Алексей Лукацкий о недопустимых событиях, утечках, моделировании угроз и многом другом

Дата: 08.09.2022. Автор: CISOCLUB. Категории: Новости по информационной безопасности
Алексей Лукацкий о недопустимых событиях, утечках, моделировании угроз и многом другом

Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, выступил с докладом на Всероссийском форуме «ИнфоБЕРЕГ-2022».

«Мы для себя выделяем недопустимые события, проконсультировавшись с бизнесом, который знает, что для него допустимо, а что нет. К примеру, все ругают Роскомнадзор, который оштрафовал «Яндекс.Еду» всего на 60 тысяч рублей. Во-первых, у РКН полномочий больше нет — это предусмотрено КоАПом и больше наказать почти нельзя. А самое главное, давайте говорить честно, утечка этих данных серьезного ущерба не наносила. «Яндекс» хорошо из этого вышел, они расписали, как они проводили расследование, извинились перед клиентами, но с точки зрения бизнеса «Яндекса» утечка этих данных — это, наверно, не критичная история», – подчеркнул эксперт.

По словам Лукацкого, совсем по-другому развивались бы события, если бы из-за атаки в «Яндексе» остановились все процессы, или как несколько дней назад произошла ситуация с «Яндекс.Такси», когда кто-то взломал систему и направил большое количество машин по заказам, которых не было и в отдельном районе произошел коллапс — это была бы история гораздо более серьезная.

«Яндекс» наверняка предпримет меры, чтобы не повторилось это недопустимое событие, потому что с Кутузовского это можно перенести куда-нибудь в Ново-Огарево или распространить на масштаб всей Москвы. И тогда мало не покажется всем», – подчеркнул Алексей Лукацкий.

Бизнес-консультант по информационной безопасности Positive Technologies уточнил, что «мы это выявляем, в рамках анализа рисков это ключевые риски». По словам Лукацкого, если говорить про моделирование угроз – это не для галочки, а по методичке ФСТЭК России. Специалист уверен, что она сейчас будет меняться, но концептуально сильно не изменится.

«С точки зрения идеи в этой методике также всё начинается с определения негативных последствий для бизнеса. И ФСТЭК на всех мероприятиях говорит: «Позовите бизнес, узнайте у него, что ему важно и потом определите, какие события в IT-инфраструктуре приведут к реализации этих негативных последствий. Это та же самая концепция недопустимых событий, которую сейчас Минцифры продвигает через 250-й Указ и 860-е Постановление, отдельные распоряжения и планируемые нормативные акты. Дальше на предприятии создается реестр их 3-5 недопустимых событий. К примеру, кража со счета компании 0,1% не является критичным событием, а кража с корсчета 15% — это событие недопустимое. Так что пороговое значение также будет влиять на допустимость и недопустимость», – рассказал Алексей Лукацкий.

Говоря об утечках персональных данных, он отметил, что, учитывая законопроект об оборотных штрафах для нас, скорее всего, недопустимой будет утечка ПДн 10 тысяч клиентов или сотрудников, которая приведет к штрафу в 4% от оборота. Это солидная сумма для любой компании.

«Речь здесь уже пойдет не просто о мифической защите по 21-му приказу, потому что в такой парадигме никто и никогда за это платить не будет. Когда мы приводим это с точки зрения бизнеса, картинка сразу меняется: бизнес понимает, что он потеряет в результате того или иного несанкционированного действия», – заметил эксперт.

«Затем мы определяем, как это недопустимое событие может быть реализовано в IT-инфраструктуре — через какие системы злоумышленник будет добираться до ключевой системы: до CRM, до бухгалтерии, до 1С и т. д. И затем следует классическая задача любого ИБшника — определить, какие техники и тактики злоумышленник должен произвести, как он будет действовать, чтобы это недопустимое событие реализовалось и бизнес понес недопустимый ущерб. Не вообще как злоумышленник мог бы действовать, а как он будет действовать непосредственно в организации. Это ровно та концепция, которая была прописана и в методике ФСТЭК в виде процедур реализации угрозы: набор шагов, которые выполняет злоумышленник, чтобы пройти из точки А (точки входа в корпоративную сеть) до точки Б, где будет реализовано недопустимое событие. Понимая это движение из точки А в точку Б, мы можем мероприятия по защите, которые обнаружат и заблокируют злоумышленника именно в тех местах, где он пойдет. Не на всех рабочих местах, а именно там, где он и пойдет», – уточнил Лукацкий.

По словам эксперта, для подтверждения, что это недопустимое событие реально может произойти, существует такое понятие как «верификация». Иными словами, это некий пентест, когда проверяется, что это не просто выдумка по мотивам умных книжек и голливудских боевиков, а злоумышленник реально в состоянии это осуществить. Для этого пентестер повторяет действия злоумышленника, но не доводя до кражи денег.

