NIHOL

Абдурауф Абдуллаев, эксперт компании RIM-NIHOL

17.02.2022

Надежная и адаптивная IT-инфраструктура дает современному бизнесу конкурентные преимущества.

К примеру, позволяет оперативно вводить новые функции и сервисы, наращивать мощности, быстро перестраиваться в соответствии с реалиями рынка и приоритетами бизнес-плана. И главное – быть уверенными, что ваша интеллектуальная собственность, вся база данных и бизнес процесс, в целом приносят необходимый конечный результат, при этом обеспечена информационная безопасность и сохранность данных.

Стремясь к этой цели, необходимо ясное понимание что такое информационная безопасность, владение оперативной информацией и статистикой, понимание мировых тенденций и необходимости построения Security Operations Center (SOC).

Путь к этой цели не так сложен и тернист, как может показаться. Важно понять насколько сегодня реально можно достичь 100-процентной защиты любой IT-инфраструктуры, что необходимо сделать для этого. Базовые рекомендации – в помощь IT-департаментам, службам, специалистам.

«Колесо» завертится с понимания что такое собственно говоря «Информационная безопасность». Есть три базовых составляющих для её определения – это конфиденциальность, это целостность и это доступность.

Говоря об основных видах и источниках угроз, среди источников необходимо выделять внутренние и внешние угрозы, а среди видов атак – отказ в обслуживании (Denial of Service - DoS), сложные атаки (APT атаки), IP-спуфинг, фишинговые атаки, атаки типа «Man-in-the-Middle», снифферы пакетов, атаки на уровне приложений, несанкционированный доступ, веб атаки, парольные атаки, вирусы и приложения типа “троянский конь”, и многие другие.

Более ясное понимание ситуации в сфере информационной безопасности даст статистика и информация о тенденциях в данной сфере, обобщенная из доступных информационных источников.

·       26 марта 2018 года сотрудники Европола сообщили об аресте лидера киберпреступной группы, стоящей за «Carbanak» и «Cobalt Goblin».

·       Хакеры украли более $500 млн у японской крипто биржи «Coincheck».

·       Обнаруженный во втором квартале 2018 года банковский троянец «DanaBot» продолжил активно развиваться.

·       Участились случаи размещения в официальном магазине «Google Play» вредоносных приложений, ориентированных на кражу учетных данных у пользователей бразильских приложений онлайн-банкинга.

·       Хакеры украли личные данные 2 млн клиентов оператора «T-Mobile».

·       Китайские хакерские чипы взломали оборудование 30 компаний США.

·       Хакеры три года читали переписку европейских дипломатов.

TОР-10 стран, подвергшихся атакам троянцев-шифровальщиков Q1 2019г.

1-е место – Бангладеш (8,11%); 2-е место – Узбекистан (6,36%), а замыкает десятку анти лидеров 10-е место у Индонезия (1,07%). В промежуточных позициях данного топа страны: Эфиопия, Мозамбик, Непал, Вьетнам, Пакистан, Афганистан, Индия.

TOP-10 стран по доле пользователей, атакованных майнерами Q1 2019г.

1-е место – Афганистан (12,18%), 2-е место – Эфиопия (10,02%), 3-е место– Узбекистан (7,97%). Далее в десятке атакованных (в соответствии с убыванием в % соотношении): Казахстан, Танзания, Украина, Мозамбик, Беларусь, Боливия, Пакистан.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения Q1 2019г.

1-е Узбекистан – 57,73%. Далее десятку вошли: Йемен (57,66%), Таджикистан (56,35%), Афганистан (56, 13%), Туркменистан (55,42%), Киргизия (51,52%), Эфиопия (49,21), Сирия (47, 64%), Ирак (46,16%), Бангладеш (45,86%).

Возможна ли защита? Невольно задаешься данным вопросом, знакомясь с фактами и статистикой. Сегодня немало разнообразных эффективных средств, решающих эффективно ту или иную конкретную задачу в сфере информационной безопасности, то есть «закрывая» конкретную брешь или участок. Среди них такие, как Firewall и NGFW, Network Security, SIEM, Интернет шлюзы, Почтовые шлюзы, WAF, IPS/IDS, Antivirus, DLP, UEBA, «Песочницы», Расследование инцидентов, Database Security (DBS) и другие.

Сегодня офицер кибербезопасности сталкивается с огромным количеством информации. И, к сожалению, сталкивается с типичными проблемами.

Типичные проблемы:

·       Один сотрудник отвечает за всё;

·       Недостаточная квалификация сотрудников ИБ;

·       Нет четкого понимания проблемы;

·       Отсутствие правильно выстроенной внутренней политики ИБ отвечающей современным требованиям;

·       Проблемы взаимодействия между отделами (ИТ и ИБ);

·       Отсутствие надежной команды.

Что делать? Извечный вопрос, но не риторический. Наши проверенные на практике и отлично себя зарекомендовавшие базовые рекомендации:

·       Устанавливайте актуальные обновления безопасности;

·       Активируйте защитные расширения;

·       Настройте права доступа и установите парольные политики;

·       Настройте правила и исключения для файрволвов;

·       Организуйте безопасное подключение через SSH;

·       Используйте криптографию;

·       Регулярно создавайте и проверяйте бэкапы.

И еще несколько важных рекомендаций по вопросу: «что будем делать?». Прежде всего, набираем штат сотрудников, отвечающих за ИБ; далее – налаживаем отношения между ИТ и ИБ; обязательно проводим аудит всей ИТ-инфраструктуры; внедряем «Политику информационной безопасности» и расставляем приоритеты, при этом обязательно используем базовые рекомендации, о которых выше упоминалось!

Все эти последовательные шаги дают реальные положительные результаты. Во-первых, постепенно избавляемся от беспорядка в существующей инфраструктуре, поэтапно внедряем средства защиты, обучаем офицеров безопасности новым системам ИБ, повышаем квалификацию и информационную образованность сотрудников, контролируем офицеров безопасности и администраторов, и, наконец, что особенно важно – внедряем Security Operations Center (SOC).

Обучение специалистов и персонала – важная составляющая успешной работы! И обращая на этот аспект внимание, безусловно, можно достичь самых высоких результатов в обеспечении информационной безопасности. Здесь ставим акцент на приоритетности «комплексного подхода» в решении задач ИБ.

Комплексный подход: Персонал, Политика ИБ, Аудит, Обучение, Поэтапное внедрение, SOC – Security Operations Center.

Всё это в итоге позволит предприятию создать свой оперативный ситуационный центр, обеспечивающий выявление, регистрацию, учет инцидентов, подготовку отчетности, минимизацию последствий, ущерба и устранение причин возникновения инцидентов и угроз.

Будет обеспечено аналитическое управление, то есть – корректировка защитных мер, подготовка критериев, аналитическая работа, проведение экспертизы, комплексное расследование инцидентов.

Своеобразный «Щит и Меч» в одном «лице» обеспечат анализ миллионов исходных событий в секунду, из которых вылавливаются тысячи влияющих на ИТ и ИБ, сотни проблем – десяток реальных инцидентов!

Подводя итог всему выше сказанному, подчеркну, что как показывает практика и статистика, на сегодняшний день практически любая компания, финансовый сектор или госучреждения, к сожалению, могут быть подвергнуты риску быть атакованными. Атаки могут происходить абсолютно из любой точки мира, как и цели могут преследоваться самые различные: финансовые, репутационные, политические, какие-либо другие, которые в итоге приводят к потере информации, финансов, имиджа.

Всё это требует в наши дни особого подхода к обеспечению информационной безопасности, профессионального и ответственного.