FIS-2024: комплексный подход и лучшие практики ИБ от ведущих экспертов

В Москве состоялась VI Ежегодная отраслевая конференция по информационной безопасности Future of Information Security: тренды, практика, решения (FIS), организованная компанией ARinteg при участии ведущих игроков ИТ-рынка: МТС RED, OCS Distribution, Xello, InfoWatch, R-Vision. Мероприятие стало площадкой для представления самых актуальных средств защиты информации, оценки современных трендов и обмена опытом между экспертами в области ИБ и руководителями организаций государственного сектора, финансовых, промышленных и других компаний.

ARinteg и InfoWatch: больше возможностей в сотрудничестве

Руководитель группы технического сопровождения продаж InfoWatch Евгений Митряев предложил идею комплексного подхода к вопросу защиты данных и инфраструктуры, оптимальной организации подразделений ИБ в условиях дефицита кадров. Согласно последним исследованиям экспертно-аналитического центра InfoWatch, подавляющее число утечек – 98-100%, в зависимости от отрасли – носят умышленный характер, а защищать данные становится все дороже. К счастью, совершенствуются и средства обеспечения ИБ. Сегодня количество событий, которые ежедневно собирает у каждого клиента DLP-система InfoWatch Traffic Monitor, может достигать 2 млн, при этом доля инцидентов составляет 5% этого объема. Понятно, что вручную обработать все эти сигналы невозможно.

 

Евгений Митряев, руководитель группы технического сопровождения продаж InfoWatch

Евгений Митряев, руководитель группы технического сопровождения продаж InfoWatch.
Фото: Андрей Блинов, ICT-Online.ru

 

На помощь приходит системный подход к выявлению и анализу рисков ИБ, подразумевающий категоризацию активов компании, точное обнаружение инцидентов, фокусировку на важных параметрах, проактивные действия специалиста ИБ и расследование инцидентов с применением современных инструментов. Например, технологии искусственного интеллекта позволяют категоризировать защищаемые документы и автоматизировать настройку политик DLP, предоставлять сотруднику ИБ полные структурированные сведения о взаимодействиях сотрудников, корпоративном трафике и потенциальных угрозах.

К слову, в этом году разработчик представил Центр расследований InfoWatch – новый инструмент, который объединяет в рамках DLP-системы InfoWatch Traffic Monitor модули контроля действий сотрудников InfoWatch Activity Monitor, информирования о хранении и доступе к файлам InfoWatch Data Discovery, визуальной аналитики InfoWatch Vision и оповещений о вероятных рисках InfoWatch Prediction. Также спикер анонсировал выпуск обновленного межсетевого экрана ARMA NGFW, предназначенного для защиты промышленных сетей.

Одним из ключевых событий FIS стала презентация успешной интеграции архиватора ARZip и DLP-системы InfoWatch Traffic Monitor. Совместное решение позволяет в автоматическом режиме контролировать защищенные паролем архивы, отправляемые внешним получателям из корпоративной сети. Тем самым минимизируются риски утечек конфиденциальной информации, заметно сокращаются операционные затраты на обработку подобных инцидентов. Сотрудники служб ИБ освобождаются от ручного разбора запароленных архивов и могут переключиться на другие задачи.

По статистике компаний, ручной разбор одного запароленного архива, отправляемого из организации, занимает в среднем 1,5 дня. Учитывая, что такие задачи далеко не единичны, времени на это у специалистов уходит немало. Это задерживает отправки писем адресатам, и даже опытный сотрудник службы безопасности может порой не заметить в архиве запрещенные к передаче данные, либо согласовать отправку архива по ошибке. Все эти проблемы решает автоматизация контроля запароленных архивов.

Чтобы ARZip позволял DLP-системам контролировать все запароленные архивы, организация принимает решение о том, что ARZip становится ее единственным корпоративным архиватором. Тогда DLP в компании получает возможность открывать содержимое 100% запароленных архивных файлов и изучать его в автоматическом режиме.

ARZip работает на ОС Windows, Linux Debian, Astra Linux, Альт, MacOS (РЕД ОС – в ближайшем будущем), распаковывает самые популярные форматы ZIP, RAR, 7z, TAR, TAR.gz, ARJ.

