13.4.20

Смена приоритетов ИБ как следствие коронавируса

Когда 4 недели назад мы в Cisco предложили всем желающим бесплатно получить наши решения для организации удаленной работы, я не думал, что этот месяц вся команда ИБ российского офиса Cisco будет с утра до вечера заниматься тем, что будет выписывать лицензии на сотни тысяч удаленных подключений. Но заметка будет о том, какие изменения произошли в приоритетах многих компаний в части информационной безопасности или произойдут в самое ближайшее время?

Совершенно очевидно, что для абсолютного большинства компаний на первое место вышла тема удаленной работы. Такой же важный приоритет у этой темы и для ИБшников, которым надо было в экстренном режиме либо с нуля выстроить архитектуру безопасного удаленного доступа, не мешающего бизнесу, либо проверить, что уже построенная ранее архитектура справится с многократным ростом числа удаленных подключений (тут и кластеризация VPN-шлюзов, и правильное "прокидывание" удаленных пользователей к нужному сегменту/приложению, и защита от DDoS VPN-кластера и т.п.). Удаленка - это вообще отдельная тема, требующая не одной статьи. Я попробую ее начать раскрывать на следующей неделе.

Учитывая существенные проблемы в экономике, которые начинаются касаться практически любой компании (кроме торгующих туалетной бумагой и гречей), вторым приоритетом становится реализация уже имеющихся планов и новых задач в условиях сокращения бюджета. Пока еще не все с этим столкнулись, но думаю, что очень скоро это почувствует на себе все. И сейчас, когда аврал, связанный с переходом на удаленку, спадет, стоит пересмотреть все свои планы и оценить их с точки зрения приоритетности и важности для бизнеса. А он обязательно спросит при очередном запросе денег на оплату ранее согласованных проектов: "А нам это действительно надо?", "А что нам это даст?". Я бы посоветовал перенести все свои проекты и услуги на один слайд, который у вас будет всегда наготове и вы сможете его показать своему руководству:

а также обновить график реализации своих проектов в условиях удаленки, изменения приоритетов и, возможного, сокращения бюджетов: 

Обновление графика понадобится и для того, чтобы оценить, какие из крупных, и как следствие,  требующих много денег, проектов придется отложить до лучших времен. Это третья задача, которую стоит начать реализовывать сейчас. Бизнес, в условиях сокращения доходов и прибыли, будет еще больше хотеть быстрых побед (quick wins) и, как никогда, становится важным умение общаться с бизнесом на его языке. Но этот набивший оскомину совет, я думаю, и так очевиден.

Для тех, кто с нуля выстраивает архитектуру удаленного доступа, стоит посмотреть в сторону следующих решений, которые надо будет либо приобретать с нуля, либо расширять существующие лицензии:

  • EDR, которые позволяют не только обнаруживать неизвестное вредоносное ПО, но и проводить расследование, в том числе удаленное (антивирусы выкиньте в топку - это бессмысленная трата денег).
  • ПО для защиты мобильных устройств (если у вас есть такие пользователи, которые работают с планшетов и, возможно, со смартфонов). Не забудьте про безопасность SmartTV (хотя защитного софта для них вроде и нет), так как бывает, что сотрудники ставят на SmartTV ПО для проведения телеконференций и с них ведут конфиденциальные переговоры.
  • Zero Trust. Это целый пласт решений (писал про них тут и тут), который при удаленной работе становится очень важным, так как ваши удаленные пользователи уже не защищены корпоративными и ведомственными средствами защиты и остаются один на один с киберугрозами. Если вдруг вам интересно, как киберпреступники используют тему коронавируса в своей деятельности, то на Хабре я написал две статьи об этом - тут и тут.
  • Мониторинг DNS. Учитывая, что сотрудники могут работать с личных устройств и их могут легко затроянить, стоит посмотреть в сторону сервисов по мониторингу DNS, которые позволяют без установки ПО на компьютер, мониторить доступ к фишинговым сайтам, блокировать работу ботнетов и обращение к C&C-серверам. Простенько и  прозрачно для пользователя.
  • Многофакторная аутентификация (MFA). Ну тут вроде и так все понятно. Учитывая, что в 81% инцидентов задействованы были украденные или подобранные учетки, то доверять обычным паролям сегодня нельзя. А при удаленной работе тем более.
  • Повышение осведомленности и фишинговые симуляции. Если вы прошли по последним двум ссылкам (на два абзаца выше), то увидели примеры фишинговых атак, которые сейчас популярны у киберпреступников. Пользователей, которые не сидят в офисе, и предоставлены сами себе, будут чаще попадать на удочку мошенников, чем раньше. Стоит их обучать тому, как выявлять подозрительные письма, сайты и ссылки, и что делать, если они с ними столкнутся. 
  • UEBA. Это из серии "неплохо бы", так как существенно возрастают риски неправомерных действий со стороны сотрудников, как с их ведома, так и без оного. Но можно и просто правильно настроить существующие средства мониторинга (те же NTA, SIEM и др.).



Кстати, сегодня будут выигрывать те производители, которые имеют гибкую лицензионную политику и могут перераспределять уже купленные лицензии более эффективным способом, например, переносить их с одного компьютера (установленного в офисе и неработающего) на другой (домашний).

Также не стоит забывать, что многие производители сейчас выдают лицензии на свои продукты бесплатно, но не навсегда, а на определенное время. У кого-то 45, у кого-то 60, у кого-то 90 или 180 дней, которые пролетят очень быстро. Особенно если наш гарант в очередной раз, вспомнив про половцев и печенегов, не продлит, наплевав на Конституцию, Трудовой Кодекс, закон о ЧС и эпидемиологическом благополучии населения,  режим самоизоляции. И тогда надо думать, как продлять полученные разные лицензии. Кто-то из производителей может и продлит, а кому-то это не позволят сделать финансовые контроллеры и надо будет оплачивать лицензии.

Стартапам от ИБ будет тяжело (а им так тяжело в России, так как отечественные требования по ИБ не дают возможности малым компаниям развиваться и находить заказчиков), так как CISO в текущих условиях будут предпочитать доверенных и проверенных поставщиков. Стартапы к таковым, увы, не относятся.

Напоследок оставлю тему, которую я описал в начале недели, а точнее, как в условиях перевода на удаленку выполнять все требования регуляторов, связанные с лицензированием, аттестацией, получением согласий на обработку ПДн, доступом к ПДн и т.п. Это еще один приоритет, но последний в списке, так как и регуляторы сегодня сидят в самоизоляции, проверок не проводят и бояться их поэтому не стоит. Но в голове держать эту задачу по-любому стоит...

4 коммент.:

Александр комментирует...

Алексей, на первой картинке напиво в третьем столбца KRI.
Это опечатка и речь про KPI - Key Performance Indicators или что-то другое?

Сергей Борисов комментирует...

Вот первый слайд это актуально.
А во второй части, где перечень вновь приобретаемых решений - вот там сейчас придется урезаться...

Алексей Лукацкий комментирует...

Александр, нет, не опечатка. Это KRI - Key Risk Indicator. Они обычно релевантнее для топов, чем KPI.

Алексей Лукацкий комментирует...

Сергей, это зависит. Я показал направления, но часть из них можно решить не так уж и дорого. Что-то бесплатно взять на время, что-то на open source, что-то купить. В любом случае понадобится обоснование