В погоне за киберустойчивостью: можно ли достичь полной защиты от угроз?

Сегодня, когда вместе с потоками данных растет и частота кибератак, многие компании стремятся достичь киберустойчивости. Можно ли ее добиться в масштабах организации и как ее реализовать с максимальной эффективностью, Эльман Бейбутов, директор по развитию бизнеса UserGate, рассказал в ходе международного форума Kazan Digital Week, который проходил в Казани 17 – 19 сентября. Участники форума обменялись научно-техническим опытом и обсудили актуальные вопросы цифровизации и импортозамещения, в том числе важную тему киберустойчивости: Эльман Бейбутов возглавил секцию, посвященную этому направлению.

Киберустойчивость и ее принципы

Киберустойчивость — это способность организации предотвращать и обнаруживать инциденты, оперативно реагировать на кибератаки и, самое главное, восстанавливаться после них. Но достичь полной киберустойчивости невозможно: всегда существует гонка между атакующими и защищающимися, появляются новые векторы атак и так называемые «черные лебеди» в кибериндустрии. Регулярно выявляются ранее неизвестные уязвимости (zero-day), которые могут быть использованы злоумышленниками. Абсолютная защита информации недостижима, однако возможно максимально приблизиться к ней, сосредоточив усилия на наиболее критичных для организации бизнес-процессах и сценариях.

Определив приоритетные бизнес-сценарии и их границы, можно адаптировать меры и средства безопасности под эти рамки и выстроить киберустойчивость в их пределах. Распространенная ошибка — пытаться создавать киберустойчивость сразу во всей организации, что оборачивается лишь безрезультатной тратой сил и средств. При этом подход Zero Trust Network Access, примененный к отдельным бизнес-процессам, позволяет обеспечить комплексный подход к киберустойчивости. Например, для сценария «доступ к финансовой ERP-системе извне» приоритетами будут: многофакторная аутентификация, проверка состояния (здоровья) пользовательского устройства, микросегментация приложений (изоляция ERP от других сетей), детальное логирование всех действий с целью выявления отклонений от политики ИБ и блокирования доступа. Это и будет границами киберустойчивости для данного бизнес-сценария.

Современные принципы киберустойчивости во многом определяются бизнесом и его потребностями в цифровой трансформации. Сегодня пользователи работают из любой точки мира, практически с любого устройства, а топ-менеджмент требует доступности без жесткой привязки к конкретному оборудованию. Данные доступны широкому кругу пользователей и приложений, а объем потоков между приложениями и сервисами постоянно растет.

Бизнес, стремясь ускорить развертывание приложений, активно использует облачные и гибридные решения, что позволяет быстро арендовать мощности без ожидания закупки или расширения собственного ЦОДа. Это повышает скорость IT-трансформации и выгоды для бизнеса, но одновременно увеличивает сложность инфраструктуры, снижая безопасность и уровень доверия.

Если ранее модель взаимодействия выглядела как «многие пользователи — один сервер», то сегодня, с внедрением Big Data, систем аналитики BI и экосистемных бизнес-сервисов, инфраструктура компании формирует сложную сеть взаимодействий «многие ко многим», что требует динамических подходов к защите.

Современные ИТ-инфраструктуры с большим количеством горизонтальных связей между серверами и системами, обрабатывающими данные из множества источников, создают сложную среду с интенсивным обменом информацией. Контроль таких потоков данных становится крайне затруднительным. В этих условиях принцип киберустойчивости меняется: от модели, предполагающей полное доверие по простым условиям (пользователь знает логин и пароль), к концепции «не доверяй по умолчанию никому». Это означает, что для получения доступа необходимо выполнение ряда условий, а сам доступ предоставляется максимально избирательно — только к ограниченному числу сервисов по принципу минимальных привилегий. Традиционные средства защиты, такие как организация VPN-доступа, в этой новой реальности предоставляют избыточный доступ, открывая злоумышленнику, получившему учетные данные, практически всю внутреннюю сеть. Подход ZTNA решает эту проблему, так как по умолчанию ничего не открывает без анализа многих факторов безопасности и понимания контекстов запрашиваемого доступа в рамках определенного бизнес-процесса и пользовательской роли.

