Алексей Печенкин, Новикомбанк: Изменение ландшафта киберугроз будет напоминать «битву киберинтеллектов»

Безопасность

28 Декабря 2022 20:0928 Дек 2022 20:09 |
Поделиться

2022 г. стал немалым испытанием для систем безопасности информационной инфраструктуры банковского сектора. Всплеск кибератак, которые стали более целенаправленными и разрушительными на фоне отзыва лицензий и прекращения технической поддержки западными вендорами, заставляет банки серьезно усиливаться в киберзащите. О том, как обеспечить своевременное реагирование на киберинциденты, какие процессы обеспечения защиты информации нужно автоматизировать, а какие нет, как обеспечить экономическую эффективность кибербезопасности и какая технология способна изменить парадигму защиты информации, рассказывает Алексей Печенкин, руководитель проекта департамента информационной безопасности Новикомбанка.

СNews: Как бы вы охарактеризовали последние изменения киберландшафта в целом и в банковском секторе в частности?

Алексей Печенкин: Уходящий год был, без сомнения, полон вызовов как для информационной инфраструктуры в масштабах всей страны, так и для банков: массовые DDoS-атаки, дефейсы сайтов, утечки данных и атаки ВПО начались с февраля и затихали с тех пор лишь на непродолжительные периоды. Первые кибератаки были масштабными, но легко выявляемыми и достаточно тривиальными — вероятно, атакующие таким образом «прощупывали почву».

В течение года кибернападения стали более целенаправленными и разрушительными: например, если раньше последствия атаки вируса-шифровальщика заключались в краже конфиденциальной информации и шифровании файлов, то теперь шифровальщики намеренно уничтожают ключ расшифрования для невозможности восстановления данных, а также выполняют действия по выведению из строя элементов информационной инфраструктуры (удаление загрузочных записей, системных файлов, повреждение микропрограммы устройств). При таких атаках гарантированно помогут резервные копии, которые хранятся на отчуждаемых носителях (ленточных накопителях), но для восстановления с них требуется время, в течение которого бизнес-процессы будут простаивать.

В банковском секторе, который традиционно относится к кибербезопасности и непрерывности бизнеса особо внимательно, большой проблемой стали DDoS-атаки, организуемые и координируемые централизованно, в том числе через специализированные группы в мессенджерах, в которых всем желающим даются подробные инструкции по участию в противоправной деятельности. Не менее сложной и разрушительной может стать атака с участием завербованного атакующими инсайдера, который обладает легитимными, зачастую расширенными полномочиями в целевой инфраструктуре. Ситуацию обостряет также и снизившееся доверие к зарубежными системам ИБ, которые в любой момент могут прекратить обновляться и выполнять защитные функции, а отсутствие технической поддержки и уход западных вендоров делают невозможным быстрое исправление ситуации.

CNews: Какие главные вызовы стоят сейчас перед банковскими департаментами ИБ?

Алексей Печенкин: Департаменты ИБ в банках, впрочем, как и в других отечественных отраслях, в этом году столкнулись со сложными вызовами по различным направлениям: уход западных вендоров и отзыв лицензий, прекращение технической поддержки и консалтинга, ограничение или отключение защитного функционала наложились на всплеск кибератак, которые в некоторых случаях не были обнаружены и митигированы импортными ИБ-системами, переставшими получать обновления и поэтому ставшими неэффективными буквально в течение считанных дней. Кроме того, свои коррективы в планы развития ИБ и ИТ инфраструктуры внесли новые законодательные требования по импортозамещению, в частности, запрет на использование иностранных СЗИ субъектами КИИ с 2025 года и переход на ПО из единого реестра российского или евразийского ПО на всех значимых объектах КИИ до 2027 года. Реализация данных амбициозных задач требует совместных усилий производителей ПО/СЗИ и интеграторов, а также самих заказчиков, чьи специалисты зачастую впервые сталкиваются с некоторыми российскими решениями и платформами, которые требуют определенных специфических компетенций.

Массовый переход на Open Source, на российские ОС и СЗИ повышают требования к квалификации ИТ/ИБ-сотрудников, дефицит которых стал заметен уже во время пандемии и сейчас только усилился. Кроме незапланированных закупок отечественных продуктов и оперативной реализации проектов по импортозамещению, компаниям требуется быстро перестроить свои бизнес-процессы, которые в банковской отрасли, например, традиционно были «завязаны» на решения от зарубежных SAP, Oracle, HP, IBM. Ситуацию в банковской отрасли подогревают и изменение модели потребителей банковских услуг в более консервативную сторону, и усложнение экономической ситуации, и повышающиеся нормативные требования со стороны регуляторов.

CNews: Как обеспечить экономическую эффективность кибербезопасности в финансовых учреждениях?

Алексей Печенкин: В сложившихся условиях руководителям банковских департаментов ИБ нужно предлагать бизнесу практики и решения, оптимальные с точки зрения соотношения «cost/value». После консультаций с юридическим блоком, оценив ассоциированные риски, можно обратить внимание на решения, предлагаемые по подписке: переход с CAPEX на OPEX-модель затрат, оплата по мере использования, возможность оперативного масштабирования и увеличения производительности, простота и скорость подключения услуг, а также прозрачные прогнозируемые затраты и измеримые результаты могут быть экономически эффективным способом решения текущих задач. Для тех, кто ограничен использованием только собственных ресурсов, разумным будет эффективное задействование всех встроенных функций безопасности в имеющихся решениях и применение процессного подхода к кибербезопасности. Тщательная проверка реализации и корректировка даже базовых принципов обеспечения ИБ (сегментирование сети, минимизация полномочий, отключение избыточного функционала, хранение и аудит логов, своевременное устранение уязвимостей, контроль привилегированных учетных записей) в конечном итоге приведут к повышению уровня киберзащищенности.

Не стоит забывать и о проведении программ повышения осведомленности в области ИБ среди работников — эту задачу вполне под силу решить собственными силами с минимальными затратами, а эффективность выстроенного таким образом «человеческого фаирволла» подтверждается год за годом. Кроме того, сотрудникам департаментов ИБ следует непрерывно повышать собственную экспертизу, в том числе путем самообразования, что также не повлечет дополнительных расходов, но позволит эффективно решать амбициозные задачи, а затем выйти из периода турбулентности с новыми компетенциями.

CNews: Можно ли полностью автоматизировать процессы управления операционными рисками в кредитно-финансовом учреждении?

Алексей Печенкин: В Положении Банка России № 716-П, описывающем требования к обеспечению процесса управления операционными рисками, указано, что риски реализации угроз безопасности информации и риски информационных систем следует рассматривать наряду с остальными видам операционных рисков и, следовательно, учитывать их в общей системе управления операционными рисками (СУОР) финансового учреждения. Недавно также вступили в силу Положения Банка России № 787-П и № 779-П по операционной надежности (соответственно, кредитных и некредитных финансовых организаций), в которых указано, что требования по операционной надежности должны соблюдаться финансовыми учреждениями при выполнении критически важных процессов, определенных согласно Положению № 716-П в рамках СУОР. Таким образом, финансовые организации должны вести базу событий оперриска, выполнять расчет контрольных показателей уровня операционного риска, осуществлять контроль ключевых индикаторов риска, а также контролировать целевые показатели операционной надежности для каждого технологического процесса. Помимо этого, учреждения должны подавать отчетность по форме 0409106 («Отчет по управлению операционным риском в кредитной организации»), ручное формирование которой требует значительных трудозатрат.

Очевидно, что указанные процессы управления операционными рисками следует в большой степени автоматизировать для снижения нагрузки на сотрудников, исключения человеческого фактора и повышения оперативности предоставления данных, в том числе для обеспечения ситуационной осведомленности руководителей организации и принятия взвешенных риск-ориентированных управленческих решений. При этом создание, корректировка и поддержание в актуальном состоянии такой платформы автоматизации СУОР потребует вовлечения экспертов как со стороны банка, так и со стороны команды внедрения вендора, поэтому достичь стопроцентной автоматизации такого сложного процесса, вероятно, не удастся.

CNews: Как обеспечить своевременное реагирование на киберинциденты в условиях быстрых и разрушительных атак последнего времени?

Алексей Печенкин: Оперативность реагирования на инциденты ИБ складывается из нескольких факторов: корректно выстроенный процесс мониторинга событий ИБ со всех элементов инфраструктуры и из всех сетевых сегментов, долгосрочное хранение и быстрый поиск по событиям, корреляция, обогащение данными из ИТ/ИБ-систем компании, а также автоматизация предпринимаемых действий по реагированию (анализ, сдерживание, устранение, восстановление). Переход от мониторинга стандартных источников событий безопасности к расширенному логированию и анализу событий ИБ, в том числе с уровня бизнес-приложений, и далее к автоматизированным действиям по контекстуализации и обогащению полученных данных и выполнению автоматических действий по реагированию на кибератаку будет свидетельствовать о повышении уровня зрелости процессов управления инцидентами ИБ в организации, а также о продвинутой системе управления ИБ в целом.

Для реализации подобной автоматизации применяются системы класса SIEM (сбор, хранение, корреляция событий ИБ), IRP/SOAR (обогащение и контекстуализация данных, автоматизация реагирования на инциденты ИБ), TIP (выявление скрытых киберугроз, расширенная аналитика, ретро-поиск). Так, например, у нас в Новикомбанке внедрена платформа автоматизации действий по реагированию на инциденты кибербезопасности Security VisionIRP / SOAR. Следующим шагом в этом направлении мы видим развитие инструмента SOC в виде платформы Threat Intelligence Platform (TIP).

Для формализации сценариев реагирования в виде плейбуков, отправки оповещений и совместной работы аналитиков при реагировании, построения «timeline» инцидента можно применять соответствующий функционал IRP/SOAR-платформ. После выполнения первоочередных действий по реагированию также важно провести пост-анализ выполненных действий и корневых причин возникновения инцидента, проведя затем корректировку процессов реагирования и перенастройку средств защиты.

CNews: Можно ли снизить ущерб в случае успешной кибератаки?

Алексей Печенкин: Действительно, далеко не все кибератаки можно предотвратить, и реализованные защитные меры не всегда играют ключевую роль, поскольку скорость изменения инфраструктуры, разработки приложений, поиска уязвимостей атакующими непрерывно увеличивается, следовательно, зачастую атаки становятся успешными по вполне объективным причинам. При реализации мер реагирования на киберинциденты следует руководствоваться допущением, что успешная атака рано или поздно произойдет или уже произошла, но ее признаки и последствия пока не выявлены. Для снижения ущерба в случае успешной кибератаки важно как можно быстрее ее обнаружить и выполнить действия по сдерживанию (локализации) угрозы: изолировать зараженное устройство от сети компании, заблокировать скомпрометированную учетную запись, сбросить сетевое соединение.

В целом, трендом последних лет стало уменьшение (буквально до считанных минут) времени нахождения злоумышленников в инфраструктуре атакованной организации с момента первичного проникновения до запуска деструктивных действий. Поэтому важно устанавливать и соблюдать жесткие временные метрики обнаружения и реагирования на инциденты ИБ, учитывая свойства атакованного актива, критичность обрабатываемой информации и важность зависимого бизнес-процесса. Например, срабатывание средства антивирусной защиты может характеризоваться названием сработавшей сигнатуры, каталогом обнаружения вредоносного объекта, типом атакованного устройства, свойствами залогиненной на момент атаки учетной записи: если сигнатура Generic-типа сработала на файл в папке интернет-загрузок на АРМ рядового пользователя, который не работает с критичной информацией и не обладает расширенными привилегиями (в том числе на локальном ПК), то такой инцидент будет рассмотрен с меньшим приоритетом, чем сработка типа «Trojan» на контроллере домена или в системном каталоге на сервере бизнес-приложений.

Подобные характеристики следует учитывать в сценариях реагирования и автоматизировать максимальное количество действий для сокращения времени реакции, исключения человеческих ошибок и снижения нагрузки на дефицитных ИБ-специалистов.

CNews: Какие предварительные действия следует выполнить перед внедрением решения для автоматизации процессов управления ИБ?

Алексей Печенкин: Для того, чтобы затраты на систему автоматизации процессов кибербезопасности оправдали себя, следует внимательно отнестись не только к непосредственному выбору самого решения, но и к процессу внедрения. Решения по автоматизации процессов управления ИБ, по аналогии, например, с DLP-системами, потребуют существенного вовлечения заказчика при внедрении, которое затронет существующие процессы ИБ в компании. Для достижения успеха автоматизировать лучше те процессы, которые внутри организации уже достигли определенного уровня зрелости (2 или 3 уровня по методологии CMMI, т.е. управляемого или регламентированного уровня); в этом случае есть и актуальные внутренние нормативные документы, и понимание процесса, и сформировавшиеся потребности в автоматизации определенных действий. Наиболее популярными кандидатами для автоматизации будут такие процессы ИБ, как управление информационными активами, уязвимостями, конфигурациями, аудитами, отчетами, киберрисками (для этого предназначены системы класса SGRC), а также процессы реагирования на киберинциденты (для этого применяются IRP/SOAR-системы). Для достижения наибольшей эффективности внедрения и эксплуатации IRP/SOAR-системы следует заранее создать внутреннюю рабочую группу по внедрению, оценить зрелость корпоративных процессов мониторинга и реагирования на инциденты, актуализировать имеющиеся планы и процедуры реагирования, а также сформировать желаемые критерии успешности проекта внедрения (например, снижение времени первичного выявления инцидента до определенного значения, достижение заданного процента автоматизации действий, исключение выполнения однотипных действий операторами в различных консолях СЗИ). Решения класса IRP/SOAR наиболее целесообразно будет использовать тем, кто уже выстроил процессы управления инцидентами ИБ, успешно эксплуатирует SIEM-систему и осознал, что в процессе реагирования выполняется стандартный и легко алгоритмизируемый набор действий.

CNews: Можете порекомендовать метрики оценки эффективности процессов кибербезопасности?

Алексей Печенкин: Для измерения эффективности процессов кибербезопасности будет логично разделить метрики по направлениям оценки процессов, технологий, персонала. Для оценки эффективности процессов можно оценивать охват проинвентаризированных и прокатегорированных устройств, охват элементов инфраструктуры процессами управления конфигурациями и изменениями, охват инфраструктуры мерами защиты информации, процент ложноположительных киберинцидентов, процент повторяющихся типов инцидентов, время простоя бизнес-процессов в результате инцидентов, финансовый ущерб от реализованных атак.

Для оценки эффективности технологий можно использовать процент автоматически устраненных за определенное время уязвимостей высокого и критического уровня, процент передающих телеметрию в SIEM устройств компании, среднее/медианное время выявления инцидента ИБ, процент атрибутированных инцидентов по тактикам и техникам атакующих, количество поступивших в SIEM событий безопасности, среднюю длину графа кибератаки.

Для оценки эффективности персонала можно оценивать количество проинвентаризированных активов, количество обработанных уязвимостей, количество обработанных и эскалированных каждым специалистом инцидентов, затраченное специалистом среднее/медианное время на каждом из этапов реагирования, затраченное специалистом среднее/медианное время на обработку запросов пользователей. При этом показатели эффективности должны соответствовать принципам S.M. A.R.T. (быть конкретными, измеримыми, достижимыми, релевантными, привязанными ко времени), методика измерения должна быть объективной и исключать возможность манипуляции показателями, а сотрудники должны осознавать, что оцениваются в первую очередь корректность выполняемых действий и конечный результат.

CNews: Как вы думаете, какие процессы обеспечения защиты информации нужно автоматизировать, а какие — нет?

Алексей Печенкин: Автоматизация предполагает наличие отлаженных, формализованных и легко структурируемых процессов и действий. Если попытаться автоматизировать хаос, то легко можно получить всего лишь автоматизированный хаос, но не чудесным образом упорядоченные и ускоренные процессы. Поэтому автоматизация процессов ИБ в первую очередь интересна зрелым компаниям, которые точно знают свои цели и способы их достижения, и нуждаются лишь в инструменте. Для организаций, в которых процессы обеспечения защиты информации слабо формализованы или регламентированы лишь «для галочки», могут быть актуальными услуги предварительного консалтинга для структурирования и перестроения процессов.

При этом, вне зависимости от степени зрелости компании, участие экспертов, глубоко погруженных в тонкости инфраструктуры и бизнес-процессов компании, требуется на всех этапах жизненного цикла ИБ-решения. Перед внедрением очередного продукта необходимо прежде всего продумать состав сотрудников, которые будут сопровождать и администрировать выбранное решение в дальнейшем, обеспечить их обучение, повышение компетенций, лояльность и мотивированность. Без экспертизы не обойтись и когда возникают сложные, нетривиальные инциденты, когда ставятся задачи по изменению ИБ-архитектуры, при необходимости кросс-функциональной коммуникации с различными подразделениями.

CNews: Какие продукты и услуги по кибербезопасности могут стать востребованными в банковском секторе в ближайшее время?

Алексей Печенкин: В ближайшее время можно ожидать повышение интереса к отечественным Open Source решениям, к российским CASB и SASE/SSE-решениям для защиты облачной инфраструктуры, к анализаторам кода, системам мониторинга поверхности атак. Можно ожидать и дальнейшего роста интереса к предложениям SECaaS (Security as a service, кибербезопасность как услуга), которые уже сейчас поступают от MSSP/MDR-провайдеров, включая SOC/SIEM as a service, AntiDDoS as a service, FWaaS (межсетевой экран как сервис), управление уязвимостями и тестирование на проникновение по подписке. Можно ожидать рост интереса к инфраструктурным предложениям, таким как DRaaS (Disaster recovery as a service, аварийное восстановление как услуга) и BaaS (Backup as a service, резервное копирование как услуга). Вероятно, будут пользоваться спросом и конвергентные решения на стыке ИТ и ИБ для обеспечения синергии усилий по обеспечению непрерывности и кибербезопасности бизнес-процессов.

Но, безусловно, явными лидерами в среднесрочной перспективе будут отечественные продукты, которые смогут качественно заместить импортные решения, не уступая им в функционале, удобстве и быстродействии: CRM-системы, ВКС-платформы, специализированное банковское ПО, а также сетевое оборудование и сетевые средства защиты, системы хранения данных, банкоматы, аппаратные модули безопасности (HSM).

CNews: Может ли стремительное развитие каких-либо технологий или подходов кардинально повлиять на ландшафт киберугроз в ближайшем будущем?

Алексей Печенкин: Кардинально расклад сил на киберландшафте смогут поменять практически реализуемая квантовая криптография и доступные квантовые вычисления, а также научный прорыв в применении искусственного интеллекта и машинного обучения. На текущий момент AI/ML-системы и анализ Big Data применяются во многих ИБ-направлениях, например, для выявления аномалий, нераспознанных кибератак, действиях по реагированию на инциденты ИБ.

Однако такие решения требуют тщательной настройки, обучения, предоставления качественных данных для анализа. Если в обозримом будущем длительный этап настройки можно будет значительно сократить, то, возможно, мы увидим существенное изменение ландшафта киберугроз, поскольку таким преимуществом начнут пользоваться как защитники, так и атакующие, и это будет напоминать «битву киберинтеллектов». Но, вероятнее всего, в ближайшем будущем участие человека в процессах обеспечения киберустойчивости будет незаменимым, а значит, у и так перегруженных и дефицитных ИБ-экспертов работы точно меньше не станет.

Полный текст статьи читайте на CNews