Решая задачи инфобезопасности, бизнес может оказаться меж двух огней: с одной стороны, растет сложность киберугроз — от массовых фишинговых кампаний до целенаправленных многомесячных атак; с другой — внедрение ИБ-решений зачастую создает не меньше проблем, чем их отсутствие. Есть ли способ защитить активы компании без боли и компромиссов?
- Введение
- ИБ-специалистам приходится выбирать между удобством, ценой и эффективностью
- Экосистемность как путь к безболезненной ИБ
- Не все экосистемы одинаково полезны
- Выводы
Введение
Атаки становятся сложнее и непредсказуемее. Если 10 лет назад большинство атак были примитивными одношаговыми действиями, то сегодня мы сталкиваемся с атаками, которые могут готовиться и разворачиваться годами. Злоумышленники втираются в доверие, становятся подрядчиками или даже сотрудниками компаний, закладывая уязвимости «на будущее».
Векторы угроз тоже стали непредсказуемыми: сегодня это подброшенная на парковке флешка, завтра — попытка взломать систему пожаротушения на складе. И с каждым годом вариантов становится всё больше.
Одновременно с этим растет цифровизация бизнеса. Компании внедряют всё больше онлайн-инструментов для снижения издержек. Эффективность работы растет, но вместе с ней растет и число потенциальных атак на периметр безопасности компании.
ИБ-специалистам приходится выбирать между удобством, ценой и эффективностью
На фоне этих изменений перед специалистами по информационной безопасности встаёт сразу несколько критических проблем.
«Лоскутное одеяло» защиты
В попытке закрыть все уязвимости компании создают разрозненные системы защиты, которые могут плохо взаимодействовать между собой. Так формируется иллюзия защищённости — в лучшем случае безопасность достигается ценой колоссальных усилий, в худшем — остаются слепые зоны.
Например, крупный банк использует антивирус от одного вендора, DLP-систему от другого, SIEM от третьего. Когда происходит инцидент, специалисту приходится переключаться между тремя разными консолями, чтобы собрать полную картину происходящего. Из-за отсутствия интеграции часть данных оказывается в слепой зоне — антивирус блокирует угрозу, но не передает данные в SIEM, а значит, связанные события могут остаться незамеченными. При этом каждая система требует отдельного администрирования и обучения персонала.
Вечный конфликт безопасности и удобства
Любое усиление защиты усложняет бизнес-процессы. Блокировка использования ПО, запрет на использование личных устройств, строгие правила доступа — все это работает против удобства пользователей. И чем больше неудобств, тем выше вероятность, что сотрудники начнут искать обходные пути.
Например, в ходе интервью с сотрудниками мы заметили: после внедрения политики сложных паролей с обязательной сменой раз в месяц сотрудники начали записывать пароли на стикерах, прикрепленных к монитору, или хранить их в незашифрованных текстовых файлах на рабочем столе. Стало ли действительно безопаснее, если каждые 30 дней сотрудники решают дополнительную задачу, которая порождает новые уязвимости?
Бюджетные ограничения
В информационную безопасность можно вкладывать бесконечное количество денег, потому что всегда есть то, что можно защитить. Это как написать программу без багов — такого просто не бывает. Руководители компаний постоянно балансируют между инвестициями в развитие и безопасность, при этом безопасникам всегда сложнее обосновать затраты на предотвращение инцидентов, чем расходы на устранение последствий.
Так, директор по информационной безопасности производственной компании два года добивался бюджета в 5 миллионов рублей на обновление систем защиты, но получал отказ с формулировкой «у нас никогда не было серьезных инцидентов». После того как компания потеряла 50 миллионов из-за атаки шифровальщика, на безопасность выделили 15 миллионов в течение недели.
«Контур.Эгида» — это не просто набор решений, а проводник ИБ-культуры в компаниях. Присоединяйтесь к нам, чтобы построить информационную безопасность без боли и компромиссов.
Экосистемность как путь к безболезненной ИБ
Решением этих проблем становится экосистемный подход к информационной безопасности. Что это означает на практике?
Экосистема информационной безопасности — это набор взаимосвязанных решений, которые соответствуют единым стандартам по безопасности, стабильности, удобству. Ими можно пользоваться как вместе, так и по отдельности. Они легко встраиваются в инфраструктуру компании, а использование нескольких решений создает дополнительную ценность за счет:
- взаимных интеграций;
- переиспользования данных;
- единого интерфейса и паттернов взаимодействия;
- единых подходов к обслуживанию и поддержке.
В основе «информационной безопасности без боли» лежит реалистичный подход. Не существует абсолютной защиты всего от всех возможных угроз, но есть реальная задача компании — сделать взлом настолько сложным и дорогим, что потенциальная выгода не будет стоить затраченных усилий.
При этом стоит начинать с защиты самых уязвимых мест. Простой пример: если наличные деньги лежат на столе, а вход в кабинет никак не заблокирован, нет смысла устанавливать сложную систему защиты банковских счетов — воры не будут их взламывать, а просто придут и заберут наличные.
Экосистемный подход решает проблемы информационной безопасности несколькими способами.
Снижаем нагрузку на специалистов
Интегрированные решения проще в освоении и эксплуатации, это позволяет сконцентрироваться на реальных угрозах, а не на настройке инструментов.
Например, вместо работы с отдельными консолями антивируса, DLP и межсетевого экрана, специалист использует единую панель управления, где инциденты из разных систем коррелируются автоматически. При обнаружении подозрительного файла система сама проверяет его через несколько защитных механизмов и выдаёт комплексную оценку риска.
Минимизируем затраты на внедрение
Компоненты экосистемы легко интегрируются друг с другом и с существующими решениями, требуя меньше ресурсов от ИТ-департамента.
Например, при добавлении нового модуля защиты почты к существующему комплексу безопасности не требуется дополнительная настройка правил и политик — они наследуются из родительской системы. Развертывание, которое обычно занимает недели, выполняется за несколько часов благодаря предварительно настроенным интеграциям.
Улучшаем коммуникацию между отделами
Когда ИТ-решения из коробки взаимодействуют с решениями по информационной безопасности, отделу ИБ требуется меньше вмешательства ИТ-специалистов, что снижает напряжение.
Система контроля доступа автоматически получает данные об организационной структуре из системы кадрового учета и корректирует права пользователей при переводе сотрудников между отделами. ИТ-специалистам не нужно вручную обрабатывать десятки заявок на изменение прав, что снижает вероятность ошибок и конфликтов.
Повышаем эффективность вложений
Вместо бесконечной защиты всего подряд, экосистемный подход позволяет сфокусироваться на наиболее уязвимых местах и сделать взлом невыгодным для злоумышленников.
Допустим, аналитика данных из разных компонентов экосистемы выявляет, что 80% атак начинаются через фишинговые письма с вредоносными макросами в документах. Компания усиливает именно этот участок, внедряя песочницу для проверки вложений и обучая сотрудников, вместо того чтобы равномерно распределять бюджет по всем направлениям защиты.
Не все экосистемы одинаково полезны
При выборе стоит обращать внимание на три основных момента.
Открытость экосистемы. Избегайте закрытых решений, которые не позволяют интегрироваться с продуктами других вендоров. Компания развивается, и завтра могут появиться новые задачи, которые ваша экосистема не решает. На что обратить внимание:
- Проверьте наличие открытых API для интеграции с внешними системами.
- Узнайте, есть ли у вендора партнерская программа с другими производителями (например, с поставщиками SIEM-систем или EDR-решений).
- Запросите примеры успешных интеграций с системами, которые вы уже используете.
Баланс между комплексностью и простотой. Экосистема должна решать задачи бизнеса, но не перегружать дополнительными, ненужными функциями, которые усложняют работу. В зависимости от ИТ-инфраструктуры компании, нужно выделить наиболее критические точки и ИБ-решение для их защиты, например:
- Производственному предприятию важнее защита промышленных систем и сегментация сети.
- Небольшой компании может быть достаточно базового набора: антивирус, файрвол и резервное копирование.
- А если самое уязвимое звено — сотрудник, который никогда не слышал про информационную безопасность, то стоит начать с повышения осведомленности сотрудников.
Удобство для пользователей. Даже самое защищенное решение будет бесполезным, если сотрудники начнут искать обходные пути из-за сложности использования. Многофакторная аутентификация должна быть удобной (например, push-уведомления вместо сложных кодов), проверка на вредоносные программы не должна заметно замедлять загрузку файлов, а специалисты по безопасности должны иметь возможность настраивать уведомления, чтобы получать только значимые предупреждения. Очень важна единая консоль управления вместо необходимости переключаться между десятками интерфейсов.
«Безопасность без боли» — это не снижение уровня защиты, а выбор приоритетов. Это значит:
- сосредоточить ресурсы на защите критически важных активов вместо попыток защитить абсолютно всё;
- интегрировать решения в единую экосистему вместо нагромождения разрозненных инструментов;
- автоматизировать рутинные процессы, чтобы ваши эксперты занимались действительно сложными задачами.
И наконец, балансировать безопасность и удобство, чтобы защита не превратилась в препятствие для бизнеса.
Выводы
«Контур.Эгида» — это комплекс решений для внутренней информационной безопасности. Помогаем защитить бизнес от умышленных и случайных действий инсайдеров и других внутренних угроз. При этом «Контур.Эгида» — это не только набор сервисов. Эксперты помогают построить культуру ИБ в вашей компании — изучат, как устроена киберзащита, подскажут подходящие решения, проведут необходимые консультации.
Реклама. 16+. АО «ПФ «СКБ Контур». ОГРН 1026605606620. 620144, Екатеринбург, ул. Народной Воли, 19А.
