10 действий CISO в текущей ситуации
9 марта, 2022 по
10 действий CISO в текущей ситуации
Кот ИБ
| Комментариев пока нет

Что происходит

Ландшафт информационной безопасности, еще недавно казавшийся совершенно понятным и привычным, начал стремительно меняться. За 14 дней из России ушли множество IT- и ИБ-вендоров.

Microsoft
Adobe
Oracle
Forcepoint
Fortinet
Mikrotik
Lenovo
Samsung
Dell
HP
Cisco

Множество других компаний тоже или временно закрываются в РФ, или прекратили поставки оборудования и поддержку пользователей.

Это приводит к проблемам в ИБ, поскольку перестает работать функционал обновлений и исправлений, отключаются подписки.

Следует отметить, что часто компании объявляют об уходе, чтобы не попасть под удар самим, при этом они не закрывают контракты и не прекращают оказание услуг, но CISO надо планировать свои действия на шаг вперед, чтобы быть готовыми к внезапному изменению условий или неожиданным последствиям.

Что же предпринять CISO в первую очередь в складывающейся ситуации?

  • Успокаивать менеджеров и «гасить» попытки совершать необдуманные действия. Каждый день начальникам служб ИБ приходится отвечать на вопросы менеджмента по поводу последних слухов и новостей, связанных с санкциями или уходом технологических компаний из России. Покажите, что у вас есть план действий и все под контролем. Бизнесу сейчас нужна поддержка.

  • Не паниковать самим. ИБшники тоже люди, и им свойственны сомнения и тревога. Сейчас важно действовать спокойно и обдуманно, не провоцируя и не поддерживая панику в компании.

  • Оценить риски. Составить перечень используемых средств защиты, определить страну происхождения и оценить вероятность прекращения работы. В качестве основных рисков можно рассмотреть следующие:
    Поставщик объявит об уходе, и будет невозможно продлить лицензии и подписки, когда их срок закончится;
    Отключение обновлений сигнатур, вирусных баз, контента для IDS/IPS, сетевых экранов, SIEM;
    Немедленное отключение подписки, блокирующие обновления, превращение СЗИ в «кирпич»;
    - Использование работающих в инфраструктуре СЗИ как средств для несанкционированного доступа и атак (пока о таких случаях не сообщалось, но исключать такую возможность нельзя).

  • Выстроить приоритет действий на основе оцениваемого ущерба и вероятности наступления рискового события. Даже если производитель еще не ушел или не объявил об уходе (и даже если объявил о том, что не уйдет), необходимо подстраховаться и подготовить запасной вариант: развернуть демо-стенды или пилотные версии аналогичных систем российских производителей, чтобы обеспечить восстановление основных функций даже при самом негативном сценарии.

  • Обратить внимание на IT. Помочь коллегам продублировать системы, поддерживающие основные бизнес-процессы – к примеру, операционные системы и офисные пакеты.

  • Начать обучение и тренировку персонала и поддержки на тестовых версиях продуктов.

  • Максимально ограничить каналы доступа в нашу инфраструктуру и из нее (к примеру, google DNS, блокировка по referrer, использование TeamViewer и т. п.). Это мелочи, которые в нынешней ситуации могут стоить многого, поэтому важно начать уже сейчас.

  • По возможности отказаться от закупки и внедрения иностранных СЗИ, чтобы не добавлять новые риски в свой список.

  • Обратить внимание на атаки на цепочки поставок! Этот момент часто выпадает из поля зрения, но сейчас слабозащищенные поставщики услуг могут быть использованы для атак на корпоративную инфраструктуру крупных компаний.

Даже в стрессовых условиях важно не забывать – что ИБ – это взаимосвязанная система, включающая риски, требования и меры защиты. Без этого всё быстро погрузится в хаос и станет неуправляемым. Да, риск-модели поменялись, но только в плане вероятности наступления тех событий, о которых ранее и думать не хотелось. Важно помнить, что цель состоит не в самих подсчетах, а в том, чтобы понять, зачем мы что-то делаем.

Рекомендуем обратить внимание на community базу рисков и проектов реализации защитных мер, где можно получить информацию о вариантах наиболее актуальных рисков, и мер по их снижению с конкретными действиями (например, как с помощью referrer на nginx заблокировать доступ к сайтам), а также мер по противодействию санкциям. База пополняется, позволяя участникам сообщества обмениваться опытом друг с другом.

Cписок первоочередных действий по нейтрализации негативных эффектов, связанных с уходом поставщиков и санкциями:

  • Произвести инвентаризацию ACL. Любая система деградирует со временем, обрастая исключениями, и теряет свою эффективность. Если этот процесс не выполняется регулярно, необходимо пересмотреть списки доступа в/из Интернет, технологические сети и пр. – и максимально жестко ограничить доступ, предоставляя его по заявкам и под ответственность владельцев систем.

  • Перевыпустить сертификаты на внешние коммуникации компании. Сейчас некоторые зарубежные CA начали отзывать сертификаты, выданные российским компаниям. Пока не подобран хороший надежный поставщик, можно в крайнем случае использовать letsencrypt.

  • Начать создавать типовые рабочие места на российском ПО (ОС Astralinux, RedOS, AltLinux; офисные пакеты МойОфис), разворачивать домен на альтернативном ПО. Жить без обновлений некоторое время можно, но недолго, а легально лицензии на ПО может быть невозможным приобрести через некоторое время.

  • По аппаратному обеспечению ситуация пока неясна. Поэтому:
    Оптимизировать парк «железа»:
    Ждать появления решений и альтернативных вариантов поставок;
    Как альтернатива – переходить в крупные ЦОД в России;

  • Подобрать замены для критичных сервисов:
    Контроль входа в интернет: планируем переход от Checkpoint, Fortinet, Palo Alto к Usergate, Континент, VIPnet.
    От решений All-in-One придется перейти к отдельным продуктам, часто разных производителей. 
    Готовимся к этому, в том числе и морально 😉
    Сменить корпоративный браузер. От Chrome придется перейти на Яндекс Браузер, Firefox
    Заменить многофакторную аутентификацию: Мультифактор, Indeed;
    Заменить антивирус на Kaspersky, DRWeb
    Заменить SIEM на RUSIEM, PT SIEM

  • По возможности локализовать всю инфраструктуру:
    Для малых компаний – в облачных сервисах в РФ;
    Для средних – гибридная модель;
    Для крупных – предпочтительно on premise, поднимать браузерные сервисы для работы пользователей.

  • Важно не забывать о рисках, связанных с утечками данных по вине поставщиков услуг и облачных провайдеров. И конечно же, принимаем в расчет архитектуру бизнеса, который защищаем.

  • Спросить рекомендаций у регулятора или аудитора, какие решения стоит использовать, чтобы поддержать соответствие и приемлемый уровень безопасности. Консультации – это тоже их работа 😉

  • Пересмотреть существующие контракты на аутсорсинг функций ИБ и с осторожностью заключать новые:
    Как правило, аутсорсеры хуже владеют внутренним контекстом компании и потому отрабатывают не всегда эффективно;
    Отдавая функции на аутсорс, надо осознавать, что эти задачи будут в руках сторонних специалистов, плохо это или хорошо;
    Внимательно рассмотреть вопросы форс-мажора в условиях обслуживания, чтобы в самый критический момент не оказаться без поддержки;
    Сложившаяся ситуация приведет к появлению большого числа малокомпетентных поставщиков услуг и падению их качества. Внимательно относитесь к выбору.

В целом, несмотря на стрессовый характер, ситуация не так уж плоха. Сложившиеся условия способствуют развитию отечественной индустрии и рынка ИБ-решений. Важно понимать, что сейчас бумажная работа отошла на второй план, отделы ИБ фактически оказались «на передовой» и от их действий во многом зависит выживание компании.

Происходящие перемены будут иметь долгосрочные последствия, и те зарубежные компании, которые вернутся, уже не будут иметь то доверие и долю рынка, как раньше. 

Из этого можно извлечь огромную пользу, если не поддаваться панике и действовать обдуманно.

Смотрите запись эфира и подписывайтесь на наш канал Полосатый ИНФОБЕЗ

 
 

10 действий CISO в текущей ситуации
Кот ИБ 9 марта 2022 г.
Поделиться этой записью
Войти оставить комментарий