СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
6 марта
#Статьи #Dev#ИБ#ИИ#Инфра#Облака

Современные подходы к защите инфраструктуры

Современные подходы к защите инфраструктуры

В России на протяжении последних лет формируется многослойная система защиты критической информационной инфраструктуры, ориентированная на предотвращение киберугроз и обеспечение отказоустойчивости стратегически значимых объектов.

Одной из приоритетных мер становится внедрение комплексного подхода к обеспечению информационной безопасности, в рамках которого совмещаются механизмы активного выявления угроз, глубокий анализ сетевого трафика и событий безопасности, а также автоматизированные инструменты противодействия атакам. В этом процессе активно применяются алгоритмы на основе машинного обучения и технологий искусственного интеллекта, что позволяет оперативно выявлять аномалии и подозрительные отклонения в поведении пользователей и работы оборудования.

Отдельное внимание уделяется защите конечных устройств (endpoint protection) и сегментированию сетевой архитектуры, что позволяет локализовать угрозы и минимизировать риски распространения вредоносного кода в случае инцидента. Важнейшую роль играют также технологии управления уязвимостями (vulnerability management), регулярный анализ защищённости систем и постоянный мониторинг защищаемых объектов в режиме реального времени.

Кроме того, активно развивается направление по снижению зависимости от зарубежных средств защиты информации. Подобный подход минимизирует риски, связанные с возможными санкциями и внешними ограничениями, а также повышает уровень технологического суверенитета.

Редакция CISOCLUB обсудила вопросы защиты инфраструктуры с ведущими экспертами отрасли. Мы узнали, как изменился ландшафт инфраструктурных угроз за последние пять лет, какие подходы и технологии наиболее эффективны для защиты ключевых узлов, какими метриками следует оценивать эффективность защиты, как сочетать высокий уровень киберзащиты с удобством управления и масштабируемостью решений, с какими трудностями сталкиваются компании при внедрении модели нулевого доверия (Zero Trust), как лучше всего автоматизировать процессы обнаружения угроз, какую роль играет искусственный интеллект в оперативном реагировании на инциденты, а также какие распространённые ошибки приводят к уязвимостям и какие уроки можно извлечь из накопленного опыта.

С нами поговорили:

  • Дмитрий Овчинников, архитектор информационной безопасности UserGate.
  • Александр Дроздов, ведущий инженер по информационной безопасности Axiom JDK.
  • Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ компании Axoft.
  • Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision.

Как изменился ландшафт инфраструктурных угроз за последние 5 лет?

Дмитрий Овчинников, архитектор информационной безопасности UserGate

Дмитрий Овчинников, архитектор информационной безопасности UserGate, отметил, что за последние пять лет изменился технологический стек, используемый в компаниях. В инфраструктуре организаций активно применяется контейнеризация. Если ранее эта технология использовалась в узком кругу специалистов, то теперь она становится повседневным инструментом. Многие разработчики программного обеспечения и средств защиты реализуют свои продукты в виде контейнеров.

«Помимо классической виртуализации во многих компаниях появились системы контейнеризации. Облачные технологии стали доступнее. Тренд удалённой работы укрепился, а вместе с ним и необходимость работы в распределённых офисах. Это привело к тому, что инфраструктура компаний теперь охватывает значительные пространства и разные часовые пояса, что увеличивает сложность систем и повышает требования к их защите», — пояснил Дмитрий Овчинников.

По его словам, многие киберпреступления перестали быть проявлением хактивизма или развлечением и превратились в бизнес по зарабатыванию денег.

«Теперь атаки совершаются организованными преступными группировками, где процесс поставлен на поток с чётким разделением ролей хакеров. Это позволяет проводить множество атак и быстро переключаться с одной жертвы на другую. В результате вероятность того, что ваша компания окажется целью киберпреступников, значительно возросла», — подчеркнул эксперт.

Говоря о ситуации в России, Дмитрий добавил, что одним из ключевых трендов последних лет стало импортозамещение операционных систем, прикладного ПО и средств защиты информации.

