«Ежегодно каждая DDoS-атака приводит к переносу не менее
300-400 аукционов по закупкам. Этим приемом чаще всего пользуются коммерческие структуры, чтобы взять верх в конкурентной борьбе»

Андрей Черногоров, председатель правления Ассоциации директоров по закупкам

1. Новые угрозы информационной безопасности в последнее время в особо большом объеме связаны с атаками на различные тендерные площадки. Растет объем государственного и частного заказа, интенсивно идет переход на оцифровку всех юридически значимых документов, как следствие, многократно увеличивается значение информационных систем для финансовой стабильности всех участников электронных торгов. И злоумышленники активно используют сложившуюся ситуацию.

Известно, что все проводимые DDoS-атаки осуществляются путем направления огромного количества запросов на соединение по интернет-протоколу UDP, который не применяется для связи пользователей с сайтом госзакупок, но зато обладает очень ценным для хакеров свойством – приоритетностью.

Интернет-провайдеры доставляют UDP-пакеты в первую очередь, в то время как TCP, по которому обычно и осуществляется выход на сайты и порталы, отходит на второй план. Используя эту особенность, можно полностью «забить» канал связи запросами по UDP и сделать недоступным ресурс, работающий по TCP-протоколу. Чтобы таким образом вывести из строя портал госзакупок, нужно иметь очень много компьютеров и слаженную команду работающих за ними хакеров. Это далеко не дешевая акция, но, судя по популярности подобных методов в современных закупках в последние годы, игра может стоить свеч для злоумышленников.

Ежегодно каждая подобная атака приводит к переносу не менее 300-400 аукционов по закупкам. В итоге более сотни государственных заказчиков не могут вовремя получить необходимые товары или услуги. Этим приемом чаще всего пользуются коммерческие структуры, чтобы взять верх в конкурентной борьбе или получить деньги с помощью шантажа.

Но не стоит забывать и о том, что защита тендерных площадок – крайне опасное дело с точки зрения репутационных угроз. Пытаясь отсеивать «мусорный» трафик, целенаправленно подаваемый на площадку, можно по ошибке не дать зарегистрироваться фирме, которая действительно желает участвовать в торгах. А это уже скандал, который неизбежно приведет к судебному иску и разбирательствам с ФАС.

Такие случаи способны нанести гораздо больший удар по репутации площадки, чем DDoS-атаки, поскольку вызывают подозрения в коррупционном сговоре с другими участниками тендера. Вот и получается, что порой оператору площадки проще и дешевле заплатить штраф за нарушение ч. 23 ст. 41.10 Закона о госзакупках, вызванное DDoS-атакой, чем рисковать более серьезными последствиями и закупать дорогостоящее ПО для защиты от хакерских атак. Хостинг-провайдеры должны взять на себя часть подобной работы по защите.

2. Нам неоднократно приходилось сталкиваться с кибератаками, особенно когда компания участвовала в разработке блоков закупочного ПО для «ГАС Выборы» и решений для Олимпийских игр в Сочи. Но, наверное, наиболее показателен пример «Единой электронной торговой площадки». Мы испытали хакерское воздействие колоссальной интенсивности. А на площадке ЕЭТП торгуется порядка 40% госзаказа страны. В итоге нам пришлось решать задачу, по сложности вполне сравнимую с созданием операционной системы. Но главное, что в ходе выстраивания защитного периметра закупочная система осталась портальной, то есть открытой, доступной пользователям круглосуточно как внутри России, так и из-за рубежа. Здесь нам на помощь пришли технологии искусственного интеллекта.

Дело в том, что при фильтрации трафика мы, будучи под жестким контролем антимонопольных властей, не могли позволить себе ни одной ошибки, не могли в едином пакете со спамерами отключить ни одного добросовестного поставщика. Поэтому весь трафик просеивается своего рода армией виртуальных роботов, которые по семантическим и другим параметрам интеллектуально выявляли хакерские потоки информации от реальных участников тендерной площадки.

