Артем Медведев, Руководитель департамента корпоративной безопасности НРЕ в России.
Организациям, встающим на путь цифровой трансформации, следует основательно задуматься о защите информационных активов, чтобы не подвергать свой бизнес весьма серьезным рискам.
Мировая экономика вступила в эпоху цифровых перемен — точнее, цифровой трансформации бизнеса. В ближайшие несколько лет именно эта тенденция станет определяющим вектором развития для подавляющего большинства организаций. Причем речь идет не только о банках и телекоммуникационных компаниях, которые «традиционно» зависят от ИТ. Предприятия будут активно наращивать свои информационные активы, чтобы устанавливать новые рекорды операционной эффективности, использовать самые современные возможности по привлечению клиентов и выходу на рынки и создавать продукты и услуги, в которых ИТ-составляющая будет если не главным, то одним из центральных факторов успеха. В этих условиях защита информационных активов становится одним из ключевых направлений цифровой трансформации.
В самом деле, ценность цифровых активов существенно возрастает — они рассматриваются как вполне реальные, без которых добиться желаемых результатов весьма и весьма проблематично. Поскольку объемы цифровых активов постоянно увеличиваются, часть их будет размещаться вне организации (в первую очередь в облаках), структура усложнится, а управление ими окажется затруднительным. Столь масштабные изменения приведут к появлению множества решений по защите данных. Все это говорит о том, что цифровые активы станут весьма уязвимыми.
Неизбежно возрастет и число злоумышленников, стремящихся заполучить доступ к цифровым активам и рычаги управления ими, появятся новые методики и инструменты для кибератак. Причем их себестоимость, вероятнее всего, снизится, а результативность увеличится. И самое главное, усилятся бизнес-риски, связанные с вредоносным воздействием на цифровые активы: «удачно» проведенная кибератака способна нанести очень серьезный, а в ряде случаев непоправимый, ущерб.
Осознавая это, компания Hewlett Packard Enterprise определила защиту цифровых активов как одно из ключевых направлений своей стратегии в области цифровой трансформации. HPE намерена оказывать помощь в адаптации, с одной стороны, к новым требованиям бизнеса, а с другой — к меняющемуся ландшафту угроз.
Предлагая заказчикам широкий набор технологий и услуг в области защиты информационных активов, HPE помогает обеспечивать высочайший уровень защищенности и успешно противостоять даже самым хитроумным угрозам. Целый ряд услуг ориентирован на противостояние новым вызовам, причем обновляются и способы предоставления таких услуг — это связано не только с изменениями ИТ-ландшафтов организаций, но и с усовершенствованием подходов злоумышленников, применяющих ИТ для нанесения вреда предприятиям.
Защита от атак злоумышленников
HPE тщательно оценивает потребности заказчиков по управлению рисками, угрожающими сохранности цифровых активов предприятия, и подбирает решения, обеспечивающие необходимую защиту. Нередко особое беспокойство вызывают не только риски ИБ (совокупный ущерб от них может оказаться весьма существенным и даже болезненным — вплоть до полной потери конкурентоспособности), но и экономические риски.
Согласно недавнему исследованию «2015 Cost of Cyber Crime Study: Global», проведенному компанией Ponemon Institute, наиболее сильно страдают от угроз информационной безопасности предприятия энергетики, производственные, финансовые, транспортные и технологические компании. В нефтегазовой и энергетической отраслях регистрируется много случаев мошенничества и хищений товарно-материальных ценностей, в первую очередь расходных материалов, — потери иногда достигают 12-15% годовой выручки. Банкам приходится противостоять рискам, связанным с отмыванием капиталов, их выводом из активов, дроблением платежей, мошенническими транзакциями. Большое число инцидентов в финансовых организациях тесно связано с наличием у них многочисленных электронных сервисов, посредством которых можно получить доступ к активам.
Противостоять угрозам кибератак можно при помощи средств HPE ArcSight. Они позволяют собирать в режиме онлайн любую информацию о работе инфраструктурных систем (программно-аппаратных ИТ-комплексов, телекоммуникационных систем, инженерных инфраструктур, производственных объектов и их АСУТП). Эти данные можно анализировать, выявлять закономерности, свойственные инцидентам, и затем на основе системы правил предельно быстро обнаруживать новые инциденты. Причем можно рассматривать не только сферы ИТ и ИБ, но и экономическую деятельность, производственную безопасность и другие направления. Адаптация технологии ArcSight к решению текущих задач предприятия не занимает много времени.
Немало российских заказчиков уже применяют продукты информационной безопасности HPE в своих системах, предназначенных для предотвращения мошенничества. Существенный выигрыш, в частности, дает интеграция этих продуктов с бизнес-системами других поставщиков. Например, в тесном сотрудничестве с SAP удалось выделить ряд типовых сценариев мошенничества, популярных у инсайдеров, работающих с бизнес-приложениями этого вендора, и реализовать защиту от мошенничества посредством инструментария ArcSight. Такая интегрированная система защиты позволяет отслеживать нарушения бизнес-процессов (при согласовании документов, совершении платежей, предоставлении скидок и пр.), контролировать доступ к зарплатным листам и персональным данным пользователей, выявлять мошеннические комбинации, связанные, например, с выдачей кредитов, дисконтных карт или отменой ранее совершенных действий. Применять такие системы всегда выгодно, особенно в крупных организациях, где случаи мошенничества нередки и вопрос минимизации ущерба от них стоит достаточно остро.
На выявление действий злоумышленников, угрожающих цифровым активам, нацелен продукт User Behavior Analytics. Он позволяет выстраивать профили типичного поведения пользователей и приложений, а также элементов инфраструктуры, с которыми они взаимодействуют. На основе этих профилей распознается нетипичное поведение и, таким образом, выявляются действия злоумышленника или вредоносного кода в ходе таргетированной атаки или мошеннических операций.
Еще один недавно вышедший аналитический продукт, не имеющий аналогов на рынке, DNS Malware Analytics, позволяет выявлять активность вредоносного кода путем анализа трафика DNS. Определенного рода активность, исходящая, например, от отдельных рабочих станций, может служить сигналом того, что они заражены вредоносными кодами. Кстати, крупнейшим заказчиком этого продукта является сама компания HPE — с его помощью анализируется трафик, который генерируют клиентские устройства 200 тыс. ее сотрудников. Эффективность технологии проверена историей создания системы DNS Malware Analytics. Она приобрела «товарный вид» после нескольких лет эволюции компании HP: начало было положено набором правил обработки тревог о событиях ИБ, а итогом стал вывод на рынок законченного коммерческого продукта.
Защита данных
Защита информационных активов невозможна без защиты данных, в первую очередь от несанкционированного доступа к ним и их потери. В портфеле HPE имеется около полутора десятка продуктов, позволяющих оградить от кибератак электронные письма (включая вложенные файлы), банковские транзакции, трансграничные бизнес-транзакции и другие цифровые активы предприятия. Во всем мире решениями HPE для защиты данных пользуются многие крупные компании, например международные платежные системы Visa и MasterCard, а в России — ведущие банки страны.
Обеспечить надежную криптозащиту разных видов данных, наряду с применением электронных ключей-токенов, помогают решения семейства HPE Security Voltage. Они могут работать в различных корпоративных ИТ-инфраструктурах, в том числе облачных, мобильных средах и системах Больших Данных. Решения из другого семейства, HPE Atalla, отвечают за автоматизированную классификацию неструктурированных данных и их защиту от утраты, а также за шифрование данных, которыми предприятие обменивается с внешним облаком или удаленными серверными площадками. Для поддержания безопасности финансовых данных (требования такого рода нередко выдвигают регуляторы банковского бизнеса) предназначено программно-аппаратное решение Atalla Network Security Processor (NSP). Кстати, именно Atalla стала первой технологией, используемой для защиты транзакций, осуществляемых при помощи пластиковых карт.
