Очевидно, что провайдер с наибольшей достоверностью может заявлять об уровне защищенности собственного облака и его соответствии закону».

Мурад МУСТАФАЕВ («Онланта») называет три варианта развития системы ИБ параллельно с углубленным использованием облачных сервисов. Первый – взращивать собственную ИБ-экспертизу, самостоятельно разворачивать инструментарий и действовать в соответствии с законодательными требованиями. Второй – привлекать экспертизу профильной ИБ-организации на аутсорсинге параллельно с использованием услуг облачного провайдера. Третий – пользоваться ИБ-сопровождением и экспертизой провайдера, с которым компания работает в рамках облачного контракта.

В частности, компания HPE упрощает заказчикам использование облачных технологий в своих локальных ЦОДах и/или ЦОДах сервисных провайдеров. В рамках сервисного портфеля HPE GreenLake оборудование вендора может быть установлено в удобную для заказчика локацию. При этом он оплачивает его как сервис и при желании может задействовать дополнительные ресурсы из буфера, который также устанавливается на площадке заказчика и может быть возвращен, когда перестает быть нужным.

 

(Продолжение следует)