Темные пятна в ИБ, где ваше слабое звено Роман Чаплыгин

www.pwc.ru/riskassurance

июнь 2014 г.

PwC

Создается впечатление, что и дня не проходит без очередной громкой истории из мира киберпреступности…

Еще каких-то десять лет назад такого не было …

PwC

Ставки становятся все выше…

Ущерб вашей репутации

Угроза для продолжения деятельности и ведения бизнес а

Потеря данных , дающих коммерческое преимущество, о клиентах и партнерах

Операционный ущерб и косвенные убытки

Реальные финансовые убытки, нередко значительные и существенные

Нарушение договорных обязательств, влекущие юридические разбирательства и штрафы

Речь уже идет не только о конфиденциальной информации…

PwC

Частичная вина лежит на бизнес-экосистеме…

Предпри- ятие

Потреби- тель

Постав- щики

СП/ Партнеры

Услуги Поставщики

Клиент

Отрасль/ Конкуренты

За

ко

но

да

те

ль

ст

во

Технологии

Ок

ру

жа

ющ

ая

ср

ед

а

Экономика

Противник знает и пользуется этим …

• Высокая степень использования информационных технологий

• Рост распределенности и территориальной удаленности объектов защиты

• Повсеместное распространение и использование информации

• Потребность в постоянном внедрении передовых технологий

• Сильная зависимость от поставщиков и их технологий

• Снижение социальной ответственности и осторожности при использовании информационных технологий

• Увеличение числа и влияния новых ограничений и требований

• Сокращение финансовых и человеческих ресурсов

• Неуправляемое влияние глобальных внешних факторов

PwC

Кибератаки остаются самой актуальной проблемой безопасности

Топ-10 угроз для развития бизнеса PwC Banking CEO Survey 2014

… а человек – самой уязвимой мишенью.

Топ-5 наиболее нежелательных событий WEF Global Risks 2014 Report

PwC

Многие ли руководители компаний задавались этими вопросами?

Какие ресурсы наиболее критичны и подвержены нарушению безопасности?

Кто мой союзник, а кто враг в кибер войне?

Позволяет ли моя система управления бизнесом и информационными технологиями противостоять киберугрозам и атакам?

Подвержена ли моя компания кибер угрозам, и если да, то каким?

Какие будут потери от кибератаки и нарушения безопасности?

Кто заинтересован в нарушении безопасности моей компании?

Если об этом факте станет известно, то как это отразится на компании?

Потому что это первый шаг...

PwC

Но немногие руководители компаний участвуют в решении вопросов о защите...

Насколько вероятна кибератака?

44%

20%

35%

Генеральные директора

в мире

Затрудняюсь

ответить

Маловероятно

Вероятно

В связи с этим необходимо менять тип мышления...

Формирование бюджета ИБ

Пересмотр ролей и ответственности в ИБ

Определение политик ИБ

Принятие решений о внедрении СЗИ

Создание стратегии ИБ

Рассмотрение и принятие рисков ИБ

PwC Banking CEO Survey 2014 PwC Global State of Information security Survey 2015

Участвуете ли вы в решении вопросов ИБ?

PwC

А ведь на эти вопросы должен отвечать не только ИТ или ИБ директор

Концепция обеспечения ИБ в прошлом

Современные передовые взгляды на кибербезопасность

Масштаб задачи Ограничен вашими «четырьмя стенами» и бизнес-партнерами предприятия

Охватывает всю вашу взаимосвязанную глобальную бизнес-экосистему

Ответственность и вовлеченность

Управление информационными технологиями и безопасностью осуществляются ИТ/ИБ-службой

Деятельность согласована с бизнесом, который вовлечен в этот процесс; ответственность лежит на генеральном директоре и совете директоров

Характеристики противника

Разовые, несистематические атаки; основные мотивы – известность, сложная техническая задача, личная выгода

Хорошо организованные, финансируемые и целенаправленные атаки; основные мотивы – экономические, денежные или политические выгоды

Защита информационных активов

Единый, универсальный подход Приоритизация и защита наиболее ценных активов

Тактика защиты Защитить периметр, среагировать на атаку Планировать, контролировать, тестировать, оперативно реагировать на атаку

Обмен данными об информационной безопасности

Данные не разглашаются

Партнерские отношения с государственным и частным сектором; сотрудничество с отраслевыми рабочими группами

Кибербезопасность – неотъемлемое условие ведения бизнеса...

PwC

«Когда в 2008 году разразился кризис, многие шокированные критики задавались вопросом: почему рынки, регуляторы и финансовые эксперты не заметили его приближения? Сегодня можно задать тот же вопрос в отношении незащищенности глобальной экономики от кибератак. Действительно, между финансовым кризисом и угрозой киберкатастрофы можно провести поразительную аналогию».

Источник: http://www.economywatch.com/economy-business-and-finance-news/will-the-next-economic-disaster-be-a-cyber-crisis.09-07.html

Кеннет Рогофф профессор Гарвардского университета,

бывший главный экономист МВФ

9 июля 2012 г.

Кибербезопасность – это не просто ИТ-задача, а неотъемлемое условие ведения бизнеса.

PwC

В то же время у наших противников четкие и определенные мотивы … .

Большое количество атак исходит от групп, которые пользуются государственной поддержкой, действуют из патриотических побуждений, но используют для своих целей не традиционную боевую технику и вооружение, а информацию.

Как показывает анализ случаев нарушения безопасности, преступники уделяют значительное время предварительному изучению объектов атаки и используют как высокотехнологичные, так и технически несложные приемы для взлома сетей.

Цель взломщиков — получение доступа к ценным и дорогостоящим объектам интеллектуальной собственности компаний, проведение террористических операций против государств, нанесение репутационного ущерба корпоративным брендам и организациям.

Из числа наиболее широкомасштабных акций большое количество атак было предпринято из Восточной Европы, Китая, России и Южной Америки, причем в составе многих групп действовали хакеры из разных стран.

Синдикаты киберпреступников (так называемых «хактивистов»), например Anonymous, координируют атаки, используя для этого тысячи членов синдиката по всему миру.

Они действуют в интересах государств

Применяют новейшие методы для ведения настойчивых и непрекращающихся атак

Нацелены на информацию, способную обеспечить

долгосрочные стратегические дивиденды

Их деятельность носит глобальный и

транснациональный характер

Они хорошо организованы

1

3

4

5

2

Они хорошо организованы, и их число растет…

PwC

Результаты более 20 атак, проведенных подразделением кибербезопасности PwC .

… отражают неготовность компаний к кибер атакам в принципе

Слабое предотвращение

Получен неавторизованный доступ к офисным и серверным помещениям, в которых хранится и обрабатывается конфиденциальная информация Мы получили доступ к рабочим станциям, серверам, памяти

принтеров и сканеров.

Отсутствие обнаружения

Мы получили доступ к документам, содержащим коммерческую тайну, паролям сотрудников, платежным транзакциям и IT системам. Мы смогли извлечь данные и отправить их за пределы локальной сети

Низкая осведомленность

Мы создали фишинговый сайт и успешно вынудили сотрудников скачать вредоносный файл Только в одном случае сотрудник сообщил в службу безопасности о подозрительной активности

4 часа среднее время на получение

доступа к данным /системам

90% организаций не обнаружили/не

отреагировали на атаку

100% сотрудников раскрыли свои

пароли в результате фишинговой атаки

PwC

Чтобы противостоять злоумышленникам нужно сложить все части воедино...

Стратегия, политика и стандарты

Организационная структура

и персонал

Целевые инвестиции Взаимоотношения

Управленческая

отчетность

Квалификация и компетенции

Обеспечение

функционирования

бизнеса

Функции

и

обязанности

Осведомленность и

изменение модели

поведения

Управление рисками и соблюдение

нормативных требований

Защищать то,

что имеет

значение

Программа повышения

безопасности

Получить полное представление о том, как осуществляется управление в компании; обеспечить достижение целей и выполнение задач; обеспечить уверенность в том, что управление рисками осуществляется в соответствии с готовностью к рискам (аппетитом).

Слайд 13

Стратегия, политика

и стандарты

И сосредоточить внимание на управлении процессами и персоналом...

PwC

Компании совершенствуют свой подход к защите интеллектуальной собственности и секретной информации при помощи новых и улучшенных тактик и способов обеспечения безопасности, они корректируют свою защитную тактику, согласно которой предполагается, что нарушение безопасности реально и может произойти в любой момент.

Пошаговые решения и средства, необходимые для обеспечения кибербезопасности:

Орг. структура и корпоративное

управление

Оперативная информация

об угрозах

Антикризисное управление

Осведомленность и поведение

Защищать то, что имеет значение

Способность понять и адаптировать

защитную тактику в соответствии с

возникающими угрозами

Готовность к реагированию на

инциденты

Антикризисное управление и

расследование

Разрушение чувства всесторонней

защищенности и непричастности.

Обеспечение осознания рисков и

управление поведением.

Четкое представление об

имеющихся данных и о том, что важно.

Управление информацией

Предупреждающие средства контроля и ИТ-гигиена

Тестирования и мониторинг

Предупредительный мониторинг/ имитация атак

Подход с учетом

информационного риска и

эффективная структура

управления и

подотчетности,

отражающая важность

кибербезопасности для

бизнеса.

Безопасность в бизнес-экосистеме

Стратегическое планирование с учетом

внешних факторов и сценарный анализ

Снижение зависимости от уровня безопасности

третьих сторон

Нужно осознание и готовность к ведению деятельности в состоянии условного нарушения защиты

PwC

Анализ несоответствий (gap-анализ)

Дорожная карта

Текущий и желаемый уровень зрелости

Мнение клиентов

0.0

1.0

2.0

3.0

4.0

Organisation and Governance

Threat Intelligence

Security Culture and Behaviours

Cyber Incident Response and

Crisis …

Monitoring and Detection

Preventative Defences and IT

Hygiene

Desired Current

Функция обеспечения безопасности

Инфраструктура систем

безопасности

Защита и конфиденциальност

ь данных ИТ-безопасность

Кибератаки и меры реагирования

Стратегия Цели Факторы Приоритеты

Бизнес-контекст

Би

бл

ио

тек

а с

пр

ав

оч

ны

х д

ан

ны

х

Опыт PwC

ITIL

ISO2700X

CobIT

Информационная безопасность

Аппетит

ISF Оперативная

информация об угрозах

Организационная структура и

корпоративное управление

Осведомленность и модели

поведения в сфере

информационной безопасности Оценка

безопасност

и

Реагирование на инциденты и

антикризисное управление в сфере кибербезопасности

Защищать то, что имеет значение

Выявление/ мониторинг

Безопасность в бизнес-

экосистеме

… включающий множество компонентов...

Для этого необходим скоординированный подход...

PwC

В то же время нельзя недооценивать значение человеческого фактора...

42% не организовывали никаких программ обучения в области непрерывного информирования сотрудников по вопросам безопасности, при этом 10% не проводили даже вводный инструктаж для новых сотрудников

86% столкнулись с нарушениями, связанными с действиями персонала

31% столкнулись с нарушениями правил обеспечения конфиденциальности данных в результате действий сотрудников (из них 15% сталкивались с этим еженедельно)

23% проводили оценку осведомленности сотрудников

И это приводит нас к главному выводу…

База: США: 167; в мире: 1 330. Источник: 16-й Ежегодный опрос руководителей крупнейших компаний мира, проведенный PwC, 2013 г.

PwC

Потому что из-за своего поведения мы становимся легкой добычей

Модели поведения: действия, предпринимаемые лицом в определенных обстоятельствах

Какие факторы влияют на модель поведения?

Персонал

Обладают ли сотрудники нужными способностями? – Знания – Умения и навыки – Тип мышления

Способствуют ли процессы управления персоналом применению правильных моделей поведения?

Процесс

Разработаны ли процессы таким образом, что правильную модель поведения продемонстрировать легко, а неправильную – сложно?

Система и инфраструктура

Помогают ли системы сотрудникам демонстрировать правильные модели поведения?

Накладывает ли физическая инфраструктура какие-либо ограничения на модели поведения?

В связи с этим необходимо подумать о том, как управлять персоналом, чтобы сотрудники все делали правильно...

PwC

Необходимо разработать эффективные программы обучения и повышения осведомленности сотрудников...

Так как мы не можем ожидать, что люди знают, что такое хорошо.

Уровень 3. Целевые значимые моменты для значимых людей

Уровень 2. Специальные меры в отношении определенных групп

заинтересованных лиц

Уровень 1. Повышение уровня осведомленности в целом

Размер целевой аудитории

Эф

фе

кт

от

п

ер

ед

ач

и

со

об

ще

ни

й

АНАЛИЗ (текущее и целевое

состояние)

ДИЗАЙН, РАЗРАБОТКА, ВНЕДРЕНИЕ

ОЦЕНКА (измерение показателей и

мониторинг)

PwC

Осведомленность о сложившейся ситуации то же чрезвычайно важна... В рамках организации:

• Какие данные у нас есть? Где они сортируются? Как выглядит поток данных?

• Какие действия мы видим в наших системах и сети: в обычных условиях и во время атаки?

• Какой доступ имеют сотрудники и подрядчики к приложениям, системам, конфиденциальным записям, структурированным и неструктурированным данным?

• К каким последствиям приводит использование облачных технологий, мобильных устройств и услуг сторонних компаний с точки зрения данных и безопасности?

Более общая картина:

• Какой уровень безопасности у контрагентов и их готовности и возможности к отражению атак (например, поставщики сетевых услуг могут быть лучше подготовлены к обнаружению распространенных угроз, чем конкретные организации)

• Какие тенденции во внешней среде и прогнозы пиков атак?

Это поможет создать систему «раннего предупреждения»...

PwC

Еще нам нужна хорошая стратегия защиты

Прозрачность

• В случае атаки зачастую отсутствует журнал регистрации событий, трассировка пакетов, записи. • Нет информации, которая могла бы лечь в основу диагностики или расследования.

• Решить эту проблему можно посредством нескольких технологий: • Предотвращение потери данных (DLP-системы): позволяет углубить понимание и обладает

возможностями блокировки • Управление событиями/ инцидентами в системах безопасности (SEIM-системы):

выходит за пределы корреляции журналов и отчетности на уровень обнаружения аномальных моделей поведения

• Анализ сетевого трафика: позволяет обнаружить аномальный трафик и интерпретировать зловредные/ подозрительные потоки данных

• Компьютерно-техническая экспертиза: позволяет понять, какую роль в нарушениях играют внутренние системы

Также необходимо рассмотреть механизмы контроля на более высоком уровне (upstream)

• В случае повышенного трафика/спроса в системе (или в случае DDoS-атаки) upstream-провайдеры могут направить трафик (или часть трафика) в другое место, например, на блокирующую страницу, где пропускная способность не имеет большого значения.

Но это еще не все...

PwC

Мы не можем просто оставаться пассивными наблюдателями и ждать атаки...

Мониторинг общественного мнения

• Что о вас говорят?

• Кто испытывает к вам неприязнь?

• Кто может атаковать вас?

• В какой форме вас могут атаковать?

• Какую информацию о вас атакующая сторона может получить из общедоступных источников?

Активная оборона

• Ловушка для хакеров Honey pots

• Умышленное запутывание/искажение персональных данных или IP

• Можете ли вы так загрязнить данные, чтобы их ценность снизилась (например, ложный IP или ошибочная информация, подтверждающая идентичность)?

Тестирование и моделирование

И помните про систему 7P

PwC

Оперативная информация об угрозах крайне необходима...

Почему мы можем стать их мишенью?

Как атакующие проникают в системы? Что они используют?

Какова их цель и как они ее достигают?

Что ставит нас под угрозу? Приводит ли ведение деятельности в

определенных регионах мира к повышению рисков?

Однако следует проявлять осмотрительность и соблюдать законы при получении такой информации..

PwC

Наконец, нам необходимо знать об инцидентах и реагировать на них

В условно принятом состоянии нарушения защиты самое лучшее – осуществлять мониторинг

Большинство атак можно выявить постфактум

Мониторинг кибербеопасности заключается в корреляции журналов с различными источниками с целью выявления аномалий

Дело не только в инструментах...

Процесс Персонал

Технологии

Непрерывное совершенствование

PwC

Уровень развития систем мониторинга существенно разнится

Быстрое развертывание с использованием оборудования и оперативных данных PwC

Ур

ов

ен

ь з

ре

ло

ст

и

PwC ThreatProtect

У нас ничего не происходит. Как мы можем определить, есть ли у нас проблема, и как нам обеспечить защиту, пока мы вырабатываем долгосрочные планы мониторинга?

« »

Некоторые не готовы...

PwC

Другие уже приступили к внедрению инструментов...

Дизайн архитектуры, выбор поставщиков и внедрение

Каналы данных, отчетность и обучение

Ур

ов

ен

ь з

ре

ло

ст

и

Внедрение систем SIEM и SOC

PwC ThreatProtect

Как нам заложить правильный фундамент для внутреннего мониторинга и сделать его частью обычной деятельности?

« »

Но отдельные инструменты зачастую дают нам слишком много информации или неверные сведения...

PwC

Поэтому их необходимо точно настроить...

Дизайн архитектуры, выбор поставщиков и внедрение

Каналы данных, отчетность и обучение

Ур

ов

ен

ь з

ре

ло

ст

и

Услуги по точной настройке и интеграции

Внедрение систем SIEM и SOC

PwC ThreatProtect

У нас есть старая инфраструктура для мониторинга, которая не приносит никакой пользы. Помогите!

« »

Оптимизация SOC и улучшение контекста

И это встроено в общий процесс...

PwC

Процесс, объединяющий в себе мониторинг событий и угроз

Оптимизация SOC и улучшение контекста

Дизайн архитектуры, выбор поставщиков и внедрение

Каналы данных, отчетность и обучение

Ур

ов

ен

ь з

ре

ло

ст

и

Усовершенствованная система данных об информационной безопасности и аналитики

Услуги по точной настройке и интеграции

Внедрение систем SIEM и SOC

PwC ThreatProtect

Мы хотим построить современную платформу и процессы для анализа угроз и интегрировать ее в наши процессы и инструменты в сфере обеспечения безопасности

« »

Чтобы действительно разобраться в характере условно принятого состояния нарушения защиты

PwC

Затем нам понадобится план для решения возникающих проблем...

Антикризисное управление

Реагирование на инциден

ты

Оперативная

информация об

угрозах

Целостный подход к антикризисному управлению в киберсфере требует не просто наличия хорошо отлаженной системы реагирования на технические инциденты с учетом информации об угрозах.

При таком подходе также необходимы квалифицированные управленцы, способные привнести объективность, знания и передовой опыт в организацию, столкнувшуюся с кадровыми, правовыми, регуляторными или клиентскими аспектами киберкризиса.

Когда мы имеем полное представление о ситуации - нам необходимо управлять ею.

PwC

Так что же вам следует сделать в завтра?

1. Получить полное представление о ценности информационных систем, активов и данных

• Ценность для атакующей стороны и организация зачастую различаются

2. Оценить состояние системы защиты, ее эффективность, а также оперативность управления и контроля

3. Сосредоточить внимание на гибкости механизмов защиты, повышении качества мониторинга и готовности предотвращения атак

• Предотвращение потери данных (DLP) – активное использование SIEM – трассировка сети – управление факторами уязвимости в режиме реального времени

4. Повысить устойчивость архитектуры/ неуязвимость системы

5. Занатся системным повышением осведомленности пользователей и привлечь руководство компании к решению стратегических вопросов ИБ

6. А также:

• Обсудить с отделом кадров модели поведения в киберсфере

• Разобраться в договорных и неформальных отношениях с третьими сторонами

• Внедрить эффективные процессы системного управления и контроля

Не ждите!

Управляйте своими киберрисками...

Настоящая публикация подготовлена исключительно для создания общего представления об обсуждаемых в ней вопросах и не является

профессиональной консультацией. Информация, содержащаяся в данной публикации, не может служить основанием для каких-либо действий в

отсутствие профессиональных консультаций специалистов. Мы не даем никаких заверений или гарантий (как прямо выраженных, так и

предполагаемых) в отношении точности или полноты информации, содержащейся в настоящей публикации и, в той степени, в которой это

разрешено законодательством, [указать юридическое наименование фирмы PwC], ее участники, сотрудники и представители не принимают на

себя и не несут какой-либо материальной или иной ответственности за последствия ваших или чьих бы то ни было действий или бездействия

на основании информации, содержащейся в настоящей публикации, а также за любые решения, принятые на ее основании.

© 2013 «ПрайсвотерхаусКуперс Раша Б.В.» Все права защищены.

* Под «PwC» понимается компания «ПрайсвотерхаусКуперс Раша Б.В.» или, в зависимости от контекста, другие фирмы, входящие в глобальную

сеть компаний PricewaterhouseCoopers International Limited, каждая из которых является самостоятельным юридическим лицом.

Роман Чаплыгин Директор Отдел анализа и контроля рисков, Услуги по информационной безопасности Тел.: +7 (495) 967-6056 roman.chaplygin@ru.pwc.com