 

Дмитрий Слободенюк, коммерческий директор ARinteg

Дмитрий Слободенюк, коммерческий директор ARinteg.
Фото: Николай Кушниренко

 

«Мы можем интегрировать архиватор по API с любой DLP-системой. Уникальность нашего совместного проекта с InfoWatch в том, что данная интеграция двусторонняя, решение доставляется заказчику уже «в коробке». Более того, сегодня мы обсуждаем с коллегами дальнейшие возможности коллаборации», – прокомментировал коммерческий директор ARinteg Дмитрий Слободенюк. Он также рассказал о ближайших планах компании расширить функциональность архиватора ARZip и интегрировать его с другими наиболее распространенными отечественными DLP-системами.

В поисках идеального SOC

Эксперт поддержки продаж МТС RED Роман Трушкин напомнил о том, что роль надежной системы информационной безопасности в организациях любого масштаба и сферы деятельности постоянно возрастает на фоне повышения активности и компетенций злоумышленников. Так, во втором полугодии 2023 года МТС RED зафиксировала на 80% больше DDoS-атак на веб-ресурсы заказчиков, чем в первом полугодии: успешно отражено было свыше 3800 угроз. Ситуацию усугубляет и массовая доступность организации типовых атак: стоимость запуска DDoS может начинаться от 800 рублей. Что касается целевых атак, в топ-3 наиболее заманчивых для преступников целей входят госсектор, финансовые организации и телеком.

 

Роман Трушкин, эксперт поддержки продаж МТС RED

Роман Трушкин, эксперт поддержки продаж МТС RED.
Фото: Андрей Блинов, ICT-Online.ru

 

Один из вариантов надежной защиты – собственный или коммерческий центр мониторинга и реагирования на киберугрозы. SOC обеспечивает комплексную поддержку заказчиков, в первую очередь – крупных компаний. Например, SOC МТС RED отрабатывает в целом более 4 млрд событий ИБ в сутки, а сложные задачи решаются силами более пятидесяти квалифицированных аналитиков. Такой сервис позволяет клиенту повысить скорость и качество реагирования на инцидент и оптимизировать затраты на штат внутренних ИБ-специалистов. Одним из востребованных форматов становится гибкая гибридная модель SOC, подразумевающая разделение функций обнаружения и реагирования между заказчиком и ИБ-компанией. Она актуальна для клиентов, у которых уже внедрены отдельные средства ИБ (SIEM, SOAR и т. д.), но требуются другие важные компоненты или не хватает компетенций.

Также спикер анонсировал выход многофункционального межсетевого экрана МТС RED NGFW для высоконагруженных и высокотехнологичных сетей, которые используют телеком-компании и крупный бизнес. Новый NGFW, согласно заверению разработчика, будет демонстрировать максимальную стабильность и отказоустойчивость, предоставлять скорость обработки данных до 100 Гб/с в режиме DPI/IPS. Кроме того, он будет сравнительно небольшим по размеру, экономя место в дата-центрах: один ПАК МТС RED NGFW займет всего 1-2 юнита в стойке.

Пресейл-менеджер R-Vision Егор Захаренко рассказал о преимуществах экосистемного подхода к SOC и подробнее остановился на этапах построения эффективного центра реагирования. Спикер показал отличия корпоративного, коммерческого и гибридного SOC и напомнил, что эффективность этой структуры в любом случае определяется тремя известными компонентами: люди-процессы-инфраструктура.

 

Егор Захаренко, пресейл-менеджер R-Vision

Егор Захаренко, пресейл-менеджер R-Vision.
Фото: Андрей Блинов, ICT-Online.ru

 

Исходя из этого выделяются и этапы создания SOC. Первый из них – управление активами, аккумулирование знаний об объектах защиты: инвентаризация ИТ-систем, формирование модели активов (бизнес-активы, логические и физические активы) и настройка их мониторинга. Второй – моделирование угроз и оценка возможных рисков. Третий – управление уязвимостями: подход Vulnerability Management предполагает цикличный процесс инвентаризации, выявления уязвимостей, их приоритизации, устранения и контроля. Четвертый этап – настройка процесса обнаружения угроз, который охватывает управление всеми элементами инфраструктуры: централизованный сбор и хранение событий, создание корреляционных правил, обнаружение инцидентов. Пятый – управление инцидентами с максимальным использованием средств автоматизации (защиты конечных точек EDR, SIEM, SOAR, TI и других). Шестой – детектирование сложных атак: раннее обнаружение, снижение скорости распространения, в том числе с помощью технологий AI. Финальный этап построения – контроль соответствия.