Защита данных не должна ограничиваться только шифрованием, зачастую целью злоумышленников является уничтожение или изменение данных. В таких условиях становится весьма актуальной, казалось бы, такая очевидная и простая задача, как резервное копирование. Сегодня выполнение резервного копирования и восстановления усложняется из-за разрозненности сред виртуализации и облачных платформ. Портфель решений НРЕ в области резервного копирования и восстановления (HPE Data Protector, StoreOnce, StoreEver и другие решения) позволяет эффективно ответить на многие вызовы. Эту тему мы постараемся более подробно осветить в других статьях.
Защита приложений
Еще один важный класс информационных активов — приложения. Именно они лежат в основе предоставления бизнесу и внешним клиентам все большего количества сервисов. Нередко вводимые в строй программные системы становятся еще одним фактором риска информационной безопасности. Уязвимости, вызванные дефектами кодирования (незлоумышленными ошибками) нередко возникают из-за рассеянности разработчиков, спешки или неправильного программирования.
Практика показывает, что в ходе даже самого поверхностного сканирования десятков прикладных программных продуктов, находящихся в промышленной эксплуатации, выявляются СОТНИ критических ошибок в программном коде — от типичных «мастер-ключей», оставляемых разработчиками «на всякий случай, если клиент забудет пароль», до серьезнейших «дыр», не раз описанных в соответствующих документах.
Эти уязвимости становятся причиной сбоев в работе ИТ-систем, а кроме того, ими могут воспользоваться злоумышленники. HPE пропагандирует идею управления ИБ еще в ходе разработки программного обеспечения и является сторонником развертывания процесса создания безопасного ПО (Security Development Life Cycle). Конечно, программисты не обязаны быть экспертами по ИБ, но в их силах — не допускать дефектов в своих продуктах. В то же время заказчики программных средств должны получить доступ к инструментарию, позволяющему оценить качество оплаченных ими разработок, — либо собственному, находящемуся в распоряжении службы ИБ предприятия, либо принадлежащему сервисным организациям рынка ИТ и ИБ.
Избежать дефектов программирования можно, научив разработчиков навыкам безопасного программирования и правильным образом выстроив процесс разработки. Конечно, понадобятся различные виды тестирования, но и этого недостаточно — велик риск, что несовершенный код будет передан в промышленную эксплуатацию. И тогда устранение недочетов потребует значительных финансовых затрат — в 20-30 раз больших, чем затраты на предотвращение или выявление ошибок на этапе проектирования ПО. Да и времени понадобится в 10 раз больше, ведь придется совершить откат к предыдущим сборкам, проверить и исправить весь код, заново перекомпилировать его, провести функциональное и нагрузочное тестирование, переустановить и сдать заказчику.
Наибольшую заинтересованность в выстраивании процесса создания безопасного ПО проявляют организации, которые создают серьезные, критически важные системы. Они внедряют этот процесс постепенно и последовательно переводят на него команды, работающие над отдельными ключевыми проектами, — обычно выполняется не более двух таких проектов одновременно.
Чтобы выявить дефекты программирования и уязвимости в готовых приложениях, HPE предлагает проводить, по крайней мере, два типа тестов ПО. Динамическое сканирование (на проникновение извне) позволяет на 80% снизить риск взлома приложения. Сканирование исходных кодов ПО помогает обнаруживать наиболее критические дефекты на этапе разработки. В России уже около двух десятков компаний используют этот подход, реализованный с применением инструментария HPE. В первую очередь речь идет о средствах статического анализа программного кода Fortify Static Code Analyzer и динамического анализа безопасности веб-приложений и сервисов Fortify WebInspect. Выстроить процесс создания безопасного ПО помогает решение Fortify Software Security Center — репозиторий централизованного управления разработкой, обеспечивающий целостный и прозрачный взгляд на безопасность приложений в целом.
