Когда в компании назревает потребность построить систему защиты информации, первым делом возникает банальный вопрос: с чего начать? И, казалось бы, правила очевидны и понятны, но, как часто это бывает и в обычной жизни, обыденным вещам не всегда уделяют должное внимание, а порой что-то важное просто «вылетает из головы» в неподходящий момент. В этой статье мы постарались систематизировать базовые аспекты защиты ИТ-инфраструктуры и составить краткий чек-лист, который поможет специалистам по кибербезопасности не забыть главное при внедрении средств защиты.

1. Определиться с задачами и уровнем защиты.

На старте важно разобраться, какие именно задачи вы хотите решить с помощью создаваемой системы защиты. Например, это могут быть стандартные задачи по защите от основных типов атак и выполнению требований регуляторов, и тогда достаточно ограничиться базовой защитой. Могут быть и более комплексные задачи по обеспечению ИБ, когда в компании уже есть понимание стоимости информации и последствий от потенциальных киберинцидентов.

Если нужна базовая защита ИТ-инфраструктуры, стоит начать с минимального набора основных инструментов кибербезопасности: антивирус, средства контроля доступа, межсетевые экраны, защита каналов связи, средства анализа защищенности. Установленные подсистемы обязательно должны выполнять свои функции. Например, при установке межсетевого экрана мы рекомендуем заранее продумать, какие задачи на него будут возложены, сформировать матрицу доступа и поддерживать ее в актуальном состоянии.

Обратите внимание на функциональность и стабильность выбираемых решений. Найти подходящие решения можно разными способами: пригласить вендоров для проведения пилотного тестирования, организовать референс-визит в компании, где уже используются необходимые продукты, или просто собрать обратную связь от коллег «по цеху» об опыте внедрения тех или иных решений, например, на профильных ИБ-мероприятиях.

Задайтесь вопросом, что именно вы хотите получить от решения. Если задача простая, нет смысла переплачивать за ненужную вам дополнительную функциональность. Иначе может выйти, что дорогое многофункциональное ПО будет решать пару простых задач. Например, у вас в компании два администратора и один подрядчик, который периодически выполняет работы на вашей инфраструктуре. Ваша задача — просто контролировать действия по администрированию информационных систем, то есть записывать сессии пользователей по RDP- и SSH-протоколам, а вы решили купить для этого дорогую и сложную систему контроля привилегированных пользователей класса PAM.

Если речь о соответствии организации требованиям регуляторов, надо сразу определить границы защищаемой информационной системы (ИС). Если установить их неправильно, а потом потребуется пройти аттестацию, сделать это будет сложно. Например, лучше разделить ИС и автоматизированные рабочие места (АРМ), которые с ней взаимодействуют. Аттестовать отдельно эти части будет проще. Кроме того, если информационных систем несколько и с ними работают одни и те же АРМ, последующие ИС аттестовать будет проще, так как в документах будет ссылка на уже аттестованные АРМ.

2. Оценить риски и не перегнуть палку.

Важно правильно определить критичность активов и оценить ИБ-риски, то есть понять, что какой защиты требует и требует ли, исходя из последствий и вероятности реализации тех или иных угроз. Для этого нужно построить модель угроз и нарушителя. Иначе есть риск выбрать такие меры, которые впоследствии усложнят эксплуатацию самих систем и средств защиты, потребуют найма новых сотрудников для управления ими, а размер предполагаемого ущерба будет на порядок меньше затрачиваемых на защиту средств.

Например, есть требования регуляторов по использованию аппаратно-программных модулей доверенной загрузки — плат, которые устанавливают в АРМ и серверы. В 90% случаев эти требования можно закрыть организационно с помощью компенсирующих мер. Так можно сэкономить на эксплуатации и избежать проблем с неработающими АРМ и серверами. Кроме того, найти совместимое оборудование часто бывает сложно.

Другой пример — подбор средств криптозащиты сети. Иногда можно обойтись более низшим классом и сэкономить. А неправильный выбор приводит к проблемам при администрировании: например, можно лишиться возможности удаленного доступа к средствам криптографической защиты класса КВ. В итоге с этим придется либо жить, либо переделывать модель угроз и нарушителя и заново согласовывать ее с ФСТЭК и ФСБ.

Если вы внедряете какие-либо средства мониторинга, вы должны четко понимать, есть ли у вас ресурсы на мониторинг их событий. Нет смысла внедрять дорогостоящую DAM-систему для мониторинга обращений к базам данных и не отслеживать генерируемые ею события из-за нехватки сотрудников. В таком случае стоит задуматься о привлечении сервис-провайдеров, если это применимо к внедряемым средствам защиты.

3. Правильно настроить базовые средства защиты ИТ-инфраструктуры.

К базовым средствам защиты мы относим антивирусы для защиты серверов и рабочих станций, межсетевые экраны для сегментирования сети и защиты периметра, средства защиты каналов связи, системы обнаружения вторжений, инструменты для анализа защищенности и средства защиты среды виртуализации. В большинстве случаев этого набора достаточно для надежной защиты ИС, но только при условии, что все решения правильно настроены.

Например, при настройке антивирусного ПО следует включать только модули, необходимые для защиты рабочей станции, в зависимости от среды, в которой она используется. Не забудьте настроить и расписание полной проверки компьютера на наличие вредоносного ПО. При этом стоит учитывать рабочее время пользователей, чтобы проверки не мешали им выполнять свои задачи.

При настройке межсетевого экрана необходимо всегда фиксировать, какой доступ открывается, для чего и зачем. Как минимум это необходимо фиксировать комментариями в правилах, правильным наименованием сетевых объектов и сервисов. По окончании пусконаладочных работ важно не забывать отключать правила, созданные временно для нужд пусконаладки, так как это несет в себе потенциальную угрозу в будущем.

Общая рекомендация при настройке всех систем — убедиться, что каждому администратору выданы минимальные привилегии, достаточные для выполнения функциональных обязанностей. Такой подход поможет вам снизить потенциальный риск возникновения инцидента.

4. Помнить про резервное копирование и обеспечить отказоустойчивость системы защиты там, где это необходимо.

Важно настроить регулярное резервное копирование не только всего, что связано с ИТ-инфраструктурой, но и конфигурации систем безопасности. Пока идут восстановительные работы, защита не работает, и чем дольше система уязвима, тем больше рисков у компании потерять ценную информацию. Не стоит забывать также про человеческий фактор и ошибки используемого ПО. В нашей практике был такой случай: при переезде из одного ЦОДа в другой дисковый массив компании потерял значительное количество данных, так как при запуске несколько дисков вышли из строя. Регулярное резервное копирование производилось, но верификации копий не было: параметр избыточности был настроен неправильно. В итоге 14-я из 15 ленточек не прочиталась, и резервную копию восстановить не удалось.

При обеспечении отказоустойчивости компонентов ИБ-подсистем мы рекомендуем оценивать, как простой средств защиты может повлиять на бизнес-процессы организации. Если влияние критично, например, из-за проблем с межсетевым экраном весь офис может остаться без доступа к Интернету, не будет обмена почтой и доступа к внешним бизнес-системам, следует сделать кластер. В противном случае допустимо сэкономить и не тратить ресурсы на обеспечение отказоустойчивости ИБ-подсистемы. При этом независимо от важности системы вам понадобится план ее аварийного восстановления с конкретными шагами и ответственными за них подразделениями или сотрудниками организации.

5. Учитывать специфику защищаемых систем.

У каждой ИС своя архитектура, свои протоколы доступа, свои требования к использованию и к администрированию, поэтому при формировании модели угроз зачастую выходит так, что базовыми средствами защиты не обойтись: необходимы дополнительные меры, специфичные для конкретной системы.

Рассмотрим на примере ИС, взаимодействие с которой идет через веб-интерфейс. Она, как правило, состоит из трех компонентов: веб-сервера, сервера приложения и баз данных. Для защиты такой системы понадобится:

  • межсетевой экран уровня веб-приложений (Web Application Firewall, WAF) — он контролирует запросы к веб-серверу и ограничивает те, которые не должны поступать;

  • сервис Anti-DDoS — очень часто отсутствие защиты от DDoS-атак приводит к серьезным проблемам;

  • DAM-решение — оно выявляет подозрительные запросы к базам данных и позволяет ограничить доступ;

  • PIM/PAM-решение для контроля привилегированных пользователей.

Что касается последнего: без такого ПО в системе защиты сложно контролировать действия администраторов или подрядчика, который обслуживает ИС. Нередко сами обслуживающие организации просят установить подобные решения, чтобы в случае тех или иных инцидентов были объективные доказательства вины или невиновности подрядчика. Но как уже говорилось ранее, здраво оценивайте необходимость использования той или иной подсистемы. В некоторых случаях достаточно обойтись и организационными мерами.

6. Проверить работу построенной системы защиты.

Самая лучшая проверка — тестирование на проникновение (пентест), когда сторонние специалисты моделируют действия злоумышленников, используя те же векторы атак и инструменты, что и реальные хакеры.

Кроме проверки самой системы и средств защиты, из которых она состоит, при тестировании можно посмотреть, как реагируют сотрудники, насколько слаженно они действуют.

И еще важно проконтролировать все сразу после приемки системы. Когда она происходит в авральном режиме, есть риск забыть сменить пароли, установленные подрядчиками. Обратите внимание и на временные учетные записи с повышенными привилегиями: они могли быть созданы для настройки системы.

Некоторые средства защиты, например сканер уязвимостей, требуют создания пользователя для проведения анализа. В документации обычно прописано, как настроить Active Directory и какие права должны быть у этой учетной записи, но на практике часто выдаются административные привилегии. И это может стать проблемой, потому что злоумышленники могут взломать сервисную учетку и получить доступ ко всей инфраструктуре. Во многом как раз пентест и позволяет оперативно выявить подобные ошибки.

7. Выстроить процессы информационной безопасности.

Помимо средств защиты, для непрерывного обеспечения кибербезопасности понадобятся также регламенты, определяющие зоны ответственности подразделений и действия сотрудников при тех или иных событиях ИБ. Список обязательных регламентов включает «Регламент резервного копирования и восстановления», «Регламент выявления и устранения инцидентов», «Порядок обращения со съемными носителями информации», «Регламент управления уязвимостями», «Регламент управления учётными записями» и многие другие.

Приведем пример: представьте, что в организации есть службы, которые занимаются сетевой инфраструктурой, администрированием, информационной безопасностью, и всё это — разные подразделения. В таком случае полезно составить матрицу, в которой будет прописано, кто за что отвечает и что делает в час икс, чтобы в случае атаки специалисты могли действовать слаженно. Кроме того, надо разработать план реагирования на инциденты и другие подобные документы.

Или, к примеру, представьте, что в компании работает подсистема анализа уязвимостей, но не налажен процесс управления уязвимостями: скорее всего, эффективность такой системы не очень высокая. Основная проблема, как правило, кроется в несогласованности действий ИТ- и ИБ-специалистов. Кроме этого, часто бывает и так, что ИТ-служба попросту не понимает важность установки обновлений того или иного ПО.

К ИБ-процессам также относится и процесс управления изменениями, об этом речь пойдет в следующем пункте.

8. Актуализировать настройки системы вместе с изменениями ИТ-ландшафта.

Проекты по цифровой трансформации бизнеса и ставшая нормой удаленка диктуют ИТ-специалистам новые правила игры: изменения в ИТ-инфраструктуре сегодня стали неизбежными, а их динамика – очень высокой. Специалистам по кибербезопасности необходимо учитывать такие изменения, поскольку они могут сказаться на построенной системе защиты. При установке обновлений, исправлений в той или иной ИС следует убедиться, что используемые средства защиты настроены корректно, а если добавились новые модули и новая функциональность, полезно задаться вопросом, требуют ли они дополнительных средств защиты информации.

Любые изменения могут нести в себе угрозы. Если их не учитывать, выстроенная защита может оказаться бесполезной. Поэтому перед проектированием системы нужно запрашивать планы изменений ИТ-инфраструктуры. Однажды мы столкнулись с ситуацией, когда ИБ-служба не проконтролировала, что ИТ-подразделение запланировало перейти на использование терминальных серверов Citrix. Из-за этого использование выбранного PAM-решения оказалось малоэффективным, так как оно не поддерживало продукт Citrix.

9. Обеспечить мониторинг и реагирование на инциденты ИБ

Централизованный мониторинг — это во многом ядро всей системы защиты. Крайне важно видеть все события ИТ и ИБ, которые происходят в инфраструктуре, так как без этого невозможно быстро и качественно отреагировать в случае того или иного инцидента, а зачастую и вовсе вовремя не среагировать. Организация централизованного мониторинга дает вам хороший инструмент для своевременного выявления и предотвращения потенциальных инцидентов ИБ, возможность оперативно реагировать на них и в принципе держать состояние ИБ организации под контролем.

На строительство полноценного центра мониторинга (Security Operation Center, SOC) внутри организации может уйти немало времени: как правило, в крупных организациях с распределенной инфраструктурой такие проекты занимают от 1,5 до 2 лет. Для обеспечения этой функции в более сжатые сроки можно пойти двумя путями: создавать такой центр у себя по гибридной модели, сотрудничая с коммерческим SOC, который оказывает такие услуги, либо полностью доверить ему мониторинг. Если компания хочет иметь свой SOC, гибридная модель довольно эффективна. Она позволяет постепенно передавать функции мониторинга и реагирования собственным безопасникам, которые в процессе взаимодействия со специалистами стороннего SOC обучаются и получают практический опыт.

10. Обучать кибергигиене всех сотрудников.

Три четверти сложных кибератак по-прежнему начинаются с фишинга, и почти половина вредоносного ПО попадает в компанию через почту. Поэтому нужно проводить обучение, повышать осведомленность сотрудников о киберугрозах, рассказывать и показывать, на какие уловки идут современные хакеры. Важно регулярно устраивать тестирование сотрудников, например с помощью услуги Security Awareness, позволяющей имитировать фишинговые атаки. Это поможет понять, повышается ли бдительность сотрудников, снижается ли количество переходов по подозрительным ссылкам. Пока исследования показывают, что 48% российских компаний не занимаются повышением осведомленности своих сотрудников в сфере ИБ.

***

Мы решили выделить именно эти аспекты как основные, исходя из нашего опыта взаимодействия с разными заказчиками. Очевидно, что при более глубоком погружении в процесс построения системы защиты ИТ-инфраструктуры предстоит столкнуться со значительно большим количеством различных нюансов, проблем и подводных камней.