Positive Technologies представила ХардкорИТ — подход к расчету киберустойчивости ИТ-инфраструктуры

Применение концепции усложнит и замедлит¹ путь злоумышленника, а также позволит оценивать ИТ-инфраструктуру понятными бизнесу метриками киберустойчивости

Positive Technologies представила на форуме инновационных финансовых технологий FINOPOLIS 2024 новую методологию построения киберзащиты — ХардкорИТ. Концепция поможет организациям понять, сколько времени требуется злоумышленнику на причинение недопустимого ущерба², а также как замедлить и сделать более заметным для службы ИБ его продвижение в инфраструктуре.

Финансовые организации остаются в центре внимания киберпреступников: в 2023 году финсектор оказался в тройке самых атакуемых отраслей. По данным пентестов, проведенных Positive Technologies в прошлом году, 96% компаний не защищены от проникновения хакеров в их ИТ-инфраструктуру. При этом для успешной атаки и нанесения недопустимого ущерба злоумышленникам требуется от 6,5 часов. Для проникновения в локальную сеть трех из четырех организаций достаточно сделать всего три шага. Специалистам мониторинга и реагирования на инциденты нужно быть наготове круглосуточно, чтобы обеспечить непрерывную работу бизнеса в таких условиях. Как показывают опросы, позволить себе такие затраты могут лишь 36% организаций. Большинство по-прежнему уязвимы и не успевают вовремя отреагировать на инцидент. Для того чтобы оставаться киберустойчивыми, им необходимо проработать шаги для управления временем атаки и сделать ее более заметной для служб ИБ. 

Подход ХардкорИТ заключается в том, чтобы замедлить атаку злоумышленников (time to attack, TTA) и предоставить команде по защите от киберинцидентов больше времени на реагирование и локализацию (time to contain, TTC). 
На основе данных тестов на проникновение, многолетнего опыта компании в отражении кибератак и защите российских организаций, специалисты Positive Technologies создали тепловую карту, наложенную на матрицу MITRE ATT&CK.

С ее помощью можно посчитать время атаки на любую ИТ-инфраструктуру. Результаты моделирования показали, что для непрерывной работы критически важных бизнесу сервисов TTA должно быть в два раза больше TTC. Например, если период реагирования составляет 8 часов, необходимо увеличить время продвижения злоумышленника в системе до 16. Таким образом ХардкорИТ помогает бизнесу добиться прогнозируемой киберустойчивости с опорой на четкие метрики: время кибератаки и количество шагов для ее реализации.

Внедрение методологии поможет компаниям определить собственные показатели времени атаки и реагирования на киберинцидент и сформировать программу ИТ-трансформации, чтобы прогнозируемо увеличить период, необходимый хакерам для причинения неприемлемого ущерба. ХардкорИТ позволит выявить наиболее опасные векторы атак и точки проникновения в ИТ-инфраструктуру конкретной организации. Кроме того, использование методологии сократит время выхода на рынок новых продуктов и сервисов за счет применения подхода secure by design при выводе в продуктивную эксплуатацию, что особенно важно на быстроразвивающемся финтех-рынке. Впоследствии эти данные можно использовать для непрерывной автоматической проверки кибеустойчивости ИТ-инфраструктуры с помощью метапродукта MaxPatrol Carbon.

1. Параметров усложнения и замедления пути злоумышленника может быть много. Они зависят от архитектуры, недопустимого ущерба и инфраструктурных продуктов компании. 
2. Недопустимый ущерб (недопустимое событие) — событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей или приводящее к длительному нарушению основной деятельности организации.