Средства защиты от типовых ИБ-угроз к настоящему времени стали, как утверждают эксперты, высокоэффективными и недорогими, что сделало их доступными и широко используемыми на практике. Как следствие, типовые атаки, рассчитанные на массированное применение, на «огонь по площадям», перестали представлять собой серьезные угрозы, и злоумышленники, чтобы достичь своих корыстных целей, все чаще прибегают к так называемым целевым атакам (APT), важнейшим признаком которых является сосредоточенность на одном объекте.

В целевой атаке могут использоваться самые разные инструменты и технологии, в том числе и из тех, что применяются при типовых атаках. На APT, как правило, у злоумышленников уходит много денег и времени, к ним привлекают высококвалифицированных специалистов.

Защищаться от APT столь же сложно и затратно, как и организовать их. Это под силу лишь компаниям с высокой зрелостью в области корпоративной ИБ. Такие атаки настолько сложны, что корректнее говорить не об их предотвращении, а минимизации ущерба от них за счет по возможности более раннего обнаружения, блокировки эскалации и применения средств из арсенала т. н. апостериорной защиты, включающей проведение расследований для выявления и наказания организаторов и исполнителей, а также для принятия мер, исключающих успешное повторение сценария атаки.

Обязательным компонентом защиты от целевых атак является построение корпоративной системы управления информационной безопасностью и ИБ-событиями (Security Information and Event Management — SIEM или Security Information Management — SIM, оба термина будем рассматривать как равнозначные), главная задача которой заключается в сборе, корреляции и анализе ИБ-событий со всех объектов корпоративной ИКТ-инфраструктуры.

Системы управления информационной безопасностью и ИБ-событиями помогают не только в борьбе с целевыми атаками, они также являются инструментом повышения эффективности системы корпоративной ИБ за счет централизации управления ИБ-событиями и автоматизации процессов принятия решений по реагированию на ИБ-инциденты.

Данные Forrester Research за второй квартал 2014 г. свидетельствуют о том, что направление SIM демонстрирует стадию сбалансированности (Equilibrium) на кривой умеренной технологической успешности с обещанием перехода на протяжении одного — трех лет в стадию снижения (Decline).

«Мозгом» корпоративной системы информационной безопасности (не путать с SIEM или SIM!) является центр управления ИБ (Security Operation Center, SOC). Руководители Центра информационной безопасности компании «Инфосистемы Джет» заявляют, что, если в течение первого получаса персонал их Центра включится в разбор и нейтрализацию ИБ-инцидента, то ущерб от него можно снизить втрое. За это время специалисты SOCа классифицируют инцидент, отфильтровывают ложные срабатывания, оценивают потенциальный ущерб от инцидента и, возможно, корректируют его критичность (как правило, повышают), подготавливают и передают руководству первичную аналитическую справку об инциденте и уже принятых мерах.

Однако позволить себе иметь собственный SOC могут далеко не все российские компании ввиду высокой стоимости систем SIEM, являющихся главным инструментом в SOCе, а также из-за сложности и дороговизны его эксплуатации.

Согласно статистики, накопленной компанией «Инфосистемы Джет», около 90% ИБ-инцидентов случается в дневные, рабочие часы, в то же время основная часть критичных ИБ-инцидентов, связанных, как правило, с внешними ИБ-событиями, случаются в интервале с 21 часа до 2 часов ночи, т. е., когда персонал находится не на службе. Такое «расписание» инцидентов обусловливает необходимость налаживания круглосуточного режима работы SOCа, для чего в штате должно быть не менее двух ИБ-специалистов, работающих исключительно с системой управления ИБ и ИБ-событиями, которая в свою очередь требует от своих пользователей высокой квалификации.

Поскольку в среднестатистической (с позиции оценки зрелости корпоративной ИБ) российской компании в штате насчитывается всего около пяти ИБ-специалистов, в стране, как считает начальник отдела аутсорсинга ИБ Центра информационной безопасности компании «Инфосистемы Джет» Владимир Дрюков, отыщется не более двух десятков компаний, которые могут справиться с дополнительной ИБ-нагрузкой в виде SOCa.

Как сообщил директор Центра информационной безопасности компании «Инфосистемы Джет» Игорь Ляпунов, компания реализует в год около сорока проектов по внедрению систем SIEM, однако только менее 10% из них через год после внедрения продолжают реально функционировать у заказчиков. Причину этого он видит в том, что заказчики не справляются с окончательной настройкой систем SIEM и поддержкой их своими силами в реально рабочем состоянии. Они не учитывают того, что промышленные ИКТ- и ИБ-продукты пока еще плохо приспособлены для решения задач централизованной обработки ИБ-событий, поэтому развертывание SIEM требует доработки мониторинга состояния источников ИБ-событий (в первую очередь коннекторов к источникам) для увеличения количества данных, передаваемых от них в систему управления ИБ-событиями, чтобы в дальнейшем эффективно использовать возможности современных систем SIEM.

Кроме того, в России, по оценкам г-на Ляпунова, недостаточно специалистов, которые хорошо знают SIEM-системы, стоят эти специалисты (как, впрочем, и сами системы) очень дорого, а загрузить их на постоянной основе задачами одной компании нереально — либо их квалификация будет использоваться неэффективно, либо им наскучит рутина и «мелкотемье», и они уйдут по собственному желанию в поисках более интересных задач.

Все это, однако, не означает, что большинство российских компаний не могут эффективно решать задачи управления корпоративной системой ИБ, или оказываются беззащитными перед APT-атаками. Альтернативой созданию и эксплуатации собственного SOCа и развертывания SIEM могут стать услуги ИБ-аутсорсинга, которые в нашей стране в том или ином объеме уже предоставляют крупные российские системные интеграторы. В их числе и компания «Инфосистемы Джет», которая с 2013 г. запустила облачные услуги по реагированию на ИБ-инциденты. Оказывающая эти услуги коммерческая структура этой компании называется JSOC.

Инфраструктура JSOC базируется на двух ЦОДах. Основной имеет резерв автономной (по электропитанию) работы до 80 часов, за которые сервисы JSOC могут быть подняты в резервном ЦОДе. Загрузка внешних каналов Интернета для клиента при наличии у него примерно 150 источников данных для SIEM при подключении к услугам JSOCа составляет примерно 5–7 Мбит/с.

В JSOCе в данное время насчитывается более тридцати специалистов, работающие в режиме 24×7. Как правило, клиенты заказывают мониторинг своих ИТ- и ИБ-систем и информирование об инцидентах в соответствии с условиями договоров о качестве обслуживания (SLA). В этом случае допуска к клиентским системам у персонала JSOCа нет, и их обслуживанием занимается персонал самих компаний-клиентов. В то же время три из тринадцати имеющихся к настоящему времени клиентов уже согласились на сквозное обслуживание, включающее меры по противодействию ИБ-угрозам с использованием клиентского оборудования персоналом JSOCа.

JSOC предлагает такие базовые ИБ-сервисы, как контроль регулятивных требований, мониторинг исполнения ИБ-политик, контроль ИБ ИКТ-инфраструктуры, ИБ-контроль контрагентов, защиту бизнес-приложений, защиту от бизнес-угроз, относящихся к сфере деятельности кадровой службы, службы экономической безопасности, ИТ- и ИБ-служб. Недавно были запущены сервисы защиты от DDoS-атак и контроля защищенности клиента (который предполагает выработку рекомендаций и работу с клиентом над развитием его ИБ-защиты).

Г-н Дрюков, возглавляющий работу JSOC, сообщил, что этап подключения к услугам занимает от двух недель до месяца. По его словам, за первый месяц у клиентов, как правило, выявляются около десяти инцидентов несанкционированного доступа; не менее пяти утечек конфиденциальной информации; до десяти пользователей, нарушающих политики доступа в Интернет; непрофильное использование технологических учетных записей и информационных систем.

Специализация JSOCа на обработке ИБ-инцидентов, связанная с этим существенная оптимизация его бизнес-процессов и максимально возможная их автоматизация позволяют использовать персонал гораздо эффективнее, нежели персонал SOCа в обычной, не ИБ-компании, стремящейся наладить обработку ИБ-инцидентов. Как показывает опыт функционирования JSOCа, на каждого клиента приходится около 850 коррелированных событий в месяц, среднее время отработки каждого составляет примерно 30 мин.

Г-н Ляпунов предупреждает клиентов ИБ-аутсорсинга (состоявшихся и потенциальных) о готовности его компании отвечать деньгами за нарушения SLA, однако эта ответственность всегда будет ограниченной. Условия SLA для клиентов JSOCа, как он пояснил, были разработаны по образцам для услуг ИБ-аутсорсинга таких компаний, как Dell, HP, Symantec. По его словам, JSOC готов отвечать за нарушения SLA суммами, кратными месячным платежам клиента, но не более этого.

Сегодня, если аутсорсер в течение восьми часов не предпринял никаких действий по зарегистрированному комплексом JSOCа в отношении кого-либо из клиентов инциденту, клиенту, согласно SLA, выплачивается 25% месячного платежа. Если это случается на протяжении месяца трижды, следующий месяц он обслуживается бесплатно. Для каждого клиента назначен персональный ответственный специалист-аналитик, который находится на переднем крае всех контактов с данным клиентом и разбирается в деталях ситуации с ИБ на стороне клиента лучше остальных специалиcтов JSOCа.

Внутренними заказчиками на услуги ИБ-аутсорсинга, как отметил г-н Дрюков, чаще всего выступали ИБ-служба, однако есть прецеденты, когда таковыми становились службы экономической безопасности. По его словам, наибольший интерес к услугам ИБ-аутсорсинга в России сегодня проявляют банки и компании розничной торговли, в то время как компании телекоммуникационного, нефтегазового и государственного секторов предпочитают строить собственные SOCи.

Г-н Ляпунов считает, что при переходе на модель аутсорсинга ИБ-услуг (как, впрочем, и на аутсорсинг любых иных услуг) клиентам не стоит рассчитывать на снижение совокупной стоимости владения — аутсорсинг всегда дороже на длительном временном интервале (так, стоимость услуг SOCа на аутсорсинге, по его оценкам, за 3–4 года сравнивается со стоимостью собственного SOCа с 200 подключенными к нему источниками ИБ-событий) . По сути, сервис-провайдер продает клиенту то, в чем последний действительно нуждается, однако реализовать своими силами не может или считает нецелесообразным.

На перспективы рынка аутсорсинга ИТ- и ИБ-услуг в компании «Инфосистемы Джет» смотрят с оптимизмом. На развитие инфраструктуры этих услуг компания запланировала вложить с 2013 по 2015 гг. включительно 120 млн. руб.

К концу 2015 г. г-н Дрюков ожидает удвоения количества клиентов JSOCа, рассматривая как своих потенциальных заказчиков компании, в которых эксплуатируется по нескольку десятков информационных систем. По характеру бизнеса это в основном банки и предприятия розничной торговли.

Версия для печати (без изображений)