На шаг впереди киберпреступников

Андрей
Абашев

Менеджер компании Ernst & Young

Владимир
Пазухин

Старший консультант компании Ernst & Young

Антон
Слышкин

Консультант компании Ernst & Young

Большинство компаний по всему миру (67%) столкнулись с увеличением угроз информационной безопасности, при этом более трети (37%) не обладают достаточными возможностями и ресурсами для борьбы с такими угрозами.

Интенсивность кибератак увеличивается с поразительной скоростью. Злоумышленники стали более изощренными, чем когда-либо. Они находятся в постоянном поиске уязвимостей во всей технологической цепочке, включая людей и процессы. Об основных источниках кибератак можно судить по одному из разрезов результата опроса (см. рис. 1).

Область существенного риска

В предыдущих исследованиях компании Ernst & Young сотрудники рассматривались как наиболее вероятный источник кибератак. Исследование данного года также показало, что сотрудники – область существенного риска. Однако впервые исследование показало, что атаки, реализуемые такими внешними источниками, как криминальные группировки, спецслужбы и спонсируемые государствами злоумышленники, хактивисты и хакеры-одиночки, стали рассматриваться как более вероятные источники киберугроз.

Компаниям не хватает гибкости, финансовых ресурсов и квалифицированных специалистов для устранения уязвимостей и эффективного построения системы кибербезопасности. Со слов 43% респондентов, в течение ближайших 12 месяцев их организации не планируют увеличивать расходы на ИБ, несмотря на увеличение угроз, что свидетельствует лишь о незначительном улучшении ситуации по сравнению с 2013 г., когда 46% заявили об отсутствии намерений увеличивать бюджет.

Более половины респондентов (53%) назвали нехватку квалифицированных кадров одним из основных препятствий к успешной реализации программы обеспечения ИБ, и только 5% компаний-респондентов указали на наличие группы по реагированию на инциденты с выделенной командой аналитиков. Полученные цифры также демонстрируют незначительное изменение в сравнении с показателями прошлого года, когда на проблему дефицита квалифицированных кадров указали 50% респондентов, а о наличии специальной группы сообщили 4% опрошенных.

В прошедшем 2014 г. сохранялась тенденция увеличения угроз ИБ. В списке уязвимостей (см. рис. 2) первое место занимают неосмотрительность/неосведомленность сотрудников, это вызывает наибольшую озабоченность у 38% респондентов. Далее в этом перечне идут устаревшие контроли и архитектура информационной безопасности (35%) и угрозы, связанные с использованием облачных технологий (17%). Тремя основными угрозами (см. рис. 3) стали кража финансовой информации (28%), нарушение работы и нанесение ущерба репутации компании (25%), кража интеллектуальной собственности или данных (20%).

Как следует из результатов исследования этого года, организациям необходимо улучшить работу по предвосхищению атак в современной среде и условиях, когда уже невозможно предотвратить абсолютно все нарушения ИБ в условиях увеличения спектра источников угроз, технологий и финансирования реализации атак.

В ходе исследования 2014 г. рассматривались три различных этапа развития системы защиты от кибератак: "Построение", "Совершенствование" и "Предвидение", которые должны быть выполнены в строгой последовательности с целью достижения наивысшего уровня ИБ.

Построение

Организация должна иметь прочный фундамент в части кибербезопасности. Это включает в себя полный набор мер по ИБ, которые обеспечат базовую (но не достаточную) защиту от кибератак. На этом этапе организация начинает строить свою защиту от киберугроз.

На этапе построения организациям присущи три следующих недостатка, которые демонстрируют необходимость прохождения двух следующих этапов на пути к зрелости ИБ:

1. Изолированная безопасность.

Кибербезопасность организации организована и функционирует, но еще не интегрирована в бизнес.

2. Акцент на обеспечении безопасности текущей среды.

Организация выстраивает защиту, основываясь на предыдущих инцидентах и на защите используемых систем от известных угроз.

3. Статический подход.

На этом уровне кибербезопасность в состоянии лишь обеспечивать защиту рутинных бизнес-процессов. Безопасность основана на нормативных документах, требованиях регуляторов и оценивается с помощью стандартных метрик. Это отлично работало бы в мире, который никогда не меняется.

Security Operation Center
Для построения системы противостояния кибератакам жизненно необходимы эффективно выстроенные процессы. Наибольшая эффективность достигается в случае их централизации, поэтому необходимо создание центра управления инцидентами (Security Operation Center, далее SOC). Если данная функция вынесена на аутсорсинг, необходимо убедиться, что качество услуги такого провайдера полностью соответствует требованиям бизнеса. Вызывает обеспокоенность, что больше 40% участников опроса сообщили об отсутствии у себя SOC, а больше половины затрудняются ответить на вопрос о примерном времени реакции на инцидент информационной безопасности (см. рис. 4).

По результатам опроса можно судить о том, что организациям стоит уделять больше внимания развитию SOC. После реализации основных функций SOC способность организации реагировать на большинство кибератак значительно возрастает.

Совершенствование
Организации изменяются как ради роста, так и ради выживания. Угрозы также изменяются. Поэтому меры по информационной безопасности должны подстраиваться под такие изменения, чтобы соответствовать изменяющимся динамике и требованиям бизнеса, иначе обеспечение безопасности будет все менее эффективным с течением времени. На данном эволюционном этапе организации поддерживают уровень своей кибербезопасности на достаточно современном уровне и адаптируются к изменяющимся требованиям.

На данном этапе добавляются следующие особенности:

1. Встроенная безопасность.

Кибербезопасность интегрирована во все основные процессы, реализуемые в организации. Любые изменения в бизнесе оперативно оцениваются с точки зрения обеспечения информационной безопасности.

2. Акцент на обеспечении безопасности изменяющейся среды.

Более зрелая кибербезопасность непрерывно адаптируется к постоянным изменениям в бизнесе и внешним факторам.

3. Динамический подход. Кибербезопасность организации становится максимально гибкой и постоянно дорабатывается. Идет процесс постоянной адаптации для лучшей защиты бизнеса.

Цикл усовершенствования: подход к адаптации
Организация претерпевает постоянные изменения. Вот несколько примеров:

• необходимость внедрения новых технологий (социальные медиа, облачные технологии, управление большими данными и т.п.);
• экспоненциальный рост числа мобильных устройств и случаев их интеграции с бизнес-системами, стирание границы между рабочим и личным пространством;
• рост числа автоматизированных услуг, использующих сложные приложения и широкий спектр компонент IТ-архитектуры организации;
• быстро меняющаяся нормативно-правовая среда и требования.

Как результат, организации должны справляться с большим спектром и характером новых угроз и проблем, требующих непрерывного процесса усовершенствования и переоценки изменяющихся возможностей кибербезопасности. Организациям необходимо разработать систему, которая позволит им управлять этим циклом эффективно, извлекая пользу из осваивания новых возможностей в области безопасности, которые, в свою очередь, позволяют бизнесу снизить издержки и потенциальные негативные последствия инцидентов (см. рис. 5).

Для того чтобы быть на шаг впереди киберпреступников, очень важно обеспечивать полное соответствие мер обеспечения кибербезопасности специфике и характеру бизнеса (см. рис. 6).

Предвидение
Организации нуждаются в разработке тактик по обнаружению потенциальных кибератак. Они должны знать наверняка, что им необходимо защитить, и практиковать применение соответствующих мер по реагированию на вероятные кибератаки и инциденты. Для этого необходимы ресурсы для исследования киберугроз, сильная методология по оценке рисков, аналитическая база и отлаженные механизмы реагирования на инциденты. На данном этапе организации чувствуют себя более уверенными в своей способности справиться с предсказуемыми угрозами и непредсказуемыми атаками, таким образом, они способны предвидеть кибератаки.

Чтобы пройти данный этап, необходимо добавить следующие пункты:

1. Тотальная безопасность. Организация должна быть готова быстро и адекватно реагировать на любые возникающие угрозы. Необходимо четко знать активы, имеющие наибольшую ценность для бизнеса, и как они могут быть защищены;

2. Акцент на обеспечении безопасности будущей среды.

Необходимо полное знание информационных систем и платформ, как используемых, так и планируемых к внедрению. Сотрудники, отвечающие за кибербезопасность, должны четко понимать, какие активы находятся под угрозой, а также быть способными использовать данную информацию в нужный момент. Кроме того необходимо непрерывное изучение новых угроз и адаптация под них систем защиты.

3. Динамический подход.

Организации, находящиеся на данном этапе, непрерывно совершенствуют свои возможности по реагированию на различные сценарии кибератак, в том числе не встречавшихся ранее.

Положение организаций сегодня
Риски, связанные с кибер-преступностью, растут и быстро видоизменяются. Каждый день киберпреступники разрабатывают новые техники для проникновения сквозь системы безопасности организаций. Они могут повредить данные, получить доступ к чувствительным данным, украсть интеллектуальную собственность, нарушить работу информационных систем или вывести их из строя. С каждым днем их атаки становятся более изощренными, и их все труднее отразить.

В связи с постоянным развитием технологий затруднительно однозначно утверждать, какие виды угроз будут доминировать в следующем году, через 5 и 10 лет. Но мы можем утверждать, что эти угрозы будут нести значительно больший риск, чем те, с которыми мы сталкиваемся сегодня.

Что должны делать организации
Первый шаг – заложить правильную базу для кибербезопасности.

Построив хорошую и стабильную основу, стоит переходить на следующий этап – сделать свою кибербезопасность более динамичной и привести ее в соответствие требованиям и специфике бизнес-процессов и технологий организации. Без данного значительного шага организация остается уязвимой. Только после этого открывается возможность быть на шаг впереди киберпреступности. Достичь этого можно путем фокусирования кибербезопасности на изучении новых технологий, практик, уязвимостей и угроз. И, как результат, вы сможете готовиться к отражению угроз до момента их фактического наступления.