Как обеспечить информационную безопасность промышленного предприятия?
Реклама. ООО «КСБ-СОФТ», ИНН 2130146389
Erid: F7NfYUJCUneLtWZ1849a
Количество инцидентов в сфере информационной безопасности постоянно увеличивается и, по оценкам экспертов, этот рост ежеквартально составляет 10–30%. Растёт и многообразие организаций, которые подверглись атаке.
До 2022 года жертвами злоумышленников чаще становились банки, крупный бизнес и госкорпорации. Сегодня ситуация изменилась: инциденты происходят во всех сферах, особенно там, где функционируют объекты критической информационной инфраструктуры.
Где же сегодня искать лучшие практики в ИБ? Что защищать, а что нет? Где гарантии и как эффективнее подойти к построению системы защиты предприятия?
Скажем сразу: «серебряной пули» не существует
До принятия решения по защите объектов важно получить картину текущей ситуации, чтобы понимать основные векторы атак, которые может реализовать злоумышленник в отношении вашей организации. Для оценки подойдут методы: классический аудит, технический аудит, тестирование на проникновение, программы bug bounty.
Главное, применять их системно и периодически, потому что информационная безопасность — не разовая процедура, а регулярный процесс по совершенствованию системы защиты. Пропустил мероприятие по защите информации — открыл «дверцу» злоумышленнику для осуществления им несанкционированных действий.
В инфраструктуре жертвы злоумышленник в среднем проводит до шести месяцев. То есть, проникнув внутрь, он не развивает молниеносную атаку. Долгое время хакер будет проводить разведку, собирать информацию, чтобы иметь полное представление об инфраструктуре предприятия. И только после получения всех данных, в удобное для себя время начнёт активные действия.
Как правило, полноценная атака начинается в праздники, ночью или в выходные, когда наименее вероятно обнаружение нелегитимных действий. В итоге жертва узнает об инциденте, когда организации уже будет нанесён огромный ущерб.
Мониторинг инцидентов информационной безопасности
Итак, чтобы быть на шаг впереди, важно не только разобраться с угрозами извне, но и понимать, как работает ваша инфраструктура. Необходимо оценить протекающие процессы, знать, как подключаются поставщики, а как сотрудники организации и пр. Злоумышленник «разбирает по кирпичикам» вашу инфраструктуру. Поэтому, чтобы закрыть узкие места в ней, вы должны иметь чёткое представление о собственных информационных ресурсах, а также обеспечивать безопасность и оперативное реагирование на подозрительные события.
Практическим решением в этом случае станет мониторинг инцидентов информационной безопасности (SOC). Будет ли это построение собственного SOC или подключение к стороннему центру мониторинга, решение стоит принимать взвешенно, исходя из понимания, что SOC — это в первую очередь люди и экспертиза и только потом процессы и технологии.
Наша команда центра мониторинга SOCRAT считает, что на первоначальном этапе стоит задуматься над концепцией будущего SOC, а также здраво оценить внутренние ресурсы, которые будут задействованы в мониторинге. Кроме того, важно понимать источники внешней экспертизы, которая поможет учесть лучшие практики рынка ИБ.
Важным решением будет также выбор модели функционирования SOC. Сегодня в России набирает популярность гибридная схема: ресурсы и технологии SOC располагаются в инфраструктуре предприятия, а вся необходимая экспертиза — на стороне.
Ещё одна модель, которая развивается на рынке ИБ, — это SOC-as-a-Service (т. н. сервисный подход). Здесь предприятие не занимается организацией мониторинга, наработкой экспертизы, поиском ресурсов.
Эти вопросы ложатся на плечи провайдера ИБ-услуг. При таком подходе предприятие сможет сразу выявить угрозы безопасности, получить чёткое представление об инфраструктуре и оценить качество работы центра мониторинга. Кроме того, сервисная модель позволяет легко сменить провайдера в случае, если взаимоотношения не складываются.
Если вы взвесили все за и против и решили подключиться к стороннему SOC, то на следующем этапе важно учесть такие моменты, как скорость подключения к центру мониторинга и скорость реагирования на инциденты ИБ. Потому что даже для простого подключения инфраструктуры организации к инфраструктуре провайдера важно иметь достаточный уровень экспертизы, а для оперативного реагирования — штат SOC-аналитиков.
Наша команда делает серьёзный акцент на эти две проблемы. Мы в короткие сроки организуем быстрый ввод предприятия в режим мониторинга и оперативного реагирования с устранением причин инцидента. Для достижения необходимых целей используем передовые ИБ-решения и внутреннюю автоматизацию процессов подключения и реагирования.
Итак, каков будет первый шаг по организации мониторинга инцидентов безопасности на предприятии? Чтобы оценить возможности центра мониторинга и уровень его экспертизы, мы рекомендуем проводить пилотирование услуг. По итогам работ вы поймёте ценность услуг конкретно для вашей организации.
SOCRAT ценит время клиента и всегда стоит на страже безопасности. С SOCRAT непрерывная безопасность — это реальность.
Текст: Михаил Шипицын, технический директор ООО «КСБ-СОФТ».
Фото предоставлено ООО «КСБ-СОФТ».
ООО «КСБ-СОФТ»
ksb-soft.ru
info@ksb-soft.ru
8 800 3333-872
+7 (8352) 322-322