Positive Technologies

Готовы ли российские компании противостоять кибератакам?

20 минут

Готовы ли российские компании противостоять кибератакам?

Основные результаты исследования

  • Организации занимаются выборочным укреплением ИТ-инфраструктуры, в то время как для поддержания максимального уровня киберустойчивости требуется внедрение всех основных процессов усиления защищенности — 80% российских организаций не занимаются полноценным укреплением ИТ-инфраструктуры.

  • Организации используют для оценки своей киберзащищенности непоказательные методы. Одновременную связку из наиболее объективных методов (пентест, киберучения) используют лишь 28% компаний.

  • Организации оценивают готовность противостоять кибератакам не так часто, как это требуется для объективного понимания уровня защищенности: 21% организаций проводят пентест, лишь раз в год, либо по запросу.

  • Оценка уровня защищенности и эффективности защиты через соотношение временных метрик TTA (time to attack) и TTR (time to response) имеет малое распространение среди организаций: лишь 4% организаций используют количественные метрики для оценки готовности противостоять кибератакам.

  • Наиболее распространенными сложностями при выполнении задач по усилению защищенности ИТ-инфраструктуры являются отсутствие времени на выполнение всех поставленных задач (55%), отсутствие достаточного финансирования для закупки СЗИ (46%), недостаток компетенций для формирования задач (37%) и отсутствие эффективной коммуникации с командой ИТ (31%).

  • Команды ИБ не обращают должного внимания на контроль мониторинга, что может привести к несвоевременному выявлению возможных путей развития кибератак, запоздалому реагированию или пропуску инцидентов ИБ: отслеживают постоянство поступлений событий лишь две трети опрошенных, 53% уделяют внимание регулярности сканирования активов, меньше половины организаций (44%) оценивают полноту собираемых событий.

  • 70% организаций имеют проблемы с формированием регламента взаимодействия между командами ИБ и ИТ.

  • 39% участников опроса сообщили о нехватке кадров в командах ИБ: организации испытывают кадровый голод в отношении ИБ-специалистов, который вызван повышенной нагрузкой на команды, ответственные за мониторинг и реагирование на атаки.

  • Лишь 36% респондентов ответили, что могут позволить себе наиболее подходящий для непрерывного обеспечения киберустойчивости режим мониторинга и реагирования — «24х7».

Введение

За последние несколько лет наблюдается устойчивая тенденция к увеличению количества успешных кибератак на организации по всему миру: по нашим данным, с 2019 по 2023 год этот показатель увеличился более чем на 134%, а средний ущерб организаций от кибератак с июля 2022 года по июнь 2023 года составил не менее 20 млн рублей, что на треть больше, чем в прошлый аналогичный период, — каждый взлом и утечка обходятся бизнесу все дороже.

Среди основных драйверов роста активности злоумышленников и количества кибератак можно выделить напряженную геополитическую обстановку, развитие новых тактик и методов атак (в том числе с применением искусственного интеллекта), уход с рынка иностранных вендоров и дефицит квалифицированных кадров в сфере информационных технологий (ИТ) и информационной безопасности (ИБ). Несмотря на вышеперечисленные риски, продолжается цифровизация организаций: все больше государственных учреждений, коммерческих организаций и других отраслей продолжают автоматизировать процессы, внедрять перспективные технологии, что значительно расширяет их ИТ-инфраструктуру, и полагаться на ИТ при ведении бизнеса. В настоящее время защита новых информационных активов — одна из первостепенных задач для поддержания стабильности бизнеса.

 

Рисунок 1. Количество успешных кибератак на организации (по годам)

Рисунок 1. Количество успешных кибератак на организации (по годам)

Наше исследование по результатам работ по тестированию на проникновение (пентестам) в 2023 году показывает, что 93% организаций оказались не защищены от проникновения злоумышленников во внутреннюю сеть, а для получения полного контроля над ИТ-инфраструктурой не всегда требовалась высокая квалификация атакующих — почти две трети организаций (63%) оказались подвержены угрозе перехвата контроля над инфраструктурой со стороны нарушителей с низкой квалификацией. Векторы атак низкой сложности, например эксплуатация известных уязвимостей, недостатки парольной политики и конфигурации сервисов, были обнаружены в 58% проектов.

Для поддержания киберустойчивости необходимо системно и проактивно защищать инфраструктуру, сетевой периметр и вести непрерывный мониторинг событий, однако не во всех организациях присутствуют зрелое понимание киберустойчивости, ее составляющих и выстроенные процессы информационной безопасности.

Об исследовании и опросе

В исследовании будут рассмотрены результаты опроса респондентов о состоянии готовности российских организаций противодействовать атакам злоумышленников, действиям по оценке состояния защищенности, мониторингу и усилению защиты инфраструктуры (харденингу1). Также будут выделены основные проблемы организаций в вопросах обеспечения киберустойчивости и даны рекомендации для их решения.

