НОВОСТИ

Чи можливо захистити від кібератак об’єкти критичної інфраструктури

2-3 жовтня у Вашингтоні Олег Дерев'янко, голова ради директорів ISSP, на запрошення Атлантичної Ради взяв участь у Світовому форумі з питань стратегічних комунікацій та цифрової дезінформації StratCom-2018. Олег розповів, які рішення, на його думку, можуть дозволити ефективно захищати від кіберзагроз об’єкти критичної інфраструктури.

Дата публикации: 03.10.2018 0:00 | Категория: Новость | Источник: http://

1. Високий рівень культури кібербезпеки

Ситуація, коли захистом організації переймається лише директор з інформаційної безпеки має відійти у минуле. Директор з інформаційної безпеки не повинен з боєм переконувати генерального директора виділити інвестиції на запровадження потрібних технологій і процесів, які захищатимуть компанію. І генеральний директор, і фінансовий директор, і HR-директор повинні розуміти сучасні кіберзагрози, і їх вирішення має бути одним із головних пріоритетів. Обов’язково має зрости і швидкість прийняття рішень, пов’язаних із кіберзагрозами. Адже хакери діють непомітно і швидко, і одна ефективна кібератака здатна надовго зупинити весь бізнес або й повністю знищити його.

2. Потрібно думати як хакери

Систему кібербезпеки в будь-якій організації потрібно будувати виходячи з розуміння того, як проходять атаки, які типові цикли дій зловмисників. Потрібно думати як хакери, знати, як вони діють, їхні наступні кроки. Зараз фахівці у сфері безпеки багато уваги приділяють захисту периметру і фокусуються на тому, щоб попередити напад. Але зловмисники долають периметри, тому важливо дивитися, які процеси проходять всередині інфраструктури. Моделювання поведінки, моніторинг та перехоплення зловмисників допоможуть ефективно бачити і зупиняти атаки в їх розвитку.

Ще один важливий аспект у цьому контексті - застосування контролів безпеки не лише для інформаційних, а й для операційних технологій. Традиційно такі технології контролюються певними аналоговими системами, коли інформація з датчиків тиску, температури чи напруги надходить на контролер, який в залежності від отриманих сигналів і параметрів своєї програми спрацьовує відповідним чином. Сьогодні операційні технології все більше стають схожими на інформаційні. Контролери отримують дані не лише з датчиків, а й від операторів, інших систем та вже на основі сукупної інформації приймають рішення. Операційні технології повинні бути повністю ізольованими від інформаційних. Але їх також потрібно моніторити, щоб бути певними, що вони залишаються ізольованими і не скомпрометованими. Інакше ми матимемо ситуацію, як з котом Шредінгера, про якого ми не знаємо, живий він чи мертвий, поки не заглянемо в коробку, в якій він сидить. Будь-яке з’єднання з промисловою системою управління має відбуватися лише з критичною виробничою необхідністю та за умов забезпечення безпеки цього з’єднання. Інформаційні системи повинні під’єднуватися лише до однієї зони операційної діяльності, при цьому завжди повинні діяти механізми моніторингу, фіксації помилок, порушень та індикаторів компрометації.

3. Посилення співпраці з іншими представниками галузі та з іншими галузями

Самостійно боротися з кіберзагрозами завжди важче, ніж у співпраці з іншими. Тому необхідно створювати центри раннього виявлення та боротьби з кібератаками, спеціалісти яких матимуть глибокі спеціалізовані знання та навики роботи у своїй галузі. Такі центри повинні розмовляти спільною мовою і мати налагоджені канали швидкого обміну інформацією.  Важливим аспектом у цьому сенсі є вироблення спільної термінології для обговорення кіберзагроз серед технічних спеціалістів, а також створення загального стандарту чи методології виявлення і захисту від таргетованих кібератак (Advanced Persistent Threats). Таким стандартом може бути і методологія ThreatSCALE, розроблена в ISSP.

4. Регулярні перевірки стану «кіберздоров’я»

За останні три роки таргетовані атаки стали значно витонченішими. Зловмисники, що проникають в мережу організації, навчилися майстерно маскуватися під користувачів та адміністраторів з розширеними правами доступу. І виявити їх стає важче. Тому хоча б раз на квартал необхідно проводити оцінку технічної безпеки та потенційної компрометації. Подібно до того, як люди здають аналіз крові, щоб перевірити, чи не проходять в організмі шкідливі процеси, організації повинні перевіряти свої інформаційні системи на предмет виявлення аномальних явищ. При цьому важливо враховувати і досвід попередніх інцидентів, і результати моніторингу зовнішнього середовища.

Такі ж перевірки повинні проходити і підрядники. Особливо ті, що працюють на потреби багатьох компаній в окремій галузі. Тому що через них зловмисники все частіше атакують великі бізнеси. Щоб вразити певну компанію або й цілу галузь, достатньо проникнути в інформаційну інфраструктуру, наприклад, розробника додатків, продукти якого використовують всі компанії у цій галузі. Подібні атаки стаються все частіше і вони мають щораз гірші наслідки. NotPetya – це найяскравіший приклад того, як зловмисники через тихий і непомітний напад на середній бізнес успішно вразили тисячі великих компаній, яких він забезпечував програмним забезпеченням. Тому якщо компанії будують свою безпеку, але до підрядників не застосовують такі ж вимоги, вони опиняються наче в замку з добре укріпленими стінами, але без замків на дверях запасного виходу.

 

СЛЕДУЮЩИЕ ШАГИ

Отправить запрос

ПОДПИСАТЬСЯ НА РАССЫЛКУ

Для подписки на новостной бюллетень
укажите адрес электронной почты