«Подтвердив, что недопустимое событие может быть реализовано, мы приступаем к разработке набора защитных мероприятий по борьбе с ним. И здесь я повторю, что с одной стороны это концепция понятная бизнесу, а с другой — это относительно новая концепция, которую регуляторы продвигают через нормативку. 860-е Постановление Правительства о добровольном аудите информационных систем ровно про это. Там есть даже пример типового отчета, в котором упоминаются недопустимые события и даже приводится пример этих недопустимых событий. Вроде это регуляторика, но она повернута к бизнесу лицом.

Таким образом от «бумажной безопасности» мы плавно переходим к безопасности результативной», – заявил эксперт Positive Technologies.

Как отметил Алексей Лукацкий, если говорить о недопустимых событиях, будет возникает классическая дилемма: все хотят одновременно дешево, быстро и качественно. Так не бывает — надо найти баланс. То же с недопустимыми событиями: можно бороться с ними изменением бизнес-процессов, но это долго и безопасники за это не отвечают. Можно и нужно местами поменять IT-инфраструктуру, например, ввести сегментацию — очевидная простейшая мера, которая сильно усложняет жизнь злоумышленникам, а иногда делает их действия невозможными. И третье направление — процессы, связанные с кибербезопасностью. И нужно найти баланс между этими тремя компонентами. Конечно, безопасники будут делать упор именно на безопасности. Если IT возьмет что-то на себя, это может снизить затраты на реализацию.

«Но возникает дилемма: либо мы будем делать фокус в сторону харденинга, то есть усиления требований по защите, либо — в сторону реагирования, когда мы допускаем слабину в настройках защиты, но делаем фокус в сторону обнаружения и реагирования на инциденты. Здесь нам также придется искать баланс.

Ну и мониторинг. Он нужен, чтобы убедиться, что мы сделали всё правильно и что мы можем оперативно выявлять те или иные события, которые могут привести к недопустимому ущербу, который мы определили на самом первом этапе. Без мониторинга никуда не деться вне зависимости от того, будем мы фокусироваться на безопасности, IT или изменении бизнес-процессов», – подчеркнул Лукацкий.

Продолжая тему, эксперт отметил, что дальше возникает вопрос: идея красивая, но как её реализовывать. Надо ли реализовывать все недопустимые события или по частям. Очевидно, что по частям. Если есть ресурсы, можно нейтрализовать все недопустимые события, если же их нет, выбираем из этих пяти наиболее приоритетные, а на втором шаге остальные. В итоге за год можно нейтрализовать все недопустимые события, которые действительно важны для бизнеса. Потом уже можно переходить к нежелательным событиям, ну а если останутся ресурсы, то и к остальным событиям, которые были заранее очерчены.

Алексей Лукацкий обозначил ключевые составные успеха в этом процессе:

  • определить, что важно для бизнеса;
  • создать центр противодействия;
  • протестировать, что где мы «не накосячили», причем желательно, чтобы это была независимая внешняя сторона, которая не будет обращать внимание на нюансы, а будет действовать ровно как злоумышленник.

Такой центр киберустойчивости эксперт Positive Technologies предложил назвать SOC или SOC 2.0, но отличие от SOC в привычном понимании заключается в то, что этот центр киберустойчивости фокусируется не на мониторинге, как большинство SOC-ов, а на реагировании. По словам Лукацкого, задачи этого ЦКУ — взять на себя мониторинг и реагирование, а где он будет реализован: внутри или снаружи (тот же самый корпоративный или ведомственный центр ГосСОПКА) — это уже не так важно.

«В идеале эти задачи должны быть полностью автоматизированы. Сегодня пока это неработающая схема, но по отдельным направлениям это возможно выявлять с помощью машинного обучения, с помощью прослеживания цепочки действия злоумышленников блокировать их, не давая дойти до ключевой системы и реализовать недопустимое событие.

По опыту внутри Positive Technologies, где это реализовано, система блокирует в автоматическом режиме более 70% такого рода действий. На 30% остается человеческий фактор. Но 70% — это уже отличнейший показатель, а в условии нехватки кадров (до 50 тысяч человек в ИБ не хватает ежегодно) эта цифра начинает играть новыми красками.

И последнее — мы должны подтвердить, что этот ЦКУ работает, а не просто съедает наши ресурсы. Мы должны нанять внешних хакеров, которые пытаются нас взломать и реализовать недопустимое событие: это может быть в рамках пентеста или программы Bug Bounty», – резюмировал Алексей Лукацкий.

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *