Rambler's Top100
Статьи
02 июля 2014

А.Разумов: Необходима эшелонированная защита

Для того чтобы быть эффективной, системе безопасности необходимо быть комплексной: брешь по одному из направлений делает всю систему бесполезной и бессмысленной, считают эксперты «ИКС».

Читайте полную версию Дискуссионного клуба темы номера  «ИКС» №6-7'2014 «Будь инфобдителен!». Часть 6.

 

? «ИКС»: Какие технологические решения наиболее эффективны в борьбе с утечками, при каких условиях и в каких сочетаниях (решения вендоров для обеспечения безопасности данных на пользовательских устройствах, системы предотвращения утечек DLP, системы обнаружения и предотвращения вторжений IDS/IPS, системы идентификации и управления доступом к информационным ресурсам IDM,  комплексные системы управления информационной безопасностью СУИБ,  др.)?

Александр Санин 

Александр Санин, коммерческий директор, Аванпост: Все перечисленные системы важны с точки зрения борьбы с утечками. Просто одни системы, как в случае с DLP, строго нацелены на закрытие и контроль одних технических каналов утечки. Другие же, такие, например, как IDM, IDS/IPS и др., направлены на контроль других каналов. С точки зрения их эффективности, я считаю, только комплексные меры способны серьезно снизить риски утечки конфиденциальной информации. Другими словами, для эффективной борьбы вам придется развернуть и DLP, и IDM, и системы предотвращения вторжений и в последствии обзавестись организационными мерами, такими как обучение сотрудников и повышение осведомленности. С чего этот путь начинать – выбор каждой конкретной организации. Что же касается моего личного мнения – начинать надо, безусловно, с наведения порядка с тем, что есть, и особо пристальное внимание уделить системе управления доступом к корпоративным ресурсам. Аркадий Прокудин

 

Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности, АйТи: Если речь идет об утечках, я бы на первое место поставил системы DLP. Однако на одной системе DLP качественной защиты информации в организации не построишь. Поэтому все остальные решения не менее важны. Антон Разумов

 

Антон Разумов, руководитель группы консультантов по безопасности, Check Point Software Technologies: Как всегда, необходима эшелонированная защита. К примеру, если с защищенного устройства пытаются отправить конфиденциальные данные внешнему получателю, в действительности трафик пойдет по VPN-каналу на корпоративный шлюз, будет подвергнут необходимым проверкам, в том числе и DLP, и лишь затем будет отправлен внешнему получателю в интернет. При этом, безусловно, системы должны обеспечивать гранулированные политики для разных пользователей с разными полномочиями. Вячеслав Медведев

 

Вячеслав Медведев, старший аналитик, DrWeb: Наиболее эффективна работа с сотрудниками в ходе постоянной работы по поддержанию и совершенствованию процессов компании. Без этого любое средство защиты не стоит затраченных на него денег. И не забываем, что все эти средства стоят достаточно больших денег (в том числе и на зарплату сотрудникам, их поддерживающих) – а потому недоступны большинству компаний. Владимир Воротников

 

Владимир Воротников, руководитель отдела перспективных исследований и проектов, «С-Терра СиЭсПи»: Ни один вид защиты в отрыве от других не может быть эффективным. Для того чтобы быть эффективной, системе безопасности необходимо быть комплексной. Серьезная брешь по одному из направлений – и вся система становится бесполезной и бессмысленной. В то же время, система должна быть сбалансированной по уровню защиты с, возможно, некоторым акцентом на защиту от тех угроз, которые для данной компании выглядят наиболее опасными.

 

Александр ТрошинАлександр Трошин, технический директор, «Манго Телеком»: При наличии множества разрозненных ИС я определенно за IDM, так как у меня был очень хороший опыт, связанный именно с внедрением системы сквозного контроля доступа. Если система построена грамотно и сконфигурирована таким образом, что все наборы прав однозначно трактуют и отражают реальную картину, – это очень эффективное технологическое решение. С IDM удобно работать специалистам по ИБ и системным администраторам в плане сопровождения системы, раздачи и контроля прав. В правильно построенной системе легко строить цепочки согласования и управлять выдачей прав. Если же система выстроена неверно, например, права на системы/подсистемы, процессы/подпроцессы изначально не ограничены или ограничены, но нечетко сформулированы в рамках учетной записи и в рамках текущих бизнес-процессов, отражающих реальную картину работы предприятия, то возникает вероятность, что сотрудник получит доступ туда, куда ему не нужно (исходя из текущих должностных обязанностей).

