Upload
risclubspb
View
1.840
Download
1
Embed Size (px)
DESCRIPTION
http://www.risc.today/
Citation preview
Темные пятна в ИБ, где ваше слабое звено Роман Чаплыгин
www.pwc.ru/riskassurance
июнь 2014 г.
PwC
Создается впечатление, что и дня не проходит без очередной громкой истории из мира киберпреступности…
Еще каких-то десять лет назад такого не было …
PwC
Ставки становятся все выше…
Ущерб вашей репутации
Угроза для продолжения деятельности и ведения бизнес а
Потеря данных , дающих коммерческое преимущество, о клиентах и партнерах
Операционный ущерб и косвенные убытки
Реальные финансовые убытки, нередко значительные и существенные
Нарушение договорных обязательств, влекущие юридические разбирательства и штрафы
Речь уже идет не только о конфиденциальной информации…
PwC
Частичная вина лежит на бизнес-экосистеме…
Предпри- ятие
Потреби- тель
Постав- щики
СП/ Партнеры
Услуги Поставщики
Клиент
Отрасль/ Конкуренты
За
ко
но
да
те
ль
ст
во
Технологии
Ок
ру
жа
ющ
ая
ср
ед
а
Экономика
Противник знает и пользуется этим …
• Высокая степень использования информационных технологий
• Рост распределенности и территориальной удаленности объектов защиты
• Повсеместное распространение и использование информации
• Потребность в постоянном внедрении передовых технологий
• Сильная зависимость от поставщиков и их технологий
• Снижение социальной ответственности и осторожности при использовании информационных технологий
• Увеличение числа и влияния новых ограничений и требований
• Сокращение финансовых и человеческих ресурсов
• Неуправляемое влияние глобальных внешних факторов
PwC
Кибератаки остаются самой актуальной проблемой безопасности
Топ-10 угроз для развития бизнеса PwC Banking CEO Survey 2014
… а человек – самой уязвимой мишенью.
Топ-5 наиболее нежелательных событий WEF Global Risks 2014 Report
PwC
Многие ли руководители компаний задавались этими вопросами?
Какие ресурсы наиболее критичны и подвержены нарушению безопасности?
Кто мой союзник, а кто враг в кибер войне?
Позволяет ли моя система управления бизнесом и информационными технологиями противостоять киберугрозам и атакам?
Подвержена ли моя компания кибер угрозам, и если да, то каким?
Какие будут потери от кибератаки и нарушения безопасности?
Кто заинтересован в нарушении безопасности моей компании?
Если об этом факте станет известно, то как это отразится на компании?
Потому что это первый шаг...
PwC
Но немногие руководители компаний участвуют в решении вопросов о защите...
Насколько вероятна кибератака?
44%
20%
35%
Генеральные директора
в мире
Затрудняюсь
ответить
Маловероятно
Вероятно
В связи с этим необходимо менять тип мышления...
Формирование бюджета ИБ
Пересмотр ролей и ответственности в ИБ
Определение политик ИБ
Принятие решений о внедрении СЗИ
Создание стратегии ИБ
Рассмотрение и принятие рисков ИБ
PwC Banking CEO Survey 2014 PwC Global State of Information security Survey 2015
Участвуете ли вы в решении вопросов ИБ?
PwC
А ведь на эти вопросы должен отвечать не только ИТ или ИБ директор
Концепция обеспечения ИБ в прошлом
Современные передовые взгляды на кибербезопасность
Масштаб задачи Ограничен вашими «четырьмя стенами» и бизнес-партнерами предприятия
Охватывает всю вашу взаимосвязанную глобальную бизнес-экосистему
Ответственность и вовлеченность
Управление информационными технологиями и безопасностью осуществляются ИТ/ИБ-службой
Деятельность согласована с бизнесом, который вовлечен в этот процесс; ответственность лежит на генеральном директоре и совете директоров
Характеристики противника
Разовые, несистематические атаки; основные мотивы – известность, сложная техническая задача, личная выгода
Хорошо организованные, финансируемые и целенаправленные атаки; основные мотивы – экономические, денежные или политические выгоды
Защита информационных активов
Единый, универсальный подход Приоритизация и защита наиболее ценных активов
Тактика защиты Защитить периметр, среагировать на атаку Планировать, контролировать, тестировать, оперативно реагировать на атаку
Обмен данными об информационной безопасности
Данные не разглашаются
Партнерские отношения с государственным и частным сектором; сотрудничество с отраслевыми рабочими группами
Кибербезопасность – неотъемлемое условие ведения бизнеса...
PwC
«Когда в 2008 году разразился кризис, многие шокированные критики задавались вопросом: почему рынки, регуляторы и финансовые эксперты не заметили его приближения? Сегодня можно задать тот же вопрос в отношении незащищенности глобальной экономики от кибератак. Действительно, между финансовым кризисом и угрозой киберкатастрофы можно провести поразительную аналогию».
Источник: http://www.economywatch.com/economy-business-and-finance-news/will-the-next-economic-disaster-be-a-cyber-crisis.09-07.html
Кеннет Рогофф профессор Гарвардского университета,
бывший главный экономист МВФ
9 июля 2012 г.
Кибербезопасность – это не просто ИТ-задача, а неотъемлемое условие ведения бизнеса.
PwC
В то же время у наших противников четкие и определенные мотивы … .
Большое количество атак исходит от групп, которые пользуются государственной поддержкой, действуют из патриотических побуждений, но используют для своих целей не традиционную боевую технику и вооружение, а информацию.
Как показывает анализ случаев нарушения безопасности, преступники уделяют значительное время предварительному изучению объектов атаки и используют как высокотехнологичные, так и технически несложные приемы для взлома сетей.
Цель взломщиков — получение доступа к ценным и дорогостоящим объектам интеллектуальной собственности компаний, проведение террористических операций против государств, нанесение репутационного ущерба корпоративным брендам и организациям.
Из числа наиболее широкомасштабных акций большое количество атак было предпринято из Восточной Европы, Китая, России и Южной Америки, причем в составе многих групп действовали хакеры из разных стран.
Синдикаты киберпреступников (так называемых «хактивистов»), например Anonymous, координируют атаки, используя для этого тысячи членов синдиката по всему миру.
Они действуют в интересах государств
Применяют новейшие методы для ведения настойчивых и непрекращающихся атак
Нацелены на информацию, способную обеспечить
долгосрочные стратегические дивиденды
Их деятельность носит глобальный и
транснациональный характер
Они хорошо организованы
1
3
4
5
2
Они хорошо организованы, и их число растет…
PwC
Результаты более 20 атак, проведенных подразделением кибербезопасности PwC .
… отражают неготовность компаний к кибер атакам в принципе
Слабое предотвращение
Получен неавторизованный доступ к офисным и серверным помещениям, в которых хранится и обрабатывается конфиденциальная информация Мы получили доступ к рабочим станциям, серверам, памяти
принтеров и сканеров.
Отсутствие обнаружения
Мы получили доступ к документам, содержащим коммерческую тайну, паролям сотрудников, платежным транзакциям и IT системам. Мы смогли извлечь данные и отправить их за пределы локальной сети
Низкая осведомленность
Мы создали фишинговый сайт и успешно вынудили сотрудников скачать вредоносный файл Только в одном случае сотрудник сообщил в службу безопасности о подозрительной активности
4 часа среднее время на получение
доступа к данным /системам
90% организаций не обнаружили/не
отреагировали на атаку
100% сотрудников раскрыли свои
пароли в результате фишинговой атаки
PwC
Чтобы противостоять злоумышленникам нужно сложить все части воедино...
Стратегия, политика и стандарты
Организационная структура
и персонал
Целевые инвестиции Взаимоотношения
Управленческая
отчетность
Квалификация и компетенции
Обеспечение
функционирования
бизнеса
Функции
и
обязанности
Осведомленность и
изменение модели
поведения
Управление рисками и соблюдение
нормативных требований
Защищать то,
что имеет
значение
Программа повышения
безопасности
Получить полное представление о том, как осуществляется управление в компании; обеспечить достижение целей и выполнение задач; обеспечить уверенность в том, что управление рисками осуществляется в соответствии с готовностью к рискам (аппетитом).
Слайд 13
Стратегия, политика
и стандарты
И сосредоточить внимание на управлении процессами и персоналом...
PwC
Компании совершенствуют свой подход к защите интеллектуальной собственности и секретной информации при помощи новых и улучшенных тактик и способов обеспечения безопасности, они корректируют свою защитную тактику, согласно которой предполагается, что нарушение безопасности реально и может произойти в любой момент.
Пошаговые решения и средства, необходимые для обеспечения кибербезопасности:
Орг. структура и корпоративное
управление
Оперативная информация
об угрозах
Антикризисное управление
Осведомленность и поведение
Защищать то, что имеет значение
Способность понять и адаптировать
защитную тактику в соответствии с
возникающими угрозами
Готовность к реагированию на
инциденты
Антикризисное управление и
расследование
Разрушение чувства всесторонней
защищенности и непричастности.
Обеспечение осознания рисков и
управление поведением.
Четкое представление об
имеющихся данных и о том, что важно.
Управление информацией
Предупреждающие средства контроля и ИТ-гигиена
Тестирования и мониторинг
Предупредительный мониторинг/ имитация атак
Подход с учетом
информационного риска и
эффективная структура
управления и
подотчетности,
отражающая важность
кибербезопасности для
бизнеса.
Безопасность в бизнес-экосистеме
Стратегическое планирование с учетом
внешних факторов и сценарный анализ
Снижение зависимости от уровня безопасности
третьих сторон
Нужно осознание и готовность к ведению деятельности в состоянии условного нарушения защиты
PwC
Анализ несоответствий (gap-анализ)
Дорожная карта
Текущий и желаемый уровень зрелости
Мнение клиентов
0.0
1.0
2.0
3.0
4.0
Organisation and Governance
Threat Intelligence
Security Culture and Behaviours
Cyber Incident Response and
Crisis …
Monitoring and Detection
Preventative Defences and IT
Hygiene
Desired Current
Функция обеспечения безопасности
Инфраструктура систем
безопасности
Защита и конфиденциальност
ь данных ИТ-безопасность
Кибератаки и меры реагирования
Стратегия Цели Факторы Приоритеты
Бизнес-контекст
Би
бл
ио
тек
а с
пр
ав
оч
ны
х д
ан
ны
х
Опыт PwC
ITIL
ISO2700X
CobIT
Информационная безопасность
Аппетит
ISF Оперативная
информация об угрозах
Организационная структура и
корпоративное управление
Осведомленность и модели
поведения в сфере
информационной безопасности Оценка
безопасност
и
Реагирование на инциденты и
антикризисное управление в сфере кибербезопасности
Защищать то, что имеет значение
Выявление/ мониторинг
Безопасность в бизнес-
экосистеме
… включающий множество компонентов...
Для этого необходим скоординированный подход...
PwC
В то же время нельзя недооценивать значение человеческого фактора...
42% не организовывали никаких программ обучения в области непрерывного информирования сотрудников по вопросам безопасности, при этом 10% не проводили даже вводный инструктаж для новых сотрудников
86% столкнулись с нарушениями, связанными с действиями персонала
31% столкнулись с нарушениями правил обеспечения конфиденциальности данных в результате действий сотрудников (из них 15% сталкивались с этим еженедельно)
23% проводили оценку осведомленности сотрудников
И это приводит нас к главному выводу…
База: США: 167; в мире: 1 330. Источник: 16-й Ежегодный опрос руководителей крупнейших компаний мира, проведенный PwC, 2013 г.
PwC
Потому что из-за своего поведения мы становимся легкой добычей
Модели поведения: действия, предпринимаемые лицом в определенных обстоятельствах
Какие факторы влияют на модель поведения?
Персонал
Обладают ли сотрудники нужными способностями? – Знания – Умения и навыки – Тип мышления
Способствуют ли процессы управления персоналом применению правильных моделей поведения?
Процесс
Разработаны ли процессы таким образом, что правильную модель поведения продемонстрировать легко, а неправильную – сложно?
Система и инфраструктура
Помогают ли системы сотрудникам демонстрировать правильные модели поведения?
Накладывает ли физическая инфраструктура какие-либо ограничения на модели поведения?
В связи с этим необходимо подумать о том, как управлять персоналом, чтобы сотрудники все делали правильно...
PwC
Необходимо разработать эффективные программы обучения и повышения осведомленности сотрудников...
Так как мы не можем ожидать, что люди знают, что такое хорошо.
Уровень 3. Целевые значимые моменты для значимых людей
Уровень 2. Специальные меры в отношении определенных групп
заинтересованных лиц
Уровень 1. Повышение уровня осведомленности в целом
Размер целевой аудитории
Эф
фе
кт
от
п
ер
ед
ач
и
со
об
ще
ни
й
АНАЛИЗ (текущее и целевое
состояние)
ДИЗАЙН, РАЗРАБОТКА, ВНЕДРЕНИЕ
ОЦЕНКА (измерение показателей и
мониторинг)
PwC
Осведомленность о сложившейся ситуации то же чрезвычайно важна... В рамках организации:
• Какие данные у нас есть? Где они сортируются? Как выглядит поток данных?
• Какие действия мы видим в наших системах и сети: в обычных условиях и во время атаки?
• Какой доступ имеют сотрудники и подрядчики к приложениям, системам, конфиденциальным записям, структурированным и неструктурированным данным?
• К каким последствиям приводит использование облачных технологий, мобильных устройств и услуг сторонних компаний с точки зрения данных и безопасности?
Более общая картина:
• Какой уровень безопасности у контрагентов и их готовности и возможности к отражению атак (например, поставщики сетевых услуг могут быть лучше подготовлены к обнаружению распространенных угроз, чем конкретные организации)
• Какие тенденции во внешней среде и прогнозы пиков атак?
Это поможет создать систему «раннего предупреждения»...
PwC
Еще нам нужна хорошая стратегия защиты
Прозрачность
• В случае атаки зачастую отсутствует журнал регистрации событий, трассировка пакетов, записи. • Нет информации, которая могла бы лечь в основу диагностики или расследования.
• Решить эту проблему можно посредством нескольких технологий: • Предотвращение потери данных (DLP-системы): позволяет углубить понимание и обладает
возможностями блокировки • Управление событиями/ инцидентами в системах безопасности (SEIM-системы):
выходит за пределы корреляции журналов и отчетности на уровень обнаружения аномальных моделей поведения
• Анализ сетевого трафика: позволяет обнаружить аномальный трафик и интерпретировать зловредные/ подозрительные потоки данных
• Компьютерно-техническая экспертиза: позволяет понять, какую роль в нарушениях играют внутренние системы
Также необходимо рассмотреть механизмы контроля на более высоком уровне (upstream)
• В случае повышенного трафика/спроса в системе (или в случае DDoS-атаки) upstream-провайдеры могут направить трафик (или часть трафика) в другое место, например, на блокирующую страницу, где пропускная способность не имеет большого значения.
Но это еще не все...
PwC
Мы не можем просто оставаться пассивными наблюдателями и ждать атаки...
Мониторинг общественного мнения
• Что о вас говорят?
• Кто испытывает к вам неприязнь?
• Кто может атаковать вас?
• В какой форме вас могут атаковать?
• Какую информацию о вас атакующая сторона может получить из общедоступных источников?
Активная оборона
• Ловушка для хакеров Honey pots
• Умышленное запутывание/искажение персональных данных или IP
• Можете ли вы так загрязнить данные, чтобы их ценность снизилась (например, ложный IP или ошибочная информация, подтверждающая идентичность)?
Тестирование и моделирование
И помните про систему 7P
PwC
Оперативная информация об угрозах крайне необходима...
Почему мы можем стать их мишенью?
Как атакующие проникают в системы? Что они используют?
Какова их цель и как они ее достигают?
Что ставит нас под угрозу? Приводит ли ведение деятельности в
определенных регионах мира к повышению рисков?
Однако следует проявлять осмотрительность и соблюдать законы при получении такой информации..
PwC
Наконец, нам необходимо знать об инцидентах и реагировать на них
В условно принятом состоянии нарушения защиты самое лучшее – осуществлять мониторинг
Большинство атак можно выявить постфактум
Мониторинг кибербеопасности заключается в корреляции журналов с различными источниками с целью выявления аномалий
Дело не только в инструментах...
Процесс Персонал
Технологии
Непрерывное совершенствование
PwC
Уровень развития систем мониторинга существенно разнится
Быстрое развертывание с использованием оборудования и оперативных данных PwC
Ур
ов
ен
ь з
ре
ло
ст
и
PwC ThreatProtect
У нас ничего не происходит. Как мы можем определить, есть ли у нас проблема, и как нам обеспечить защиту, пока мы вырабатываем долгосрочные планы мониторинга?
« »
Некоторые не готовы...
PwC
Другие уже приступили к внедрению инструментов...
