Захист цифрових активів — завдання стратегічна

Організаціям, встає на шлях цифровий трансформації, слід грунтовно замислитися про захист інформаційних активів, щоб не піддавати свій бізнес вельми серйозним ризикам.


Світова економіка вступила в епоху цифрових змін — точніше, цифровий трансформації бізнесу. У найближчі кілька років саме ця тенденція стане визначальним вектором розвитку для переважної більшості організацій. Причому мова йде не тільки про банки і телекомунікаційних компаніях, які «традиційно» залежать від ІТ. Підприємства будуть активно нарощувати свої інформаційні активи, щоб встановлювати нові рекорди операційної ефективності, використовувати найсучасніші можливості по залученню клієнтів та виходу на ринки і створювати продукти і послуги, в яких ІТ-складова буде якщо не головним, то одним із центральних факторів успіху. В цих умовах захист інформаційних активів стає одним з ключових напрямків цифровий трансформації.

Справді, цінність цифрових активів істотно зростає — вони розглядаються як цілком реальні, без яких досягти бажаних результатів вельми і вельми проблематично. Оскільки обсяги цифрових активів постійно збільшуються, частина їх буде розміщуватися поза організації (в першу чергу в хмарах), структура ускладниться, а управління ними виявиться скрутним. Такі масштабні зміни призведуть до появи безлічі рішень по захисту даних. Все це говорить про те, що цифрові активи стануть дуже вразливими.

Неминуче зросте і кількість зловмисників, які прагнуть отримати доступ до цифрових активів і важелі управління ними, з'являться нові методики і інструменти для кібератак. Причому їх собівартість, найімовірніше, знизиться, а результативність збільшиться. І найголовніше, посиляться бізнес-ризики, пов'язані зі шкідливим впливом на цифрові активи: вдало проведена кібератака здатна завдати дуже серйозної, а в ряді випадків непоправний збиток.

Усвідомлюючи це, компанія Hewlett Packard Enterprise визначила захист цифрових активів як одне із ключових напрямків своєї стратегії в області цифрової трансформації. HPE має намір надавати допомогу в адаптації, з одного боку, до нових вимог бізнесу, а з іншого — до мінливого ландшафту загроз.

Пропонуючи замовникам широкий набір технологій і послуг в області захисту інформаційних активів, HPE допомагає забезпечувати найвищий рівень захищеності і успішно протистояти навіть самим хитромудрим загрозам. Цілий ряд послуг орієнтований на протистояння новим викликам, причому оновлюються і способи надання таких послуг — це пов'язано не тільки із змінами ІТ-ландшафтів організацій, але і з удосконаленням підходів зловмисників, які застосовують ІТ для нанесення шкоди підприємствам.

Захист від атак зловмисників
HPE ретельно оцінює потреби замовників з управління ризиками, що загрожують схоронності цифрових активів підприємства, і підбирає рішення, що забезпечують необхідний захист. Нерідко особливе занепокоєння викликають не тільки ризики ІБ (сукупний збиток від них може виявитися досить істотним і навіть болісним — аж до повної втрати конкурентоспроможності), але й економічні ризики.

Згідно з недавнім дослідженням 2015 Cost of Cyber Crime Study: Global», проведеним компанією Ponemon Institute, найбільш сильно страждають від загроз інформаційної безпеки підприємства енергетики, виробничі, фінансові, транспортні і технологічні компанії. У нафтогазовій та енергетичній галузях реєструється багато випадків шахрайства і розкрадання товарно-матеріальних цінностей, у першу чергу витратних матеріалів, — втрати іноді досягають 12-15% річної виручки. Банкам доводиться протистояти ризикам, пов'язаним з відмиванням капіталів, їх виведенням з активів, дробленням платежів, шахрайськими трансакціями. Велика кількість інцидентів у фінансових організаціях тісно пов'язано з наявністю у них численних електронних сервісів, за допомогою яких можна отримати доступ до активів.

Протистояти загрозам кібератак можна за допомогою засобів HPE ArcSight. Вони дозволяють збирати в режимі онлайн будь-яку інформацію про роботу інфраструктурних систем (програмно-апаратних ІТ-комплексів, телекомунікаційних систем, інженерних інфраструктур, виробничих об'єктів і їх АСУТП). Ці дані можна аналізувати, виявляти закономірності, властиві інцидентів, і потім на основі системи правил гранично швидко виявляти нові інциденти. Причому можна розглядати не тільки сфери ІТ та ІБ, але і економічну діяльність, виробничу безпеку та інші напрямки. Адаптація технології ArcSight до вирішення поточних завдань підприємства не займає багато часу.

Чимало російських замовників вже застосовують продукти інформаційної безпеки HPE у своїх системах, призначених для запобігання шахрайства. Суттєвий виграш, зокрема, дає інтеграція цих продуктів з бізнес-системами інших постачальників. Наприклад, у тісній співпраці з SAP вдалося виділити ряд типових сценаріїв шахрайства, популярних у інсайдерів, які працюють з бізнес-додатками цього вендора, і реалізувати захист від шахрайства за допомогою інструментарію ArcSight. Така інтегрована система захисту дозволяє відстежувати порушення бізнес-процесів (при узгодженні документів, здійснення платежів, надання знижок тощо), контролювати доступ до зарплатними листами і персональних даних користувачів, виявляти шахрайські комбінації, пов'язані, наприклад, з видачею кредитів, дисконтних карт або скасуванням раніше скоєних дій. Застосовувати такі системи завжди вигідно, особливо у великих організаціях, де нерідкі випадки шахрайства і питання мінімізації збитку від них стоїть досить гостро.

На виявлення дій зловмисників, які загрожують цифровим активів, націлений продукт User Behavior Analytics. Він дозволяє вибудовувати профілі типового поведінки користувачів та програм, а також елементів інфраструктури, з якими вони взаємодіють. На основі цих профілів розпізнається нетипова поведінка і, таким чином, виявляються дії зловмисника або шкідливого коду в ході таргетованої атаки або шахрайських операцій.

Ще один нещодавно вийшов аналітичний продукт, що не має аналогів на ринку, DNS Malware Analytics, дозволяє виявляти активність шкідливого коду шляхом аналізу трафіку DNS. Певного роду активність, виходить, наприклад, від окремих робочих станцій, може служити сигналом того, що вони заражені шкідливими кодами. До речі, найбільшим замовником цього продукту є сама компанія HPE — з його допомогою аналізується трафік, який генерують клієнтські пристрої 200 тис. співробітників. Ефективність технології перевірена історією створення системи DNS Malware Analytics. Вона придбала «товарний вигляд» після декількох років еволюції компанії HP: початок було покладено набором правил обробки тривог про події ІБ, а підсумком став висновок на ринок закінченого комерційного продукту.

Захист даних
Захист інформаційних активів неможлива без захисту даних, у першу чергу від несанкціонованого доступу до них і їх втрати. У портфелі HPE є близько півтора десятка продуктів, що дозволяють захистити від кібератак електронні листи (включаючи вкладені файли), банківські транзакції, транскордонні бізнес-транзакції і інші цифрові активи підприємства. У всьому світі рішеннями HPE для захисту даних користуються багато великі компанії, наприклад, міжнародні платіжні системи Visa і MasterCard, а в Росії — провідні банки країни.

Забезпечити надійний криптозахист різних видів даних, поряд із застосуванням електронних ключів-токенів, допомагають рішення сімейства HPE Security Voltage. Вони можуть працювати в різних корпоративних ІТ-інфраструктуру, в тому числі хмарних, мобільних середовищах та системах Великих Даних. Рішення з іншого сімейства, HPE Atalla, відповідають за автоматизовану класифікацію неструктурованих даних і їх захист від втрати, а також за шифрування даних, якими підприємство обмінюється з зовнішнім хмарою або віддаленими серверними майданчиками. Для підтримки безпеки фінансових даних (вимоги такого роду нерідко висувають регулятори банківського бізнесу) призначене програмно-апаратне рішення Atalla Network Security Processor (NSP). До речі, саме Atalla стала першою технологією, яка використовується для захисту транзакцій, здійснюваних за допомогою пластикових карт.

Захист даних не повинна обмежуватися тільки шифруванням, часто метою зловмисників є знищення або зміна даних. В таких умовах стає вельми актуальною, здавалося б, така очевидна і проста задача, як резервне копіювання. Сьогодні виконання резервного копіювання і відновлення ускладнюється через розрізненість середовищ віртуалізації і хмарних платформ. Портфель рішень НРЕ в області резервного копіювання і відновлення (HPE Data Protector, StoreOnce, StoreEver та інші рішення) дозволяє ефективно відповісти на виклики. Цю тему ми постараємося більш детально висвітлити в інших статтях.

Захист додатків
Ще один важливий клас інформаційних активів — додатки. Саме вони лежать в основі надання бізнесу і зовнішнім клієнтам все більшої кількості сервісів. Нерідко вводяться в дію програмні системи стають ще одним фактором ризику інформаційної безпеки. Уразливості, викликані дефектами кодування (незлоумышленными помилками) нерідко виникають із-за неуважності розробників, поспіху або неправильного програмування.

Практика показує, що в ході навіть самого поверхневого сканування десятків прикладних програмних продуктів, які знаходяться в промисловій експлуатації, виявляються СОТНІ критичних помилок в програмному коді — від типових «майстер-ключів», що залишаються розробниками «на всякий випадок, якщо клієнт забуде пароль», до найсерйозніших «дірок», не раз описаних у відповідних документах.

Ці уразливості стають причиною збоїв в роботі ІТ-систем, а крім того, ними можуть скористатися зловмисники. HPE пропагує ідею управління ІБ ще в ході розробки програмного забезпечення та є прихильником розгортання процесу створення безпечного ПО (Security Development Life Cycle). Звичайно, програмісти не зобов'язані бути експертами з ІБ, але в їх силах — не допускати дефектів в своїх продуктах. У той же час замовники програмних засобів повинні отримати доступ до інструментарію, що дозволяє оцінити якість сплачених ними розробок, або власним, що знаходиться в розпорядженні служби ІБ підприємства, або належить сервісним організаціям ринку ІТ та ІБ.

Уникнути дефектів програмування можна, навчивши розробників навичкам безпечного програмування і правильним чином вибудувавши процес розробки. Звичайно, знадобляться різні види тестування, але і цього недостатньо — великий ризик, що недосконалий код буде переданий в промислову експлуатацію. І тоді усунення недоліків потребує значних фінансових витрат — в 20-30 разів більші, ніж затрати на запобігання або виявлення помилок на етапі проектування. Та й часу знадобиться в 10 разів більше, адже доведеться зробити відкат до попередніх збірок, перевірити і виправити весь код, заново перекомпілювати його, провести функціональне та навантажувальне тестування, перевстановити і здати замовникові.

Найбільшу зацікавленість у налагодженні процесу створення безпечного ПО виявляють організації, які створюють серйозні, критично важливі системи. Вони впроваджують цей процес поступово і послідовно переводять на нього команди, які працюють над окремими ключовими проектами, — зазвичай виконується не більше двох таких проектів одночасно.

Щоб виявити дефекти програмування і уразливості в готових додатках, HPE пропонує проводити, принаймні, два типи тестів. Динамічне сканування (на проникнення ззовні) дозволяє на 80% знизити ризик злому програми. Сканування вихідних кодів ЗА допомагає виявляти найбільш критичні дефекти на етапі розробки. В Росії вже близько двох десятків компаній використовують цей підхід, реалізований із застосуванням інструментарію HPE. В першу чергу мова йде про засоби статичного аналізу програмного коду Fortify Static Code Analyzer і динамічного аналізу безпеки веб-додатків і сервісів Fortify WebInspect. Вибудувати процес створення безпечного ПО допомагає рішення Fortify Software Security Center — репозиторій централізованого управління розробкою, що забезпечує цілісний і прозорий погляд на безпеку додатків в цілому.

У загальних рисах процес виглядає наступним чином. Після сканування додатка виявлені дефекти коду автоматично сортуються, а потім групуються за ступенем критичності: найнебезпечніші, досить серйозні і не дуже важливі (останніми в разі цейтноту можна знехтувати). Експерт з безпеки переглядає знайдені вразливості і підтверджує завдання по їх усуненню. Керівники команд розробки призначають виконавців, які повинні усунути дефекти, після чого отримані результати передаються по ланцюжку і проходять необхідну перевірку. Ніяких додаткових процедур, окрім передбачених регламентом, не потрібно. ІТ-підтримка цього процесу реалізується засобами інструментарію навантажувального тестування LoadRunner і системи управління якістю створюваного програмного забезпечення Quality Center Enterprise.

Інформація, отримана в ході сканування додатків, може бути використана для підготовки звітності ІТ-департаменту або передана в систему моніторингу безпеки. Це буває корисно, наприклад, для адекватного реагування на підозрілі активності: якщо вони пов'язані з програмними модулями, в безпеці яких виявлені «дірки», слід звернути на ці атаки пильну увагу, оскільки велика ймовірність того, що зловмисники спробують скористатися дефектом в коді.

Центри захисту інформаційних активів
Ключову роль в захисті цифрових активів покликані зіграти центри управління інцидентами інформаційної безпеки (Security Operation Center, SOC). Вони збирають та аналізують в реальному часі все, що стосується захисту даних, і завчасно виявляють зростаючі загрози (в першу чергу кібератаки), допомагаючи вживати необхідні заходи. В найбільших SOC-центрах світу обробляється понад 1 млн подій ІБ в секунду. В Росії, принаймні, у десяти організацій є SOC, які обробляють по 200 тис. і більше подій ІБ в секунду. Є свій SOC і у компанії HPE. У нього передаються і аналізуються відомості про події інформаційної безпеки, що відбуваються на пристроях 365 тис. співробітників; за добу аналізується близько 20 млрд запитів DNS.

Співробітники HPE відзначають, що і в Росії підвищується попит на послуги по створенню центрів управління інцидентами інформаційної безпеки (Security Operation Center, SOC) і незалежною оцінкою рівня зрілості вже побудованих центрів цього рівня. Оцінку проходять три ключових аспекти SOC: технології, співробітники і процеси. В ході аудиту перевіряються оргструктура і правильність вибудовування процесів, а крім того, оцінюються можливості застосовуваних у SOC технологій з точки зору їх достатності і надмірності.

Російським замовникам доступні сервіси, що надаються не тільки компанією HPE, але і її партнерами, які мають статус Managed Security Services Provider. Близько 30 організацій вже співпрацюють з одним із таких власників центру SOC. Найімовірніше, найближчим часом коло постачальників сервісів ІБ на базі продуктів HPE буде розширюватися — у першу чергу за рахунок телекомунікаційних компаній, що прагнуть поповнити свої портфелі пропозицій для корпоративних клієнтів.

Щоб керівники організацій мали можливість контролювати бізнес-процеси, зіставляти й оцінювати взаємозв'язок різних ризиків з ІТ-факторами, фахівці HPE розробили консоль Executive Value Dashboard. Вона побудована на базі функцій ArcSight, Business Service Management, Універсальний CMDB і Service Manager. Є серед користувачів цієї консолі і російські замовники, які вже займаються впровадженням даного рішення.

У ряді російських підприємств вже накопичений великий досвід по захисту цифрових активів. Деякі з них, спираючись на наявну компетенцію та інструментарій в області інформаційної безпеки, освоюють новий для себе бізнес — надання послуг захисту цифрових активів іншим організаціям, причому як власним дочірнім компаніям, так і зовнішнім замовникам. Можна з упевненістю стверджувати, що інвестиції, спрямовані на захист інформаційних активів, здатні не тільки знижувати ризики, але і приносити реальний дохід, допомагаючи витягувати з цифрової трансформації додаткову вигоду.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.