Второй важный принцип — готовность к восстановлению после инцидента. Для этого применяются системы резервного копирования и специализированные решения, позволяющие автоматически и оперативно восстановить инфраструктуру с ранее сохраненными настройками и конфигурациями.

Полное внедрение киберустойчивости во всей организации практически нереализуемо: это приведет либо к чрезмерно сложной и дорогой системе, либо к бесконечному проекту с постоянной перенастройкой в условиях меняющейся инфраструктуры. Поэтому третий и ключевой принцип — выбор конкретных бизнес-сценариев, для которых требуется реализация киберустойчивости или Zero Trust Network Access.

Резюмируя, базовые принципы можно сформулировать так:

1. Не доверяй по умолчанию никому.
2. Определи приоритетные бизнес-сценарии для внедрения киберустойчивости.
3. Обеспечь возможность восстановления системы после реализации угрозы.

Zero Trust Network Access: реализация на практике

Важное правило реализации подхода Zero Trust Network Access — минимальные привилегии (least privilege). Пользователю предоставляется только тот доступ, который необходим для выполнения конкретного бизнес-сценария. Это приводит к микросегментации сетей — даже при доступе к сети пользователь получает доступ только к определенным сервисам и приложениям, — а также к применению специализированных средств безопасности, которые могут гранулярно работать с запросами к приложениям. Например, для защиты веб-приложений требуется Web application firewall, который способен анализировать запросы, выявлять атаки и предотвращать нарушения целостности или компрометацию данных веб-сервисов.

Еще один из элементов сценария ZTNA — назначение прав и контроль доступа на основе профилей пользовательских устройств. Компания должна точно знать, какие устройства закреплены за сотрудником, вести инвентаризацию ПО и обновлений, чтобы исключить подключение несанкционированных пользователей с ранее неизвестных или небезопасных устройств, включая личные. Такой подход применяется и для защиты сценариев «Bring Your Own Device»: даже личные устройства должны соответствовать требованиям корпоративной безопасности, чтобы не подвергать организацию рискам.

Следующая важная мера — запрет доступа к корпоративным ресурсам со взломанных устройств (jailbreak для iOS или рут-доступ для Android). Эти устройства подвержены повышенным рискам: на них можно легко установить вредоносное ПО, способное незаметно передавать данные злоумышленнику.

Для повышения уровня защиты необходимо использовать многофакторную аутентификацию. Парольная защита должна отходить на второй план, а основными методами аутентификации становятся токены (программные или аппаратные) и дополнительные подтверждения личности. Политики доступа должны строиться не только на основе логинов и паролей, которые могут различаться между системами, но и на основе персонализации конкретного пользователя (User Entity / User ID). Это позволяет сопоставлять учетные записи в разных системах с конкретным сотрудником, исключая путаницу при настройке правил доступа и обеспечивая гранулярный контроль. Например, система должна понимать, что учетная запись elman.beybutov в Active Directory, пользователь elman@usergate.com в почте и аккаунт @elmanbe в GitHub — это один и тот же человек. Это позволяет применять к нему единые политики безопасности вне зависимости от используемого сервиса и логинов.

После внедрения принципов киберустойчивости необходим непрерывный мониторинг инцидентов. Это может быть реализовано с помощью SIEM-систем, интегрированных с инструментами автоматизации реагирования (IRP) и решениями для защиты конечных устройств (EDR). Такой подход позволяет в критических случаях автоматически блокировать развитие атаки без участия человека.

Ключевым элементом остается возможность восстановления системы в случае успешной атаки. Для этого используются резервные копии, контроль конфигураций и их хранение в изолированных хранилищах, что обеспечивает быстрое восстановление инфраструктуры по заранее сохраненным настройкам.

Автор: Эльман Бейбутов, директор по развитию бизнеса UserGate.