Статті

5 основных проблем CISO

03 марта, 2017. 11:03 Майкл Се
Моя должность предусматривает встречи со многими руководителями по информационной безопасности со всего мира. Можно подумать, что ввиду большого разнообразия сред, находящихся под их управлением, эти руководители сталкиваются с совершенно разными проблемами. Однако на самом деле все эти проблемы можно свести к пяти описанным ниже категориям.

1. Защита облачных приложений

Организации продолжают переходить к использованию облачных вычислений. Все большее количество сотрудников использует общедоступные облачные приложения для обсуждения рабочих вопросов. В число этих приложений входят службы электронной почты, например Gmail, общедоступные хранилища, такие как Dropbox, и программное обеспечение для общения, например Whatsapp для мобильных устройств. Таким образом, организации не могут полностью отказаться от этих приложений, поэтому одной из самых актуальных задач, стоящих перед руководителями по информационной безопасности, является управление облачными приложениями и устранение угрожающих им опасностей.

2. Продвинутые постоянные угрозы (APT)

Пожалуй, ни один из множества типов существующих угроз безопасности не вызывает столько опасений, как продвинутые постоянные угрозы, или APT. Эти угрозы выступают в самых разных обличиях, но в целом они отличаются изощренностью, комплексным характером, скрытностью и настойчивостью в попытках проникнуть в корпоративную сеть.

Продвинутые постоянные угрозы нередко успешно обходят стандартные средства защиты. Как правило, их целью является хищение конфиденциальной деловой информации и личных данных, например данных кредитных карт. Это означает, что целью атаки может стать кто угодно, от крупнейших организаций до отдельных лиц.

3. Управление событиями

На моей памяти в круг обязанностей системных администраторов всегда входили регистрация данных, составление отчетов и управление событиями. В условиях увеличения объема сетевого трафика в связи с такими тенденциями, как «интеллектуальные города», интернет вещей (IoT) и «большие данные», эти традиционные обязанности сохранятся за администраторами, но в то же время приобретут еще большее значение в составе стратегии защиты от сложных угроз, например продвинутых постоянных угроз.

Показателем важности этих обязанностей служит прирост рынка технологий управления информационной безопасностью и событиями (SIEM). По данным исследовательской фирмы MarketsandMarkets, к 2019 г. объем рынка достигнет 4,54 млрд долл. США (по сравнению с 2,47 млрд долл. США в 2014 г.).

С точки зрения руководителя по информационной безопасности большое количество разрозненных данных об атаке ничуть не лучше полного отсутствия сведений. Очень сложно найти какую-либо логику в потоке журналов событий, поступающих из всех сетей, от серверов и устройств безопасности, а затем сопоставить все эти данные, чтобы выявить реальные угрозы. Поиск этих угроз среди на первый взгляд никак не связанных попыток проникнуть в сеть, являющихся частью стратегии продвинутой атаки, можно сравнить с поиском иголки в стоге сена.

4. Соблюдение нормативов

Нормативные требования и отраслевые стандарты, например стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS), Закон об унификации и учете в области медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA), Закон Сарбейнза-Оксли (Sarbanes-Oxley, SOX) и другие локальные нормативные акты в настоящее время являются общепринятыми в сфере коммерческой деятельности.

Соблюдение нормативов упрощает проверку состояния бизнеса и способствует установлению доверительных рыночных отношений. Однако обеспечение и поддержание соответствия нормативам может быть дорогостоящим и трудоемким процессом. Например, обеспечение соответствия стандарту PCI требует выполнения требований, изложенных в списке из 12 пунктов и касающихся межсетевого экрана, шифрования, антивирусной программы, проверки подлинности, ведения журналов и мониторинга, испытаний систем и т. д. Кроме того, с выходом новых редакций стандартов организации вновь сталкиваются со сложностями.

Я часто слышу, как руководители по информационной безопасности жалуются на трудозатратность обеспечения соответствия требованиям. Нередко временные, трудовые и денежные ресурсы, затраченные на обеспечение соответствия нормативам, можно направить на решение более важных для организации стратегических задач. Каким образом руководитель по информационной безопасности может выйти из положения? 