«Мобильные технологи сегодня – это «дыра на дыре»

Игорь Корчагин, руководитель группы обеспечения безопасности информации, компания ИВК

1. Совершенно новая угроза связана с переходом на новые категории ПО (отечественное проприетарное и свободное, международное свободное), начинающимся в рамках политики импортозамещения ИТ. В области ПО, разработанного именно для решения проблем информационной безопасности, все в порядке: здесь имеются и продукты мирового уровня, и поддерживающая их инфраструктура. А вот в области инфраструктурного и прикладного ПО ситуация более сложная, т.к. множество независимо разрабатываемых продуктов, собранных в рамках единой ИС, – особо сложный объект защиты. А ведь необходимо учитывать еще и требования регулятора, специфические для нашего рынка.

Решить эту проблему значительно проще, если информационные системы изначально созданы на базе инфраструктурного ПО класса middleware с интегрированными гарантированными сервисами информационной безопасности или переводятся на эту архитектуру в рамках проектов импортозамещения и/или исправления ошибок «островной информатизации». Сегодня имеются зрелые отечественные технологические платформы, позволяющие решить эту задачу. Как проприетарные, так и представляющие собой связку из Open Source и проприетарного ПО в соотношении от 80/20% (по объему кода) для гражданских систем до 20/80% для систем с высокими требованиями к ИБ.

То есть серьезная проблема еще только возникает, а решение уже есть.

2. Да, приходилось и не раз, но детали раскрывать я не могу. Комплекс технологий, встроенный в наше инфраструктурное ПО, обеспечивает надежную защиту.

3. Да, конечно. Разработка системообразующего инфраструктурного ПО и технологических платформ с интегрированными функциями безопасности – это многолетняя специализация нашей компании.

Централизованное управление функциями ИБ поддерживается всей линейкой продуктов, некоторые действия производятся полностью автоматически (например, контроль целостности и подлинности системного и прикладного ПО в масштабах всей сети, а также изоляция узлов сети, где выявлены нарушения). Имеются также удобные «пульты управления» системой в целом и встроенными функциями ИБ (например, работой с токенами, идентификацией пользователей – IDM, однократной аутентификацией – SSO и другое).

Один из примеров – межсетевой экран с расширенной функциональностью и коммуникационный центр организации «ИВК Кольчуга». Много лет наше инфраструктурное ПО широко применяется госсектором, силовыми структурами и некоторыми крупными коммерческими организациями как фундамент территориально-распределенных информационных систем. Естественно, мы используем его и для управления своей ИС.

4. Да, мы систематически проводим своими силами и комплексный аудит ИБ, и частные формы ИБ-аудита, дающие ответ на конкретные вопросы. Без объективного взгляда на реальную защищенность своей ИС никакой настоящей информационной безопасности быть не может. Возможна только ложная самоуспокоенность, а это едва ли ни самая большая опасность.

5. Это разные технологии, сравнивать их не вполне корректно. Главная проблема облачных технологий в плане ИБ – отсутствие проработанной модели угроз, нормативной базы, целостной архитектуры ИБ для облачной и гибридной среды, которые бы охватывали всю цепочку работы с информацией, а не ее отдельные звенья. В этом плане традиционная архитектура более проработана, для нее есть зрелые решения. Во многом этим объясняется осторожность внедрения облачных технологий в организациях, действительно уделяющих серьезное внимание надежной защите своих секретов.

Мобильные технологи сегодня – это «дыра на дыре». Безопасные информационные системы с мобильной составляющей можно сегодня создавать только на базе системообразующего ПО класса middleware с интегрированными функциями ИБ, как это сделано в связке «ИВК Юпитер» и «ИВК Север». Это зрелое проверенное решение, но полученная архитектура непривычна для большинства ИТ-спецалистов. Надежно защитить мобильные системы (включая системы IoT, или «Интернет вещей») другим способом пока нереально. Примеров тому множество.