Системы обнаружения и предотвращения вторжений точно так же важны и нужны. И они внедряются. Но все зависит от модели публикации приложений и информационных систем во внешнюю среду. Так, есть компании, которые не публикуют доступ к своим ИС вовне и не хостятся в публичных дата-центрах, а имеют собственные. Тогда вопрос становится менее актуальным, чем, допустим, в нашем случае. Наши системы обнаружения и предотвращения вторжений не являются готовыми решениями. Частично это открытые, частично покупные решения, но главное, что все это интегрировано с учетом наших задач и потребностей.

Александр Хрусталев 

Александр Хрусталев, директор департамента информационной безопасности, МГТС:   Все описанные в вопросе информационные технологии эффективны в борьбе с утечками. Но использование их в комплексе в совокупности с организационными мерами внутри самой компании позволит обеспечить достаточный уровень информационной безопасности. Дополнительно хотелось бы обратить внимание сотрудников ИБ на некоторые подсистемы: безопасного доступа к сети Интернет, контроля привилегированных пользователей, контроля правил и сетевых доступов межсетевых экранов, которые также могут повысить информационную безопасность компании. Перед внедрением того или иного инструмента необходимо оценка рисков и возможных потерь. То, что применимо для компании среднего уровня, неприемлемо для крупной компании, где риски могут быть достаточно велики: это и существенная потеря доходов и утечки интеллектуальной собственности, персональных данных и прочее. Сергей Иванов

 

Сергей Иванов, руководитель офиса технологии защиты информации, Первый БИТ: Эффективны только комплексные решения в сочетании с полным пониманием роли и ответственности каждого сотрудника в процессе обеспечения безопасности.

Михаил Башлыков 

Михаил Башлыков, руководитель направления информационной безопасности, КРОК: Самое правильное – использовать комплексный подход, а не делать акцент на каком-то одном решении. Во-первых, помимо технических вопросов, нужно обсудить организационные аспекты: HR должен принимать участие в разработке политик безопасности, требуется выстроить эффективную систему консультаций пользователей по безопасности конфиденциальных данных и т.д. Только после этого можно говорить о внедрении конкретных систем защиты от утечки. Сегодня в крупном корпоративном сегменте наиболее передовыми являются решения класса DLP (Data Loss Prevention), IRM (Information Rights Management). Также не стоит забывать о системах контроля действий привилегированных пользователей. Востребованы аналитические или дополнительные системы по отслеживанию прав доступа, а также системы, контролирующие права доступа к целевым бизнес-ресурсам.

Александр Бодрик 

Александр Бодрик, ведущий консультант Центра информационной безопасности, R-Style: В борьбе с утечками эффективны различие технологии, особенно если их комбинируют. Речь идет о решениях вендоров для обеспечения безопасности данных на пользовательских устройствах, системах предотвращения утечек DLP, средствах обнаружения и предотвращения вторжений IDS/IPS, комплексах для идентификации и управления доступом к информационным ресурсам IDM, интегрированных системах управления информационной безопасностью СУИБ и других технологиях. Тем временем, для планирования комплекса технических мер защиты от утечек рационально использовать технологически ориентированный подход с поправкой на индустриальную специфику в каждой конкретной компании. Например, на уровне инфраструктурных приложений с высочайшим приоритетом стоит внедрять систему DLP, которая позволяет защититься от инсайдерских действий любого сотрудника, а уже потом дополнять ее системой UDM. Если мы говорим о бизнес-приложениях, например, устанавливаемых на кассовых терминалах, необходимо сначала внедрить средства Identity Management, а уже потом решать вопросы фрод-машин. Наконец, говоря о защите от утечек со стороны системных администраторов и администраторов СУБД, внедрять системы безопасности типа DAM следует после PIM, и уж точно тогда, когда более рискованные и общедоступные каналы утечек уже отслеживаются. Рустэм Хайретдинов