«С одной стороны, это снижает потенциальные угрозы, связанные с возможным наличием недекларированных возможностей в иностранных продуктах, а с другой — способствует переходу на отечественные решения», — заключил он.

Александр Дроздов, ведущий инженер по информационной безопасности Axiom JDK

Александр Дроздов, ведущий инженер по информационной безопасности Axiom JDK, отметил рост использования облачных сервисов в корпоративной инфраструктуре. «С переходом на облачный хостинг появились угрозы, которые ранее не были столь актуальны или вовсе отсутствовали при работе на локальных серверах. К ним можно отнести незащищённые сетевые соединения или уязвимые компоненты ПО, которые в пределах локальной инфраструктуры не представляли опасности. При этом каждая индустрия сталкивается с собственными рисками, уязвимостями и типовыми атаками», — пояснил Александр Дроздов.

Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления информационной безопасности компании Axoft

Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления информационной безопасности компании Axoft, подчеркнул, что злоумышленники осваивают новые технологии быстрее, чем защитники.

«Если говорить о популярных векторах атак, то они остались прежними — к примеру, фишинг. Однако его способы реализации и каналы распространения изменились. Злоумышленники активно используют ИИ на базе GPT-моделей для создания максимально убедительных писем и сообщений. Более того, атаки фишинга сместились с электронной почты в сторону мессенджеров, таких как Telegram и WhatsApp», — отметил Фокин.

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, обратил внимание на усложнение атак. «За последние пять лет кибератаки стали более сложными, комплексными и целенаправленными. Они наносят серьёзный ущерб, нарушая работу предприятий, создавая экономические риски и угрожая национальной безопасности», — отметил Николай Гончаров.

Он добавил, что существенно возросло количество атак на промышленные объекты и критическую инфраструктуру. «Одной из серьёзных проблем стало активное использование злоумышленниками программ-вымогателей и шифровальщиков. Кроме того, атаки всё чаще проводятся не напрямую, а через уязвимости в сетях партнёров и подрядчиков», — подчеркнул эксперт.

По его словам, злоумышленники массово используют технологии машинного обучения и искусственного интеллекта для обхода средств защиты. «Развитие этих технологий привело к автоматизации атак, таких как подбор паролей, фишинг и DDoS. Более того, появляются сервисы для киберпреступников, которые снижают порог входа в эту сферу и упрощают создание вредоносного ПО», — заключил Николай.

Какие подходы и технологии наиболее эффективны для защиты ключевых узлов инфраструктуры?

Александр Дроздов, ведущий инженер по информационной безопасности Axiom JDK, указал, что один из важных аспектов защиты инфраструктуры — это контроль версий используемого ПО и оперативное обновление компонентов при обнаружении уязвимостей.

«Эффективный подход — применение компонентов, за обновлением которых следят вендоры. Например, дистрибутив Axiom JDK, используемый в Yandex Cloud и на портале «Госуслуги», обновляется синхронно с Oracle JDK: раз в квартал выходят обновления безопасности, а дважды в год выпускаются версии с новым функционалом. В случае необходимости могут оперативно выходить экстренные патчи», — пояснил Дроздов.

По его словам, ещё один действенный метод защиты — использование honeypot-систем, представляющих собой заведомо уязвимые компоненты, за которыми ведётся наблюдение. «Такие ловушки не связаны с реальной инфраструктурой, а их взлом не даёт злоумышленникам доступа к критическим данным. Это позволяет специалистам быстро выявлять атаки и анализировать применяемые методы», — добавил эксперт.

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, подчеркнул, что защита инфраструктуры — это непрерывный процесс, требующий постоянного совершенствования технологий и подходов.

«Наиболее действенным остаётся многоуровневый подход, сочетающий организационные, технические и процессные меры. Среди них: разработка стратегии кибербезопасности, управление уязвимостями, сегментация сети, строгий контроль доступа, мониторинг сетевых протоколов, реагирование на киберинциденты в режиме 24/7 и организация киберучений», — отметил Гончаров.

