Информационная безопасность как бизнес-процесс

– Алексей, расскажите, как на сегодняшний день эволюционировал мир киберпреступности?
– Сегодня все, что связано с кибербезопас-ностью, приобретает сугубо прагматичный характер. Ради собственного интереса или самоутверждения уже никто не станет генерировать атаки или осуществлять взлом – все заточено на получение выгоды: финансовой, конкурентной и т.д. И в основном самые яркие атаки/угрозы формируются после тщательного планирования: анализа возможности жертвы, рисков, которым в данный момент она подвержена, уязвимостей и использования этих уязвимостей для достижения конечной цели.

– Какие новые уязвимости, возникшие за последние пару лет, вы можете выделить?
– В прессе часто встречаются различные статьи и исследования на тему новой найденной уязвимости. Даже в тех решениях, которые в первую очередь направлены на обеспечение ИБ. На практике, если копнуть глубже, выясняется, что все эти риски и угрозы связаны в первую очередь с планированием сетей и систем – организационные недостатки их ведения. Если в компании эти недостатки не исключили, то ни одно из решений, даже пусть оно будет кристально чистым с точки зрения отсутствия каких-либо уязвимо-стей, не сможет помочь решить текущие проблемы. Поэтому я не считаю, что модель угроз в данный момент времени сильно изменилась, она по-прежнему является традиционной, как это было год-два-три назад, но, тем не менее, интерес к западным решениям, несмотря на текущую ситуацию, не ослабевает.

Но, конечно, сейчас к ним более настороженно относятся. Это даже хорошо, потому что заставляет администраторов безопасности, специалистов, управленцев строить свои сети более грамотно, тщательно, для того чтобы не быть подверженными потенциальным рискам, которые могут оказаться в любом из решений, связанных с ИБ.

– Каковы, на ваш взгляд, наиболее серьезные угрозы по безопасности, подстерегающие корпоративных пользователей и корпоративные сети?
– Учитывая темпы развития технологий, большинство угроз связаны с активным использованием сотрудниками мобильных сценариев. Работники сегодня не привязаны строго к рабочему месту, а имеют возможность работать из дома, в командировках, из самолетов и иметь полноценный доступ к корпоративным ресурсам. Сейчас можно много рассуждать, что из себя представляет периметр безопасности, насколько он размыт или отсутствует. Но, на мой взгляд, он сейчас проходит непосредственно через рабочее место и мобильное устройство каждого из сотрудников. Поэтому все тенденции и тренды, связанные с ИБ, сегодня движутся в сторону безопасности периметра и интеграции его с политикой BYOD. А риски связаны именно с уязвимостью конкретных рабочих мест отдельных сотрудников и степенью их интеграции с корпоративными ресурсами.

– Какие еще уязвимости, кроме безопасности периметра предприятия, могут возникнуть у компании, сотрудники которой активно используют мобильные технологии для работы?
– BYOD – это концепция обеспечения мобильных сетей сотрудников или возможности их работы с собственными мобильными устройствами. Как мы уже говорили, это действительно тренд развития рисков ИБ: мобильность, прослушивание мобильных устройств и т.д. Например, раньше использование мобильных устройств в ряде компаний было ограничено или вовсе запрещено. Но, как показала практика, ограничение в использовании ни к чему хорошему не ведет, потому что всегда находится сотрудник, который разными способами либо проносит мобильное устройство, либо подключает его к корпоративному рабочему месту. Этим процессом необходимо грамотно управлять. Существует большое количество решений, которые позволяют сделать это эффективно и с точки зрения обеспечения ИБ мобильных устройств, их использования внутри корпоративной сети, и с точки зрения управления, анализа сети и рисков, которые с этим связаны.

– Что должна в себя включать эффективная система сетевой безопасности?
– Она должна строиться по комплексному принципу, который часто называют принципом построения многоэшелониро-ванной обороны. Часто при преследовании этого принципа упускают очень важный момент: недостаточно просто поставить огромное количество различных решений или решений, позволяющих решать разные задачи, а необходимо ими грамотно управлять. И очень часто в организациях возникает "зоопарк" устройств, из-за чего ресурсы компании используются неэффективно. И даже если в компании применяются решения разных вендоров, а это наиболее популярная модель использования решений по безопасности, необходимо стремиться к тому, чтобы на одних и тех же уровнях построения эшелонированной системы безопасности использовались сходные решения по степени и возможности управления. В идеале это все-таки должны быть решения одного вендора, для того чтобы иметь возможность управлять ими эффективно и без перерасхода человеческих ресурсов. На разных уровнях эшелонированного оборудования могут быть использованы совершенно разные решения, но, тем не менее, в рамках одного уровня хотя бы должна использоваться централизованная система управления, позволяющая эффективно контролировать степень защиты каждого из уровней.

- Какие категории компаний могут позволить себе комплексную защиту?
- Этот вопрос нужно перефразировать как утверждение или призыв к индустрии и отдельным компаниям о том, что любое предприятие должно строить свои системы информационной безопасности, используя именно комплексный подход к данному процессу. Иначе это будут либо выброшенные на ветер деньги, либо неграмотное и неэффективное использование людских ресурсов. Потому что если не учитывать какой-либо фактор, который может быть в дальнейшем использован злоумышленниками для взлома компании, проникновения или хищения данных, то все усилия, потраченные на построение ИБ, будут сведены к нулю и совершенно неэффективны.

- Какие наиболее важные требования следует предъявлять к программному обеспечению для защиты корпоративной сети?
- Я бы сказал, что не только ПО, но и программно-аппаратный комплекс и аппаратные решения должны обеспечиваться постоянным высококвалифицированным уровнем технической поддержки как со стороны производителя, так и со стороны поставщика данного решения. Как правило, компания, занимающаяся внедрением подобных решений, должна иметь возможность не только поставить данное оборудование, но и предоставить постоянный непрерывный уровень технической поддержки. Ее непрерывность зависит от контракта и уровня критичности тех ресурсов, которые компания защищает. Это может быть поддержка в режиме 24/7, 8/5 или постоянно выделенный специалист, который обеспечивает соответствующую техническую поддержку, но в любом случае он должен иметься и сотрудники компании должны знать, что в любой момент времени при возникновении каких-либо сложностей им будет обеспечен соответствующий грамотный уровень технической поддержки.

- В каких продуктах, решениях или сервисах в области И Б сейчас нуждается отрасль, но они пока еще отсутствуют на рынке?
- В данный момент можно говорить не о тех решениях, которые отсутствуют, а о тех, которые сейчас начинают развиваться и выходят, например, на более развитые рынки. Я говорю о решениях, связанных с противостоянием целенаправленным угрозам или тар-гетированным атакам. Эта тема последний год очень активно обсуждается на каждой конференции, посвященной ИБ. И анализируя данные решения, многие компании находятся в растерянности, потому что они не понимают, что из себя представляет этот тренд.

Кроме этого, существует вопрос, связанный с управлением решениями ИБ, но это более интересно крупным компаниям или операторам связи: развитие технологии SDN (Software Defined Network). Эта технология позволяет управлять с одной точки не только решениями ИБ, но и сетевой инфо-структурой в целом. Много говорить об этой технологии не буду, так как ей можно посвятить отдельное интервью, скажу лишь, что она сейчас очень востребована и активно развивается. Именно за ней будущее. Сегодня во всем мире огромный интерес к технологии SDN проявляют, как я уже говорил, в первую очередь операторы связи, а в дальнейшем она уже будет выходить на корпоративный уровень. Уже есть примеры реализации данной технологии.

- То есть SDN можно назвать системой нового поколения?
- Да, сетевые устройства нового поколения - это, прежде всего, гибкие устройства, которые легко внедряются в существующую инфраструктуру. И общая суть данного тренда - вне зависимости от того, что он из себя представляет: сетевое устройство, система ИБ, коммутатор, маршрутизатор и т.д., – управляется наравне со всеми в рамках данной технологии.

- На что в первую очередь следует обратить внимание при реализации сетевой безопасности на своем предприятии? Какие рекомендации вы могли бы дать нашим читателям?
- В первую очередь, перед тем как внедрять какое-либо решение, необходимо провести тщательный анализ, для чего это решение нужно. Также необходимо сформировать корпоративную политику безопасности, если этого еще не было сделано. Корпоративная политика безопасности - это управляющий документ генерального уровня, который преследует цель реализации основной миссии компании. И в данном документе описываются те критерии, требования и методы, которые предъявляются к процессам информационной безопасности. Процесс ИБ – это, по сути, такой же бизнес-процесс, как и все остальные, и он должен быть тесно интегрирован с основной деятельностью компании. Только в этом случае у вас есть возможность строить грамотный процесс управления, внедрять те или иные технические решения внутри компании, для того чтобы реализовать основную ее цель. И в любом случае, система информационной безопасности и конкретные решения – все направлено на обеспечение непрерывной деятельности предприятия.