Развитие систем корпоративной информационной безопасности (ИБ) вступило в фазу качественных изменений. Эти изменения вызваны не столько активным использованием в ИТ технологии виртуализации и облачных архитектур, сколько переходом корпоративной ИБ в более высокую фазу зрелости, характерными признаками которой являются комплексный подход к построению систем ИБ, интеграция средств обеспечения ИБ и согласование их функционирования под единой системой управления, обеспечение корреляции ИБ-событий.
О своем видении нынешнего этапа развития сферы ИБ и связанных с ним концептуальных изменениях в построении корпоративной ИБ вице-президент McAfee по техническим продажам в регионе EMEA Джон Паркс рассказал научному редактору еженедельника PC Week/RE Валерию Васильеву.
PC Week: Много ли в мире компаний, разорившихся именно из-за плохой организации ИБ?
Джон Паркс: Увы, такой статистики нет. Компании в любой стране (а не только в России) не любят делиться информацией о состоянии свей защищенности и не спешат публично рассказывать об атаках на них. Лишь в некоторых, к сожалению немногочисленных, странах делать это их заставляют законы. Но даже там к публикации таких сведений относятся с большой осторожностью.
PC Week: Казалось бы, уже сам факт присутствия компании на рынке свидетельствует о том, что она не ошиблась с оценкой своих ИБ-рисков и расходов на защиту. В какой мере это может служить показателем ИБ? Все ли существующие компании можно признать в достаточной мере защищенными?
Д. П.: Приходится признать, что современные кибератаки, тем более такие, за которыми закрепилось название Advanced Persistent Threats (APT, длительные целенаправленные угрозы), вполне могут обрушить практически любой атакуемый бизнес. Вот совсем недавний пример. У работающей на Ближнем Востоке очень крупной нефтегазовой компании в результате APT-атаки, в которой использовалась вредоносная программа Shamoon, была украдена ценная информация, после чего на 30 тыс. компьютерах были отформатированы жесткие диски.
Ни один ИБ-эксперт и ни один ИБ-вендор не даст своим клиентам гарантии полной защищенности. Ведь в организацию современных кибератак вовлекаются тоже профессионалы высокого уровня и даже потенциалы целых стран.
Что же делать, если гарантий нет? Нужно учиться держать равновесие, находясь под постоянным воздействием рисков, учиться оценивать их критичность и управлять ими. Конечно, без технологий и средств защиты при этом не обойтись. Однако при этом нужно понимать, что они нужны ни для чего иного, как именно для управления рисками. И дело касается не только рисков ИБ — эту часть рисков нужно рассматривать в контексте общих рисков для бизнеса в целом.
На фоне зрелых рынков, таких, например, как финансовый (и даже ИТ-рынок), ИБ-рынок пока следует рассматривать как молодой, развивающийся. В подавляющем большинстве компаний обеспечением ИБ сегодня занимаются специалисты-технари, далекие от проблем бизнеса. В управленческой пирамиде они располагаются на невысоких позициях. Им свойственно увлекаться технологическими аспектами ИБ, гнаться за новинками и даже модой в ИБ. В результате в компаниях скапливается много самых разных ИБ-средств и систем, которыми управляет множество специалистов. И порой это не столько повышает, сколько наоборот — снижает ИБ компании.
Изменить ситуацию можно только в случае перехода к управлению ИБ-рисками как частью общих бизнес-рисков. Для этого в компании наряду с техническими ИБ-специалистами нужно вводить позиции ИБ-управленцев, относящихся к руководству высшего звена. Мы в McAfee называем их Security Obligated Executives (SOE; руководитель, ответственный за ИБ). Их задача заключается в организации защиты непрерывности бизнеса от ИБ-инцидентов. В большинстве компаний Европы и США функции SOE в настоящее время приходится выполнять генеральным директорам (CEO), при этом многие из них даже не отдают себе в этом отчета. В штатном расписании некоторых фирм появилась позиция Chief Security Officer (CSO, директор по информационной безопасности). По сути CSO должны выполнять обязанности SOE. Однако в действительности этих директоров по информационной безопасности зачастую “поселяют” в ИТ-отделы, а не в высшую администрацию, что означает, что к проблемам ИБ продолжают относиться как к технологическим.
PC Week: Так или иначе функции SOE в компании кто-то выполняет. Что же может служить критерием защищенности, адекватной ИБ-угрозам, которым компания подвергается? Какие вопросы SOE (или тот, кто выполняет его обязанности) должен задавать своей ИБ-службе, чтобы иметь представление о реальном состоянии информационной безопасности бизнеса?
Д. П.: Конечно, любому SOE хотелось бы просто спросить ИБ-службу — компания защищена от ИБ-угроз? И получить короткий ответ — да. Но я уже говорил, что стопроцентной защиты не бывает, а потому такой вопрос задавать наивно и неверно.
Я бы рекомендовал ответственному за ИБ попробовать выяснить, каков в настоящий момент уровень ИБ-рисков для его компании. Если в распоряжении ИБ-службы есть нужные инструменты и налажены необходимые процессы, то она в состоянии ответить на такой вопрос.
Нужно иметь ввиду, что уровень рисков сильно зависит от характера и размера бизнеса. Например, для госструктур приемлемый уровень ИБ-рисков очень низкий, и потому информационная защита для них сложна и стоит дорого. Совершенно иначе может организовать ИБ своего бизнеса владелец овощной лавки — ему будет достаточно ограничиться самыми базовыми средствами защиты. Чем более зрелым является бизнес, тем шире он использует в своей практике управление рисками.
Однако реальность такова, что ИБ-службы большинства компаний сегодня не в состоянии оценивать приемлемый для бизнеса уровень ИБ-рисков, потому что там, как я уже говорил, работают технари по своему духу. Только сами организаторы бизнеса, высшее руководство в состоянии ранжировать объекты и процессы в компании по их критичности для поддержки непрерывности бизнеса. Только они могут соотнести риск утраты какого-либо ресурса или остановку какого-либо процесса со средствами, которые компания может позволить себе потратить на их защиту.
PC Week: Как в связи с этим должны меняться основные технологические и организационные подходы к построению корпоративной ИБ?
Д. П.: Для ИБ-отрасли (и для нашей компании как ИБ-вендора) сегодня характерна стратегическая нацеленность на обеспечение согласованной работы всех корпоративных ИБ-средств. Если компания хочет защищаться от таких серьезных угроз, как APT-атаки, она должна перестать думать об отдельных технологиях — ей нужна многослойная интегрированная защита, результаты функционирования каждого компонента которой должны быть увязаны между собой.
Наша компания предлагает платформу Security Connected Platform (SCP), которая оркеструет работу всех других компонентов защиты — на конечных устройствах, корпоративной сети, системах хранения данных — и по корреляции данных, полученных от каждого из них выявляет признаки в том числе и APT-атак. Можно сказать, что это аналог ERP-системы, только предназначенный для решения задач обеспечения корпоративной ИБ. Платформа SCP открыта для всех ИБ-вендоров. К настоящему моменту в каких-то направлениях ее создания мы продвинулись далеко, а в чем-то нам приходится начинать практически с нуля.
Одна из наших перспективных ключевых целей называется Security BigData. Это решение подразумевает сбор и анализ огромных массивов данных, которые будут поступать из репозитория платформы SCP. Чтобы своевременно выявлять признаки атак, нужна очень высокая производительность при обработке данных об ИБ-событиях для выявления корреляции между ними. Основой Security BigData послужит SIEM-продукт (система управления инцидентами и событиями безопасности) компании NitorSecurity, которую мы купили примерно год назад. В его основе лежит СУБД высокой производительности, специализированная для сбора и анализа логов ИБ-устройств и систем.
Можно сказать, что задача SIEM — искать иголку в стоге сена. Многочисленные неудачи внедрения систем SIEM (которые присутствуют на рынке уже несколько лет) связаны как раз с тем, что собираемые ими данные оставались, по сути, лежать мертвым грузом. Мы добавили к SIEM аналитику, вырабатываемую нашей глобальной службой сбора сведений о киберугрозах GTI, нашу единую среду управления ePO и аналитику средств противодействия угрозам и в результате получили продукт Enterprise Security Manager (ESM), который выпустили на рынок в мае этого года.
Таковы первые шаги к построению Security BigData. В целом же для завершения создания полнофункциональной SCP нам предстоит еще большая работа.
PC Week: После таких кибератак, как Stuxnet, Duqu, Flame и т. п., в повестку дня с высоким приоритетом вошла защита АСУ ТП критически важных объектов и структур. Среди тех, кто владеет такими объектами и структурами, есть как частные, так и государственные компании. Как происходит разделение ответственности за безопасность таких структур между частным бизнесом и государством?
Д. П.: Ответственность за надлежащую защиту критически важных объектов возлагается на их владельцев. Если объект принадлежит частному бизнесу, следовательно, за безопасность будет отвечать частный предприниматель. В то же время государство должно осуществлять контроль защищенности через доступные ему рычаги регулирования — законодательную базу, институты контроля исполнения законов. Следует отметить, что в разных странах есть свои особенности конкретной реализации этих общих правил.
Нужно иметь ввиду, что сегодня в АСУ ТП все чаще используются не специализированные, а имеющие широкое распространение технологии и продукты, в том числе IP-протокол. Но даже если технологическая сеть остается полностью изолированной, при организации ее защиты нельзя исключить влияние человеческого фактора и использование против обслуживающего персонала приемов социальной инженерии, которые с успехом были задействованы в упомянутой атаке Stuxnet.
PC Week: У McAfee есть глобальная служба сбора сведений о киберугрозах GTI. Более того, многие разработки вашей компании используются в оборонных структурах США. Поэтому уместно спросить, какова вероятность кибератаки террористов, по масштабам разрушения сравнимой с той, что они провели в США 09.11.01 с помощью самолетов?
Д. П.: Хочется верить, что все мы научимся отражать кибератаки злоумышленников на маломасштабных инцидентах и не допустим подобных катастроф. Но, как я уже не один раз упоминал, гарантировать, что это никогда не случиться, нельзя. Приходится констатировать, что в киберпротивостояние сегодня включились уже целые государства.
И все же не стоит забывать, что существуют технологии и средства, с помощью которых можно снизить вероятность реализации разрушительных злонамеренных киберакций.
PC Week: Благодарю за беседу.