«В построении системы безопасности Protectimus использован целый комплекс программно-аппаратных и административно-организационных мер, мы постоянно защищаемся от кибератак»

Максим Олейник, генеральный директор Protectimus Solutions LLP

1. В наше время информационные технологии развиваются настолько быстро, что не все предприятия успевают вовремя отслеживать и предупреждать новые угрозы. Часто владельцы и менеджеры компаний даже не задумываются об опасностях, которые могут таить в себе обычные на первый взгляд ситуации.

Например, сотрудник зашел на корпоративную почту со своего смартфона или домашнего ноутбука или соискатель, который только пришел на собеседование, подключился к общей сети Wi-Fi, или бухгалтер получил письмо из банка, с которым сотрудничает фирма, и перешел по ссылке в письме. Но в каждом из этих случаев есть лазейка для злоумышленника.

Так, одной из самых обсуждаемых сегодня концепций в сфере корпоративной безопасности является BYOD (Bring Your Own Device), то есть использование сотрудниками личных ноутбуков и смартфонов для работы. С одной стороны, это очень удобно и выгодно для работодателя. Повышается доверие к предприятию, можно сэкономить на технике, сотрудники незаметно для себя самих начинают посвящать больше времени работе, например отвечая на деловую переписку в нерабочее время.

Но с точки зрения безопасности использование личных гаджетов – это риск. Во-первых, достаточно сложно проконтролировать каждое устройство на предмет отсутствия нелицензионного ПО и вирусов. Во-вторых, нельзя исключать фактор халатности пользователей по отношению к информационной безопасности.

Если компания решает позволить своим сотрудникам использовать личные девайсы для работы, то должны быть соблюдены строгие правила:

• Наличие на устройствах сотрудников антивирусного и антишпионского ПО, одобренного отделом ИT-безопасности компании, его регулярное обновление.
• Подключение всех личных девайсов к рабочей сети только через VPN.
• Шифрование данных, находящихся в хранилище в центре обработки данных.
• Применение PIN-кода для разблокировки компьютера или смартфона, а при запросе авторизации в учетных записях – двухфакторной аутентификации.
• Запрет на использование перепрошитых устройств с неофициальными версиями мобильных ОС.
• Создание технической возможности удаленного стирания данных в случае утери или кражи устройства.
• Ограничение доступа к особо важным разделам информации с личных устройств, использование геолокации для определения степени доступа к данным.
• Регулярная проверка сотрудниками отделов информационной безопасности гаджетов, участвующих в системе BYOD, на предмет соответствия требованиям ИБ.

Важное место в обеспечении защиты корпоративных данных занимает также защита сетей Wi-Fi. Сегодня почти не осталось предприятий, которые отказались бы от использования беспроводного подключения к интернету, так как это элементарно удобно. Но нельзя забывать о том, что существуют целая «субкультура» хакеров, специализирующаяся именно на взломе корпоративных сетей Wi-Fi.

Вот несколько советов, которые помогут создать безопасную сеть Wi-Fi:

• Обязательная аутентификация и авторизация пользователей. Лучше использовать роутеры с поддержкой протокола FreeRADIUS и технологии двухфакторной аутентификации.
• Разделение сетей на основную и гостевую с высоким и низким уровнем доступа.
• Полный отказ от незашифрованных каналов передачи пакетов данных. Использование SSL, где это возможно, там, где невозможно, – VPN.
• Использование межсетевых экранов на уровне портов.

Также следует вспомнить о том, что устоявшиеся средства защиты данных не всегда помогают, большинство утечек происходит в результате успешной социальной инженерии и фишинга. Часто сотрудники, сами того не подозревая, предоставляют нужные злоумышленникам данные, думая при этом, что общаются со своим коллегой или с представителем партнерской компании. Для предупреждения подобных случаев необходимо обучать сотрудников всех уровней – от генерального директора до секретаря – основам информационной безопасности.

