Мифы Информационной безопасности. ТОП 2017 - TS Solution

Мифы Информационной безопасности. ТОП 2017

ts solution

Ну вот и подошел к концу 2017 год. Этот год был очень насыщенным для всех ИБ специалистов. WannaCry, Petya и многое другое заставили рынок ИБ просто кипеть. Мы в свою очередь старались максимально быстро помогать нашим коллегам и партнерам в борьбе с современными угрозами. И это не только проекты по внедрению средств защиты, но и обучение, и просто консультации. В ходе бесед с нашими клиентами удалось выявить несколько самых популярных заблуждений относительно информационной безопасности в целом. Мы решили собрать все эти мифы в один небольшой список — ТОП 2017.

Миф №1.  Небольшим компаниям нечего бояться

Это пожалуй один из главных мифов. Большинство «маленьких» организаций считают, что они не представляют интерес для злоумышленников. Только вот многие забывают, что подавляющее большинство атак — автоматизированы. Никто не смотрит большая у вас компания или нет. Боты в автоматическом режиме ищут уязвимости всех доступных в Интернете узлов и затем пытаются это эксплуатировать. Если вы подключены к публичной сети, то вы имеете ровно столько же шансов поймать зловред, как и любая крупная компания. Процент действительно таргетированных атак исключительно мал. Если вы думаете, что в результате атаки вам нечего особо терять, то вы тоже глубоко заблуждаетесь. Файловые серверы, логины и пароли от банковских порталов, личные данные сотрудников или ваших партнеров, репутационные риски. Всегда есть что терять. Разница между большими и маленькими компаниями лишь в том, что последние могут понести существенные убытки в результате атаки, но остаться на плаву. А вот небольшим компаниям иногда приходится закрываться после значительного финансового ущерба.

Миф №2. 100% защищенность

Запомните, никто и ничто не может вам гарантировать 100% защиты. Если вам кто-то обещает стопроцентную защиту, то знайте, он или некомпетентен, или просто врет. Как показывает практика, даже изолированные от публичной сети системы, также подвержены атакам (вспомните Stuxnet). Риск есть всегда. Вкладывая средства в защиту, вы можете лишь уменьшить его до допустимых значений. Средства защиты не должны стоить больше, чем возможные потери в результате атаки. Если хотите понять ликвидность ваших текущих или будущих средств защиты, то придется начать с оценки рисков.

Миф №3. Безопасность это задача IT-отдела

Еще один популярный миф. Хотя чаще это не миф, а вынужденная мера. Нет возможности сформировать ИБ-отдел и приходится перекладывать эти задачи на IT-отдел. Это можно понять. Но в этом случае не стоит винить своих специалистов в случае хакерской атаки. Информационная безопасность, а особенно ее обеспечение, это сложная и ОЧЕНЬ объемная тема. Обычно требуется несколько лет непрерывной работы и обучения, чтобы выйти хотя бы на «средний» уровень специалиста по информационной безопасности. Нельзя этим заниматься «на пол ставки», совмещая с основной работой. ИТ-специалистам хватает и своей работы. Нанимать выделенного ИБ-специалиста или нет, это опять же вопрос рисков. Только в этом случае, рассчитывая риски, к возможной стоимости потерь нужно прибавить деньги, которые были потрачены на средства защиты и которые не были использованы как полагается. Согласно отчету Гартнера за 2016 год, 95% всех успешных атак можно было предотвратить если бы были правильно настроены уже существующие средства защиты. Помните об этом. Сможет ли ваш IT-специалист все правильно настроить, а затем и поддерживать? И самое главное, должен ли? Информационная безопасность это не результат, а процесс!

Миф№4. Антивирус решает все проблемы

Если у всех ваших пользователей стоят антивирусы это уже хорошо. Но опять же, если вспомнить Миф №2, то это далеко не панацея. Антивирусы уже давно перестали справляться со всеми современными угрозами. Эпидемия шифровальщиков яркий тому пример. Сигнатурный анализ давно мертв. Сейчас антивирус является лишь одним из обязательных средств комплексной системы защиты информации. Вам как минимум нужно еще несколько уровней защиты. Подробнее об этом чуть ниже.

Миф №5. IPS бесполезен

Было время, когда IPS считался экзотическим средством защиты и использовался совсем немногими. Затем IPS получил широкое признание и распространение, став одним из стандартных средств сетевой защиты. Время не стоит на месте и векторы атак значительно изменились. Уже редко встретишь хакерскую атаку нацеленную на уязвимости сетевых протоколов (ведь гораздо проще рассылать файлики, которые открывают сами пользователи). В связи с этим, многие забросили IPS, которые либо пылятся на полках, либо не обновляются годами. А весьма зря. IPS по прежнему очень актуален. К примеру IPS от Check Point может обнаруживать не только аномалии сетевых протоколов, но и файлы (doc, pdf и т.д.), которые содержат эксплойты. Вспомним тот же WannaCry. IPS сигнатуры, определяющие этот зловред, были опубликованы на несколько недель раньше, чем MicroSoft опубликовал соответствующие патчи. IPS это по прежнему очень важный элемент эшелонированной защиты, не пренебрегайте им.

Миф №6. SIEM-система решит все проблемы ИБ

Я уже не раз затронул тему эшелонированной защиты. Это предполагает наличие нескольких средств защиты, за которыми нужно следить! Как правило это упирается в анализ логов, объемы которых могут составить несколько гигабайт в день (а то и терабайт!). Понятно, что в ручную проанализировать такой объем невозможно. И большинство полагает, что купив SIEM систему все проблемы решаться сами собой. Это самое большое и самое опасное заблуждение. Опасное, потому что SIEM это очень дорогое удовольствие. А без предварительной подготовки и тщательного анализа задачи, вы рискуете просто выкинуть эти деньги на ветер. Запомните, ни одна (НИ ОДНА!!!!) SIEM-система не решит ваши проблемы запуском «из коробки». Сначала нужно провести очень большую, но очень нужную работу. Что именно вы будете мониторить? Для чего? На что вы должны обращать внимание? Что делать при обнаружении проблемы? Кто будет за этим следить? Вопросов на самом деле гораздо больше. Повторюсь, SIEM-система очень важный и очень нужный компонент комплексной защиты, но без предварительной проработки задачи, формирования ТЗ, вы получите просто дорогой лог-сервер.

Миф №7. На ИБ нужно слишком много денег

С этим мнением бороться сложнее всего. Можно долго расписывать процесс оценки рисков, формирования бюджетов, анализ экономической эффективности и так далее. Пожалуй это тема для отдельной статьи. Но сейчас мне хотелось бы обратить внимание на другой момент. Если вы решили, что то или иное решение (межсетевой экран, IPS, антивирус) для вашей компании слишком дорого, то это еще не значит, что про информационную безопасность можно забыть. У вас все еще есть компьютеры, сетевое оборудование, сервера, почта, принтеры, wi-fi и многое другое из ИТ-инфраструктуры. Все это «добро» обладает встроенными средствами защиты, про которые почему-то совершенно забывают. Смена паролей, регулярная установка патчей, сегментация сети, списки доступа, привязка MAC-адресов и многие другие встроенные функции безопасности. Начните хотя бы с этого. Даже самый дорогой межсетевой экран вам не поможет, если в сети полный бардак и используются пароли типа «123456» (кстати самый популярный пароль в 2017 году и годом ранее). ИБ стоит действительно дорого, лишь при халатном отношении к своей инфраструктуре. Причем платить вы будете дважды: первый раз, когда покупаете бесполезное в вашем случае средство защиты; и второй раз, когда вас все же взломают, несмотря на уже потраченные деньги. Помните, безопасность начинается с вас, как специалиста, а не с покупки чего-либо.

Автор — Ольков Евгений