О кибервойне, санкциях и их влиянии на процессы защиты информации
Статистика кибератак на российские информационные ресурсы
С момента начала спецоперации на Украине объекты критической информационной инфраструктуры России находятся под непрерывными кибератаками.
Отчет компании «Ростелеком-Солар» за второй квартал 2022 года показал, что массовые несложные атаки сменились более точечными ударами по конкретным отраслям российской экономики. На этом фоне компании начинают уделять всё больше внимания собственной кибербезопасности, а базовые средства защиты всё чаще дополняются специализированными сенсорами на сети и конечных узлах.
При этом отмечается почти трехкратное увеличение количества подтвержденных инцидентов высокой степени критичности, а наибольшее число инцидентов происходит с применением хакерами вредоносного ПО.
Проблемы, возникшие в сфере защиты информации после начала СВО и кибервойны
Изменение геополитической ситуации в мире после 24 февраля 2022 года глобально повлияло на такие процессы информационной безопасности, как:
- увеличение количества кибератак на информационные ресурсы организаций с территорий недружественных государств, в том числе выполняемые кибернаемниками и проправительственными группировками;
- уход зарубежных вендоров (Cisco, Fortinet, Palo Alto Networks и т.д.) с российского рынка либо прекращение поддержки продуктов для российского сегмента пользователей;
- приостановка сертификатов соответствия ФСТЭК России на продукты иностранных вендоров, не оказывающих техподдержку российским пользователям;
- снижение общего уровня безопасности информационных систем, в составе которых используются импортные решения, по причине отсутствия обновлений безопасности либо возможного появления "закладок" в составе пакета обновлений;
- невозможность прогнозировать цены на импортное оборудование и технические средства защиты из-за нестабильного курса рубля, а также нарушения логистических цепочек.
Меры государственного регулирования
Для решения вышеперечисленных проблем 1 мая 2022 года Президентом РФ В. Путиным подписан Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», в соответствии с которым компаниям, владеющим критически важными объектами, необходимо:
- возложить на заместителя руководителя организации полномочия по защите информационных ресурсов организации;
- создать в организации структурное подразделение по информационной безопасности;
- оценить уровень защищенности используемых информационных ресурсов с привлечением организаций-лицензиатов ФСБ России и ФСТЭК России в срок до 1 июля 2022 года;
- привлечь к мероприятиям по защите информации организации, имеющие лицензии ФСБ России и ФСТЭК России в сфере обеспечения информационной безопасности;
- перейти на технические средства защиты информационных ресурсов отечественного производства для защиты ресурсов и оборудования от возможного взлома.
Основные направления защиты в условиях современной кибервойны против российских информационных ресурсов
В связи с вышеперечисленными проблемами в условиях санкционных ограничений и кибервойны для предотвращения нарушения функционирования информационных систем и оборудования, а также для соблюдения положений Указа № 250 российским компаниям необходимо реализовать следующие мероприятия по защите информации:
1. Переход на отечественные средства защиты информационных ресурсов — установленные средства позволяют осуществлять обнаружение и предотвращение утечек защищаемой информации с применением специализированных систем защиты (DLP-систем, систем обнаружения вторжения, NGFW).
Внедрение Next Generation Firewall (NGFW) — межсетевых экранов нового поколения. Решение позволяет обнаружить и заблокировать опасные атаки на веб-приложения, в том числе:
- несанкционированный доступ к управлению сайтом;
- попытки нецелевого использования мощностей веб-серверов;
- несанкционированный доступ к конфиденциальной информации;
- публикация конфиденциальной информации на информационных ресурсах;
- использование функционала ресурса для совершения несанкционированных действий в системе с целью получения выгоды.
Самые популярные российские межсетевые экраны нового поколения — Ideco UTM (Айдеко), Usergate (Юзергейт), ViPNet xFirewall 5 (Инфотекс), Континент 4 (Код Безопасности).
Внедрение Intrusion Detection System (IDS) — систем обнаружения вторжений (СОВ). Данные технические средства позволяют осуществлять обнаружение вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых серверов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей).
Самые популярные российские СОВ — ViPNet IDS 3 (Инфотекс), СОВ Континент (Код Безопасности).
Внедрение Data Loss Prevention (DLP) — специализированного программного обеспечения, предназначенного для защиты компании от утечек информации. Кроме того, решения такого класса позволяют:
- вести учет рабочего времени и использования ресурсов;
- анализировать противоправные действия работников;
- контролировать взаимодействие между сотрудниками компании;
- минимизировать риск утечки данных после увольнения сотрудников.
Самые популярные российские DLP-решения: InfoWatch Traffic Monitor и СёрчИнформ КИБ.
2. Анализ уязвимостей информационных ресурсов компании — это поиск известных уязвимостей в программном обеспечении и недочетов безопасности в организации ИТ-инфраструктуры в целом.
Анализ уязвимостей выполняется по направлениям:
- Веб-ресурсы (сайты, web-приложения, корпоративные порталы) — поиск недочетов в настройках безопасности с использованием адаптированной методологии OWASP Testing Guide.
- Внутренняя ИТ–инфраструктура организации — поиск уязвимостей прикладного и системного программного обеспечения, имеющего доступ во внутреннюю сеть.
- Внешняя ИТ–инфраструктура — поиск уязвимостей и ошибок в настройке безопасности систем и оборудования, доступных из сети Интернет.
Анализ позволяет выявить известные уязвимости в прикладном и системном программном обеспечении и слабости конфигурации, а также получить экспертные рекомендации по устранению выявленных угроз и повышению общего уровня защищенности информационных ресурсов.
Тестирование на проникновение (пентест) — это моделирование действий потенциального злоумышленника по получению доступа к информационной системе и содержащейся в ней информации.
Пентест проводится по направлениям:
- Внутренний пентест информационной системы — оценка возможности для внутреннего нарушителя получить доступ к корпоративной сети, конфиденциальной информации, данным учетных записей пользователей, данным сетевых узлов (автоматизированных рабочих мест, периферийного оборудования, подключенного к сети, и сетевого оборудования).
- Внешний пентест информационной системы — оценка возможности получения доступа к внутренней ИТ-инфраструктуре организации через внешний сетевой периметр (например, из сети Интернет).
- Тестирование безопасности веб-ресурсов — оценка реализуемости наиболее опасных векторов атак на веб-ресурсы по адаптированной методологии, основанной на широко используемом по всему миру OWASP Testing Guide.
- Тестирование на устойчивость к DDoS-атакам — проверка устойчивости внешних веб-сервисов к атакам, направленным на их отказ в обслуживании.
- Тестирование безопасности беспроводных сетей — проверка возможности получения злоумышленником доступа в сеть через недочеты в организации беспроводных сетей, а также возможности нарушения работы легальных пользователей.
- Тестирование осведомленности персонала – оценка уровня осведомленности сотрудников в вопросах обеспечения информационной безопасности организации методами опроса контрольных групп и социальной инженерии.
После выявления актуальных уязвимостей ИТ-инфраструктуры организации проводится оценка их критичности и отнесение выявленных уязвимостей к одной из двух групп: обязательные к устранению и рекомендуемые к устранению, но необязательные.
Тестирование информационных ресурсов организации на проникновение позволяет получить понимание сценариев вероятных векторов атак, повысить уровень защиты, а также снизить риск утечки информации и нарушения работоспособности информационных ресурсов, что, в свою очередь, позволит снизить репутационные, финансовые и юридические риски компании.
3. Мониторинг инцидентов информационной безопасности (SOC) — подключение к корпоративному центру мониторинга и реагирования на инциденты информационной безопасности для обеспечения непрерывного процесса выявления событий и инцидентов информационной безопасности, способных повлиять на защищаемую информацию, в том числе:
- непрерывный мониторинг и контроль событий информационной безопасности;
- выявление и реагирование на инциденты информационной безопасности;
- регистрация полученной информации об инцидентах информационной безопасности;
- оповещение ответственного лица организации о зарегистрированных инцидентах ИБ;
- предотвращение негативного влияния инцидентов информационной безопасности и их последствий;
- взаимодействие с ГосСОПКА при обнаружении инцидентов информационной безопасности;
- повышение уровня защиты ИТ-инфраструктуры организации.
На первой линии поддержки SOC осуществляется мониторинг событий информационной безопасности; фиксация события в случае подозрения на инцидент ИБ для дальнейшего анализа; прием обращений об инцидентах и подозрениях на инцидент от персонала и пользователей информационных ресурсов.
На второй линии поддержки SOC осуществляется опись актуальных информационных ресурсов (узлов); устранение последствий компьютерных инцидентов; выявление уязвимостей информационных ресурсов; составление рекомендаций по повышению уровня защищенности инфоресурсов и перечня угроз информационной безопасности; а также взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ).
На третьей линии поддержки SOC проводится глубокий анализ инцидентов информационной безопасности; анализируются текущие и потенциальные угрозы безопасности информации; оцениваются вероятности наступления атак для организации.
Подключение к корпоративному центру мониторинга и реагирования на инциденты информационной безопасности позволяет проанализировать статистику по происходящим событиям и инцидентам ИБ в организации, выявить ошибки конфигураций, следы вредоносного ПО, нелегитимные действия пользователей, а также составить список рекомендаций по повышению уровня безопасности в организации с целью предотвратить утечки данных.
КСБ-СОФТ – системный интегратор в сфере информационной безопасности и импортозамещения информационных технологий
В 2014 году структурное подразделение компании «Кейсистемс», выполняющее комплексные проекты по защите информации регионального значения, выросло в отдельную организацию федерального уровня. Благодаря опытным ИБ-специалистам и талантливым разработчикам программного обеспечения сегодня «КСБ-СОФТ» – это крупный системный интегратор в сфере информационной безопасности, выполняющий комплексные проекты: классический compliance ГИС, ИСПДн, КИИ и АСУТП, практические работы по анализу уязвимостей и тестированию на проникновение (PenTest), мониторингу и реагированию на инциденты ИБ (SOC), а также консалтингу по безопасной разработке (SDL) и сертификации средств защиты информации.
Проекты компании курируют опытные ИБ-специалисты, аккредитованные по международным сертификациям OSCP, CISM, CGEIT и CISA. В своей работе мы используем проверенные методики создания защищенной ИТ-инфраструктуры организаций.
- цикл безопасной разработки в соответствии с передовыми практиками, участие в сообществе безопасной разработки РФ;
- адаптированная методика на основе практик OWASP;
- специализированные утилиты и скрипты, созданные разработчиками нашей компании, для тестирования безопасности ИТ-инфраструктуры организации.
Сотрудники компании реализовали свыше 3000 проектов по защите информации и благодаря полученному опыту предлагают решения, соответствующие трендам развития информационной безопасности и требованиям российского законодательства.
Дополнительную информацию об услугах компании можно получить по единому бесплатному телефонному номеру 8 800 3333 872.