[[slotProps.postItem.title]]
В настоящее время на рынке информационных технологий в России происходят масштабные изменения — массовая разработка отечественного программного и аппаратного обеспечения в рамках импортозамещения и интенсивное развитие цифровых технологий на фоне роста количества кибератак и появления новых угроз. В 2022 г. после ввода новых санкций произошел значительный отток крупных американских и европейских вендоров продуктов информационной безопасности из РФ (около 30), а объем освободившегося рынка составил около 80 млрд рублей (так, например, приостановили поставки продукции чешская Avast, американская Norton и международная Eset). Российским компаниям пришлось оперативно искать замену и незамедлительно менять планы действий по обеспечению безопасности своих ИТ-систем, включающие комплексы для защиты от целевых атак, анализаторы трафика, «песочницы» и агенты на рабочих станциях пользователей. Особенно востребованными стали противодействие DDoS-атакам и защита веб-сайтов от вредоносных ботов. Также одной из актуальных тенденций стала повышенная востребованность услуг киберразведки (Threat Intelligence), позволяющей заранее узнавать о готовящихся кибератаках и оценивать предикативные индикаторы риска компрометации.
Важно понимать, что информационная безопасность сама по себе не является отдельным процессом. Допустим, компания разрабатывает ИТ-решения для клиентов — внешних пользователей. Элементы управления киберрисками должны встраиваться в процесс производства ИТ-решений на всех этапах: разработки функциональных требований, проектирования архитектуры продукта, бюджетирования затрат на его реализацию, опытной и промышленной эксплуатации. Этот процесс должен быть цикличным, так как после выпуска продукта будут необходимы доработки, обновления и поддержка пользователей для устранения выявленных уязвимостей и противодействия новым угрозам.
Если компания сама разрабатывает или приобретает готовые решения только для внутреннего пользования (например, для ведения бухгалтерского или управленческого учета, обработки клиентских заказов, обслуживания производственных линий и т. д.), в ходе эксплуатации также необходимо непрерывно обеспечивать защиту от киберугроз.
Для обеспечения системного подхода к защите от киберрисков рекомендуется применять такой инструмент, как моделирование угроз. Федеральной службой по техническому и экспортному контролю (ФСТЭК России) разработана Методика оценки угроз безопасности информации, которая применяется в государственных компаниях, организациях ОПК, на критически важных и потенциально опасных объектах и пр. Другие организации также могут использовать Методику при создании своей Модели угроз. Моделирование угроз представляет собой систематический и стратегический подход к выявлению и оценке угроз с целью минимизации соответствующих рисков и потенциального негативного воздействия на достижение целей компании, ее финансовые результаты и репутацию.
Рассмотрим основные этапы внедрения Модели угроз:
1. Определение периметра Модели. На первом этапе необходимо изучить ИТ-ландшафт компании, определить все сети, каналы связи, программы, сервера, приложения, веб-сайты компании, клиентские ИТ-продукты и прочие объекты воздействия угроз безопасности. Затем приоритизировать их по значимости для бизнеса, определить владельцев систем. На этом этапе нередко можно выявить устаревшие или необслуживаемые вендорами системы. Также бывает, что у некоторых систем дублируется функционал, что затрудняет их обслуживание и усложняет процессы.
2. Формирование перечня угроз. На втором этапе важно определить конкретные угрозы, применимые к компании в рамках периметра, определенного на первом этапе. Также необходимо провести анализ влияния угроз на ИТ-системы и оценить возможные последствия (финансовые и нефинансовые) для бизнеса в случае их реализации. Помочь в определении и категоризации угроз может обновляемый банк данных угроз безопасности информации, сформированный ФСТЭК России, а также модель STRIDE, разработанная корпорацией Microsoft, описывающая следующие типы угроз:
- спуфинг (Spoofing) — компрометация подлинности, выдавание себя за кого-то или что-то другое. Примеры спуфинговых угроз включают выдачу несанкционированного пользователя за авторизованного или создание подменного файла или процесса в системе. Типичным примером средств контроля для смягчения таких угроз является многоступенчатая аутентификация;
- фальсификация (Tampering) — это внесение изменений в данные без разрешения администраторов систем с последующим нарушением целостности систем (изменение файлов или конфигурации сети или связи). Примером средства контроля для минимизации последствий таких угроз может быть шифрование и комплексные проверки доступа;
- отказ (Repudiation) – отрицание в выполнении действий определенными пользователями, если другие пользователи не могут доказать обратное. Такое может происходить в случае отсутствия ведения лога изменений или трассировки запрещенных операций. Примеры средств контроля включают ведение журнала изменений и цифровые подписи;
- раскрытие информации (Information Disclosure) — раскрытие информации пользователям, которые не наделены правами доступа к ней, что влечет нарушение принципа сохранности конфиденциальных данных. Для предотвращения таких угроз используют шифрование при хранении, использовании или передаче данных;
- отказ в обслуживании (Distributed Denial of Service) — DDoS-атака — отказ в обслуживании, что приводит к нарушению работы и недоступности целевой системы. Бороться с такими атаками можно посредством постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки, а также отслеживанием нетипичного трафика;
- несанкционированное получение привилегий (Elevation of Privilege) — получение доступа, превышающего полномочия субъекта, что позволяет значительно нарушить работоспособность системы или даже уничтожить ее. Для предотвращения таких угроз можно применять принцип наименьших привилегий и иметь надежные механизмы защиты привилегированных учетных записей.
3. Оценка границ угроз. На этом этапе необходимо определить возможности использования инструментов управления рисками в отношении собственного ПО и ИТ-продуктов, арендуемых или используемых по приобретенным лицензиям программно-аппаратных средств и их интерфейсов, каналов связи, программного обеспечения.
4. Выявление источников угроз. На данном этапе определяются типы потенциальных нарушителей (физические лица — хакеры, конкурирующие организации, действующие и бывшие (уволенные) сотрудники и др.) для выбора оптимального способа управления угрозами.
5. Разработка плана митигирующих мероприятий, который включает ответственных, сроки реализации и описание ожидаемого результата. Ежегодный бюджет компании обязательно должен включать в себя затраты на приобретение и поддержку инструментария по управлению киберрисками. Решения о разработке новых ИТ-продуктов компании должны приниматься только после оценки рентабельности с учетом влияния затрат на предотвращение угроз информационной безопасности.
6. Мониторинг и актуализация Модели угроз. Процесс управления угрозами в области информационной безопасности является непрерывным, поэтому на регулярной основе необходима проверка Модели на полноту для дополнения перечня угроз и плана действий.
Модель угроз действительно является важным комплексным инструментом для борьбы с киберугрозами. Однако необходимо учитывать, что наличие Модели угроз само по себе не является гарантией безопасности. Существует ряд правил и допущений при ее использовании. Так, если угрозы в Модели приоритизированы некорректно, владельцы систем могут тратить время и ресурсы на несуществующие или маловероятные угрозы. Кроме того, в ответ на постоянно меняющиеся внешние угрозы обнаруживаются новые внутренние уязвимости, поэтому важно обновлять Модель угроз на постоянной основе.
Автор: Дарья Бочарова
