В начале марта «Информзащита» и Microsoft объявили о стратегическом партнёрстве. Совместно компании выведут на российский рынок виртуальный Security Operation Center (SOC) на базе облачного решения Azure Sentinel. Директор по развитию «Информзащиты» Иван Мелехин рассказал Inc., к каким последствиям приводят кибератаки в бизнесе, как с ними справляется Центр мониторинга кибербезопасности и в чём преимущества партнёрства с Microsoft.

Влияние кибератак на бизнес-показатели

Принимать решения нужно не под влиянием маркетинговых материалов, а на основе фактических данных об угрозах, релевантных именно для вашего случая. То есть понимать уязвимости инфраструктуры и степень её защищенности. Первое изучают через тестирование на проникновение, второе — с помощью мониторинга киберугроз. В крупных корпорациях это зона ответственности подразделений риск-менеджмента. В организациях меньшего масштаба этим занимаются службы информационной безопасности (ИБ) и IT-отделы.

Огромная доля кибератак остаётся незамеченной и не привязывается к бизнес-показателям в рамках полугода или года после их реализации. Без своевременного мониторинга киберугроз понять, что на самом деле послужило причиной ухудшения бизнес-показателей, невозможно.

60% малого и среднего бизнеса в течение полугода после успешной кибератаки банкротится, говорят исследования Национального альянса по кибербезопасности США. На российском рынке такой статистики нет.

Риски массового перехода на удаленку

Для многих средних и малых предприятий вероятность стать мишенью кибератаки достаточно мала. Тем не менее любая компания, подключённая к интернету, становится целью сотен скриптов и программ, пытающихся заслать шифровальщика, установить вирус-майнер, расширить ботнет, отправить по почте вредоносную программу. Ежегодно мы наблюдаем более 4 млн попыток проникновения на подконтрольную инфраструктуру.

В случае с организациями наиболее часто объектами атак становятся компьютеры и серверы, веб-ресурсы и люди. Если говорить о частных лицах, это, опять же, сами люди, мобильные устройства и компьютеры. Как правило, такие атаки происходят с помощью вредоносных программ и социальной инженерии. Стабильно наблюдаются атаки на банкоматы и POS-терминалы. В последнее время нарастает тренд атаковать умные устройства типа интернета вещей.

Сейчас, когда многие сотрудники начинают работать в инфраструктуре работодателей со своих домашних компьютеров или ноутбуков, количество точек потенциального проникновения и заражения возрастает на порядки. Мы собираем множество событий с обычных рабочих ноутбуков и наблюдаем сегодня всплеск киберинцидентов — попытки фишинга и кражи учетных данных.

Эффективная синергия с Microsoft

Если для крупных компаний большие затраты на кибербезопасность уже привычны и приемлемы, то для среднего и малого бизнеса они несоизмеримы с потенциальными угрозами. В этом случае на первый план выходит сервисная модель. На рынке таких сервисов сейчас много. При небольших затратах они позволяют получить адекватный уровень защиты.

Azure Sentinel от Microsoft автоматизирует рутинные задачи специалистов по кибербезопасности, освобождая время для более приоритетных задач. Схема работы такая: события со всех элементов инфраструктуры автоматически направляются в базу Sentinel. На основе этих данных сервис описывает признаки возможных киберугроз. При выявлении атаки в работу включаются сценарии автоматизированного реагирования либо аналитик, расследующий инцидент. Также есть ретроспективный анализ, который помогает определить признаки новых угроз, неизвестных на момент получения массива данных. Можно, например, оперативно выявить попытки кражи учётных данных или на ранней стадии обнаружить эпидемию вредоносного программного обеспечения.

За счёт автоматизации время обнаружения киберугроз сокращается с нескольких часов до нескольких секунд. От организации среднего размера в Центр мониторинга поступает 4—6 тыс. событий в секунду. Информация об одном событии занимает, в среднем, 1 килобайт. То есть в сутки приходит около 400 гигабайтов данных. Для сравнения, объём «Войны и Мира» равен примерно 350 килобайтам, что в 1 млн раз меньше.

Microsoft предоставляет нам технологическую платформу и вычислительную мощь облака. Мы освобождены от администрирования инфраструктуры и программного обеспечения и поддержания его работоспособности. К тому же облако дает неограниченные возможности для хранения данных. Даже в случае внезапных пиковых нагрузок мы не испытываем проблем с масштабированием.

Работа с критическими инфраструктурами

В 2019 году мы запустили двухнедельные киберучения «Кибермафия». Участники осваивают небольшую теорию и практикуются противодействовать атакам и анализировать инциденты. В первый день мы знакомим учеников с продуктами Microsoft Security и учим настраивать их. Они слушают курс по векторам атак, и наш специалист по пентесту проводит реализацию реальной атаки. Все детали потом совместно разбираются и анализируются. Во второй день мы проводим игру с «легендой» — описанием того, что произошло с инфраструктурой. Ученикам нужно провести расследование инцидента: определить вектор реализации атаки, проанализировать последствия и полностью восстановить работоспособность инфраструктуры.

Представители бизнеса любых размеров понимают важность кибербезопасности. Последние несколько лет объяснять это никому не нужно. Всё, в основном, зависит от возможностей и бюджета компании.

Наш фокус — крупные и средние предприятия из финансового и реальных секторов экономики, ретейл и технологические компании. В этих отраслях российского рынка у нашего Центра мониторинга кибербезопасности наибольший опыт работы.

Мы умеем работать и с компаниями, которые эксплуатируют объекты критической информационной инфраструктуры (КИИ) и должны соответствовать требованиям законодательства. По 187-ФЗ таким организациям, например, нельзя использовать облачные решения международных производителей. Мониторинг киберугроз в этих случаях тоже жёстко регламентирован. Тем не менее компании хотят понимать степень своей защищенности и следить за безопасностью инфраструктуры. Наш Центр мониторинга позволяет это сделать за счёт интеграции двух направлений (защита КИИ и коммерческого SOC).