С ростом цифровизации и все увеличивающимися возможностями ИИ, необходимо учитывать и тот факт, что мошенники не дремлют и так же развиваются. Как компаниям обезопасить себя от киберугроз и что для этого обязательно нужно сделать? Подробно рассказали эксперты.
«Цифровой иммунитет» что это?
Айрат Мухаметшин, начальник Отдел методологии и комплексной экспертизы Cloud Networks, дал такое определение : «Цифровой иммунитет применительно к бизнесу – это совокупность мер и средств, позволяющие информационной инфраструктуре оказывать противодействие возникающим угрозам безопасности информации и нивелировать потенциальные негативные последствия от реализации данных угроз.»
Термин «цифровой иммунитет» можно описать как стратегический подход к кибербезопасности, который не ограничивается устранением отдельных уязвимостей, а направлен на создание устойчивой, предсказуемой защиты. Здесь на помощь приходит, например, матрица MITRE ATT&CK — как систематизированный инструмент для построения защиты на всех этапах возможной атаки, поделился своим мнением Вячеслав Новоселов, CEO SkyDNS.
Сегодня корпоративная среда становится всё более распределенной: рост удаленной работы и мобильности сотрудников увеличивает векторы атак. Поэтому цифровой иммунитет должен не только реагировать на известные угрозы, но и предугадывать новые. В этом помогают нейросетевые алгоритмы, которые выявляют аномалии в активности, анализируют их и блокируют подозрительные действия ещё до развития атаки.
По сути, цифровой иммунитет — это интеллектуальная система, которая не только защищает, но и адаптируется, обучаясь на актуальных данных и противодействуя угрозам на самых ранних стадиях.
Уровни защиты от киберугроз
Со слов эксперта Мухаметшина, основной компонентный состав цифрового иммунитета довольно «классический» и включает в себя:
- организационную составляющую – систему документов, регламентирующих вопросы обеспечения ИБ;
- техническая составляющая – встроенные и наложенные средства обеспечения ИБ.
- «неклассической» составляющих должна быть методологическая основа – система методик, выполнение положений которых делает процесс обеспечения ИБ не только регулярным, но и актуализируемым.
Чтобы проверить, насколько крепкий “цифровой иммунитет” у компании, можно использовать модель OSI, описывающую семь уровней, которые компьютерные системы используют для взаимодействия в сети, рекомендует эксперт Новоселов. Для хорошего уровня иммунитета должны быть покрыты уровни S3-S7 по модели OSI:
- Сетевой уровень (S3): Межсетевые экраны и IDS/IPS для фильтрации трафика, сегментация для изоляции критичных сегментов.
- Транспортный уровень (S4): Шифрование TLS/SSL, защита от DDoS для сохранения доступности ресурсов.
- Сеансовый уровень (S5): Управление сеансами и многофакторная аутентификация (MFA) для безопасного доступа.
- Представительский уровень (S6): Шифрование и валидация данных для предотвращения инъекций и атак.
- Прикладной уровень (S7): WAF и принципы DevSecOps для защиты приложений, антивирус и обновления для защиты конечных устройств.
Дополнительно используются AI/ML для предиктивного анализа и SIEM для централизованного мониторинга.
Ключевые компоненты цифрового иммунитета для защиты бизнеса на уровнях S3–S7 модели OSI должны включать мощные сетевые экраны и системы IDS/IPS, шифрование и защиту транспортного уровня, многофакторную аутентификацию и контроль сеансов, а также защиту данных через DLP, WAF для веб-приложений и DNS Security, рассуждает эксперт Новоселов.
Особенно важен здесь подход Zero Trust Network Access (ZTNA), который позволяет гибко управлять доступом, следуя принципу «никогда не доверяй, всегда проверяй». Каждая попытка доступа к корпоративным данным требует подтверждения, независимо от того, находится ли пользователь внутри сети или вне её, что помогает не только защищаться от внешних атак, но и минимизировать внутренние угрозы, сохраняя гибкость и прозрачность в управлении доступом. В России практика ZTNA пока не получила широкого распространения и скорее является трендом на будущее, который может развиться после волны импортозамещения фундаментальных решений, таких как NGFW.
К сожалению, в России не хватает комплексных продуктов и часто приходится строить защиту из цепочки решений разных вендоров. Однако это имеет и свои преимущества: сочетание технологий разных производителей создаёт синергию, которая оказывается более эффективной в противостоянии новым видам атак.
Инструментарий для оценки уровня “цифрового иммунитета”
Эксперт Новоселов для оценки уровня цифрового иммунитета компании рекомендует:
- Мониторинг — автоматизация и правила, чтобы быстро заметить угрозы.
- Тестирование с ИИ — искать уязвимости заранее с помощью ИИ, чтобы предотвращать атаки.
- Chaos Engineering — проверять, как система ведёт себя при сбоях и атаках.
- Пентесты — имитировать атаки для выявления слабых мест.
- Белые хакеры и bug bounty — приглашать внешних специалистов для поиска уязвимостей.
- Киберучения — тренировать команду, в том числе рядовых сотрудников на случай реальных атак.
Эксперт Мухаметшин предложил такой вариант оценки:
«В первую очередь – полное знание своей информационной инфраструктуры – со всеми ее достоинствами и недостатками. Только доскональное знание позволит выработать целевые меры, которые будут максимально эффективны. Знаешь свой «организм» – знаешь, как его защитить.
Во-вторых – мониторинг защищенности и анализ сопутствующих рисков. Слепое выполнение мер регуляторов «по списку» не менее вредно, чем противоположное убеждение «авось, нас не затронет». Ответ на вызовы должен быть адекватен самим вызовам – поэтому важно анализировать возможные каналы реализации угроз и оценивать потенциальный ущерб.
В-третьих — сам процесс обеспечения ИБ должен быть регулярным и актуализируемым. Методологическая основа является не мнее важным фактором, чем технические средства защиты.»
Какие технологии помогают в формировании цифрового иммунитета и как их использовать правильно?
«Фронтом» должен быть стек технологий, продуктов и решений по мониторингу и выявлению угроз, в том числе и эвристическими методами – аналог предиктивного анализа в сфере автоматизации производств – в условиях ускоряющихся изменений ландшафта угроз действовать необходимо превентивно, считает эксперт Мухаметшин. Своевременное выявление уязвимостей сродни раннему выявлению (диагностике) болезней организма и является залогом лечения по «легкому варианту», ведь бороться с причиной ожидаемо легче, чем преодолевать последствия.
Следующий барьер — «обойма» актуальных архитектур безопасности – совокупность настроек, правил и архитектур решений, обеспечивающих состояние защищенности.
Значимым фактором является повышение осведомленности персонала по вопросам обеспечения ИБ на рабочем месте – существенный пласт угроз реализуется «благодаря» неквалифицированным действиям пользователей (в том числе во время кибератак на инфраструктуру).
Стоит также отметить существенный рост атак, реализуемых с использованием методов социальной инженерии, поэтому понятие цифровой гигиены – не пустой звук. Здесь как нельзя лучше подойдет лозунг «Безопасность начинается с тебя!».
«Адаптация и обновление: ключи к защите в мире кибербезопасности»: утверждает эксперт Новоселов.
По его словам, проблема поддержания цифрового иммунитета — это постоянная гонка с ухищрениями злоумышленников. Это действительно как игра в кошки-мышки: предсказать, где именно возникнет следующая брешь, невозможно. Хакеры находят всё новые пути обхода защиты, изобретая техники и эксплойты, которые мы не всегда можем увидеть заранее. Поэтому ключ к стойкому цифровому иммунитету — это не статичная защита, а постоянное обновление и адаптация.
Чтобы оставаться на шаг впереди, критично регулярно обновлять источники данных об актуальных угрозах и следить за тем, что происходит в мире кибербезопасности. Это означает интеграцию самых свежих индикаторов компрометации, использование актуальных данных об атаках и участие в обмене знаниями с сообществом. Без этой информации невозможно оперативно адаптировать защиту к новым угрозам.
Также важно постоянно развивать внутренние компетенции, подмечает эксперт Новоселов. Мир кибербезопасности не стоит на месте, и чтобы эффективно противостоять новым угрозам, команде необходимы навыки работы с передовыми технологиями и понимание лучших мировых практик. Постоянное обучение и повышение квалификации становятся обязательной частью работы в этой сфере, позволяя гибко адаптироваться к быстро меняющемуся ландшафту угроз.
Защита данных — залог устойчивости бизнеса
Сегмент информационной безопасности бьет рекорды по темпам роста, и, несмотря на локальные особенности, мы продолжаем ориентироваться на мировые практики. Тенденция к развитию здесь очевидна. Ключевым фактором станет осознание бизнесом важности инвестиций в ИБ-инфраструктуру: только при поддержке и выделении ресурсов можно внедрить полноценные защитные меры. Коммерческим структурам важно понимать, что в современных условиях защита данных и систем — это не только обязательная статья расходов, но и важный элемент устойчивости бизнеса, резюмирует эксперт Новоселов.