Он также добавил, что особое внимание следует уделять обучению персонала и внедрению технологий автоматизации, машинного обучения и ИИ для повышения эффективности защиты.

Дмитрий Овчинников, архитектор информационной безопасности UserGate, заявил, что несмотря на развитие современных систем защиты, таких как SIEM, XDR и DLP, базовые методы остаются наиболее эффективными.

«Ключевые элементы защиты — это межсетевое экранирование, сегментация сети, усиление безопасности операционных систем и приложений, а также своевременное устранение уязвимостей. Основная задача специалистов — минимизировать поверхность атаки и постоянно её контролировать», — пояснил Дмитрий Овчинников.

Он также отметил важность многофакторной аутентификации (MFA). «Там, где её нельзя применить, следует использовать доступ по сертификатам или сложным паролям. Кроме того, значительную роль играет анализ сетевого трафика с помощью решений класса NTA, что позволяет выявлять подозрительную активность в инфраструктуре», — добавил эксперт.

По его словам, эффективная защита требует баланса между внедрением технологий и подготовкой персонала, который сможет их правильно эксплуатировать. «Прежде чем использовать специализированные системы защиты, необходимо убедиться, что базовые меры реализованы в полном объёме», — подчеркнул Дмитрий.

В каких метриках оценивать эффективность защиты инфраструктуры?

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, пояснил, что оценивать эффективность защиты инфраструктуры следует, используя комбинацию количественных и качественных метрик. Они должны отражать текущий уровень безопасности, способность к обнаружению и реагированию на инциденты, соответствие нормативным требованиям и достаточность для принятия взвешенных управленческих решений.

«Метрики должны анализироваться в динамике и в совокупности, а их перечень и целевые значения регулярно пересматриваться и адаптироваться к изменяющимся условиям и угрозам. Эффективность использования также зависит от контекста и корректной интерпретации данных», — отметил он.

Дмитрий Овчинников, архитектор информационной безопасности UserGate, указал, что идеальных метрик, которые подходили бы для оценки защищенности, не существует. В зависимости от размера компании, подходов, бюджетов, используемых СЗИ, компетенции персонала и других факторов, эти метрики могут отличаться.

«Каждый специалист может оценивать защищенность по своим меркам. На мой взгляд, защищенность – это не стабильное состояние, а процесс, который должен идти непрерывно. С точки зрения процесса, надо оценивать степень его непрерывности и стабильности протекания: обнаружение рисков – оценка рисков – устранение или минимизация рисков – проверка результата. Вот эта цепочка должна выполняться максимально быстро. Все остальные параметры являются вспомогательными и необходимы для того, что улучшить этот процесс.

Этот основной процесс я бы оценивал по скорости выявления новых активов, среднего времени на устранение уязвимости и скорости восстановления при сбое. С точки зрения практической ИБ, нас должно интересовать, как быстро мы устраняем уязвимости и как быстро мы сможем восстановить свою работу. Однако эти метрики будут работать только в том случае, если уже все остальные требования по ИБ реализованы в компании: есть регламенты доступа, они актуальны, поверхность атаки максимально сокращена и контролируется. На всех серверах и рабочих станциях приведены правильные настройки, с минимальным набором прав, запущенных сервисов. Без выполнения этой базы – введение метрик не поможет отследить защищенность системы», — подчеркнул он.

Как совмещать меры защиты с управляемостью и масштабируемостью инфраструктурных решений?

Дмитрий Овчинников, архитектор информационной безопасности UserGate, подчеркнул, что совмещение защищенности с управляемостью и масштабируемостью – это творческий процесс, который во многом зависит от опыта персонала и зрелости компании.

«Прежде всего меры защиты должны быть простыми, а процессы обеспечения понятны и прозрачны для всех участников. Тогда, все начинания будут использоваться в процессе работы и смогут быть масштабированы на новые сервисы или офисы. Следующая важная деталь – это обучение персонала. Не только специалистов по ИТ и ИБ, но и других пользователей корпоративной сети.