Исследование основано на результатах анонимного опроса, который проводился в первом квартале 2024 года. В опросе приняли участие более 650 респондентов из числа читателей изданий, телеграм-каналов и профессиональных сообществ ИТ- и ИБ-тематики. Значительная доля участников опроса (69%) была представлена специалистами, чья деятельность связана с обеспечением безопасности инфраструктуры и сервисов. Пятая часть участников (22%) пришлась на ИТ-специалистов, а оставшуюся долю (9%) составили представители менеджмента ИТ и ИБ.


 

1 Усиление защиты инфраструктуры (англ. hardening) — это способ модернизации существующего ИТ-ландшафта для повышения защищенности ключевых и целевых систем без использования обычно налаженных средств защиты информации.

Рисунок 2. Сфера деятельности организаций участников опроса (доля участников)

Рисунок 3. Распределение специальностей участников опроса (доля участников)

Большая доля респондентов являлась представителями крупных2 и средних3 организаций (65%), а доля малых4 организаций составила 35%.

2 Численность сотрудников организации составляет более 5000 человек.

 

3 Численность сотрудников организации составляет от 250 до 5000 человек.

 

4 Численность сотрудников организации составляет менее 250 человек.

Рисунок 4. Масштаб организаций участников опроса (доля участников)

Результаты опроса

Как организации оценивают свою киберустойчивость

Частые изменения, масштабирование ИТ-инфраструктуры и многообразие методов кибератак со стороны злоумышленников требуют многоступенчатой защиты и оперативного реагирования на инциденты, что не всегда возможно и доступно для организаций. От всех атак защититься невозможно, поэтому разумным решением становится использование подходов результативной кибербезопасности и защита наиболее важных информационных активов, компрометация которых может вызвать реализацию недопустимых5 для организации событий. 

5 Недопустимое событие (НС) — это событие, возникшее в результате кибератаки, которое делает невозможным достижение операционных и (или) стратегических целей организации или приводит к значительному нарушению ее основной деятельности

Что такое киберустойчивость

Респондентам опроса было предложено указать, чем характеризуется киберустойчивость их организаций: более половины (57%) участников опроса указали, что это наличие квалифицированной команды SOC (security operation center); для 42% — это обнаружение злоумышленника командой ИБ до реализации атаки; 17% ответили, что использование мультивендорного подхода дает возможность организации бесперебойно функционировать даже в ходе кибератак, а 7% указали наличие большого процента отечественного ПО и ОС.

Одной из главных целей результативной кибербезопасности является сформировать и поддерживать состояние киберустойчивости организации — способность обеспечить непрерывность бизнес-процессов и функционирование ИТ-инфраструктуры в условиях реальной кибератаки. Наличие хорошо подготовленного и оснащенного SOC позволяет своевременно выявлять и реагировать на угрозы, использование мультивендорного подхода при построении защиты и большой процент внедрения импортозамещенного ПО и ОС снижает риски, связанные с наличием уязвимостей в конкретных продуктах, и обеспечивает стабильность в условиях возможных санкций, большой процент покрытия инфраструктуры решениями безопасности гарантирует защиту как сети и серверов, так и рабочих станций и мобильных устройств — все это важные факторы в обеспечении киберустойчивости. Однако показателем, определяющим успех в обеспечении стабильного функционирования организации в условиях кибератаки, является способность быстро детектировать и противостоять атакам.

Наиболее точно измерить киберустойчивость можно с помощью временных метрик: если команда ИБ способна обнаружить и остановить атаку быстрее, чем злоумышленник сможет добраться до целевых систем, организация значительно уменьшает риски потерь и ущерба.

Рисунок 5. Что характеризует киберустойчивость организации, по мнению участников исследования (доля участников)

Как видно из результатов, не все представители российских организаций понимают киберустойчивость как способность к обеспечению функционирования организации во время кибератак и успешному противодействию им.

Проблема 1. Организации не имеют единого представления о том, что характеризует киберустойчивость.

Результативная кибербезопасность (РКБ) — состояние защищенности организации, которое обеспечивает ее устойчивость к кибератакам и позволяет в любой момент на практике подтвердить, что злоумышленник не сможет реализовать недопустимые для этой организации события.

Как организации оценивают свою готовность к отражению атак

Какие мероприятия по оценке защищенности проводят организации?

Для формирования и поддержания киберустойчивости организациям необходимо регулярно проводить независимую оценку общего уровня защищенности систем и инфраструктуры для выявления слабых мест и определения работ по их устранению. Сегодня разнообразие методов анализа защищенности позволяет организациям выбрать наиболее подходящие, в зависимости от располагаемых ресурсов и уровня зрелости ИБ.

Рисунок 6. Эффективность методов оценки защищенности

Рисунок 6. Эффективность методов оценки защищенности

Киберучения — это мероприятия по моделированию атак на организацию, в рамках которых проверяется актуальность и работоспособность процедур выявления атак, а также эффективность имеющихся планов, схем реагирования и мер по ликвидации последствий.

