Пять шагов к киберустойчивости

Путь, который ИТ- и ИБ-специалисты должны пройти вместе

На фоне роста числа кибератак ужесточается ответственность за нарушение требований цифровой безопасности. Это не может не повлиять на скорость и продуктивность инфраструктуры, а ИТ-специалисты, ее поддерживающие, – не вступить в некоторую конфронтацию с коллегами из службы информационной безопасности (ИБ). Но рассогласованность действий ИТ- и ИБ-специалистов только усугубляет положение. Как им сплотиться в единую команду и совместно обеспечить устойчивость бизнеса, читателям RSpectr рассказывает заместитель руководителя центра практической ИБ компании Innostag Ксения Рысаева.

УСТОЯТЬ НА СВОЕМ

Многие российские компании вводят в свою стратегию развития термин «киберустойчивость». Так обозначают способность предприятия адаптироваться к угрозам, совместными усилиями ИТ- и ИБ-подразделений компаний защищать критически важные активы и быстро преодолевать последствия атак. Разрабатываются и внедряются концепции киберустойчивости, включающие в себя не только методики предотвращения атак, но и подготовку к ним, а также порядок анализа допущенных ошибок и восстановления после инцидента в случае, если превентивные меры не дали ожидаемого результата.

КИБЕРАТАКИ СТАНОВЯТСЯ ВСЕ БОЛЕЕ СЛОЖНЫМИ И ТЩАТЕЛЬНО СПЛАНИРОВАННЫМИ, А ИХ ПОСЛЕДСТВИЯ – МАКСИМАЛЬНО РАЗРУШИТЕЛЬНЫМИ

Анализируя их возможные последствия, а зачастую испытав их на себе, бизнес все четче формулирует свой внутренний запрос на киберустойчивость.

Кроме того, многие регуляторные требования и стандарты обязывают организации тщательно защищать данные и часто влекут штрафы за нарушения. Таким образом,

ОБЕСПЕЧЕНИЕ КИБЕРУСТОЙЧИВОСТИ СТАНОВИТСЯ ВОПРОСОМ НЕ ТОЛЬКО ИНФОРМБЕЗОПАСНОСТИ, НО И СООТВЕТСТВИЯ БИЗНЕС-ОПЕРАЦИЙ ЗАКОНОДАТЕЛЬНЫМ НОРМАМ И ОЖИДАНИЯМ КЛИЕНТОВ

Итак, с одной стороны, к киберустойчивости подталкивает регулятор, с другой – бизнес и сам готов двигаться в этом направлении, чтобы не ставить под угрозу непрерывность технологических процессов, не рисковать финансами, данными и репутацией. И даже с теорией все понятно: риски взвешены, обучение сотрудников на низком старте. Но как и в какую сторону делать первый практический шаг?

Мы для своего удобства разработали концепцию достижения киберустойчивости как целевого состояния организации, состоящую из пяти шагов, основанную на синхронизации действий и синергии ИТ- и ИБ-экспертов при создании надежной и эффективной для бизнеса ИТ-инфраструктуры. Давайте подробнее рассмотрим все шаги, пройдя которые компания получит инфраструктуру с высоким уровнем безопасности и отказоустойчивости систем.

ИБ-ГИГИЕНА

Гигиена в области ИБ – первый шаг и ключевой элемент в обеспечении киберустойчивости организации. Под ней подразумевается базовый набор мер, направленных на создание прозрачности и непрерывности работы основных элементов ИТ-инфраструктуры.

Цель ИБ-гигиены – обеспечить безопасность известных «точек входа» в инфраструктуру путем реализации базовых защитных мер и контроля взаимодействия инфраструктуры с внешней средой.

Кроме того, ИТ- и ИБ-специалистам придется общими усилиями внедрить четкие организационные стандарты и политики управления ИТ-активами и обеспечения безопасности. К тому же необходимо обеспечить регулярное обучение сотрудников основам кибербезопасности, чтобы минимизировать влияние человеческого фактора и шансы успешной реализации методов социальной инженерии.

ЧЕКАП КЛЮЧЕВЫХ СИСТЕМ

Киберустойчивость ключевых ИТ-систем и сервисов – это критический аспект общей безопасности организации. Она достигается через обеспечение полной прозрачности работы компонентов ключевых систем, видимости их и параметров их работы для всех ответственных специалистов. Для этого внедряется мониторинг состояния оборудования, производительности систем и потоков данных. Высокая видимость работы ИТ-сервисов позволяет оперативно выявлять и устранять проблемы, предотвращая их эскалацию.

Этап предусматривает инвентаризацию ИТ-активов, относящихся к ключевым системам: оборудования, ПО, сетевой составляющей и любых других ресурсов, подключенных к корпоративной сети.

Также здесь необходимо использовать не только технологии ИТ-мониторинга, но и такие инструменты, как SIEM, с помощью которых можно в реальном времени отслеживать и анализировать события безопасности в инфраструктуре, обеспечивая быстрое выявление и реагирование на инциденты.

БЕЗОПАСНОСТЬ КЛЮЧЕВЫХ СИСТЕМ ПРЕДЛАГАЕТСЯ ОБЕСПЕЧИВАТЬ В ПЕРВУЮ ОЧЕРЕДЬ ЗА СЧЕТ ИМЕЮЩИХСЯ ВСТРОЕННЫХ МЕХАНИЗМОВ ЗАЩИТЫ

Уровень отказоустойчивости также повысит оптимизация работы базовых ИТ-сервисов организации. Процесс может включать в себя редизайн систем, использование облачных технологий для повышения гибкости и масштабируемости, а также (до-)внедрение необходимых компонентов и систем, в том числе необходимых средств защиты. Важно проводить регулярное тестирование систем, сотрудников и процессов на предмет эффективности взаимодействия и устойчивости к различным видам сбоев и атак.