Средство решения всех проблем

Все четыре описанные проблемы свидетельствуют о потребности организаций в адаптивной системе сетевой безопасности, которая в рамках одной архитектуры объединяет аппаратные и программные средства защиты, протоколы связи и современную технологию внутренней сегментации. Такая система безопасности обеспечивает комплексную защиту от постоянно появляющихся угроз, связанных с облаком и IoT. Облако, в частности, должно входить в область охвата системы безопасности на правах продолжения корпоративной сети. Необходимо внедрить стратегию безопасности, которая обеспечивает отслеживание и управление крупными объемами данных, циркулирующими в лишенной границ сети. Такая сеть включает в себя проводные и беспроводные точки доступа, общедоступные и частные сети, традиционные и облачные инфраструктуры. 

В целях эффективного противодействия продвинутым постоянным угрозам организации должны задействовать не только традиционные пограничные межсетевые экраны и стандартные многоуровневые меры защиты.

Создание эффективной инфраструктуры защиты от продвинутых постоянных угроз требует развертывания архитектуры межсетевых экранов внутренней сегментации (ISFW). Принцип работы межсетевого экрана ISFW заключается в ограничении перемещения вредоносного ПО между разными сегментами корпоративной сети. Использование этого решения одновременно с применением данных об угрозах, собранных в реальном времени, и средств обнаружения продвинутых постоянных угроз, например «песочниц» и решений, обеспечивающих безопасность конечных точек, позволяет заблаговременно выявлять угрозы и помещать их в карантин.

Другой фактор успешного выявления продвинутой постоянной угрозы — это наличие эффективного механизма ведения журнала, который охватывает весь сетевой трафик, как внешний, так и внутренний, и устанавливает логику событий. В этом случае на помощь опять же придет адаптивная система сетевой безопасности, которая позволяет отслеживать состояние устройств, пользователей, содержимого, входящих и исходящих потоков данных, а также анализировать шаблоны трафика.

Кроме того, такая система безопасности может функционировать на основе единой политики совместной работы, что оптимизирует процесс ведения журнала за счет однократной регистрации каждого сеанса. Повторно записи в журнал не вносятся. Это упрощает анализ журналов, определение шаблонов трафика и выявление реальных угроз. 

Что касается соблюдения нормативов, большинство руководителей по информационной безопасности в процессе выявления рисков следуют определенной методике (например, PCI, или ISO 27001/2, или NIST Cybersecurity Framework). Адаптивная система сетевой безопасности при использовании совместно с межсетевым экраном ISFW обеспечивает получение более подробного представления о соответствии требованиям и эффективности системы безопасности на основе данных, полученных от всех развернутых межсетевых экранов. Благодаря этому руководитель по информационной безопасности может определить, каким областям сети угрожает наибольшая опасность по сравнению с другими, и принять меры по устранению этих уязвимостей. 

Для руководителя по информационной безопасности очень важно знать, какие расположения подключены к сети в определенный момент времени. Это необходимо для формирования представления об эффективности системы безопасности корпоративной сети, политик и процессов. Адаптивная система сетевой безопасности выявляет все сетевые ресурсы, поддерживает установку администратором целей безопасности и проверку реализации политики на всех узлах системы. Таким образом, администратор всегда может узнать, обеспечена ли надлежащая защита каждого ресурса.

Также адаптивная система сетевой безопасности в некоторой степени решает 5-ю проблему, с которой сталкиваются многие руководители по информационной безопасности, — проблему защиты инвестиций в обеспечение информационной безопасности.

Архитектура предложенной нами системы безопасности разработана с нуля и поддерживает работу с важнейшими компонентами сети, что надежно защищает ее от устаревания. Со временем как отдельные компоненты сети, так и киберугрозы претерпевают изменения, однако устойчивая платформа, лежащая в основе системы безопасности, останется актуальной и будет на протяжении многих лет обеспечивать защиту вашей корпоративной сети. 

Материалы по теме:
Комментарии: