Наталья Касперская: традиционный «инцидентный» подход к обеспечению ИБ фактически устарел
Президент группы компаний InfoWatch Наталья Касперская рассказала о необходимости модернизации традиционной модели корпоративной информационной безопасности (ИБ) предприятия в рамках пленарной части конференции BIS Summit 2017 Saint-Petersburg. По её словам, традиционный «инцидентный» подход к обеспечению безопасности организаций, основанный на построении модели угроз с последующим мониторингом уже произошедших инцидентов, фактически устарел, сообщили CNews в InfoWatch.
Фокус ИБ сегодня смещается в сторону предотвращения инцидентов и анализа корпоративных рисков, связанных с информационной безопасностью. А поскольку все современные системы связаны с ИТ, это означает проникновение специфических ИТ-рисков во все параметры функционирования организации, подчеркнула Наталья Касперская. В свою очередь, это полностью меняет парадигму ИБ внутри организации — обеспечение безопасности (в том числе, информационной) выходит за рамки профильного ИБ-подразделения и становится фундаментальной корпоративной функцией, в обеспечении которой участвует вся организационная структура организации.
«Проблема усугубляется тем, что согласно исследованиям Аналитического центра InfoWatch, больше половины утечек идет от внутреннего пользователя — инсайдера, который помог информации утечь, — подчеркнула глава InfoWatch. — Внутренний злоумышленник опаснее, чем внешний и защищаться от него гораздо сложнее».
По словам Натальи Касперской, проблема BYOD (Bring Your Own Device) — использования незащищенных личных мобильных устройств в рабочих целях, возможность удаленной работы или наличие обособленных подразделений компаний больше не позволяют критичной информации оставаться внутри защищенного периметра. Исходя из этого, концепция «периметральной» защиты уступает место защите разноуровневых и разноудаленных субъектов и объектов, находящихся как вовне, так и внутри организации.
Особое место в докладе было уделено инфраструктурным угрозам информационной безопасности организаций, исходящим от «индустриального интернета вещей». Глава ГК InfoWatch отметила, что, интегрируясь с информационными технологиями, производственные системы подвергаются тем же угрозам, что и обычные ИТ-системы. В том числе упрощается проведение целевых атак на такие организации, добавила она.
Президент ГК InfoWatch уточнила, что целевые атаки — горячая тема последних лет — становятся только опаснее из-за интеграции с информационными атаками: злоумышленники используют информацию о компании, сотрудниках, системах защиты, и, к сожалению, найти эту информацию все проще из-за прозрачности нашего мира.
Наталья Касперская также рассказала о слиянии информационных и инфраструктурных угроз и, как следствие, неизбежном сращивании различных классов защитных систем. Отдельные средства защиты, по ее словам, становятся неэффективными. К тому же, темпы появления новых технологий существенно опережают темпы развития средств обеспечения их безопасности, и огромное количество новых технологий остается незащищёнными, добавила она. По этой причине она считает необходимым введение единого стандарта сертификации для систем интернета вещей.
Наталья Касперская отметила, что системы защиты в будущем будут совершенно другими, все большее значение будет приобретать использование анализа больших данных для целей ИБ и поведенческий анализ.
По словам Рустэма Хайретдинова, замглавы InfoWatch, президента ассоциации BISA, отрасль требует от систем защиты одновременно и анализа контента, и анализа транзакций на базе профилей, и контроля аномалий. «Производители DLP-систем должны научиться анализировать события, а производители Anti-Fraud- и SIEM-решений — понимать контент. Вопрос в том, кто объединит все функции — какой-то новый игрок или же существующие производители настроят свои процессы таким образом», — прокомментировал эксперт.
Президент BISA также отметил, что DLP-производители уже идут по пути модернизации систем из-за ряда факторов: сообщения и документы, которые обрабатывает система предотвращения утечек, исчисляются миллионами, и идут по миллиардам контентных маршрутов, длина сообщений в деловой переписке уменьшается и порог эффективности семантических методов пройден, а увеличение числа каналов коммуникаций требует умения детектировать и «сшивать» диалоги.
По словам Рустэма Хайретдинова, в будущем анализ контента отойдет на второй план. «Сначала будут выявляться аномалии в профилях, затем в этих аномалиях будет выделяться бизнес-контекст, только потом в этих аномалиях будет проводиться углублённый анализ контента с учётом бизнес-контекста», — полагает он.
Рустэм Хайретдинов также считает, что в ближайшем будущем в отрасли произойдет переход от защиты данных к персоноцентричности — ИБ-специалисты будут смотреть, что делает человек в бизнес-контексте: после сбора данных из различных систем (DLP, SIEM, AD, приложения, внешние источники) будет происходить нормализация по персоне (сеть, EndPoint, приложения), следующий этап будет включать корреляцию и визуализацию по основным типам — угрозам, рискам, аномальному поведению. На основе ролей пользователей будут рассматриваться инциденты, адаптироваться профили и проводиться расследования. Этот процесс, по мнению эксперта, в скором времени приведет к использованию больших данных в ИБ.
Начальник управления безопасности «Национальной системы платежных карт» Василий Окулесский в свою очередь рассказал о построении систем информационной безопасности в организации с учетом требований регуляторов. Он отметил, что выполнение на 95% комплексного соответствия нормативным требованиям по информационной безопасности (Compliance) на практике дает лишь 9% защищенности для наиболее важных активов. «Построение Compliance — это 30% того, что надо сделать в организации для заложения основ информационной безопасности. Когда мы говорим о реальной безопасности — необходимо погружаться в бизнес-процессы, в головы людей», — уверен эксперт.