Точками роста SOC спикер назвал наращивание экспертизы, оказание услуги мониторинга, создание отраслевого центра компетенций и разделение затрат с клиентами. Отметим, что широкий спектр решений R-Vision позволяет закрыть все перечисленные выше задачи построения SOC.

Обзор актуальных трендов ИБ

Выступление руководителя отдела технических экспертов OCS Distribution Ильи Леженина было посвящено комплексным решениям для построения распределенных сетей в компаниях с филиальной организацией и, в частности, переходу от традиционных WAN-сетей к программно-определяемым (SD-WAN, Software Defined). Распределенная сетевая инфраструктура свойственна многим крупным заказчикам: структурам госсектора, финансовым организациям, торговым сетям, компаниям сферы здравоохранения, образования, телекома, промышленным предприятиям. При этом им требуется обеспечить сотрудникам безопасный доступ к корпоративной инфраструктуре, настроить механизмы централизованного управления и мониторинга сетевых ресурсов, автоматизировать процессы масштабирования (для быстрого подключения новых филиалов), используя при этом недорогие, но стабильные каналы связи.

 

Илья Леженин, руководитель отдела технических экспертов OCS Distribution

Илья Леженин, руководитель отдела технических экспертов OCS Distribution.
Фото: Андрей Блинов, ICT-Online.ru

 

Технология для построения распределенных сетей CD-WAN состоит из специальных маршрутизаторов (CD-WAN CPE) и интеллектуальной системы управления. Решение поддерживает различные каналы связи и их комбинации, упрощает управление сетью, предоставляет инструмент централизованной настройки политик безопасности и сетевых настроек, обеспечивает надежность сетевых подключений и позволяет быстро подключать новые объекты. Спикер подробнее остановился на одном из наиболее развитых отечественных продуктов этой категории – Kaspersky CD-WAN. Это решение позволяет построить безопасную, стабильную программно-управляемую сеть.

Руководитель направления технического сопровождения Xello Дмитрий Черников показал пользу применения технологии киберобмана (Distributed Deception) для защиты бизнеса от целевых квалифицированных, тщательно спланированных атак (APT, Advanced Persistent Threat). Количество и качество таких атак постоянно растет, и сегодня, по оценкам экспертов, среднее время проникновения злоумышленника в инфраструктуру компании составляет всего 84 минуты. Кроме того, APT-атаки отличаются длительностью проведения и сложностью обнаружения. Классические средства защиты (антивирусы, SIEM, NGWF, DLP, EDR и другие) блокируют примерно 90% угроз, но риски проникновения всё равно остаются.

 

Дмитрий Черников, руководитель направления технического сопровождения Xello

Дмитрий Черников, руководитель направления технического сопровождения Xello.
Фото: Николай Кушниренко

 

Инструмент класса Distributed Deception – это еще одно важное звено в комплексной системе защиты, позволяющее компаниям вывести на новый уровень подход к выявлению и устранению киберугроз. Его работа состоит в формировании в ИТ-инфраструктуре клиента так называемых приманок и ловушек, на которые реагируют злоумышленники в ходе кибератаки. Простым примером ловушки можно назвать файл с названием «Все пароли», оставленный на рабочем столе. Пока преступник изучает этот файл и пытается применить указанные в нем фейковые пароли, сотрудник ИБ получает сигнал о проникновении в систему и может быстро отреагировать на него. При этом приманки и ловушки, которые распространяет инструмент Xello Deception, не видны обычным пользователям и не создают ложных срабатываний. Такие инструменты больше всего популярны в финансовом секторе, ритейле, ИТ-компаниях, промышленных предприятиях и госсекторе.

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, OCS, InfoWatch, R-vision, МТС RED, ARinteg