Как обеспечить безопасность информационных ресурсов компании: основные направления защиты

О кибервойне, санкциях и их влиянии на процессы защиты информации

Статистика кибератак на российские информационные ресурсы

С момента начала спецоперации на Украине объекты критической информационной инфраструктуры России находятся под непрерывными кибератаками.

Отчет компании «Ростелеком-Солар» за второй квартал 2022 года показал, что массовые несложные атаки сменились более точечными ударами по конкретным отраслям российской экономики. На этом фоне компании начинают уделять всё больше внимания собственной кибербезопасности, а базовые средства защиты всё чаще дополняются специализированными сенсорами на сети и конечных узлах.

При этом отмечается почти трехкратное увеличение количества подтвержденных инцидентов высокой степени критичности, а наибольшее число инцидентов происходит с применением хакерами вредоносного ПО.

Проблемы, возникшие в сфере защиты информации после начала СВО и кибервойны

Изменение геополитической ситуации в мире после 24 февраля 2022 года глобально повлияло на такие процессы информационной безопасности, как:

1. увеличение количества кибератак на информационные ресурсы организаций с территорий недружественных государств, в том числе выполняемые кибернаемниками и проправительственными группировками;
2. уход зарубежных вендоров (Cisco, Fortinet, Palo Alto Networks и т.д.) с российского рынка либо прекращение поддержки продуктов для российского сегмента пользователей;
3. приостановка сертификатов соответствия ФСТЭК России на продукты иностранных вендоров, не оказывающих техподдержку российским пользователям;
4. снижение общего уровня безопасности информационных систем, в составе которых используются импортные решения, по причине отсутствия обновлений безопасности либо возможного появления "закладок" в составе пакета обновлений;
5. невозможность прогнозировать цены на импортное оборудование и технические средства защиты из-за нестабильного курса рубля, а также нарушения логистических цепочек.

Меры государственного регулирования

Для решения вышеперечисленных проблем 1 мая 2022 года Президентом РФ В. Путиным подписан Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», в соответствии с которым компаниям, владеющим критически важными объектами, необходимо:

• возложить на заместителя руководителя организации полномочия по защите информационных ресурсов организации;
• создать в организации структурное подразделение по информационной безопасности;
• оценить уровень защищенности используемых информационных ресурсов с привлечением организаций-лицензиатов ФСБ России и ФСТЭК России в срок до 1 июля 2022 года;
• привлечь к мероприятиям по защите информации организации, имеющие лицензии ФСБ России и ФСТЭК России в сфере обеспечения информационной безопасности;
• перейти на технические средства защиты информационных ресурсов отечественного производства для защиты ресурсов и оборудования от возможного взлома.

Основные направления защиты в условиях современной кибервойны против российских информационных ресурсов

В связи с вышеперечисленными проблемами в условиях санкционных ограничений и кибервойны для предотвращения нарушения функционирования информационных систем и оборудования, а также для соблюдения положений Указа № 250 российским компаниям необходимо реализовать следующие мероприятия по защите информации:

1. Переход на отечественные средства защиты информационных ресурсов — установленные средства позволяют осуществлять обнаружение и предотвращение утечек защищаемой информации с применением специализированных систем защиты (DLP-систем, систем обнаружения вторжения, NGFW).

Внедрение Next Generation Firewall (NGFW) — межсетевых экранов нового поколения. Решение позволяет обнаружить и заблокировать опасные атаки на веб-приложения, в том числе:

1. несанкционированный доступ к управлению сайтом;
2. попытки нецелевого использования мощностей веб-серверов;
3. несанкционированный доступ к конфиденциальной информации;
4. публикация конфиденциальной информации на информационных ресурсах;
5. использование функционала ресурса для совершения несанкционированных действий в системе с целью получения выгоды.

Самые популярные российские межсетевые экраны нового поколения — Ideco UTM (Айдеко), Usergate (Юзергейт), ViPNet xFirewall 5 (Инфотекс), Континент 4 (Код Безопасности).

Внедрение Intrusion Detection System (IDS) — систем обнаружения вторжений (СОВ). Данные технические средства позволяют осуществлять обнаружение вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых серверов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей).

Самые популярные российские СОВ — ViPNet IDS 3 (Инфотекс), СОВ Континент (Код Безопасности).

Внедрение Data Loss Prevention (DLP) — специализированного программного обеспечения, предназначенного для защиты компании от утечек информации. Кроме того, решения такого класса позволяют:

1. вести учет рабочего времени и использования ресурсов;
2. анализировать противоправные действия работников;
3. контролировать взаимодействие между сотрудниками компании;
4. минимизировать риск утечки данных после увольнения сотрудников.

Самые популярные российские DLP-решения: InfoWatch Traffic Monitor и СёрчИнформ КИБ.

2. Анализ уязвимостей информационных ресурсов компании — это поиск известных уязвимостей в программном обеспечении и недочетов безопасности в организации ИТ-инфраструктуры в целом.

Анализ уязвимостей выполняется по направлениям:

1. Веб-ресурсы (сайты, web-приложения, корпоративные порталы) — поиск недочетов в настройках безопасности с использованием адаптированной методологии OWASP Testing Guide.
2. Внутренняя ИТ–инфраструктура организации — поиск уязвимостей прикладного и системного программного обеспечения, имеющего доступ во внутреннюю сеть.
3. Внешняя ИТ–инфраструктура — поиск уязвимостей и ошибок в настройке безопасности систем и оборудования, доступных из сети Интернет.

Анализ позволяет выявить известные уязвимости в прикладном и системном программном обеспечении и слабости конфигурации, а также получить экспертные рекомендации по устранению выявленных угроз и повышению общего уровня защищенности информационных ресурсов.

Тестирование на проникновение (пентест) — это моделирование действий потенциального злоумышленника по получению доступа к информационной системе и содержащейся в ней информации.

Пентест проводится по направлениям:

1. Внутренний пентест информационной системы — оценка возможности для внутреннего нарушителя получить доступ к корпоративной сети, конфиденциальной информации, данным учетных записей пользователей, данным сетевых узлов (автоматизированных рабочих мест, периферийного оборудования, подключенного к сети, и сетевого оборудования).
2. Внешний пентест информационной системы — оценка возможности получения доступа к внутренней ИТ-инфраструктуре организации через внешний сетевой периметр (например, из сети Интернет).
3. Тестирование безопасности веб-ресурсов — оценка реализуемости наиболее опасных векторов атак на веб-ресурсы по адаптированной методологии, основанной на широко используемом по всему миру OWASP Testing Guide.
4. Тестирование на устойчивость к DDoS-атакам — проверка устойчивости внешних веб-сервисов к атакам, направленным на их отказ в обслуживании.
5. Тестирование безопасности беспроводных сетей — проверка возможности получения злоумышленником доступа в сеть через недочеты в организации беспроводных сетей, а также возможности нарушения работы легальных пользователей.
6. Тестирование осведомленности персонала – оценка уровня осведомленности сотрудников в вопросах обеспечения информационной безопасности организации методами опроса контрольных групп и социальной инженерии.

После выявления актуальных уязвимостей ИТ-инфраструктуры организации проводится оценка их критичности и отнесение выявленных уязвимостей к одной из двух групп: обязательные к устранению и рекомендуемые к устранению, но необязательные.

Тестирование информационных ресурсов организации на проникновение позволяет получить понимание сценариев вероятных векторов атак, повысить уровень защиты, а также снизить риск утечки информации и нарушения работоспособности информационных ресурсов, что, в свою очередь, позволит снизить репутационные, финансовые и юридические риски компании.

3. Мониторинг инцидентов информационной безопасности (SOC) — подключение к корпоративному центру мониторинга и реагирования на инциденты информационной безопасности для обеспечения непрерывного процесса выявления событий и инцидентов информационной безопасности, способных повлиять на защищаемую информацию, в том числе:

1. непрерывный мониторинг и контроль событий информационной безопасности;
2. выявление и реагирование на инциденты информационной безопасности;
3. регистрация полученной информации об инцидентах информационной безопасности;
4. оповещение ответственного лица организации о зарегистрированных инцидентах ИБ;
5. предотвращение негативного влияния инцидентов информационной безопасности и их последствий;
6. взаимодействие с ГосСОПКА при обнаружении инцидентов информационной безопасности;
7. повышение уровня защиты ИТ-инфраструктуры организации.

На первой линии поддержки SOC осуществляется мониторинг событий информационной безопасности; фиксация события в случае подозрения на инцидент ИБ для дальнейшего анализа; прием обращений об инцидентах и подозрениях на инцидент от персонала и пользователей информационных ресурсов.

На второй линии поддержки SOC осуществляется опись актуальных информационных ресурсов (узлов); устранение последствий компьютерных инцидентов; выявление уязвимостей информационных ресурсов; составление рекомендаций по повышению уровня защищенности инфоресурсов и перечня угроз информационной безопасности; а также взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ).

На третьей линии поддержки SOC проводится глубокий анализ инцидентов информационной безопасности; анализируются текущие и потенциальные угрозы безопасности информации; оцениваются вероятности наступления атак для организации.

Подключение к корпоративному центру мониторинга и реагирования на инциденты информационной безопасности позволяет проанализировать статистику по происходящим событиям и инцидентам ИБ в организации, выявить ошибки конфигураций, следы вредоносного ПО, нелегитимные действия пользователей, а также составить список рекомендаций по повышению уровня безопасности в организации с целью предотвратить утечки данных.

КСБ-СОФТ – системный интегратор в сфере информационной безопасности и импортозамещения информационных технологий

В 2014 году структурное подразделение компании «Кейсистемс», выполняющее комплексные проекты по защите информации регионального значения, выросло в отдельную организацию федерального уровня. Благодаря опытным ИБ-специалистам и талантливым разработчикам программного обеспечения сегодня «КСБ-СОФТ» – это крупный системный интегратор в сфере информационной безопасности, выполняющий комплексные проекты: классический compliance ГИС, ИСПДн, КИИ и АСУТП, практические работы по анализу уязвимостей и тестированию на проникновение (PenTest), мониторингу и реагированию на инциденты ИБ (SOC), а также консалтингу по безопасной разработке (SDL) и сертификации средств защиты информации.

Проекты компании курируют опытные ИБ-специалисты, аккредитованные по международным сертификациям OSCP, CISM, CGEIT и CISA. В своей работе мы используем проверенные методики создания защищенной ИТ-инфраструктуры организаций.

• цикл безопасной разработки в соответствии с передовыми практиками, участие в сообществе безопасной разработки РФ;
• адаптированная методика на основе практик OWASP;
• специализированные утилиты и скрипты, созданные разработчиками нашей компании, для тестирования безопасности ИТ-инфраструктуры организации.

Сотрудники компании реализовали свыше 3000 проектов по защите информации и благодаря полученному опыту предлагают решения, соответствующие трендам развития информационной безопасности и требованиям российского законодательства.

Дополнительную информацию об услугах компании можно получить по единому бесплатному телефонному номеру 8 800 3333 872.