 

Тестирование на проникновение, или пентест, — это работа по анализу защищенности информационных систем, которая подразумевает моделирование реальных атак злоумышленников и подтверждение (верификацию) возможности нанести ущерб (финансовый, репутационный и другой) организации во время настоящей атаки.

 

Багбаунти — программа, в рамках которой привлекается множество внештатных исследователей кибербезопасности для поиска уязвимостей в программном обеспечении, веб-приложениях и ИТ-инфраструктуре.

Наиболее объективную оценку уровня защищенности можно получить, если проводить анализ, действия которого имеют максимальное сходство с действиями реальных злоумышленников и имеют направленность на осуществление недопустимых событий, например верификацию недопустимых событий при проведении тестирования на проникновение, киберучения и размещение критичных систем на площадках багбаунти, — лишь 10% организаций применяют вышеописанные методы одновременно.

Опрос показал, что наиболее популярным методом оценки защищенности является тестирование на проникновение (пентест) — более половины (58%) респондентов указали, что их организации отдают предпочтение именно этому методу. Проведение пентестов оказалось популярным среди организаций всех масштабов.

Вторым по распространенности методом (47%) стало использование автоматизированных сканеров защищенности и анализ результатов их работы. Наибольшее распространение оказалось среди среднего и малого бизнеса. Треть респондентов (35%) заявила о проведении киберучений — наиболее эффективного метода оценки уровня защищенности, однако в силу дороговизны и требования наличия квалифицированного и оснащенного SOC этот метод отметили только крупные организации. Непопулярными также оказались программы багбаунти (15%), учитывая то, что они позволяют привлечь сообщество исследователей безопасности к проверке критичных систем и инфраструктуры без высоких требований к организации.

28% опрошенных используют собственные методы для оценки уровня защищенности, например определение потенциальных векторов атак, оценка объема покрытия средствами защиты инфраструктуры и техник MITRE ATT&CK. Также организации применяют передовые технологии для оценки защищенности — с помощью искусственного интеллекта анализируют логи с узлов инфраструктуры для выявления аномалий. Некоторые организации прибегают к регулярным проверкам осведомленности и базовых навыков сотрудников противодействия атакам.

 

Рисунок 7. Как организации оценивают уровень защищенности и способность противостоять кибератакам (доля участников)

Еще одним немаловажным аспектом получения объективной оценки защищенности является периодичность проводимых мероприятий, и чем меньше интервал (с учетом особенностей метода оценки), тем более актуальной информацией о наличии уязвимых мест и потенциальных действиях злоумышленника будет располагать отдел ИБ. С каждым днем атакующие активно изменяют тактики и техники атак, раскрывается информация о ранее неизвестных уязвимостях, активно изменяется инфраструктура — все это в значительной мере влияет на состояние защищенности.

Наиболее распространенное среди российских организаций тестирование на проникновение рекомендуется проводить минимум раз в год, но, как показывает практика, этого недостаточно, и его необходимо осуществлять раз в полгода или после каждого значительного изменения инфраструктуры — 21% организаций проводят пентест лишь раз в год либо по запросу.

Для оперативного реагирования на угрозы необходимо ежедневно проводить сканирование критически важных узлов инфраструктуры и ключевых систем на наличие уязвимостей — такой периодичности придерживаются лишь 16% респондентов.

Рисунок 8. Периодичность оценки готовности противостоять кибератакам (доля участников)

Исходя из вышесказанного можно выделить проблему в оценке уровня защищенности и готовности к отражению атак.

Проблема 2. Организации оценивают готовность противостоять кибератакам не так часто, как это требуется для объективного понимания уровня защищенности.

Через какие метрики организации оценивают свою защищенность от кибератак?

Практически все вышеперечисленные методы анализа защищенности дают качественную оценку, но для построения и поддержания киберустойчивости более уместно использовать количественные метрики — они позволяют в полной мере оценить эффективность выстроенных процессов и средств защиты, а также в случае внесения изменений в инфраструктуру отследить динамику эффективности защиты.

Мы попросили участников опроса, отметивших использование собственных метрик для оценки защищенности, ответить, какими именно метриками пользуются организации для оценки состояния защищенности, и получили следующие результаты:

Рисунок 9. Количественные метрики, используемые организациями для оценки уровня защищенности (доля участников, ответивших «Используем собственные методы и метрики»)

Такие метрики, как полнота покрытия инфраструктуры средствами защиты информации, процент импортозамещения ОС и ПО или количество детектируемых техник и тактик MITRE ATT&CK, несомненно, играют роль в формировании объективной оценки готовности к противостоянию кибератакам. В то же время соотношение времени, необходимого на обнаружение и реагирование на атаку (time to response, TTR) к времени реализации атаки (time to attack, TTA) имеет более ощутимое значение — недостаточно, например, иметь высокий процент покрытия инфраструктуры СЗИ и ATT&CK или в полном объеме перейти на отечественное ПО и ОС — эффективность этих мер напрямую зависит от того, насколько быстро будет выявлена атака и осуществлены действия для ее пресечения. Достичь соотношения TTA > TTR можно разными способами, например устранить уязвимости программного обеспечения, настроить контроль управления доступом и внедрить двухфакторную аутентификацию, провести сегментацию сетевой инфраструктуры.

Метрики TTR и TTA могут использоваться для оценки киберустойчивости организации, так как их соотношение наглядно демонстрирует эффективность работы команды ИБ, средств мониторинга и защиты инфраструктуры, — эти элементы в значительной мере определяют возможность функционирования бизнес-процессов в условиях кибератаки.

Рисунок 10. Динамика соотношения TTA и TTR в случае выстраивания защиты по концепции РКБ

Рисунок 10. Динамика соотношения TTA и TTR в случае выстраивания защиты по концепции РКБ

Проблема 3. Оценка уровня защищенности и эффективности защиты через временные метрики имеет малое распространение среди организаций.

TTA рассчитывается как время, прошедшее от первоначального доступа в систему до реализации недопустимого события. TTR в свою очередь определяется как время от начала локализации инцидента информационной безопасности до его полного устранения.

Для сокращения времени реагирования на инциденты ИБ и увеличения времени реализации атаки организациям необходимо:

  • определить перечень недопустимых событий с топ-менеджментом;
  • определить целевые6 и ключевые7 системы, компрометация которых может привести к реализации НС через анализ потенциальных векторов атак злоумышленников;
  • провести постепенную, запланированную кибертрансформацию процессов защиты согласно концепции результативной безопасности для выстраивания киберустойчивости.

6 Целевая система — информационная система, нарушение работы которой может привести к наступлению недопустимого для бизнеса события.

 

7 Ключевая система — информационная система, от воздействия на которую зависит успешность атаки на целевую систему или которая существенно облегчает последующие этапы атаки.

Рисунок 11. Этапы построения результативной кибербезопасности

Рисунок 11. Этапы построения результативной кибербезопасности

Что предпринимают организации для выстраивания и поддержки киберустойчивости

После определения перечня недопустимых событий и возможных сценариев их реализации начинается процесс харденинга ИТ-инфраструктуры, развертки сенсоров для мониторинга и реагирования на инциденты, а также выстраивание процессов по приоритизации проведения работ кибертрансформации и взаимодействию команды ИБ с командой ИТ.

Усиление защиты (харденинг) инфраструктуры

Главная цель укрепления ИТ-инфраструктуры состоит в том, чтобы создать злоумышленникам такие условия, в которых бы им стало гораздо сложнее попасть в нее, осуществлять перемещение и разведку для достижения целевых систем и реализации недопустимых событий. Усилить инфраструктуру, можно внедряя и поддерживая:

  • управление активами

Asset management (AM) дает полное представление обо всех активах в ИТ-инфраструктуре, включая аппаратное и программное обеспечение, а также данные, которые циркулируют в системах. Функциональность AM может быть обеспечена такими классами систем, как SIEM, VM, HCC. Инвентаризация активов и сбор конфигураций элементов инфраструктуры лежат в основе усиления защиты инфраструктуры и выявления инцидентов, так как четкое понимание содержимого инфраструктуры позволяет целенаправленно выявлять слабые места и потенциальные пути атак злоумышленников. Недостатки конфигурации используемого ПО стали причиной наличия критических уязвимостей в 11% проектов по тестированию на проникновение.

  • управление уязвимостями

Vulnerability management (VM) позволяет оперативно выявлять и отслеживать уязвимости на узлах инфраструктуры, расставлять приоритет задач по их устранению, а использование систем класса VM позволяет автоматизировать процесс обновления ПО и устранения известных уязвимостей. В 67% проектов по пентесту были найдены критические уязвимости, связанные с использованием устаревших версий ПО.

  • контроль соответствия активов требованиям безопасности

Host compliance control (HCC) — необходимое условие результативной кибербезопасности. Все активы, находящиеся в ИТ-инфраструктуре, должны соответствовать принятым стандартам кибербезопасности (например, PCI DSS или приказам ФСТЭК России № 17 и 21), правилам и политике ИБ организации — это повышает общий уровень защищенности и позволяет оперативно выявить узлы, которые могут быть скомпрометированы. Модуль HCC позволяет провести контроль актива по соответствию требованиям к парольным политикам (требования к паролям и их использованию), журналированию значимых системных событий, защите от сетевых атак.

  • контроль соответствия сети требованиям безопасности

Network compliance control (NCC) обеспечивает безопасность сетевых ресурсов и защиту от потенциальных угроз с помощью настройки конфигурации сетевых устройств в соответствии с требованиями политики безопасности, а также сегментации сети на безопасные подсети.

  • контроль соответствия учетных записей требованиям безопасности

User compliance control (UCC) используется для обеспечения безопасности учетных записей пользователей в ИТ-инфраструктуре и предотвращения угроз, связанных с компрометацией учетных данных, а также для контроля доступа пользователей к различным ресурсам и системам. К этому процессу относится ограничение доступа на основе ролей, принципа наименьших привилегий, внедрение двухфакторной аутентификации и других механизмов, что обеспечивает защиту инфраструктуры в случае компрометации учетных данных и систем, — злоумышленнику потребуется больше времени для получения прав, необходимых для развития атаки. Отсутствие контроля безопасности учетных данных может привести к успешному доступу злоумышленников во внутреннюю сеть организаций: данные отчетов по пентестам показали, что 56% векторов успешного доступа в локальную сеть и получения максимальных привилегий в домене содержали технику Brute Force, что указывает на недостаточную строгость парольной политики и недостатки механизма аутентификации.

Опрос респондентов о выстроенных или строящихся процессах усиления инфраструктуры показал, что около трети организаций применяют процессы управления уязвимостями (61%) и контроль соответствия учетных записей требованиям безопасности. 56% участников указали наличие выстроенного процесса контроля соответствия сети требованиям безопасности. Одни из наиболее важных процессов харденинга инфраструктуры — управление активами и контроль их соответствия требованиям безопасности — используются командами ИБ в меньшей степени: на их долю пришлось 48% и 43% соответственно.

Отсутствие процесса управления активами значительно снижает эффективность внедрения процессов контроля соответствия требованиям безопасности, так как без четкого понимания состава инфраструктуры и сведений о конфигурации систем их крайне затруднительно приоритизировать и выявлять потенциальные маршруты атак злоумышленников, автоматически проводить работы по усилению защиты — больше половины организаций (52%) проводят харденинг инфраструктуры без процесса AM.

Рисунок 12. Процессы усиления защищенности инфраструктуры, выстроенные или строящиеся в отделе ИБ (доля участников)

Злоумышленники находятся в постоянном поиске способов компрометации целевых систем и успешно находят их: специалистам Positive Technologies удалось подтвердить возможность реализации как минимум одного недопустимого события во всех проектах, которые были проведены в 2023 году, при этом не всегда требовался полный контроль над инфраструктурой. Процессы усиления инфраструктуры необходимо внедрять одновременно, уделяя особенное внимание потенциальным векторам атак злоумышленников на критически важные активы: такой подход позволит создать значительное сопротивление атакующим, увеличить время, требуемое для реализации атаки или увеличить количество шагов для достижения целевой системы — это в свою очередь дает команде ИБ ценное время для реагирования на атаку. Результаты опроса показали, что 32% организаций внедрили только один процесс усиления защиты инфраструктуры и лишь 20% внедрили или внедряют все вышеописанные процессы.

По собственным данным из отчетов по тестированию на проникновение за 2023 год известно, что 42% протестированных систем оказались уязвимы к проникновению во внутреннюю сеть (ЛВС) за один-два шага. В среднем для доступа в ЛВС требовалось 3,5 шага.

Проблема 4. Организации занимаются выборочным укреплением ИТ-инфраструктуры, в то время как для поддержания максимального уровня киберустойчивости требуется внедрение всех основных процессов усиления защищенности с учетом критичности актива и возможных векторов атак.

Мониторинг инфраструктуры

Если харденинг инфраструктуры предназначен для задержки атакующих, создания им дополнительных сложностей на пути к реализации недопустимых событий, то есть увеличивает время проведения атаки, то мониторинг направлен на сокращение времени выявления и реагирования на атаку. Для мониторинга угроз необходимы:

  • Полнота покрытия инфраструктуры

Для выявления нелегитимных действий злоумышленников необходимо обеспечить полное и стабильнее покрытие тех активов ИТ-инфраструктуры, которые могут являться частью пути к реализации недопустимых событий: серверы, сетевое оборудование, облачные ресурсы и конечные устройства (рабочие или личные устройства сотрудников). Чем шире охват мониторинга, тем больше вероятность выявления аномалий и атак.

  • Полнота собираемых данных

Чтобы оперативно выявить развитие атаки в любой части инфраструктуры, в том числе на потенциальных маршрутах реализации НС, необходимо, чтобы средства мониторинга предоставляли необходимый набор событий из журналов событий и системных логов для выявления вредоносной и подозрительной активности: попыток входа с локальной учетной записью, создания новых процессов, изменений в системном реестре.

  • Регулярность сканирования активов

Актуальные данные сканирования информационных активов, позволяют выявлять проблемы безопасности и передавать данные о них в решения VM, HCC, UCC и NCC для последующего устранения недостатков — это позволяет избежать появления «слепых» зон, через которые злоумышленники смогут развить кибератаку. Кроме этого, регулярные сбор и обработка данных позволяют выявлять подозрительную активность в реальном или максимально приближенном к реальному времени.

Рисунок 13. Что отслеживают организации в средствах мониторинга и защиты инфраструктуры (доля участников)

Результаты опроса показали, что организации упускают из внимания важные критерии мониторинга: отслеживают постоянство поступлений событий лишь две трети опрошенных, чуть больше половины (53%) уделяют внимание регулярности сканирования активов, меньше половины организаций (44%) оценивают полноту собираемых событий. Полнота данных мониторинга имеет наибольшую ценность в процессе определения легитимности и детализации активности на узлах инфраструктуры: 39% респондентов указали, что контролируют факт поступления событий с активов, но не их полноту.

Для выявления активности злоумышленников, отслеживания их точного местоположение в системах и блокирования доступа критически важно обращать внимание на корректную работу средств защиты, покрывающих инфраструктуру, и вести контроль мониторинга: результаты опроса показали, что только 19% организаций контролируют факт поступления событий с информационных активов, их регулярность и полноту одновременно.

Проблема 5. Команды ИБ не обращают должного внимания на контроль мониторинга, что может привести к несвоевременному выявлению возможных путей развития кибератак, запоздалому реагированию или пропуску инцидентов ИБ.

Трудности при выполнении задач по укреплению инфраструктуры

Выполнение задач по укреплению ИТ-инфраструктуры происходит на стыке зон ответственности команд ИТ и ИБ, и в идеальной ситуации две эти команды работают совместно, как единое целое для достижения единой цели — обеспечения стабильной работы ИТ-инфраструктуры в любых условиях:

  • Команда ИБ совместно с топ-менеджментом определяет перечень недопустимых событий и сервисы, подлежащие первоочередной защите. Далее формируются возможные сценарии атак на целевые системы и уровни значимости систем, которые могут быть использованы для реализации недопустимого для бизнеса события, — в критических системах работа по устранению недостатков должна проводиться в первую очередь.
  • Команда ИТ отвечает за работоспособность систем и обновление их версий, в том числе за обновления безопасности. Отслеживание расписания обновлений и их установки в рамках согласованных сроков — задача команды ИТ. 

 

В реальности же обстановка несколько отличается, так как цели команд разнятся, как и их задачи, объемы кадровых и временных ресурсов, а также приоритеты задач: команде ИТ нужно проводить работы по разработке ПО и обслуживанию инфраструктуры, так как у нее свой объем кадровых и временных ресурсов, свои приоритеты; команда ИБ следит за уровнем защищенности организации, разрабатывает сценарий укрепления инфраструктуры, настроек СЗИ и подает на вход команде ИТ задачи по устранению недостатков в системах и сервисах. 

Мы попросили участников опроса ответить, кто определяет приоритет задач и какие сложности они испытывают при проведении работ по усилению защиты инфраструктуры.

Рисунок 14. Принципы приоритизации задач по усилению защищенности ИТ-инфраструктуры (доля участников)

Рисунок 15. Сложности, с которыми сталкиваются организации при выполнении задач по усилению защищенности ИТ-инфраструктуры (доля участников)

Если команды не учитывают интересы и приоритеты друг друга относительно задач по укреплению инфраструктуры, то в итоге может появиться напряжение между командами, которое впоследствии перерастет в постоянное недопонимание: около трети (31%) участников опроса указали, что имеют сложности во взаимодействии команд ИТ и ИБ.

Для разрешения разногласий между командами ИТ и ИБ в вопросах усиления защиты инфраструктуры мы рекомендуем использовать практику соглашения об уровне обслуживания (service level agreement, SLA) — своеобразного мини-договора, в котором заранее обговариваются все условия выполнения задачи и устанавливаются параметры качества. Главная цель SLA — закрепить правила взаимодействия команд ИТ и ИБ, описать типы задач, время для их выполнения с учетом интересов обеих команд и самого бизнеса.

Для формирования SLA необходимо:

  • определить риск-рейтинг активов в зависимости от их влияния на бизнес-процессы и с учетом возможных сценариев кибератак;
  • сгруппировать и оценить важность активов;
  • определить время проведения технических работ и требования по доступности активов во время харденинга инфраструктуры.
Рисунок 16. Схема взаимодействия команд ИТ и ИБ через SLA

Рисунок 16. Схема взаимодействия команд ИТ и ИБ через SLA

SLA позволяет команде ИБ четче ставить задачи и обосновывать необходимость проведения работ по усилению защиты инфраструктуры, а команде ИТ — оптимизировать затраты ресурсов на выполнение задач и учитывать собственные приоритеты.

Результаты опроса показали, что лишь 30% организаций используют SLA и оно стабильно работает, 16% опрошенных ввели SLA, но этот метод не выполняется, 54% российских компаний вовсе не используют соглашение об уровне обслуживания.

Проблема 6. Отсутствие регламента взаимодействия (SLA) между командами ИБ и ИТ негативно влияет на проактивное усиление защищенности инфраструктуры

Рисунок 17. Наличие или отсутствие SLA в российских организациях (доля участников)

Наиболее распространенной сложностью стало отсутствие времени на выполнение всех поставленных задач (55%), далее следует отсутствие достаточного финансирования для закупки СЗИ (46%) — такую проблему испытывает более половины малых и средних организаций. Также представители организаций пожаловались на отсутствие компетенций для формирования задач (37%) и отсутствие эффективной коммуникации с командой ИТ (31%).

Проблема 7. Отсутствие компетенций и времени для выстраивания харденинга в значительной мере влияет на эффективность защитных мер, а следовательно, на киберустойчивость организации.

Недостаток кадров как фактор влияния на киберустойчивость организаций

Кадры — наиболее ценный ресурс для бизнеса, а если дело касается специалистов по информационной безопасности, то этот вопрос становится еще острее: по нашим данным, дефицит кадров в сфере ИБ составляет около 100 тыс. человек. 39% участников опроса также сообщили о нехватке кадров в командах ИБ, 29% сообщили о том, что команда сформирована, но от дополнительных сотрудников они бы не отказались, и лишь 11% респондентов сообщили, что их команды ИБ полностью укомплектованы.

Рисунок 18. Количество сотрудников в подразделении ИБ организаций (доля участников)

Рисунок 19. Как организации оценивают укомплектованность подразделения ИБ (доля участников)

Увеличение количества атак ведет к росту нагрузки на специалистов: по данным отчета 2023 года Ассоциации безопасности информационных систем, 63% специалистов по обеспечению ИБ отметили, что их работа стала гораздо труднее за последние два года. Бывает, что специалисты вручную обрабатывают более 4,5 тыс. событий в день и тратят на это около трех часов. Также аналитики отмечают высокий уровень ложноположительных срабатываний — около 83%. В таких условиях вполне реально пропустить действительно важное срабатывание средств мониторинга и дать шанс злоумышленникам продвинуться дальше.

Проблема 8. Организации испытывают значительный кадровый голод в отношении ИБ-специалистов.

Проблема 9. Уровень нагрузки на команды, ответственные за мониторинг и реагирование на атаки, остается достаточно высоким, что приводит к риску ошибки со стороны человека и значительному снижению работоспособности специалистов.

Важным фактором эффективности мониторинга и реагирования ни киберинциденты является выбранный режим осуществления мониторинга и обработки событий. Часто бизнес-процессы, использующие ИТ-инфраструктуру, чувствительны к доступности сервисов и систем и носят непрерывный характер. 

Атакующие, в случае попадания в инфраструктуру, могут действовать в любой момент, им неважно день или ночь, будний день или выходной. Именно поэтому наиболее актуальным режимом мониторинга и реагирования является режим «24х7»: только в таком режиме можно непрерывно обеспечивать киберустойчивость организации, однако лишь треть (36%) респондентов ответила, что могут позволить себе такой режим. Режим «24х7» более характерен для средних организаций со штатом сотрудников ИБ от 10 до 20 человек и крупных организаций со штатом сотрудников более 20 человек, тогда как малые организации ограничиваются ситуационным режимом либо мониторингом во время рабочего времени специалистов (режим «8х5»), так как большая часть из них имеет не более 10 человек в команде ИБ.

Рисунок 20. В каком режиме команды ИБ осуществляют мониторинг и реагирование на кибератаки (доля участников)

Проблема 10. Не все организации могут позволить себе отслеживать угрозы и реагировать на них в режиме «24х7» из-за нехватки бюджета и кадрового голода.

Как повысить уровень киберустойчивости организации

Учитывая вышеопределенные проблемы организаций в вопросах обеспечения киберустойчивости, можно сказать, что организациям следует уделить значительное количество внимания и ресурсов для совершенствования защиты ИТ-инфраструктуры, внедрения необходимых процессов безопасности и достижения состояния киберустойчивости: результаты исследования проектов по тестированию на проникновение специалистами Positive Technologies в 2023 году показали, что в 81% проектов общий уровень защищенности8 был определен как низкий и реализовано 90% недопустимых событий.

Предлагаемые рекомендации могут помочь организациям понять, в каком направлении действовать для повышения уровня защищенности:

  1. Под киберустойчивостью следует понимать способность обеспечить непрерывность бизнес-процессов и функционирование ИТ-инфраструктуры в условиях реальной кибератаки.
  2. Для оценки состояния защищенности ИТ-инфраструктуры следует проводить мероприятия по анализу защищенности, максимально схожие с реальными действиями злоумышленников и направленные на подтверждение (верификацию) возможности реализации недопустимых событий, например тестирование на проникновение, киберучения, запуск программ багбаунти. Для поддержания актуальных и объективных сведений об уровне защищенности необходимо проводить мероприятия по оценке защищенности регулярно с использованием автоматизированных средств мониторинга и оценки уровня защищенности.
  3. Для измерения киберустойчивости и оценки эффективности защитных мер необходимо внедрять хорошо измеримые показатели и метрики — для этого хорошо подходит время. Например, время реагирования на атаку (TTR) и время реализации атаки (TTA): при проведении харденинга инфраструктуры увеличивается TTA — злоумышленникам будет сложнее проникнуть в инфраструктуру и перемещаться от узла к узлу. Внедрение средств мониторинга и реагирования сокращает TTR, тем самым позволяет команде безопасности быстрее обнаруживать и локализовать угрозы со стороны атакующих.
  4. Для создания и поддержания киберустойчивости в рамках результативной кибербезопасности следует определить перечень недопустимых событий и потенциальных векторов атак злоумышленников, которые ведут к их реализации; провести инвентаризацию и определение критичности информационных активов для приоритизации распределения ресурсов на защиту. Также необходимо внедрить стратегию кибертрансформации инфраструктуры и придерживаться ее.
  5. Для сокращения времени выявления злоумышленников в сети и реагирования на кибератаки рекомендуем организациям инвестировать ресурсы в современные системы мониторинга и реагирования и обеспечить для них полноту покрытия инфраструктуры, полноту собираемых данных и регулярность сканирования активов.
  6. В условиях недостатка компетенций для проведения харденинга имеет место привлечение сторонних специалистов для проведения работ по усилению защиты инфраструктуры, применение best practice и обмен опытом с другими организациями в вопросах обеспечения защиты. Для ускорения работ по укреплению защиты целесообразно применение решений по управлению уязвимостями и контролю конфигураций.
  7. Создание и внедрение SLA позволит командам ИБ четко формулировать задачи и обосновывать необходимость проведения работ по усилению защиты инфраструктуры, а командам ИТ — оптимизировать затраты ресурсов на выполнение задач с учетом собственных приоритетов.
  8. Автоматизация рутинных задач SOC освободит время специалистов для работы с более критичными задачами, а внедрение программ поддержки и мотивации команд ИБ, включая системы поощрения и психологическую поддержку, повысит эффективность специалистов и снизит вероятность выгорания.
  9. Проблему кадрового голода возможно решить инвестированием в обучение и переподготовку существующих сотрудников, привлечением молодых талантов с последующим обучением под конкретные задачи организации и команды ИБ, а также привлечением сторонних организаций к выполнению функций команды ИБ (аутсорсинг) или автоматизацией рутинных процессов обеспечения ИБ.
  10. Хорошо настроенные современные системы мониторинга и реагирования, требующие меньшего вмешательства операторов, позволят оптимизировать имеющиеся человеческие ресурсы и перейти на более оптимальные режимы мониторинга и реагирования.

8 Общий уровень защищенности — это экспертная оценка, учитывающая количество выявленных векторов атак, в том числе потенциальных, уровень важности ресурсов, к которым был получен доступ, а также уровень сложности вектора атаки и необходимую квалификацию нарушителя.

Приведенные рекомендации могут потребовать от организаций дополнительных финансовых, кадровых и временных вложений для выстраивания и поддержания состояния, что в условиях дефицита ресурсов и необходимости оптимизации процессов не всегда возможно. Кроме вложения ресурсов необходима глубокая экспертиза для усиления защиты, обнаружения атак и их локализации, которой обладают не все команды ИБ российских организаций. Наиболее выгодным вариантом является автоматизация процессов, связанных с обеспечением киберустойчивости, и привлечение качественной сторонней экспертизы в помощь командам ИБ, но есть ли подобные предложения на рынке? До недавнего времени решений подобного класса не существовало на российском рынке до появления MaxPatrol Carbon.

MaxPatrol Carbon — это навигатор киберустойчивости: он формирует и контролирует выполнение требований к инфраструктуре, которые позволят вовремя обнаружить и остановить злоумышленника. Продукт позволяет увидеть и проанализировать инфраструктуру не с точки зрения владельца, а с точки зрения атакующего и увидеть то, что заинтересует злоумышленника: неисправленные уязвимости, ошибки конфигураций, недостатки политик безопасности, возможность удаленного доступа, наличие у учетных записей избыточных привилегий, сетевая достижимость узлов инфраструктуры.

Для кого будет актуален MaxPatrol Carbon

  • Компания не может оценить или контролировать уровень своей киберзащищенности, чтобы не допустить реализации неприемлемых рисков.
  • Отсутствие компетенций и людей для выстраивания процессов харденинга и мониторинга инфраструктуры.
  • Нет инструментов для приоритизации задач по обеспечению кибербезопасности организации.
  • Сложно выделить ресурсы ИТ на задачи ИБ: ИТ не понимают необходимости выполнения работ.

Возможности MaxPatrol Carbon

  • Выявляет потенциальные маршруты атак на критически важные активы компании.
  • Формирует четкие рекомендации по повышению защищенности: исключение или усложнение потенциальных маршрутов атак, повышение безопасности потенциальных маршрутов атак.
  • Контролирует видимость активов на потенциальных маршрутах атак: факт и стабильность поступления событий мониторинга, полнота собираемых данных, наличие и регулярный запуск задач аудита и сканирования на уязвимости, появление новых активов.
  • В любой момент показывает актуальный уровень защищенности компании.
  • Позволяет приоритизировать задачи ИБ с учетом рисков для бизнеса и ИТ-процессов организации.
  • Дает обоснование приоритетности задач ИБ для ИТ-подразделения.