Цифры говорят
Люди, технологии и процессы в ИБ: опыт участников BIS SUMMIT 2024
24.10.2024 |
Источник: трансляция BIS SUMMIT 2024 в VK Видео
Обеспечение информационной безопасности предприятий хорошо укладывается в рамки методологии PPT (люди-процессы-технологии). Надежность информационных систем предприятия и бесперебойность его работы столь же сильно зависит от уровня подготовленности и организованности специалистов, сколько от грамотно выстроенной связки из средств защиты. На традиционной практической секции BIS SUMMIT 2024, посвященной современным технологиям информационной безопасности, эксперты ведущих российских вендоров обсудили способы минимизации последствий социальной инженерии, применение интеллектуальных инструментов для борьбы с утечками, нюансы обеспечения безопасности при переходе на российское ПО и другие актуальные вопросы.
ИБ при миграции на отечественный технологический стек
Генеральный директор компании Makves Роман Подкопаев заметил, что для компании с большим штатом переехать с «недружественных» доменов под управлением Active Directory на «дружественные» становится сложной задачей: «За время работы в любой организации накапливается некая доменная инфраструктура. По моей практике, как бы вам ни казалось, что в вашей инфраструктуре всё прекрасно, у всех права правильно настроены и ограничены, – по факту это не так. Всегда есть пользователи, у которых ошибочно открыт доступ к каким-то папкам, которые ошибочно включены в некие закрытые группы, которых уволили и забыли отключить и т. д. И если нам надо мигрировать 15-20 тыс пользователей, то в ручном режиме вы никогда не узнаете, что у вас что-то было не так. А когда мы в автоматизированном режиме проводим аудит AD, мы эти все вещи выявляем, приводим в порядок, а потом уже можем мигрировать. А после этого – еще раз проверить».
Генеральный директор компании Makves Роман Подкопаев
Источник: трансляция BIS SUMMIT 2024 в VK Видео
Спикер порекомендовал решение класса DCAP (Data-Centric Audit and Protection) для автоматизации аудита AD/ALD Pro, которое позволяет решить целый ряд задач: выявлять нарушения прав доступа для пользователей и групп, автоматизировать процесс управления учетными записями, обеспечить контроль подключений, зафиксировать изменения в домене, аномалии и события, указывающие на возможную атаку, представить результат аудита в виде наглядных отчетов и дашбордов. DCAP эффективно выявляет нарушения прав доступа к информационным ресурсам: устаревшие и уязвимые учетные записи, атипичных или неактивных пользователей, аккаунты без пароля или с паролями без срока действия.
Технический менеджер продукта ALD Pro «Группы Астра» Анатолий Лысов продолжил разговор о защите доменной инфраструктуры, представив доступные на российском рынке решения для построения доменов. «Два последних года я работал в команде, которая создает продукт для импортозамещения известной зарубежной службы каталогов Microsoft AD. И первый мой тезис будет о том, что домен – это про людей и про безопасность. 2025 год близко, бояться его не надо, решение есть, и даже не одно. Рассмотрим их в двух аспектах: сначала серверную часть, затем клиентскую», – начал он.
Технический менеджер продукта ALD Pro «Группы Астра» Анатолий Лысов
Источник: трансляция BIS SUMMIT 2024 в VK Видео
По словам спикера, ключевыми функциями домена являются централизованное управление учетными записями и делегирование полномочий, единая точка сквозной аутентификации по протоколу Kerberos V5, управление параметрами окружения и установка ПО через групповые политики.
Заместить серверную часть службы доменов можно как минимум тремя способами. Самый простой – LDAP-каталог или KDC-сервер. Однако на практике они сегодня не используются: LDAP-аутентификация небезопасна, а у KDC имеются сложности с репликацией, из-за чего построить большую систему на таком решении сложно. Второй способ – Samba Active Directory, но оно ориентировано в основном на инфраструктуры, которые находятся под управлением операционных систем Windows. Третьим способом является служба каталога FreeIPA, которая наиболее приспособлена для операционных систем Linux. поэтому имеет гораздо больше перспектив.
Основных вариантов замещения клиентской части тоже три. Первый – простейшие PAM и NSS модули для LDAP и KDS: для Linux они практически не используются, но их еще можно встретить в тех ситуациях, когда требуется ввести в домен UNIX-компьютер. Второй вариант – служба Winbind для AD, которая позволяет Linux-компьютер ввести в домен Microsoft Active Directory или Samba Active Directory. Но более распространен третий вариант – служба SSSD как часть проекта FreeIPA. Она предоставляет максимальные возможности для работы Linux-компьютеров в домене.
Современные инструменты контроля
Директор по продуктам компании Start X Сергей Волдохин представил несколько примеров того, как непреднамеренные действия сотрудников наносят вред организации: например, сотрудники могут допустить утечку пароля от публичного корпоративного сервиса, создать уязвимость почтового сервера, использовать слабые пароли к корпоративным ресурсам, допускать появление забытых доменов и поддоменов (таких, как домены, приобретаемые на время маркетинговых акций), настройками которых могут воспользоваться третьи лица.
Директор по продуктам компании Start X Сергей Волдохин
Источник: трансляция BIS SUMMIT 2024 в VK Видео
«Это всё примеры, когда не хакеры, не APT-группировка, а обычные люди создают компании проблемы своими действиями. Конечно, нам хочется находить такие проблемы раньше, чем их могли бы найти хакеры. Для этого важно выявлять публичные активы и в целом оценивать поверхность атаки на свою компанию не только по периметру, но и по каким-то сервисам, данным, другим возможным местам где что-то может быть опубликовано, или где ваши сотрудники – ИТ-команда, маркетинг, HR или кто-то еще – мог оставить уязвимости, в широком смысле этого слова», – пояснил спикер.
Сергей Волдохин привел ряд рекомендаций для компаний: использовать решение класса EASM (External Attack Surface Management) для мониторинга внешней поверхности атаки, регулярно обучать и тренировать разработчиков и DevOps правильно работать с секретами, подключать on-prem систему контроля версий с удаленным доступом только через защищенные каналы с двухфакторной аутентификацией, настраивать систему так, чтобы все репозитории были приватными по умолчанию, описать и внедрить процесс управления активами (в т. ч. доменами, промо-сайтами и хостингом), наладить слаженную работу между ИТ-специалистами, отделами маркетинга и безопасности.
Руководитель отдела развития продуктов «АйТи Бастион» Константин Родин оценил значение PAM-систем (Privileged Access Management, управление привилегированным доступом) для обеспечения безопасности организации. С одной стороны, есть много сценариев, где дорогостоящую PAM-систему не используют. С другой – вызывает опасение рост утечек учетных записей привилегированных пользователей. Получив доступ в инфраструктуру под такой учеткой, злоумышленник может долго оставаться незамеченным.
Руководитель отдела развития продуктов «АйТи Бастион» Константин Родин
Источник: трансляция BIS SUMMIT 2024 в VK Видео
«DLP, SIEM, SOC – безусловно, очень нужны компании. Но все эти сущности так или иначе собирают очень чувствительные данные. И встает вопрос – кто к ним имеет доступ? Везде, где хочется точечно знать, кто получает доступ и как он этим доступом пользуется, – нужен PAM. Если компании этого не надо, то можно обойтись без него – классическими службами Microsoft либо логированием на конечных машинах», – прокомментировал спикер.
Руководитель направления InfoWatch Центр Расследований Сергей Кузьмин выступил с рассказом о том, как большие языковые модели LLM (Large Language Models) меняют парадигму взаимодействия с данными в ИБ: ускоряют это взаимодействие, поддерживают удобный естественный интерфейс и повышают эффективность средств ИБ.
Руководитель направления InfoWatch Центр Расследований Сергей Кузьмин
Источник: трансляция BIS SUMMIT 2024 в VK Видео
Предпосылки к применению LLM в системах ИБ связаны с необходимостью сотрудников ИБ-подразделений эффективно и быстро мониторить большие объемы данных, работая с большим количеством систем, сопоставлять различные контексты, реагировать на бизнес-запросы от руководителей и коллег из смежных подразделений. Даже если специалист отлично знает, как решить тот или иной бизнес-кейс, ему не всегда удается сделать это оперативно. На помощь приходит виртуальный ассистент – инструмент на базе LLM, который в считаные секунды может проанализировать огромные объемы данных и выдать точный, развернутый и достоверный ответ. Один из таких продуктов был разработан в InfoWatch: он был назван «Младший аналитик», поскольку действует как некий посредник между профессионалом и системой, разговаривая на понятном любому человеку языке.
«Язык – это операционная система человечества. Все наши знания, накопленные за многие поколения, передаются с помощью этого инструмента. За последние пару лет в технологической сфере произошел радикальный прорыв, и теперь этот инструмент является универсальным для взаимодействия не только между людьми, но и между людьми и машинами. Разговорный интерфейс ускоряет и упрощает управление данными. Нам приходит бизнес-запрос, мы вводим его в диалоговое окно системы и получаем сначала данные, на основе которых она будет работать, а потом и структурированный ответ. Таким образом мы минуем множество промежуточных шагов, которые нужно было проделать. С помощью этого инструмента специалисты ИБ могут кратно сократить время на анализ трафика и разбор инцидентов, а руководители – сами, без посредников, получать выборочные данные из системы», – рассказал Сергей Кузьмин.
Облака и искусственный интеллект
Менеджер продуктов безопасности Yandex Cloud Рами Мулейс продолжил обсуждение технологий ИИ, остановившись на обзоре аспектов безопасности базовых моделей (Foundation Models). «Yandex Cloud предлагает множество продуктов для бизнеса, которые основаны на YandexGPT. И самый главный вопрос пользователя к платформе – что происходит с моими данными, когда они попадают в вашу нейросеть?» – сообщил он.
Менеджер продуктов безопасности Yandex Cloud Рами Мулейс
Источник: трансляция BIS SUMMIT 2024 в VK Видео
Чтобы обеспечить клиентам безопасное использование облачных сервисов, платформа Yandex Cloud ежемесячно проходит аудиты от нескольких различных аудиторов. Недавно была проведена переаттестация по 152-ФЗ, в которую вошли и инструменты, использующие YandexGPT. Происходит постоянный мониторинг виртуальных машин, на которых работают информационные системы. «Мы стараемся максимально урезать поверхность атак. Создается некий профиль: всё, что не разрешено, – запрещено для каждой виртуальной машины. Любой шаг в сторону – это инцидент, который проходит через SOC. Также мы используем песочницу и внедряем Tetragon – Open Source инструмент, который контролирует виртуальную машину на уровне ядра операционной системы непосредственно из SOC. Все события собираются с помощью Osquery и отправляются в SIEM-систему. Таким образом, даже если какая-то уязвимость на машине появляется, у нас есть инструменты, чтобы заблокировать ее и оперативно отреагировать на инцидент», – резюмировал Рами Мулейс.
Директор по информационной безопасности компании WebmonitorX Лев Палей
Источник: трансляция BIS SUMMIT 2024 в VK Видео
Директор по информационной безопасности компании WebmonitorX Лев Палей обратил внимание на необходимость контроля трафика, который генерируется для взаимодействия информационных систем по API: «Цифровизация возрастает со всех сторон, воплощается огромное количество интеграций, API сегодня становится всё больше и больше. Например, сервис Госуслуг интегрирован со многими другими системами – и, конечно, тоже по API. Это тот трафик который мы совершенно не контролируем. Конечно, мы детектировали с помощью разных классов решений какие-то флуктуации. Но смотреть на трафик API надо более внимательно, причем отслеживать разные его параметры», – пояснил он. Например, специалисты WebmonitorX уже давно начали использовать LLM-модели для определения структуры API из трафика. Сейчас с помощью тех же моделей они описывают детекты.
Директор по инновациям InfoWatch Андрей Арефьев
Источник: трансляция BIS SUMMIT 2024 в VK Видео
Модератор секции, директор по инновациям InfoWatch Андрей Арефьев поднял тему безопасности облачных провайдеров и облачных сервисов: «С одной стороны, мы видим большое количество вендоров, которые предлагают отечественный программный стек, в том числе операционные системы. С другой стороны, у нас мало опыта в его эксплуатации. Часто мы не знаем, что с ним делать, мы должны учиться, а у нас на это нет времени, ведь мы выполняем производственные функции в первую очередь. Мне кажется, будут возникать крупные облачные провайдеры, предоставляющие сервисы фактически так же, как по модели on-premise, но в себе они будут содержать еще и экспертизу: как управлять той или иной операционной системой, как аудировать, как выстроить систему безопасности на новом стеке».
«Облака позволяют сильно экономить за счет двух ключевых технологий: автоматизации и виртуализации. Сейчас российские облачные решения находятся на серьезном мировом уровне, поэтому, однозначно, их будут использовать. Облачные технологии продолжат развиваться, а заказчики будут делать больший акцент на том, в какой юрисдикции находится тот или иной сервис», – подытожил Анатолий Лысов («Группа Астра»).
Свежее по теме
СПЕЦПРОЕКТ
ECM.ICT-ONLINE Автоматизация процессов документооборота и делопроизводства