Чем лучше они будут понимать суть и смысл информационной безопасности, чем более ответственно будут подходить к безопасной работе в офисной сети, тем проще будет использовать сложные решения по защите информации. В процессе защиты инфраструктуры надо помнить о том, что иногда необходимо идти на некоторый компромисс между удобством использования и безопасностью. Если вам удается находить эту золотую середину, то нерешаемых вопросов с управляемостью и масштабируемостью у вас не возникнет», — заявил он.

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, пояснил, что для эффективного совмещения мер защиты с управляемостью и масштабируемостью необходимо рассматривать кибербезопасность как часть общей архитектуры, процессов и корпоративной культуры.

«Для этого важно рассматривать кибербезопасность не как отдельное направление, а как часть общей архитектуры, процессов и культуры в компании. Внедряйте принципы кибербезопасности с самого начала проектирования как инфраструктуры, так и при внедрении или разработке новой системы. Определять, какие уровни доступа необходимы, какие механизмы защиты потребуются, где и как будут храниться данные, какие параметры мониторинга будут требоваться и т. д.

Когда меры кибербезопасности становятся частью стандартного рабочего процесса, а не дополнительным уровнем проверки, организация получает надёжную, гибко-масштабируемую инфраструктуру, способную противостоять современным киберугрозам», — отметил он.

Какие трудности возникают при внедрении концепции нулевого доверия и как их можно преодолевать?

Дмитрий Овчинников, архитектор информационной безопасности UserGate: «Все технологии для обеспечения принципа нулевого доверия уже есть и прекрасно работают. Поэтому основная трудность в концепции нулевого доверия – это не «сломать» рабочие процессы и сделать весь процесс прозрачным для пользователей. В процессе ежедневной работы, пользователь использует множество сервисов и инструментов в корпоративной сети.

Вторая проблема при использовании этой идеологии – контроль и поддержания уровня защищенности в надлежащем состоянии. Если в процессе обеспечения безопасности использовать слишком много групп безопасности и сложные настройки для разграничения доступа, то в будущем будет очень тяжело поддерживать такую модель безопасности. В итоге получится, что безопасность служит не для повышения устойчивости бизнес-процессов, а существует сама по себе. Или, хуже того, усложняет операционную деятельность и повышает ее стоимость. Если же все чрезмерно упростить, то нельзя будет достигнуть необходимого уровня защищенности».

Как автоматизировать процессов обнаружения угроз для надежной защиты инфраструктуры?

Александр Дроздов, ведущий инженер по информационной безопасности Axiom JDK, уточнил, что приведенные для вопроса «Какие подходы и технологии наиболее эффективны для защиты ключевых узлов инфраструктуры?» подходы позволяют применить частичную автоматизацию без потери эффективности: на honeypot`ы можно устанавливать автоматическую «сигнализацию», а для отслеживания версий можно внедрить программный инструмент опрашивающий машинки в инфраструктуре и сопоставляющий версии ПО с базами данных уязвимостей.

Дмитрий Овчинников, архитектор информационной безопасности UserGate, отметил, что процесс автоматизации можно разложить на два ключевых направления: ведение учета активов компании (Asset Management) и обнаружение уязвимостей (Vulnerability Management). Он подчеркнул, что оба эти процесса должны быть хорошо отлажены, чтобы обеспечить быстрое обнаружение новых активов и проверку их на наличие уязвимостей.

«Для полноценной защиты инфраструктуры необходимо также наладить процесс приоритезации и устранения уязвимостей. С последней частью зачастую возникают проблемы: могут быть не назначены владельцы ресурсов, сервис может работать только в версии, где есть уязвимости», — пояснил эксперт.

По его словам, основная работа по устранению уязвимостей связана с поиском баланса между автоматизацией обновлений и рисками, которые могут возникнуть в результате неконтролируемого обновления критически важных сервисов.