Дизайн архитектуры, выбор поставщиков и внедрение
Каналы данных, отчетность и обучение
Ур
ов
ен
ь з
ре
ло
ст
и
Внедрение систем SIEM и SOC
PwC ThreatProtect
Как нам заложить правильный фундамент для внутреннего мониторинга и сделать его частью обычной деятельности?
« »
Но отдельные инструменты зачастую дают нам слишком много информации или неверные сведения...
PwC
Поэтому их необходимо точно настроить...
Дизайн архитектуры, выбор поставщиков и внедрение
Каналы данных, отчетность и обучение
Ур
ов
ен
ь з
ре
ло
ст
и
Услуги по точной настройке и интеграции
Внедрение систем SIEM и SOC
PwC ThreatProtect
У нас есть старая инфраструктура для мониторинга, которая не приносит никакой пользы. Помогите!
« »
Оптимизация SOC и улучшение контекста
И это встроено в общий процесс...
PwC
Процесс, объединяющий в себе мониторинг событий и угроз
Оптимизация SOC и улучшение контекста
Дизайн архитектуры, выбор поставщиков и внедрение
Каналы данных, отчетность и обучение
Ур
ов
ен
ь з
ре
ло
ст
и
Усовершенствованная система данных об информационной безопасности и аналитики
Услуги по точной настройке и интеграции
Внедрение систем SIEM и SOC
PwC ThreatProtect
Мы хотим построить современную платформу и процессы для анализа угроз и интегрировать ее в наши процессы и инструменты в сфере обеспечения безопасности
« »
Чтобы действительно разобраться в характере условно принятого состояния нарушения защиты
PwC
Затем нам понадобится план для решения возникающих проблем...
Антикризисное управление
Реагирование на инциден
ты
Оперативная
информация об
угрозах
Целостный подход к антикризисному управлению в киберсфере требует не просто наличия хорошо отлаженной системы реагирования на технические инциденты с учетом информации об угрозах.
При таком подходе также необходимы квалифицированные управленцы, способные привнести объективность, знания и передовой опыт в организацию, столкнувшуюся с кадровыми, правовыми, регуляторными или клиентскими аспектами киберкризиса.
Когда мы имеем полное представление о ситуации - нам необходимо управлять ею.
PwC
Так что же вам следует сделать в завтра?
1. Получить полное представление о ценности информационных систем, активов и данных
• Ценность для атакующей стороны и организация зачастую различаются
2. Оценить состояние системы защиты, ее эффективность, а также оперативность управления и контроля
3. Сосредоточить внимание на гибкости механизмов защиты, повышении качества мониторинга и готовности предотвращения атак
• Предотвращение потери данных (DLP) – активное использование SIEM – трассировка сети – управление факторами уязвимости в режиме реального времени
4. Повысить устойчивость архитектуры/ неуязвимость системы
5. Занатся системным повышением осведомленности пользователей и привлечь руководство компании к решению стратегических вопросов ИБ
6. А также:
• Обсудить с отделом кадров модели поведения в киберсфере
• Разобраться в договорных и неформальных отношениях с третьими сторонами
• Внедрить эффективные процессы системного управления и контроля
Не ждите!
Управляйте своими киберрисками...
Настоящая публикация подготовлена исключительно для создания общего представления об обсуждаемых в ней вопросах и не является
профессиональной консультацией. Информация, содержащаяся в данной публикации, не может служить основанием для каких-либо действий в
отсутствие профессиональных консультаций специалистов. Мы не даем никаких заверений или гарантий (как прямо выраженных, так и
предполагаемых) в отношении точности или полноты информации, содержащейся в настоящей публикации и, в той степени, в которой это
разрешено законодательством, [указать юридическое наименование фирмы PwC], ее участники, сотрудники и представители не принимают на
себя и не несут какой-либо материальной или иной ответственности за последствия ваших или чьих бы то ни было действий или бездействия
на основании информации, содержащейся в настоящей публикации, а также за любые решения, принятые на ее основании.
© 2013 «ПрайсвотерхаусКуперс Раша Б.В.» Все права защищены.
* Под «PwC» понимается компания «ПрайсвотерхаусКуперс Раша Б.В.» или, в зависимости от контекста, другие фирмы, входящие в глобальную
сеть компаний PricewaterhouseCoopers International Limited, каждая из которых является самостоятельным юридическим лицом.
Роман Чаплыгин Директор Отдел анализа и контроля рисков, Услуги по информационной безопасности Тел.: +7 (495) 967-6056 [email protected]