Результативная кибербезопасность как драйвер продвижения услуг по информационной безопасности

23 мая 2023

За последний год мы четко видим рост интереса к теме противодействия кибератакам. Все чаще в разговорах с компаниями-партнерами УЦСБ не из сферы информационной безопасности, возникает вопрос: как просто, доступно и наглядно объяснить менеджерам по работе с ключевыми Заказчиками, что такое кибербезопасность, кому и как предлагать услуги по защите информационных систем предприятия?

При обсуждении темы сначала мы шли по стандартному пути: сформулировать перечень услуг, описать профиль клиента, маркеры, уточняющие вопросы и прочее. Но в какой-то момент мы решили упростить подход.

Итак, как «продается» информационная безопасность (ИБ) — простая мотивация:

1. «Страх» — чтобы нас не взломали, не повторилось то, что было у «соседа» по отрасли, о чем пишут в СМИ

Эта мотивация работает весьма ограниченно. В первую очередь такой подход действует в тех компаниях, в которых уже сталкивались с проблемами/инцидентами. Основной минус: закрываются те бреши, которые «подсвечены» сложившимися обстоятельствами, при этом безопасность не рассматривается системно.
На наш взгляд, продвигать ИБ только через страх, является дурным тоном — так часто делали раньше, 10-15 лет назад.

2. «Регуляторика» (она же — «формальная безопасность»)
Мы понимаем под этим термином ситуацию, когда основным драйвером реализации решений по информационной безопасности являются внешние требования, такие как требования государственных регуляторов — ФСТЭК России или ЦБ России, отраслевые требования, корпоративные стандарты для холдинговых структур и так далее.
Необходимо сразу исключить вырожденный случай — «бумажную безопасность»: когда заказчикам нужны только документы для прохождения проверок. Вкладываться в технические решения и обеспечивать реальную защиту ИТ-инфраструктуры своей компании они не планируют. Естественно, такой подход является тупиковым и ни к чему хорошему привести не может.

Регуляторика была, есть и еще очень долго будет основным и естественным драйвером реализации компаниями мер по защите информации. Но достаточно ли нам ее? У регуляторного подхода есть три принципиальных изъяна:

• Достаточность и качество реализации. Требования разрабатываются сразу для большого класса систем. Это означает одно — в исходном виде для конкретной системы они будут мало применимы: где-то избыточны, где-то недостаточны, а где-то просто не будут покрывать какую-то уникальную особенность конкретной системы.

Значит качество системы обеспечения ИБ будет зависеть от того, насколько хорошо был пройден весь процесс определения состава защитных мер: классификация/категорирования объекта защиты, выбор базового набора мер, его уточнение, адаптация и разработка контрмер. Так, ошибка на любом из этапов и готовая система защиты уже не закрывает все актуальные угрозы.

• Избыточность (неоптимальность) во многих конкретных случаях. Можно возразить, что современные требования (например, ФСТЭК России) предлагают определенную гибкость — возможность создать модель угроз под себя. В теории это так, но на практике не у всех компаний есть такая возможность. Особенно, если это дочерние, либо региональные предприятия.

• Отставание по времени. Чтобы разработать и согласовать требования, как правило, требуется не меньше года, поэтому происходит отставание от реальных атак. Конечно, это компенсируется тем, что используются продукты, в которые производители закладывают противодействие актуальным угрозам. Но что делать, если в требования пока не включен/не рассмотрен целый класс продуктов?

И вот тут мы подходим к третьему способу продвижения ИБ.

3. «Результативная кибербезопасность» (она же — ИБ2.0.)
Несколько лет назад Positive Technologies обобщила ряд существующих практик и предложила рынку ИБ комплексный подход, который за прошедшее время кристаллизовался и стал более зрелым.

Концепция построения системы защиты информации, ориентированной на конечный результат: защиту ключевых цифровых активов компании/организации от негативных кибервоздействий.
Ключевые составляющие:

• Недопустимые события. Во взаимодействии с владельцами бизнес-процессов выявляются недопустимые события, а далее уже технический блок прорабатывает способы их реализации.

Что дает: постановка приоритетов позволяет четко сосредоточить последующие затраты на безопасность по ключевым направлениям, показать бизнесу практический результат от вложений в ИБ.

• Центр противодействия киберугрозам (ЦПК). Построение SOC и оснащение его средствами противодействия, причем таким образом, чтобы любой известный (определенный на первом этапе) вектор (цепочка) атаки мог быть выявлен и терминирован на одном из этапов. Исходим из того, что потенциально любой отдельный элемент системы может быть взломан, скомпрометирован, преодолен злоумышленником, но ЦПК это увидит и предотвратит на одном из этапов атаки — и конечная цель атаки не будет достигнута. Как важная составная часть построения ЦПК, рассматривается и возможная перестройка ИТ-инфраструктуры для сокращения поверхности атак.

Что дает: обеспечение практической защищенности ключевых активов.

• Киберучения и постоянный анализ защищенности. Реальную готовность ЦПК предотвратить целенаправленную атаку можно проверить только в обстановке, «приближенной к боевой». И чем сильнее Red Team, тем достовернее будет результат.

Не бывает системы защиты, построенной раз и навсегда: появляются новые технические приемы, находятся новые уязвимости, поэтому надо регулярно тестировать себя.

Что дает: уверенность, что наша киберзащита актуальна и действенна против самых новых атак.

У УЦСБ накоплена обширная практика глубокого анализа функционирования информационных систем, моделирования возможных негативных воздействий, разработки практических методик оценки риска. Наличие в штате высокопрофессиональной команды пентестеров позволяет практически проверить выполненные изыскания. А опыт создания центров мониторинга и реагирования воплотился в проект создания SOC на базе одного из ведущих российских телеком-операторов. Поэтому для УЦСБ результативная кибербезопасность является естественным развитием накопленных знаний, и мы активно поддерживаем данное направление.

Как и любая концепция, «результативная кибербезопасность» содержит в себе элементы маркетинга, а также элементы «идеального будущего», что, собственно, нас подводит к вопросу — хороший ли это драйвер для продвижения ИБ и есть ли от данного подхода практическая польза?

Наш ответ, как можно легко догадаться — однозначно, да. Причем польза многоплановая:

1. Упрощает взаимодействие ИБ с бизнесом, позволяя донести на понятном языке, что же мы делаем. Ведь чтобы возникли инвестиции в ИБ, именно бизнес должен дать добро.
2. Повышает как защищенность ключевых активов, так и общую защищенность организации. ЦПК (и SOC в целом), одна из самых актуальных сейчас форм организации противодействия киберугрозам. Именно за счет объединения отдельных специалистов в единую команду, направленную на конечный результат — выявление и предотвращение атак. А киберучения дают системе необходимую обратную связь.
3. Оснащает ИБ/ИТ подразделения современными средствами: SIEM, VM, IRP/SOAR, TIP, NAD и так далее.

В заключении хочется отметить, что к концепции «Результативная кибербезопасность» можно подойти как к инструменту: если вы научитесь им пользоваться, то практические результаты не заставят себя долго ждать.

Автор: Виктор Вячеславов, руководитель Центра кибербезопасности УЦСБ
Источник: SecurityLab