2. В построении системы безопасности Protectimus использован целый комплекс программно-аппаратных и административно-организационных мер, так как мы постоянно защищаемся от кибератак. Кроме того, по роду своей деятельности мы регулярно консультируем другие компании, ведь киберпреступность – это действительно «чума XXI века».

Кибератака – более изящный и безопасный для злоумышленника способ украсть деньги или важные данные, чем, скажем, вооруженное ограбление банка. Существуют группы «белых» хакеров, для которых взлом баз данных – это увлекательное хобби. Часто DDоS- атаки на серверы компаний устраивают их же конкуренты. Всегда нужно быть начеку.

Также важно понимать, что, кроме собственных конфиденциальных данных, большинство предприятий хранит информацию о своих пользователях. Утечка базы данных пользователей может привести не только к финансовым, но и к репутационным потерям.

3. Не всегда централизованное управление системами безопасности лучше, чем децентрализованный подход. Успешная атака на единый центр управления приведет к дискредитации всей системы безопасности в целом. Поэтому в нашей компании используются многоэтапные средства защиты. Например, для доступа к учетной записи наши сотрудники используют многоразовые пароли и логины, которые хранятся в базе данных администратора, и физические токены для генерации одноразовых паролей. Другой пример подобной организации рабочего процесса: независимая система доступа в помещение и централизованное хранилище учетных записей.

4. Базовую первичную проверку можно сделать своими силами, но полагаться только на них в корне неправильно. У сотрудников компании может отсутствовать необходимая квалификация, у человека, который долго работал над одной задачей, может быть «замыленный» взгляд, сотрудники могут иметь личную заинтересованность в положительных результатах аудита. Все эти факторы влияют на объективность оценки системы безопасности.

Чтобы полностью убедиться в надежности системы безопасности, стоит прибегнуть к помощи аутсорсеров. Но к аутсорсеру должны быть предъявлены высокие требования: высокая репутация, необходимый опыт и квалифицированный персонал.

Что касается нашего решения, то платформа Protectimus успешно прошла аудит безопасности от компании OnSec, сертификацию отраслевой инициативы OATH, а также проверку хакерами на конференции ZeroNights. Мы регулярно обращаемся за аудитами к специалистам, а также, являясь координационным членом OATH, сами проводим аудиты безопасности для своих клиентов.

5. Эти два направления довольно трудно сравнивать. Обе технологии находятся в открытом доступе, потому подвержены кибератакам.

«Зачастую ущерб от реализации информационных атак многократно превышает ущерб от физического воздействия»

Владимир Лебедев, директор по развитию бизнеса Stack Group

1. Основными распространенными атаками на коммерческие компании являются распределенные атаки отказа в обслуживании (DDoS), получение несанкционированного доступа к конфиденциальной информации разного типа, различные методы получения доступа к мобильным устройствам в целях как похищения информации, так и определения местоположения владельца мобильного устройства.

Значительная часть атак реализуется внутренним нарушителем как умышленно (корыстные действия сотрудников, промышленный шпионаж, «обиженные» работники), так и неумышленно (халатность, недостаточный уровень осведомленности в вопросах ИБ). Достаточно эффективны методы социальной инженерии в связи с огромным количеством общедоступной информации в личных и корпоративных социальных сетях, которую может получить злоумышленник.

2. Как игроки рынка облачных услуг и услуг центра обработки данных мы нередко сталкиваемся с DDoS -атаками, которые организованы против наших клиентов. В зависимости от интенсивности атаки в компании существуют достаточно эффективные механизмы противодействия как для минимизации последствия атаки для атакуемого клиента, так и для клиентов, которые могут косвенно пострадать при атаке на дата-центр. Значительная часть клиентов пользуется услугами по защите от DDoS-атак, которые мы оказываем совместно с ведущими компаниями на рынке, предоставляющими решения по очистке трафика.