УСТОЙЧИВОСТЬ КРИТИЧНЫХ СИСТЕМ

На третьем этапе следует переходить к обеспечению киберустойчивости на уровне информационных систем (ИС) для защиты не только технического обеспечения работы компании, но и бизнес-процессов, поддерживаемых этими системами и ПО.

Данный этап включает в себя инвентаризацию ИТ-активов, относящихся к критичным системам, использование их встроенных функций обеспечения безопасности, реализацию всестороннего мониторинга и внедрение дополнительных средств защиты в случае необходимости.

Задача повышения киберустойчивости критичных ИС решается в том числе такими методами, как кластеризация серверов, балансировка нагрузки и геораспределенное резервное копирование. В современных условиях для увеличения катастрофоустойчивости резервное копирование и восстановление данных играют ключевую роль, равно как и использование решений для виртуализации и облачных технологий.

Сюда же можно отнести различные механизмы быстрого обнаружения сбоев и атак, а также методы реагирования, включая аварийное восстановление и планы по борьбе с инцидентами.

КИБЕРБЕЗ ТЕХНОЛОГИЧЕСКИХ ПРОЦЕССОВ

Шаг №4 – способность технологических процессов противостоять ИБ-угрозам и обеспечивать непрерывность критически важных операций.

На данном этапе видимость подразумевает в том числе осведомленность обо всех зависимостях ИС и о том, как изменения в одних частях цифрового ландшафта могут повлиять на другие. Потребуется наладить регулярное отслеживание потоков данных, используемых в различных бизнес-приложениях, и проводить тестирования на устойчивость и восстановление после сбоев для гарантии непрерывности работы ИС. Все это поможет минимизировать простои и обеспечить быстрое восстановление критически важных приложений.

С этой целью производится маппинг бизнес-функций на конкретные активы ИТ-инфраструктуры, собираются метрики их работоспособности, подготавливаются источники данных, внедряется и настраивается единая система автоматического сбора и визуализации необходимых данных о состоянии бизнес-процессов, призванная помочь детально рассмотреть «узкие места» в их функционировании.

Обеспечение видимости процессов помогает в оперативном управлении и контроле, что позволяет быстро адаптироваться к изменениям. Необходимо также поддерживать непрерывный мониторинг клиентских сервисов и ИТ-услуг для обеспечения SLA.

ДИНАМИЧЕСКИЙ ПРОЦЕСС

Киберустойчивость ИТ-инфраструктуры и завязанного на ней комплекса прикладных ИС, технологических и бизнес-процессов – не статичное состояние. Это динамический процесс, направленный на достижение и поддержание оптимального уровня защиты и производительности. Более того, пятый уровень цифровой устойчивости закольцован, то есть ИТ- и ИБ-действия в нем раз за разом циклично повторяются.

Для комплексного понимания текущего статуса ИТ-ландшафта и четкого ориентира, куда развиваться дальше, критически важно установить стандарты и бенчмарки оценки эффективности и безопасности работы корпоративных ИТ. Поддержание достигнутых результатов потребует непрерывного управления изменениями, постоянного развития навыков команды ИТ-безопасности, регулярного обновления политик безопасности и процедур, а также инструментов и систем.

ПЕРИОДИЧЕСКАЯ ИНВЕНТАРИЗАЦИЯ АКТИВОВ СТАНЕТ КЛЮЧОМ К ПОНИМАНИЮ И ЗАЩИТЕ ИТ

Она поможет обнаруживать несанкционированные изменения и уязвимости, а также обеспечит актуальность данных для планирования защиты.

Постоянный и тщательный контроль за изменениями с помощью автоматизированных систем управления конфигурацией поможет предотвращать внедрение уязвимостей и обеспечит стабильность работы ИТ-систем на протяжении всего жизненного цикла. Мониторинг событий в реальном времени позволит оперативно выявлять и реагировать на инциденты, обеспечивая непрерывность бизнес-процессов.

НЕ СТОИТ ЗАБЫВАТЬ О ВОЗМОЖНОСТЯХ ИНТЕГРАЦИИ СИСТЕМ МОНИТОРИНГА С АНАЛИТИЧЕСКИМИ ИНСТРУМЕНТАМИ И СРЕДСТВАМИ ДЛЯ ПРЕДОТВРАЩЕНИЯ ИНЦИДЕНТОВ

На пятом шаге огромную роль играют регулярные аудиты и тестирования. Такие проверки включают в себя оценку уязвимостей и тестирование на проникновение (пентесты), что позволяет усилить защиту от внешних и внутренних угроз.

Залогом успеха станет наличие четкого плана реагирования на инциденты, который включает в себя коммуникацию с заинтересованными сторонами и управление последствиями инцидентов.

КИБЕРУСТОЙЧИВОСТЬ ТРЕБУЕТ СЛАЖЕННОЙ РАБОТЫ ЭКСПЕРТОВ, ОБЕСПЕЧИВАЮЩЕЙ БЫСТРУЮ АДАПТАЦИЮ К НОВЫМ УГРОЗАМ И ТЕХНОЛОГИЧЕСКИМ ИЗМЕНЕНИЯМ

Чтобы быть конкурентным, бизнесу необходимо перевести ИТ-инфраструктуру в состояние непрерывного совершенствования, где каждый элемент – от инвентаризации до мониторинга и реагирования на инциденты – критически важен для обеспечения общей безопасности и надежности системы.