«Если есть техническая и организационная возможность, то надо везде, где только можно, настроить автоматическое обновление. Однако, следует учитывать, что в некоторых сервисах важна версионность, и обновление одного компонента может привести к сбою всего сервиса», — подчеркнул Овчинников.

Как искусственный интеллект трансформирует оперативное реагирование на инфраструктурные инциденты?

Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ компании Axoft, отметил, что сейчас искусственный интеллект больше используется как некий справочник и позволяет найти интересующую информацию быстрее, чем это можно сделать традиционными способами.

«Но, кроме того, все чаще элементы профилирования и анализа с помощью ИИ внедряют непосредственно в инструменты, чтобы снизить ложные срабатывания и отдавать в работу аналитикам действительно важные алерты», — подчеркнул эксперт.

По словам архитектора информационной безопасности UserGate Дмитрия Овчинникова, ИИ, в частности LLM, является прекрасным справочным инструментом, а также позволяет автоматизировать часть процессов в Response.

«Например, аналитик SOC или специалист по ИБ может быстро и оперативно запросить информацию и получить консультацию. Это экономит время и ускоряет процедуру исследования. LLM может быть использована для автозаполнения карточки инцидента или подготовки расширенных отчетов, которые используются при реагировании», — пояснил он.

Дмитрий указал, что на текущий момент это наиболее полезные направления использования ИИ при оперативном реагировании.

«Если же говорить про будущие перспективы, то использование локальных и легковесных компонент ИИ в агентах защиты на конечных устройствах позволит существенно расширить возможности по реагированию на инцидент», — добавил эксперт.

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, заявил, что технологии искусственного интеллекта и машинного обучения помогают в быстром обнаружении аномалий на основе анализа больших данных, моделируют нормальное поведение системы и пользователей, а также автоматически выявляют различного рода отклонения.

«Данные технологии ускоряют переход работы центров мониторинга кибербезопасности к проактивной модели, что дает возможность реагировать не только на известные угрозы, но и предсказывать потенциальные инциденты на основе анализа аномальной активности», — прокомментировал он.

Как отметил эксперт, интеграция SOAR, AI и ML позволяет автоматизировать огромное количество рутинных задач, таких как создание тикетов, расследование инцидентов, применение политик защиты.

«Это освобождает время аналитиков для более сложных и стратегически важных задач, таких как углублённый анализ инцидентов, разработка новых методов защиты и участие в бизнес-процессах», — поделился Николай.

Однако, по его словам, повышаются требования к самому персоналу.

«Теперь они должны уметь работать с передовыми инструментами автоматизации и AI/ML. Необходимо помнить о корректности данных, на которых происходит обучение моделей, и мониторить качество и анализ их работы. Лучший результат достигается при сочетании автоматизации с человеческой экспертизой и постоянным совершенствованием процессов безопасности», — заключил эксперт.

Какие типичные ошибки в реализации мер защиты приводят к уязвимостям инфраструктуры и какие уроки из них можно извлечь?

Дмитрий Овчинников, архитектор информационной безопасности UserGate, отметил, что при реализации мер защиты часто допускаются две типичные верхнеуровневые ошибки.

«Первая — это отношение к ИБ как к состоянию, а не как к процессу, который надо обеспечивать каждый час работы. Вторая – использование технологий без должного обеспечения необходимым персоналом и процессом», — подчеркнул он.

По словам эксперта, ИТ и ИБ представляют собой прежде всего совокупность технологий, персонала и процессов.

«Если из этого треугольника убрать одну из сторон, то вся конструкция будет неустойчивой. Мало внедрить новую меру защиты, надо еще проработать процессы ее реализации и найти того, кто будет следить и поддерживать ее работу», — пояснил Дмитрий Овчинников.

Остальные ошибки, указал эксперт, обычно носят технический характер или связаны с человеческим фактором.

«Все это обычно обусловлено нехваткой времени, компетенции, несоблюдением правил ИБ или отсутствием целостного видения картины защиты инфраструктуры компании», — заключил он.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: