Стресс, к которому стоило быть готовым заранее

В конце мая этого года состоялась онлайн-дискуссия на тему защиты корпоративных сетей в условиях новых вызовов информационной безопасности. Участники рассказали о том, как должны измениться подходы к организации сетей, чтобы оставаться защищенным даже при радикальных изменениях условий работы.

Андрей Мирошкин, генеральный директор Groteck Business Media
Сергей Кудашов, StaffCop (“Атом безопасноcть”)
Дмитрий Андриченко, Flowmon Networks
Александр Каспаров, Web Control

Андрей Мирошкин: Начнем с защищенности сети. Как поставщики и специалисты, в ситуации с коронавирусом и самоизоляцией (назовем это стресс-тестом) вы столкнулись с новыми запросами. Давайте обменяемся мнениями на эту тему.

Александр Каспаров: С моей точки зрения, мы столкнулись с подтверждением того, что защищать свои сети надо было давно. Еще раз увидели подтверждение тезиса, что стройного периметра не существует, а в сегодняшней ситуации его еще и "продырявили" сотрудники на удаленной работе очень большим количеством подключений извне. Пришло время для инструментов информационной безопасности, которые работают между конечными пользователями или периметром и ядром системы. Сейчас также оправданно применение средств анализа вредоносной активности внутри сети.

Дмитрий Андриченко: Соглашусь с Александром. Как мы видим со стороны, большинство компаний были не готовы к такому стресс-тесту. Когда пришла новость, что начинается карантин и все должны сидеть дома, большинство компаний не успели отреагировать. Говорить про такие вещи, как согласование закупок, архитектура или планирование, уже было поздно. Это все нужно было "делать вчера". Компаниям и современным гигантам, а также заказчикам необходимо следовать мировым трендам в области ИТ-индустрии. Потому что вызовы, которые будут завтра и послезавтра, предугадать невозможно. И, закрывшись сегодня VPN-концентратами и хабами, вы можете не соответствовать той проблематике, которая появится завтра. Надо цифровизировать свой бизнес и готовить к возможным рискам и угрозам.

Сергей Кудашов: Во многих компаниях системные администраторы или даже целые отделы оказались не готовы к ситуации, когда в течение двух-трех дней нужно перевести на удаленный режим работы порядка двухсот-трехсот человек. Многие не понимали, как выстроить такую работу. Потому что при выборе оборудования для доступа во Всемирную сеть не продумывали возможность подобного развития событий. И вот большому количеству пользователей понадобился доступ извне к корпоративным ресурсам. А какие приложения размещать на локальной площадке? Какие – в дата-центрах, в облаках? А ведь то, что размещается в Интернете, нужно постоянно мониторить. Администратор должен знать, когда происходит отклонение от нормы. Но многие этим пренебрегают, и образуется серьезная брешь в информационной системе. Доходит до ситуаций, когда администраторы ленятся даже сменить пароль, установленный по умолчанию. Нередки случаи, когда в компании нет DLP-систем, то есть нет контроля отчуждения информации. Нужно понимать, что роль ИТ-специалистов важна. Но, к сожалению, ИТ-специалисты зачастую малообщительные люди, не умеющие разговаривать на языке бизнеса.

Андрей Мирошкин: То есть реализовался сценарий, к которому не были готовы ни топ-менеджеры, ни системные администраторы, произошли большие структурные изменения. Любой установленный дома компьютер, неважно, как он подключен, нельзя считать достаточно безопасным рабочим местом, потому что это неконтролируемая среда. Что вы думаете по этому поводу?

Сергей Кудашов: Единственным безопасным компьютером можно считать тот, который заперт в сейфе, отключен от любых источников информации, в том числе от электропитания. Это и есть самый безопасный компьютер.

Андрей Мирошкин: Какими же средствами работать в новых обстоятельствах?

Сергей Кудашов: В условиях изменения структуры и топологии самым эффективным решением является закрытие "всего" и открытие того, что необходимо для работы, а также контроль рабочей дисциплины сотрудников, даже если они работают удаленно.

Андрей Мирошкин: То есть мир после коронавируса тот, в котором специалист по информационной безопасности, занимающийся защитой корпоративных сетей, также предоставляет инструменты для контроля за эффективностью и продуктивностью сотрудников. Так получается?

Сергей Кудашов: Именно!

Дмитрий Андриченко: Да, конечно, зона ответственности и классическое понимание информационной безопасности действительно становятся все более размытыми и все больше коррелируют с вопросами информационных технологий. Например, безопасники на частных предприятиях уже не только бумаги перекладывают, но еще и вовлечены в процесс управления. Мы достаточно долго пропагандируем точку зрения, что мало взять и все запретить, сместив фокус в сторону одного из аспектов ИТ-инфраструктуры. Например, неправильно контролировать только серверы...

Подход должен быть достаточно гибким, универсальным и прогрессивным. Сложно предугадать все угрозы, которые могут повлиять на инфраструктуру. Всегда будет комбинация условий. Здесь на помощь приходят машинное обучение и технологии искусственного интеллекта. Они адаптируются под ситуации в зависимости от условий среды, контролируют доступ в постоянном режиме, позволяют автоматически блокировать нарушителя. Это достаточно комплексный подход. Современные средства защиты в новых условиях должны быть адаптированы, должны автоматически подстраиваться и упрощать работу администраторам, а не быть дополнительной нагрузкой.

Александр Каспаров: Абсолютно согласен с Дмитрием. Мы опять получили подтверждение необходимости эшелонированности любой защиты. И мы сейчас не пытаемся сказать, что один инструмент хуже, а другой лучше. В динамически меняющихся условиях, действительно, многообразие инструментов для любой компании – это благо. Но в эшелонированной системе защиты важную роль в меняющейся инфраструктуре начинают играть адаптивные алгоритмы и то, что у нас принято называть алгоритмами поведенческого анализа и выявления аномалий. Это очень важно. Причем эти инструменты сейчас развиваются в разных системах информационной безопасности.

Андрей Мирошкин: Какие средства, с вашей точки зрения, нужны и обязательно должны быть в шорт-листе любой компании?

Сергей Кудашов: В первую очередь нужно контролировать сотрудников и периметр компании. Непосредственно поведение сотрудника на рабочем месте. У любого пользователя есть паттерны поведения, нужно начинать обучение системы, отталкиваясь от этих паттернов. Также можно добавить определенные маркеры, интересующие нас. Ну и в зависимости от того, в каком подразделении работает сотрудник, на какой должности и к какой информации имеет доступ, отталкиваясь от этого, уже обучать систему. Но сразу хочу отметить, что ни одна система с машинным обучением, так сказать из коробки, в течение двух-трех месяцев и даже полугода стопроцентную защиту не даст. Благо разработчики всегда совершенствуют свои системы, поэтому главное – обновлять их и читать документацию к продукту.

Дмитрий Андриченко: Не существует универсального рецепта, как и одного способа сложить сложный пазл, их множество. Нет единого сценария, по которому можно выстроить несколько компонентов и получить защищенную производительную сеть. Существуют мировые тренды, и один из них – поведенческий анализ. Мы в компании Flowmon предлагаем смотреть на поведенческий анализ несколько шире и не столько с точки зрения пользователя, сколько с точки зрения всей сети как единого организма. Мало смотреть на поведение эндпойнтов конкретных узлов в сети, конкретных рабочих станций пользователей и контролировать их выход в Интернет на периметре. Мы предлагаем смотреть на ИТ-инфраструктуру в комплексе и оценивать всю картину происходящего. То есть строить поведенческий анализ не только для пользователей, но и для всех узлов сети, а именно выявлять отклонения, когда они происходят не только в рабочей станции в момент заражения, но и для серверов, для сетевых узлов. Надо контролировать не только пользователя, но и всю сеть в целом. Не надо целенаправлено приставлять администратора к кофемашине, чтобы он за ней следил. Все должно быть в фоновом режиме и проходить для компании естественным образом.

Андрей Мирошкин: Мы видим, что все больше заказчиков воспринимает машинное обучение как довольно сложную задачу. Скорее они готовы доучивать, но хотят, чтобы базовый уровень обучения уже был.

Дмитрий Андриченко: Ровно так и происходит. Ценность наших решений была бы минимальной, если бы мы предоставляли только алгоритм машинного обучения. Это был бы уже не коммерческий продукт, а научная разработка. Мы предлагаем именно решение, которое позволяет заказчикам решать конкретные проблемы. Естественно, есть предопределенные методы и паттерны, которые существуют по умолчанию и сразу включатся. Но тем не менее их нужно дообучать.

Андрей Мирошкин: Применительно к ситуации, о которой мы ведем разговор, наверное, должны появиться новые паттерны?

Дмитрий Андриченко: Конечно. У нас есть специально обученные сотрудники, которые смотрят на основные тренды. Ценность такого решения не только в мониторинге, а еще и в том, чтобы сократить время реакции на новые условия и минимизировать затраты на оперативное использование новой функциональности.

Александр Каспаров: Мы с Дмитрием на одной стороне. У вас сегодня выступают люди, которые находятся на одной волне в вопросах использования поведенческого анализа.

Андрей Мирошкин: Мы с вами успели коснуться большей части вопросов, которые слушатели обозначали в качестве приоритетных. Прошу сказать пару завершающих слов.

Александр Каспаров: Главный урок, который мы все должны извлечь: откладывать что-то на завтра в вопросе информационной безопасности нельзя. Нужно развивать разнообразие способов защиты, эшелонированность и использование новых методов, связанных с поведенческим анализом и поиском аномалий. И не откладывать это на завтра.

Дмитрий Андриченко: Я бы хотел повторить, что не существует единого рецепта защиты систем. Каждая инфраструктура индивидуальна. И вопросы, которые каждый должен задавать себе, звучат так: следую ли я актуальным трендам в мире ИБ, соответствует ли моя система современным стандартам и технологиям? Мир идет вперед, как и угрозы, которые нас окружают. Невозможно устаревшим способом защитить себя в будущем. К миру нужно адаптироваться, нужно принимать на вооружение новые технологии, чтобы идти в ногу со временем. Мониторинг, поведенческий анализ, машинное обучение – это технологии, которые будут развиваться и должны быть внедрены, хотите вы этого сегодня или нет.

Сергей Кудашов: Я хотел бы добавить, что не нужно забывать про социальную инженерию. От нее крайне сложно защитить компанию, так как она очень быстро эволюционирует. К сожалению, быстрее, чем любой машинный интеллект. Мошенничество на базе социальной инженерии сегодня очень сильно развито: сейчас набирают обороты взломы компаний и добыча информации. С помощью социальной инженерии можно взломать даже очень хорошо технически защищенную компанию. В ИБ все равно самым слабым звеном остается именно человек.