Павел Гончаров, руководитель направления по развитию бизнеса продуктов для мониторинга информационной безопасности и управления инцидентами Positive Technologies, — о современных киберугрозах и эффективной защите компаний.
По данным исследования TAdviser, объем рынка
— Как выглядит типичная
— Инфраструктура даже небольшой компании может измеряться сотнями тысяч активных устройств: компьютеры, серверы, сетевое оборудование, системы контроля и управления доступом, средства защиты информации,
— Как в таких условиях строить защиту?
— Нужно принять новую реальность и осознать, что преодолеть периметр и проникнуть в инфраструктуру хакерам стало проще и, как показывает наш опыт, они могут быть уже там, внутри. Злоумышленники постоянно модифицируют свои инструменты. Например, они могут под каждую новую атаку готовить ранее не применявшееся вредоносное программное обеспечение (ВПО), замаскированное под вполне легитимный софт или способное обходить базовые средства защиты (антивирусы, файрволы).
При этом ИТ- и
По нашим подсчетам, каждое рабочее место генерирует три события информационной безопасности в секунду, а более сложное оборудование (серверы, контроллер домена, сетевое оборудование) — в десятки раз больше.
Уследить за таким массовым потоком событий невозможно и целому штату специалистов, а значит, необходимо подключать автоматизированные решения. Такие продукты называются системами мониторинга событий ИБ и управления инцидентами — Security Information and Event Management (SIEM).
— Когда привычные всем средства ИБ (например, антивирусы) не справляются, в каких случаях нужна
— Давайте сравним два события. В первом случае сотрудник подключает к рабочему компьютеру флешку, которая оказывается зараженной вирусом. Его быстро сканирует антивирусная система и блокирует опасность. Итог — вирус обнаружен и удален.
Во втором случае злоумышленники специально написали вредоносную программу для атаки на конкретную организацию и отправили ее сотрудникам в фишинговом письме. Программа была «благополучно» загружена и
Во втором примере специалистам центра мониторинга информационной безопасности (Security Operations Center) необходимо как можно скорее собрать данные об этом событии, понять, как вредоносный софт попал в инфраструктуру и какой вред уже успел нанести, а самое главное — у каких сотрудников это ВПО еще не удалено.
Без качественного автоматизированного мониторинга различить, какое из этих двух событий требует расследования и реагирования, невозможно.
— Кому нужны средства мониторинга событий ИБ и управления инцидентами?
— В первую очередь географически распределенным компаниям со сложной инфраструктурой, насчитывающей тысячи рабочих мест и множество
Но вместе с цифровизацией и распространением удаленки размытие периметра стало чертой и среднего бизнеса. Поэтому для средних компаний
Также давайте не забывать, что именно такие организации часто оказываются партнерами и подрядчиками для крупного бизнеса. И здесь мы уже можем говорить о рисках атак на цепочки поставок, когда сам взломанный подрядчик становится инструментом атаки. За прошедший год мы убедились, что атаки на цепочки поставок стали частым явлением. Ведь злоумышленнику намного проще взломать организацию поменьше, традиционно они менее защищенные, и уже через них получить доступ к инфраструктуре главной жертвы.
— На что обращать внимание при выборе решения по мониторингу событий ИБ и управлению инцидентами?
— Компаниям нужны результативные средства сбора, обработки и управления событиями ИБ в инфраструктуре. Самое распространенное ожидание от внедрения SIEM — это своевременное обнаружение инцидентов, ведущих к недопустимым событиям (97%).
— Какие фокусы ставите при развитии собственного продукта?
— Злоумышленники постоянно развивают свой инструментарий, например, все чаще используют технологии ИИ и машинного обучения. Продукты по защите должны быть на шаг впереди. В частности, именно поэтому в новый релиз MaxPatrol SIEM, который уже доступен нашим клиентам, мы добавили подсистему поведенческого анализа BAD (Behavioral Anomaly Detection), которая работает на основе машинного обучения. Это своего рода второе мнение о событиях ИБ, которое помогает операторам не пропустить инцидент. Такие технологии позволяют подсвечивать не только известные угрозы, но и новые тактики и техники злоумышленников.