Сценарий возникновения такой атаки достаточно типовой: мы обнаруживаем аномальную сетевую активность по отношению к ресурсам клиента, переключаем трафик на центры очистки нашего партнера и возвращаем только легальный пользовательский трафик к ресурсам клиента. При этом деградация уровня доступности сервиса клиента минимальная. В информационный век, когда в сети существует фактически цифровая копия личности, организации, бизнес-процессов, угрозы информационной безопасности вполне сравнимы с заболеваниями, физическими воздействиями и катастрофами. Зачастую ущерб от реализации информационных атак многократно превышает ущерб от физического воздействия. Также это подтверждает и тот факт, что кибератаки достаточно прочно вошли в обиход реальных методов ведения военных действий.

4. Мы проводим периодические аудиты информационной безопасности на соответствие как требованиям регуляторов и отраслевых стандартов, так и на соответствие требования клиентов. В зависимости от задачи аудита он осуществляется внутренними подразделениями, ответственными за безопасность, или внешними аудиторами (например, на соответствие стандарту PCI DSS).

5. Что касается вопроса о надежности технологий, то сегодня существует гораздо больше средств и методов защиты информации, расположенной в облаке, чем на мобильных устройствах. Защита данных в виртуализированных распределенных средах осуществляется более комплексно на всех уровнях модели OSI по отношению к мобильным устройствам и их архитектуре. В настоящее время задачи защиты информации в облаке как в соответствии с требованиями заказчика, так и в соответствии с требованиями российских регуляторов и международных стандартов успешно решаются. За последние два года интерес заказчиков на получение услуги защищенного облака значительно вырос не только в коммерческом секторе, но и среди государственных организаций.

«В построении системы безопасности Protectimus использован целый комплекс программно-аппаратных и административно-организационных мер, мы постоянно защищаемся от кибератак»

Михаил Иванов, директор ИТ-компании «Новые Решения»

1. Мне кажется, больше всех уязвимостей относится к веб-приложениям. Хоть многие и считают, что вирусы ловятся с сайтов эротического содержания или каких-то казино, однако в целях привлечения жертв преступники все чаще используют социальные сети. Особенно привлекательны в этом отношении сайты, доступные для большого количества пользователей, многие из которых считают эти ресурсы безопасными.

Кроме того, такие сайты содержат немало информации, позволяющей получить доступ к другим сайтам и организовать онлайновые атаки, а также конфиденциальных сведений, которые впоследствии могут оказаться интересными для онлайн-мошенников.

Многие пользователи не подозревают, что их компьютеры подвергаются не только заражениям, но и фишинговым атакам, целью которых является получение личной информации.

2. С каждой минутой в интернете появляются миллионы новых видов вирусов. Кибератаки распространяются даже намного быстрее, чем на них реагирует любой антивирус. Они ста новятся все изощреннее и опаснее, а борьба с киберпреступниками становится все дороже. Вместе с тем на протяжении нескольких лет мы стали свидетелями того, как современные интеллектуальные решения и надежные методы управления помогают в борьбе с этой «чумой XXI века». Наша организация надежно защищена от киберугроз, однако это обошлось нам очень недешево. Зато теперь я спокоен, ведь на безопасности данных не стоит экономить.

3. Конечно, создано. Это, на мой взгляд, очень удобно и мобильно. Наш системный администратор может контролировать работу наших компьютеров и устранять неполадки, не выходя из дома. Кроме того, его функционал настолько широк, что мы можем и защищать информацию, и делать резервные копии в облаках, и мониторить потенциальные угрозы.

4. Наша компания как раз и занимается аутсорсингом. С моей точки зрения, самыми безопасными являются облачные технологии. Во-первых, это значительная экономия средств, во-вторых, соответствие облака можно настроить согласно требованиям нормативных документов и стандартов в области обеспечения информационной безопасности. Облака – это и сохранность данных, т.е. шифрование, и защита данных при передаче, и аутентификация, и изоляция пользователей. Сейчас мы советуем и успешно переводим наших заказчиков именно на облачные решения.

«Целевые атаки отличаются высокой эффективностью и крайне трудны в обнаружении»

Андрей Врублевский, руководитель направления оптимизации и контроля сети компании КРОК

1. Постоянно растущая роль информационных технологий в бизнес-процессах компаний, появление новых сервисов и способов взаимодействия корпоративных сред с внешним миром сопровождаются ростом рисков: от утечки конфиденциальной информации до простоев бизнеса. Угрозы корпоративной информационной безопасности становятся сложнее, меняется их профиль. К примеру, доля рассылки спама в сочетании с социальным инжинирингом значительно снизилась по сравнению с DDoS-атаками. Сами же DDoS-атаки все чаще используются в сочетании с целевыми атаками против конкретных компаний.

Целевые (таргетированные) атаки учитывают конфигурацию ИТ-решений, имеющихся в организации, вплоть до используемых приложений и их версий. При этом успешность подобных атак часто определяется деятельностью инсайдеров – недобросовестных сотрудников, предоставляющих злоумышленникам необходимые сведения об ИТ-инфраструктуре своей компании.

Схема целевой атаки: вредоносный код доставляется на компьютеры пользователей и исполняется, используя заведомо известные уязвимости на компьютере жертвы. Так как разработчики ПО постоянно выпускают патчи, которые устраняют известные уязвимости, злоумышленники также не дремлют и ведут постоянную работу по поиску и использованию новых «слабостей» программных продуктов. Целевые атаки отличаются высокой эффективностью и крайне трудны в обнаружении.

Временной интервал между обнаружением уязвимости и установкой соответствующих патчей может составлять до 200 дней. Это приводит к тому, что о самых опасных атаках становится известно постфактум. Решения по ИБ, основанные на сигнатурном анализе данных, все менее эффективны. Поэтому крайне важно использовать инструменты защиты, не обладающие подобными недостатками:

• межсетевые экраны нового поколения (Next-Generation Firewall). Решения данного класса позволяют анализировать весь проходящий через них трафик, опознают приложения и пользователей и применяют к ним корпоративные политики доступа;
• облачные либо локальные песочницы – среды, в которых анализируются неизвестные файлы;
• средства защиты рабочих станций пользователей (программа, которая встраивается во все активные процессы на ПК и контролирует их состояние. Как только она фиксирует начало подозрительной активности, то останавливает процессы и сообщает об этом пользователю и администратору);
• системы анти-DDoS и др.

Сегментирование сети и применение специализированных средств защиты также создают новую угрозу инфраструктуре предприятия – большое количество точек отказа. Устранить это может использование вышеперечисленных средств ИБ совместно с сетевыми брокерами (устройствами ответвления и доставки целевого трафика до устройств-потребителей).

Речь идет не о произвольном выборе средств ИБ, а о комплексной многоуровневой системе, выстроенной в соответствии с политикой информационной безопасности компании. Стоит отметить, что построение надежной системы информационной безопасности не ограничивается только техническими мероприятиями, оно должно сопровождаться разработкой и внедрением в компании регламентов и процедур, определяющих порядок доступа и работы сотрудников с критичной для бизнеса информацией.

3. Чем больше инструментов для обеспечения ИБ (межсетевые экраны, песочницы и пр.), тем сложнее ими управлять. Повышенные требования к отказоустойчивости приводят к увеличению количества устройств на сети. Например, при таком подходе основной и резервный каналы подключения сети компании к внешнему миру могут потребовать установки четырех межсетевых экранов и т.д. Упростить обслуживание используемых решений позволяет система управления. С ее помощью можно централизованно настраивать и контролировать оборудование и, как результат, снижать трудозатраты по его настройке и техническому обслуживанию.

4. Сначала оценивается текущее состояние ИТ-инфраструктуры, потом разрабатывается корпоративная политика ИБ, детализируются процедуры и регламенты. В соответствии с ними внедряются решения ИБ, и далее осуществляется анализ – насколько повысилась ИБ по сравнению с исходным состоянием. Потом применяются новые меры – и так без конца. Каждый раз, когда ИТ-специалисты «смотрят, сравнивают и оценивают», – это и есть, по сути, аудит.