 

Рустэм Хайретдинов, исполнительный директор, Appercut Security: Все перечисленное в комплексе – лишь инструменты контроля, которые неэффективны до тех пор, пока не будут определены объекты контроля, правила их перемещения и изменения, пока не будут расписаны роли пользователей и не определено наказание за нарушение. Чтобы эффективно использовать, например, камеры контроля скорости, необходимо иметь Правила дорожного движения, системы разметки и дорожных знаков и КОАПП, регламентирующий наказания за невыполнение ПДД.

 

Алексей ЛукацкийАлексей Лукацкий, эксперт по информационной безопасности Cisco: Ни одно из данных решений не является наиболее эффективным. Ввиду сложности и многовекторности современных угроз, приводящих к утечкам, назвать универсальное или единственное средство борьбы с ними невозможно – его просто не существует. Борьба с утечками включает в себя комплекс мероприятий и технических средств. В первую очередь необходимо пересмотреть свою модель безопасности и обеспечить контроль всего жизненного цикла киберугрозы:

  •  
    •  
      •  
        • Перед атакой. Чтобы защитить свою сеть, организации должны знать, что в нее входит: операционные системы, сервисы, приложения, пользователи, устройства и многое другое. Кроме того, необходимо реализовать элементы управления доступом, политики безопасности и блокировать несанкционированный доступ к приложений и от них, а также исключить общий и неконтролируемый доступ к критически важным ресурсам. Тем не менее, эти политики и элементы управления являются лишь небольшими фрагментами более крупной картины. Эти меры помогут уменьшить поверхность атаки, однако всегда останутся пробелы, которые злоумышленники смогут обнаружить и использовать для достижения своих преступных целей.
        • Во время атаки. Организации вынуждены работать с множеством разнообразных векторов атак, используя решения, функционирующие в любой точке возможного проявления угрозы: в сети, на конечных точках, с мобильных устройств и в виртуальных средах. Внедрив в систему эффективные ИБ-решения, специалисты по безопасности смогут более грамотно блокировать угрозы и защищать свою среду.
        • После атаки. При всем при этом множество атак будут «успешны», и это неизбежно. Это означает, что организациям нужен формальный план, который позволит им определить масштаб ущерба, ограничить негативные последствия от атаки, восстановить скомпрометированные элементы сети и нормальное функционирование системы как можно скорее.

Очевидно, что одним продуктом все эти задачи не решить. Необходимым, но уже явно недостаточным является применение традиционных средств обеспечения информационной безопасности – DLP-решений, межсетевых экранов, включая МСЭ прикладного уровня, систем предотвращения вторжений, включая системы следующего поколения (NGIPS), антивирусов или средств защиты персональных компьютеров. Но это только верхушка айсберга. Нужны также средства управления уязвимостями и патчами, средства контроля доступа и оценки соответствия (NAC), средства управления событиями безопасности и средства расследования инцидентов, средства мониторинга и анализа аномальной активности.

 Алексей Раевский

Алексей Раевский, генеральный директор, Zecurion: Ответ на этот вопрос подразумевает предварительный анализ или даже аудит конкретной ситуации в конкретной организации, и ответ для всех будет разный. Существенное значение имеет размер организации, сетевая инфраструктура, какая информация обрабатывается в сети и схема информационных потоков, бизнес-процессы и т.д. Только после этого можно говорить о том, как комбинировать технические и организационные меры и в какой пропорции, а также какие технические решения имеет смысл применять в данном конкретном случае. Конечно, часто встречаются случаи, когда проблему начинают решать с другой стороны, но это некорректный подход – аналогично, как если врач начнет лечить больного, не сделав анализы и не поставив диагноз. И в результате получается, что вроде бы в организации используются продукты, воплощающие новейшие достижения технологий, но это не мешает ей фигурировать в очередных новостях об утечках.

Подготовила Лилия Павлова

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!