Архив номеров

Киберугрозы: адекватная защита существует

Какие вызовы ставит современный мир службам информационной безопасности, к каким последствиям приводят кибератаки в бизнесе и как с ними справляется Центр мониторинга кибербезопасности, рассказывает Иван Мелехин, директор IZ:SOC Научно-­инженерного предприятия «Информзащита».

По данным Сбербанка России, потери российской экономики от деятельности хакеров в 2019 г. составили около 2,5 трлн руб., в 2018 г. — 1,5 трлн руб. В 2020 г. этот показатель может увеличиться до 3,5–3,6 трлн руб. По данным Министерства внутренних дел РФ, в первом квартале этого года число киберпреступлений выросло почти вдвое по сравнению с аналогичным периодом 2019 г. Количество ИT‑преступлений выросло на 83,9%, что составляет 19,9% от общего числа совершенных преступлений. С такими цифрами сложно переоценить важность информационной защиты бизнеса.

Ключевой момент: значительная доля кибератак остается незамеченной и может не найти отражение в текущих бизнес-­показателях, тем не менее принося убытки и урон репутации в среднесрочной перспективе. Любая компания, подключенная к интернету, может стать мишенью для сотен вредоносных скриптов, программ и вирусов. Ежегодно происходит более 4 млн попыток проникнуть в инфраструктуру. Кибератакам подвергаются компьютеры, серверы, веб-ресурсы, банкоматы, смартфоны и даже умные устройства. А во время пандемии, когда значительное количество сотрудников работают в инфраструктуре компании со своих домашних компьютеров и ноутбуков, количество точек потенциального проникновения и заражения возрастает в разы. Соответственно, в разы вырастает количество киберинцидентов.

Таким образом, система безопасности должна обеспечивать следующие потребности: обнаруживать и анализировать события информационной безопасности путем сканирования компьютерных сетей на уязвимости, стремительно реагировать на инциденты и исключать ложные срабатывания, формировать отчетность об инцидентах и поведении атакующего. Всё это задачи Security Operation Center (SOC).

Иван Мелехин

Директор по развитию АО НИП «Информзащита».
В 2000 г. окончил Московский институт электроники и математики по специальностям «прикладная математика» и «сетевые технологии». В 2016 г. окончил курс MBA Академии PwC. С 2000 по 2007 г. работал в различных компаниях в должностях программиста, системного и сетевого администратора, инженера-­проектировщика. С 2007 г. — ​сотрудник АО НИП «Информзащита», где прошел путь от начальника отдела до директора по развитию. Отвечает за расширение бизнеса компании, развитие инновационных технологий, взаимодействие с технологическими партнерами.

Что лучше для компаний — выстраивать свой собственный SOC или обращаться на аутсорсинг — вопрос риторический. Всё очень индивидуально, и каждый руководитель принимает решение исходя из нужд и рисков своей компании. Многие организации хотят иметь свою внутреннюю защиту, т. е. силами своего ИТ‑отдела построить собственный SOC — систему, контролирующую и автоматизирующую все процессы без­опасности и предотвращающую все киберриски и угрозы. Это не всегда выгодно, не всегда даже возможно, не всегда правильно. Если для крупных холдингов большие затраты на кибербезопасность уже привычны и оправданны, то для среднего и малого бизнеса они несоизмеримы с потенциальными угрозами. В этом случае можно прибегнуть к сервисной модели — SOC as a Service (SOCaaS).

Как это происходит? Заказчик оставляет заявку на сайте, специалисты подключают систему компании к IZ:SOC (можно для начала в тестовом режиме), дальше дело техники и наших экспертов. В пакет услуг входят обработка информации, поступающей из информационной системы заказчика, поиск признаков событий, компрометирующих инфраструктуру компании, аналитика таких инцидентов и регулярное взаимодействие с заказчиком по оповещению об этих событиях и выдача рекомендаций по реагированию на них.

Массовый переход на удаленку тоже внес свои коррективы в работу служб информационной безопасности. Количество угроз существенно возросло: традиционный IT‑периметр организаций разрушен, все возможные точки доступа вынесены наружу, соответственно, риски выросли в несколько раз. А с учетом того, что далеко не все вернутся в офисы, потребуется важная перестройка работы служб обеспечения информационной безопасности, перенастройка всех инструментов мониторинга в несколько иную, наружную, а не внутреннюю сторону. И именно в этом мы можем помочь, поскольку знаем, как быстро и качественно обеспечить безопасность — и в переходный период, и в дальнейшем.

Наш IZ:SOC мы часто сравниваем с действиями пожарной команды: оперативно выехать на место, оценить масштаб катастрофы — принять соответствующие меры. Важное преимущество сервисной модели — быстрота установки и запуска, соответственно, более раннее начало работы. Если нужно решить проблемы с безопасностью в данный конкретный момент, проще и выгоднее обратиться к профессиональному сервису. Внутренний центр мониторинга потребует много затрат на оборудование и на опытных экспертов в области информационной безопасности, уход которых из компании зачастую ведет к потере важных данных, это сказывается на работе системы в целом.

Справка о компании

Компания «Информзащита» — одна из старейших компаний на российском рынке информационной безопасности, стабильно занимающая самые высокие строки престижных рейтингов компаний данного сегмента, в частности в рейтинге 100 крупнейших ИТ‑компаний России CNews. Основана в 1995 г., специализируется на оказании услуг по обеспечению информационной безопасности автоматизированных систем различного назначения и уровня сложности. Работает с предприятиями государственного сектора, финансового сегмента экономики, ритейла, технологическими компаниями — ​именно здесь накоплен наибольший опыт работы. В 2020 г. отмечает свой юбилей — ​25 лет успешной деятельности.

Внутреннее ядро центра — это система управления инцидентами и событиями информационной безопасности (SIEM) IBM QRadar. На рынке существует несколько аналогов предложения от различных вендоров, как отечественных, так и иностранных. Мы сделали выбор в пользу продукта IBM QRadar, так как имеем давние партнерские отношения с IBM, обладаем командой с хорошими компетенциями и на момент выбора платформы SOC наши партнеры предоставили нам оптимальные условия, обеспечивающие высокое качество сервиса в сочетании с конкурентной ценой. Безусловно, для выполнения всех законодательных требований мы используем в SOC и программное обеспечение отечественного производства, и OpenSource-решения. Также мы активно работаем с установленными у заказчика SIEM других производителей в случае гибридной схемы подключения.

При выборе решения нужно понимать, что SOC не является коробочным решением. Это организм, всё время эволюционирующий и адаптирующийся к постоянно меняющимся условиям окружающей среды. Для создания такого организма требуются взвешенный подход и множество усилий со стороны его владельца и разработчика, а также грамотное взаимодействие между ними. Создание SOC — длительный процесс, который может затянуться на несколько лет, в отличие от сервисной модели.

«Business Excellence» Июль 2020

Рубрика: Информационная безопасность
Автор(ы): И. Мелехин
01.07.2020

448
Поделиться:

Подписка



Материалы по данной теме можно СКАЧАТЬ в Электронной Библиотеке >>>

САЙТ ЖУРНАЛА "BUSINESS EXCELLENCE" - WWW.BE-MAG.RU