«Кибератаки – это плата за полученные на относительно небольшом временном периоде, комфорт и автоматизацию всего и вся. Это скорее болезнь роста»

Евгений Генгринович, Советник исполнительного директора, IITD

1. Предпосылками к новым угрозам информационной безопасности являются: рост числа используемых мобильных устройств для доступа к важной информации и сегментам сети, большой объём информации о сотрудниках в социальных сетях.

2. Кибератаки – это плата за полученные на относительно небольшом временном периоде, комфорт и автоматизацию всего и вся. Это скорее болезнь роста.

3. Как и многие компании, только движемся в этом направлении, но вопрос не в централизации, которая технически легко достижима, а в подготовленных специалистах, которые умеют такими центрами управлять, вот это действительно реальная проблема на сегодняшний день.

4. Мы проводим аудит информационной безопасности совместно с партнерами. У нас есть несколько решений, которые автоматизируют процесс аудита, а методологию привносят наши партнеры.

5. Однозначного ответа на этот вопрос нет. В складывающейся сейчас ситуации в мире, и те, и другие технологии пока очень уязвимы.

«Людям, занимающимся защитой информации, необходимо менять парадигму мышления»

Павел Волчков, ведущий консультант по информационной безопасности Центра информационной безопасности компании «Инфосистемы Джет»

1. Говорить о принципиально новых угрозах неверно. Скорее дело в том, что у злоумышленников в последнее время появились новые подходы к реализации старых угроз. Речь идет о хорошо продуманных и спланированных атаках, использующих совокупность угроз. Механизмы каждой из них в отдельности (фишинг, вирусное заражение, обход сетевых ограничений и т.д.) понятны, также как и понятно, как им противостоять. Однако совокупность данных угроз с учетом фактически неограниченного временного ресурса злоумышленника переводят подобные атаки на качественно новый уровень.

Основной причиной, по которой количество подобных атак растет и будет расти в будущем – неспособность им противостоять. А нарушитель ведь всегда идет по пути наименьшего сопротивления. Также среди причин следует отметить рост квалификации злоумышленников и размытие границ доверенных зон предприятий вследствие развития пользовательских технологий доступа к корпоративным сервисам.

Людям, занимающимся защитой информации, необходимо менять парадигму мышления. Сейчас при построении системы защиты должны постулироваться два принципа: «периметр (рабочие станции) уже скомпрометирован» и «пользовательские пароли не являются секретом». Иными словами, вопрос должен ставиться не «Как защитить периметр?», а «Как минимизировать воздействие и сократить время пребывания злоумышленника в сети?»

С практической точки зрения это означает, что кроме безусловно нужных, классических мер: харденинг, сетевая изоляция, vuln/patch management, SIEM и т.д., направленных на минимизацию последствий, необходимо искать новые подходы к обнаружению злоумышленника в сети: user-behavior, обучение СЗИ, honeypots.

5. Правильнее вести речь не о технологиях как таковых, а об их реализации. В обоих случаях правильная техническая реализация играет основную роль в обеспечении защиты информации и при её хранении, и при доступе к ней. С этой точки зрения мобильные технологии выглядят несколько надежнее, т.к. входят в зону ответственности непосредственно организации и она может сама контролировать реализацию технологии. С другой стороны, хостеры, оказывающие облачные сервисы, зачастую имеют более квалифицированный штат ИБ-специалистов и более жесткие внутренние регламенты. Хорошей практикой является включения в договор так называемого «права на аудит» со стороны компании, размещающей данные. Кроме того важно учитывать, что не вся информация может быть передана в облако и не все сервисы следует делать доступными с мобильных платформ. Риски, касающиеся наиболее критичной информации/сервисов, следует минимизировать путем отказа от обоих типов технологий.

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

Copyright © Системный администратор