Как защитить бизнес от новейших киберугроз

Хотя расширение бизнеса обычно радует владельцев и руководство, перед небольшими компаниями оно ставит новые, ранее совсем незнакомые им проблемы. От массового найма сотрудников до появления филиалов, от усложнения учета до появления формальных регламентов — везде возникают трудности и объем знаний, которые человеку уже непросто удержать в голове. Одной из сфер, где сложность растет очень быстро, является IT-инфраструктура. Компания становится интересна злоумышленникам, растет вероятность кибератак. Приходится увеличивать не только затраты на серверы и ПО, но и расширять штат IT-специалистов, выделять специальных людей на информационную безопасность, а также задумываться о визитах регуляторов. Последние накладывают серьезные требования по ИБ даже на небольшие компании в таких отраслях, как, например, финансы, логистика и здравоохранение. При этом ИБ часто «не успевает» за ростом компании.

Как пройти этот момент без риска для бизнеса и избыточных расходов, одновременно создав задел для дальнейшего роста?

Время действовать

Руководство компании обычно сосредоточено на том, чтобы выстроить обслуживание новых клиентов и расширить производственную базу, удовлетворяя запросы рынка. На мысли о компьютерах, программах и информационной безопасности времени остается немного. Чтобы понять, требуются ли инвестиции, нужно задать своим IT-специалистам несколько простых вопросов:

• не успеваете читать все оповещения от компьютеров, серверных систем?
• нам требуется пересматривать архитектуру Сети и основных IT-решений?
• часто не успеваете обслуживать запросы сотрудников в течение одного дня?
• вам нужны дополнительные приложения, просто чтобы уследить за всем происходящим?
• за последние месяцы у нас были инциденты или «почти инциденты», которые могли остановить бизнес?

Если хотя бы на парочку вопросов (особенно последних) вы получили ответ «да», если число сотрудников уже исчисляется сотнями, то, вероятно, ваши компьютерные системы тоже требуют перехода на следующий уровень сложности, в котором для непрерывности бизнеса нужны будут автоматизация работы IT и новые, более мощные средства защиты от угроз.

Как правило, бюджет на внедрение IT-новшеств ограничен, но и откладывать их в долгий ящик тоже нельзя. Если говорить о рисках для IT, то серьезный киберинцидент обходится компании среднего бизнеса примерно в 5 миллионов рублей, при этом каждая пятая целенаправленная атака сфокусирована на среднем бизнесе. Проще говоря, инструментов, которые защищают малый бизнес, вам уже недостаточно, потому что теперь вы интересуете более серьезных преступников. А цена их успешной атаки, да и просто масштабного IT-сбоя для вас значительно растет.

C чего начать

Проблемы, которые можно обнаружить, задавая своим «айтишникам» вопросы из предыдущего абзаца, - это, в первую очередь, дефицит видимости и подконтрольности. Раньше к каждому пользователю, который много раз входит в систему и оказывается заблокированным, можно было подойти и проверить, это он забыл пароль или заразился вредоносным ПО. Но когда в компании работают три сотни человек, или появился филиал в другом городе, это уже крайне сложно. Уследить за парой серверов (файлы, почта, 1С) тоже можно, просто заходя в их панель управления каждый день. С двумя десятками серверов и важных сервисов это становится слишком трудоемко. Специалистам не хватает времени, им нужны централизация сбора информации и автоматизация реагирования на нее.

Для этого в крупных компаниях уже два десятка лет используются решения класса SIEM (SecurityInformationandEventManagement). Они в реальном времени собирают данные из многочисленных источников в организации (события в приложениях, на серверах, в Сети), объединяют связанные события в группы и позволяют ИБ- и ИТ-специалистам видеть назревающие инциденты и быстро предпринимать меры. Для небольших компаний SIEM был слишком дорог, да и считался ненужным, поскольку ИБ-риски малого и среднего бизнеса считались низкими. Ситуация изменилась во всех аспектах: риски выросли вместе с уровнем компьютеризации и числом киберпреступлений, но и доступность решений SIEM стала выше. Существуют недорогие решения, включающие SIEM (например, KasperskySmartI), не требующие ни мощного оборудования для установки, ни дорогостоящего сопровождения.

Что дает внедрение SIEM

Внедрение новых инструментов должно давать конкретные результаты. В случае SIEM рассчитывайте на такие улучшения в работе компании и ее IT-систем:

1. Новый этап в кибербезопасности. Компания сможет видеть и вовремя пресекать сложные атаки, нацеленные на вымогательство денег или атаку «цепочки поставок». У компаний среднего бизнеса часто бывают клиенты — крупные организации. И вы можете быть просто «ступенькой» в кибератаке на вашего крупного клиента. Успех такой атаки не просто приносит одноразовый ущерб, а может лишить вас ключевого клиента. Но даже в отсутствие таких критических событий, крупные клиенты все чаще требуют от своих поставщиков не только налоговой благонадежности и платежной дисциплины, но и наличия развитой системы борьбы с киберугрозами.
2. Экономическая эффективность в IT. SIEM создает хорошо обозримую картину событий, позволяя рано находить различные аномалии и решать проблемы на ранних стадиях. Это не только предотвращение кибератак до того, как они принесут большой ущерб. С помощью SIEM можно видеть перегруженные серверы, мешающие нормально работать целым отделам. Исправлять приложения, генерирующие ошибки вместо результатов работы. Быстро находить, какое приложение на телефоне главного бухгалтера каждые три минуты пытается войти в корпоративную сеть и блокирует его учетную запись. Это экономит время не только «айтишникам», но и всем сотрудникам! Они могут не понимать, что их рабочие проблемы связаны с невидимым им кирпичиком IT, и часами пытаться решить проблему самостоятельно, а специалисты без SIEM просто не узнают вовремя, что им нужно вмешаться.
3. Предотвращение сбоев. Мониторинг позволяет решать проблемы до того, как они перерастут в масштабный сбой, мешающий работать всей компании.
4. Соблюдение требований регулятора. На сегодня требования по информационной безопасности предъявляют десятки регулирующих органов — от ФСБ и Роскомнадзора до Минздрава. В число требований часто входит сертифицированная система мониторинга угроз. Штрафы за несоблюдение требований относительно скромные, а вот ответственность за инциденты при несоблюдении требований ИБ уже серьезная, вплоть до уголовной.
5. Упрощенное и ускоренное реагирование на проблемы. Типовые проблемы ИБ и IT могут решаться прямо из интерфейса SIEM, благодаря «коробочным» сценариям реагирования. Заблокировать или разблокировать учетную запись, запустить проверку здоровья компьютера или сканирование на вредоносное ПО можно буквально одной кнопкой. Сотруднику ИБ нужно одобрить конкретный сценарий реагирования, но не придется ни запускать вручную многочисленные приложения, ни идти к искомому компьютеру, чтобы решать проблему на нем.
6. Разгрузка команды для стратегических задач. Появление SIEM убирает из жизни ИБ- и ИТ-специалистов многие часы рутины вроде чтения email- и Telegram-оповещений от различных автоматизированных сервисов. Эти часы могут быть потрачены на решение фундаментальных задач ИТ, а руководству не придется нанимать новых сотрудников при дальнейшем расширении бизнеса.
7. Задел на будущее. Централизация мониторинга и реагирования — один из краеугольных камней масштабирования сети. Дальнейший рост организации, включая появление новых филиалов, новых подразделений и даже новых видов бизнеса, будет проходить значительно легче — по крайней мере, в той части, которая касается IT.

Затраты на внедрение и возможности оптимизации

Внедрение любой сложной IT-системы требует не только денег на лицензию. Будут нужны определенное оборудование и много часов работы IT-команды для внедрения и обкатки решения. В зависимости от конкретного выбранного решения эти затраты могут отличаться. В случае с SIEM для малого и среднего бизнеса наиболее комфортный режим разворачивания будет у KasperskySMART. Рекордно производительная система SIEM легко разворачивается на любых относительно современных серверах и виртуальных машинах, требования к оборудованию очень скромные. Большое количество правил отслеживания и сценариев реагирования поставляются «в коробке», а активное сообщество российских пользователей создает удобные видео-демонстрации и инструкции по дальнейшей настройке решения в различных жизненных сценариях. Поскольку у многих отечественных компаний и так развернуты решения «Лаборатории Касперского», им будет очень просто объединить эти системы, чтобы в SIEM поступали дополнительные данные из защитного решения на компьютерах, а в обратную сторону шли команды, например, на автоматическое устранение уязвимостей или других проблем ИБ. Решение входит в Единый реестр отечественного ПО Минцифры РФ и закрывает существенную часть имеющихся регуляторных требований по ИБ.

Если хранимые данные критически важны

Для компаний, которые относят себя к группе высокого киберриска, управляют критической инфраструктурой или чувствительными данными, важно не останавливаться на полпути. Им необходимо комплексное решение, позволяющее обнаруживать и останавливать сложные целевые атаки, вести расследования инцидентов и оперативно взаимодействовать по ним с регулятором. Для таких бизнесов подойдет KasperskySMARTII — решение, объединяющее SIEM и EDR. Последний, работая на каждом компьютере и сервере организации, позволяет собирать с них расширенный набор данных и реагировать даже на продвинутые киберугрозы. Эта комбинация решений дает полную видимость в Сети для анализа первопричин и расследования инцидентов.

А какие альтернативы?

Усложнение IT-систем компании при росте бизнеса неизбежно, но адаптироваться к нему можно разными способами. Если пытаться обслуживать компьютерные системы «по старинке», то администраторы будут либо тратить очень много времени на ручные операции и не успевать сделать все необходимое, либо придется нанимать больше людей. При этом растут не только штат и затраты, но и риски сбоев, успешных кибератак или проблем с регулятором.

Если компетенций или других ресурсов для внедрения SIEM в компании недостаточно, можно поискать решение в аутсорсинге. Управление компьютерной сетью, включая ее мониторинг на ИБ-инциденты, можно доверить специализированной компании. Это относительно быстрый и инвестиционно «легкий» способ решения проблемы, но у него есть важные недостатки — к вашей Сети и вашей информации будут иметь постоянный доступ посторонние, а при дальнейшем росте бизнеса (и инфраструктуры) расходы на внешнего подрядчика будут пропорционально расти. Поэтому управляемые сервисы могут быть вполне эффективным, но временным решением проблем роста — в дальнейшем все равно придется создавать компетенции и инфраструктуру внутри компании.

Реклама Рекламодатель АО «Лаборатория Касперского» / ИНН 7713140469 / erid=2Vfnxvipv2C