О том, в каком направлении российским компаниям следует трансформировать корпоративные системы информационной безопасности (ИБ), чтобы их бизнес мог эффективно противостоять современным угрозам в этой области, Павел Эйгес, генеральный директор в России McAfee, ИБ-подразделения корпорации Intel, рассказал научному редактору PC Week/RE Валерию Васильеву.
PC Week: Как вы считаете, на каком месте находятся сегодня задачи ИБ на шкале корпоративных бизнес-приоритетов российских компаний?
Павел Эйгес: Очевидно, что это зависит от того, какое значение для бизнеса данной конкретной компании имеют информационные технологии. Ведь наряду с предприятиями, для которых ИТ являются сутью бизнеса (например, операторами связи), есть и такие структуры, в бизнесе которых ИТ играют вспомогательную роль, обслуживающую основные бизнес-процессы.
Однако следует признать, что ИТ сегодня пронизывают практически все сферы жизни. Трудно, к примеру, не заметить, как за последние лет пять в России вырос уровень их проникновения в структуры федерального, регионального и муниципального управления. Разработаны и реализуются такие масштабные программы, как «Электронная Россия», «Электронное правительство», «Электронная Москва», «Электронная Казань» и др., в которых, кстати, большое внимание уделяется вопросам ИБ.
Я бы не стал пытаться определить некое усредненное место ИБ в приоритетах современных предприятий и организаций. Куда важнее наблюдать изменения в отношениях к задачам ИБ: в самых разных областях деятельности осознается их высокая значимость, идет поиск подходов к их эффективному решению, одновременно растет ответственность и повышается статус ИБ-специалистов.
PC Week: Как можно оценить «порог чувствительности» бизнеса к ИБ-угрозам — на ущербы какого объема он начинает реагировать, а с какими предпочитает мириться? Что можно сказать об абсолютных показателях ущербов от кибератак и расходах на ИБ?
П. Э.: В разных странах и разных компаниях величины ущерба от киберпреступлений варьируются в широком диапазоне, как, впрочем, и размеры средств, выделяемых на ИБ. Однако в совокупности, согласно данным Центра стратегических международных исследований (CSIS), они составляют уже заметные доли ВВП: в Германии — 1,6%, в Новой Зеландии — 1,5%, в США — 0,64%, в Китае — 0,63%, в Японии — 0,2%, в Великобритании — 0,16%, в России — 0,1%. По данным CSIS, урон от киберпреступности в мире оценивается в 445 млн. долл. Киберпреступления снижают выгоды, получаемые бизнесом в Интернете, на
Важно отметить, что на смену преобладающему в российском бизнесе финансированию ИБ по остаточному принципу — стремлению приобрести лучшее, что можно себе позволить из имеющихся на рынке средств защиты от наиболее распространенных видов ИБ-угроз, на те деньги, которые остаются от основных статей расходов, — приходит формирование ИБ-бюджета с позиций экономической целесообразности: компании следят за тем, чтобы стоимость ИБ-защиты не превышала размеров возможного ущерба от ИБ-угроз. Для этого выстраивается процесс управления ИБ-рисками, суть которого заключается в приоритизации возможных ИБ-угроз через их привязку к возможным ущербам.
Для некоторых видов угроз такую привязку провести несложно. Интернет-магазин, например, в состоянии довольно точно оценить прямые убытки от каждого часа простоя своего веб-сайта. Но вот опосредованные убытки (имиджевые, например) даже в этом случае подсчитать бывает очень и очень трудно.
PC Week: А что больше всего сегодня заботит компании в плане построения ИБ-защиты?
П. Э.: К настоящему времени заказчики убедились в том, что идти путем создания корпоративной ИБ-системы по принципу эшелонированной защиты, на каждом рубеже которой стоит лучшее в своем классе ИБ-средство, не только дорого (как по начальным, так и по эксплуатационным затратам), но и нерезультативно с позиций надежности защиты, поскольку такой подход чреват интеграционными проблемами и низкой интероперабельностью ИБ-средств. О каком повышении надежности, а тем более эффективности ИБ-системы можно говорить, если, например, являющиеся по сути средствами контентной фильтрации шлюз электронной почты и веб-шлюз не взаимодействуют между собой?
Ключевыми требованиями к современной корпоративной ИБ-системе стали консолидация ИБ-ресурсов, их оркестровка и автоматизация функционирования вплоть до принятия управленческих и операционных решений. Именно в этом направлении и работают ведущие ИБ-вендоры.
McAfee, например, развивает платформу Security Connected. В ней на уровне заводских настроек реализуется интеграция между ведущими в своих классах ИБ-средствами (например, между системами SIEM и IPS, между системой безопасности сети и безопасности на конечных точках), поддерживается автоматизация реагирования на ИБ-события. В результате на нашей платформе можно сформировать глубоко интегрированную, способную автоматически реагировать на инциденты, позволяющую экономить на обслуживании корпоративную ИБ-систему. Ведь давление на ИБ-защиту постоянно растет. Сегодня, например, согласно данным наших экспертов каждую секунду появляется по нескольку новых образцов вредоносных кодов. Разбираться с ИБ-инцидентами без автоматизации, вручную, инцидент за инцидентом, стало просто невозможно.
Сегодня компании с большим вниманием относятся к возможностям систем уровня SIEM, способным агрегировать и увязывать ИБ-данные, автоматизировать процессы обработки ИБ-инцидентов и централизовать управление ИБ-системой.
Мы считаем, что в построении современной корпоративной ИБ-системы главным трендом должна стать автоматизация процессов обеспечения ИБ. ИБ-защита при этом должна работать так, как работает иммунная система человека, которая справляется с большинством попыток заражения организма. Даже пропустив вирус внутрь, обнаружив его, она включает защитные механизмы, нейтрализует вирус или минимизирует вредное его воздействие. И только иногда человек прибегает к помощи врачей и лекарств.
PC Week: Эксперты все чаще говорят о целевых атаках (Advanced Persistent Thread, APT) как о чреватых серьезными, порой катастрофическими последствиями для атакуемых. Какие средства и механизмы можно рекомендовать для защиты от них?
П. Э.: Сегодня практически все компании (и российские в том числе) считают, что находятся под воздействием атак даже в том случае, если защитные средства не сигнализируют об этом.
Эти атаки могут означать массированные попытки злоумышленников найди бреши хоть где-нибудь, а могут быть направленными и на вполне конкретную компанию, представляя собой ту самую целевую атаку. Реализуются они по многовекторным схемам, включая использование человеческого фактора по технологиям социальной инженерии, т. е. изнутри атакуемой компании, а не только через ее периметр.
Сразу нужно сказать, что APT-атаку предотвратить крайне сложно, а в некоторых случаях вообще невозможно, поскольку ей предшествует тщательное, порой долговременное изучение структуры защиты атакуемого, направленное на поиски уязвимостей, присущих именно ему. Нередко для APT-атаки пишут уникальные коды точно под обнаруженные уязвимости или даже используют редкие уязвимости «нулевого дня».
Поскольку инициатива в APT — за атакующим, то достигнет он цели или нет, это практически вопрос времени, решение которого зависит только от настойчивости атакующего: его квалификация может лишь ускорить организацию и проведение атаки. Поэтому в случае APT-атак следует говорить не о предотвращении, а о реагировании на атаку с целью минимизации ее последствий.
На рынке появились решения для защиты от APT. Мы для этих целей предлагаем программно-аппаратный комплекс McAfee Advanced Threat Defense, который позволяет построить многоуровневую защиту, включающую анализ антивирусных сигнатур и репутаций, межсетевое экранирование, функционал защиты от вторжений, эмуляцию поведения в реальном времени, глубокий анализ статического кода и динамический поведенческий анализ «в песочнице». В настоящее время комплекс проходит тестирование в нескольких российских компаниях, занимающихся расследованием компьютерных преступлений, на предмет использования данного решения в их деятельности.
PC Week: Насколько совпадают ИБ-интересы частных компаний с задачами обеспечения национальной кибербезопасности и информационной безопасности отдельных людей?
П. Э.: Баланс интересов заинтересованных (и столь разных) сторон в области ИБ всегда достигается непросто. Сошлюсь на простой пример с видеонаблюдением, которое существенно помогает структурам поддержания правопорядка в работе. Находится немало противников установки видеокамер в общественных местах, объясняющих свою позицию необходимостью соблюдать приватность жизни граждан. Однако когда дело доходит до пресечения или разбирательства правонарушений, эти же люди обвиняют полицию в неоперативности и неэффективности действий.
Законы, регламентирующие данный баланс интересов, в разных странах имеют свои особенности. Но важно отметить, что российские бизнесмены все чаще задумываются не только о прямых ущербах от реализованных ИБ-угроз, но и о последствиях несоответствия требованиям государственного и международного регулирования в области ИБ.
PC Week: Что можно сказать о нынешнем состоянии российских ИБ-проектов: кто сегодня является главным их заказчиком внутри компаний и кто — главным исполнителем, как меняются их сложность, ориентация по задачам, масштабы...?
П. Э.: Внутренние заказчики остались прежними — в большинстве случаев это ИБ- и иногда ИТ-службы. Налицо заметный рост их компетентности. Как результат проекты становятся комплексными, требующими глубокой интеграции предлагаемых решений в инфраструктуру заказчика, их интероперабельности и самоактуализации, способности гибко масштабироваться как территориально, так и функционально. Все чаще у заказчиков возникают задачи автоматизации управления ИБ-системами и реагирования на ИБ-инциденты. Проекты, во всяком случае те, в которых участвует наша компания, растут в масштабах. В них находит свое отражение и ориентация на сервисное потребление ИБ. Заказчиками в таких проектах чаще всего являются операторы связи и банки.
PC Week: Благодарю за беседу.