Поток событий ИБ растет, при этом никто не отменял дефицит аппаратных ресурсов, и поэтому любые технологии, и особенно на стороне защиты, должны выдавать максимальный результат при минимальных требованиях к архитектуре. Это нашло отражение в новой версии нашей системы, которая отличается высокой производительностью1 и позволяет организовать мониторинг больших потоков событий без сокращения качества и компромиссов. Увеличенная производительность важна в первую очередь для географически распределенных организаций и позволит получать максимальный результат при любых условиях.
При выявлении инцидентов действовать нужно быстро, поэтому в SIEM добавляются инструменты, которые помогают операторам сократить время расследования и дальнейшего реагирования. Для этого
В основе MaxPatrol SIEM, конечно же, лежит экспертиза наших специалистов по обнаружению и реагированию на угрозы и исследователей, которые ищут уязвимости в инфраструктурах компаний в рамках проектов по анализу защищенности. Эти знания мы «переупаковываем» в пакеты экспертизы и правила корреляции (которых уже больше 800), передаем на сторону клиента в автоматическом режиме. Это позволяет существенно повысить ценность технологии в каждой использующей ее команде ИБ.
— Может ли система помочь частично решить вопрос с нехваткой кадров?
— У большинства наших клиентов нет возможности иметь большой штат специалистов, и мы пытаемся им в этом помочь.
Поэтому мы расширяем функциональность
— Может ли рост киберрисков замедлить сам процесс цифровизации бизнеса? Если компании поймут, что риски перевешивают преимущество цифровизации.
— Ни в коем случае не замедлит. Цифровизация позволяет бизнесу нарастить доход, несмотря на сопутствующие риски. Допустим, прибыль компании составляет около 100 млн руб., что стало возможным при использовании цифровых сервисов. А потери от действий хакера могут составить 15 млн руб. В таком случае компания, принимая все риски, все равно будет инвестировать в IT.
Тем не менее у каждой компании есть ограниченный список действительно недопустимых для бизнеса событий: остановка производства на определенный срок, вывод средств со счетов выше определенной суммы, атаки, которые могут привести к человеческим жертвам или вреду экологии. Для этого необходимы грамотные инвестиции в средства защиты, которые дают результат. Если кибербезопасность в компании будет нацелена на измеримую пользу, то развитие ее цифровых систем не будет риском для бизнеса.
16+
АО Позитив Текнолоджиз
1 На одном ядре и с использованием всех экспертных правил обновленный продукт обрабатывает более 540 тыс. событий в секунду. Производительность MaxPatrol SIEM проверена с помощью нагрузочных тестирований, для которых специалисты Positive Technologies сэмулировали реальную инфраструктуру крупной компании из enterprise-сегмента с десятком филиалов и подали копию реального потока событий. Результаты получены при использовании полного набора экспертизы вендора (700 правил корреляции).
Процентные ставки по вкладам поднялись до максимумов. Даже среди крупных банков можно найти депозиты с доходностью выше 20% годовых. Еще год назад никто не думал, что такие ставки могут вернуться, а потому частные клиенты, несмотря на страхи, массово возвращаются в банки. В связи с закрытием фондового рынка возможности банков по предложению инвестиционных продуктов резко ограничились. Однако, как и прежде, клиентам доступны инвестиции в золото в виде слитков, монет и металлических счетов.
Подробнее
Сегодня первоочередная задача инвестиционного блока правительства Московской области — простимулировать проекты в сфере импортозамещения. В этих целях мы подготовили несколько новых механизмов поддержки бизнеса и уже представили их руководству региона и предпринимателям.
Подробнее