В общих чертах процесс выглядит следующим образом. После сканирования приложения выявленные дефекты кода автоматически сортируются, а затем группируются по степени критичности: самые опасные, достаточно серьезные и не слишком важные (последними в случае цейтнота можно пренебречь). Эксперт по безопасности просматривает найденные уязвимости и подтверждает задания по их устранению. Руководители команд разработки назначают исполнителей, которые должны устранить дефекты, после чего полученные результаты передаются обратно по цепочке и проходят необходимую проверку. Никаких дополнительных процедур, кроме предусмотренных регламентом, не требуется. ИТ-поддержка этого процесса реализуется средствами инструментария нагрузочного тестирования LoadRunner и системы управления качеством создаваемого программного обеспечения Quality Center Enterprise.
Информация, полученная в ходе сканирования приложений, может быть использована для подготовки отчетности ИТ-департамента или передана в систему мониторинга безопасности. Это бывает полезно, например, для адекватного реагирования на подозрительные активности: если они связаны с программными модулями, в безопасности которых обнаружены «дыры», следует обратить на эти атаки пристальное внимание, поскольку велика вероятность того, что злоумышленники попытаются воспользоваться дефектом в коде.
Центры защиты информационных активов
Ключевую роль в защите цифровых активов призваны сыграть центры управления инцидентами информационной безопасности (Security Operation Center, SOC). Они собирают и анализируют в реальном времени все, что касается защиты данных, и заблаговременно выявляют растущие угрозы (в первую очередь кибератаки), помогая предпринимать необходимые меры. В крупнейших SOC-центрах мира обрабатывается свыше 1 млн событий ИБ в секунду. В России, по крайней мере, у десяти организаций имеются SOC, которые обрабатывают по 200 тыс. и более событий ИБ в секунду. Есть свой SOC и у компании HPE. В него передаются и анализируются сведения о событиях информационной безопасности, происходящих на устройствах 365 тыс. сотрудников; за сутки анализируется около 20 млрд запросов DNS.
Сотрудники HPE отмечают, что и в России повышается спрос на услуги по созданию центров управления инцидентами информационной безопасности (Security Operation Center, SOC) и независимой оценке уровня зрелости уже построенных центров этого уровня. Оценку проходят три ключевых аспекта SOC: технологии, сотрудники и процессы. В ходе аудита проверяются оргструктура и правильность выстраивания процессов, а кроме того, оцениваются возможности применяемых в SOC технологий с точки зрения их достаточности и избыточности.
Российским заказчикам доступны сервисы, предоставляемые не только компанией HPE, но и ее партнерами, имеющими статус Managed Security Services Provider. Около 30 организаций уже сотрудничают с одним из таких владельцев центра SOC. Вероятнее всего, в ближайшее время круг поставщиков сервисов ИБ на базе продуктов HPE будет расширяться — в первую очередь за счет телекоммуникационных компаний, стремящихся пополнить свои портфели предложений для корпоративных клиентов.
Чтобы руководители организаций имели возможность контролировать бизнес-процессы, сопоставлять и оценивать взаимосвязь различных рисков с ИТ-факторами, специалисты HPE разработали консоль Executive Value Dashboard. Она выстроена на базе функций ArcSight, Business Service Management, Universal CMDB и Service Manager. Есть среди пользователей этой консоли и российские заказчики, которые уже занимаются внедрением данного решения.
В ряде российских предприятий уже накоплен большой опыт по защите цифровых активов. Некоторые из них, опираясь на имеющуюся компетенцию и инструментарий в области информационной безопасности, осваивают новый для себя бизнес — предоставление услуг защиты цифровых активов другим организациям, причем как собственным дочерним компаниям, так и внешним заказчикам. Можно с уверенностью утверждать, что инвестиции, направленные на защиту информационных активов, способны не только снижать риски, но и приносить реальный доход, помогая извлекать из цифровой трансформации дополнительную выгоду.