Cloud Security Services: безопасное облако для бизнеса

Сергей Зинкевич. Сегодня мы поговорим про сервисы ИТ-безопасности поверх облака. Вокруг облака есть много мифов и предубеждений, которые мы попробуем развенчать и рассказать о решениях и подходах к защите облака.

Сергей Зинкевич. Сегодня мы поговорим про сервисы ИТ-безопасности поверх облака. Вокруг облака есть много мифов и предубеждений, которые мы попробуем развенчать и рассказать о решениях и подходах к защите облака.

Андрей Макаренко. Когда обсуждается аутсорсинг и защита информационных систем в облаке, в это часто вкладываются разные смыслы. Сейчас многие оперируют терминами MSSP и управляемая безопасность. Но для меня все это относится к модели аутсорсинга и аутстаффинга.




В конце 90-х появились первые компании, которые предлагали услуги по аутсорсингу средств защиты информации. В 2000-х с выходом 152-ФЗ «О защите персональных данных» на рынке стали предлагать услуги по оформлению документов, в России появились первые провайдеры по ИТ-безопасности. Затем началась история с управлением средствами защиты информации. Первопроходцами были Trend Micro, Semantic и другие компании, которые вынесли консоль управления в облако. В этот момент возникло понятие Managed Security Service Provider (MSSP), которое принял на вооружение Gartner. Затем возник огромный спрос на мониторинг событий безопасности, управление ими и на реагирование на компьютерные инциденты. Появляется SOC (Security Operation Center), «SOC как услуга», по гибридной модели и on-premise, в котором аналитики работают с использованием консоли SIEM-системы.

Классическая история, когда мы приходим в облако и просим защитить размещенную там информационную систему или сервис с помощью WAF, Anti-DDoS и т. д. Этот тренд на рынке перегрет, и некоторые считают MSSP «волшебной пилюлей», ожидая, что провайдер все построит и будет нести ответственность. Но ИТ-безопасность должна быть комплексной, а ответственность совместной. Заказчик загружает информационную систему в облако и должен принимать непосредственное участие в управлении ИТ-безопасностью.

MSSP остается в тренде, потому что по-прежнему не хватает экспертов по ИТ-безопасности. По нашим наблюдениям, на рынке начинает преобладать запрос на виртуальный CISO. Эту услугу многие относят к MSSP или даже к консалтингу. На мой взгляд, это относится как раз к MSSP, потому что там есть и сервисы, и аутстаффинг, и качественные показатели предоставления услуги предоставляется.

Запрос на MSSP приходит от компаний, которые только начинают развиваться, позиционируют себя как digital, и им требуется либо виртуальный CISO, чтобы решать все вопросы, либо команда на месте. Такие услуги занимают большую долю рынка.

Кроме того, запрос на MSSP возникает у компаний после утечек или других инцидентов ИТ-безопасности, чтобы в короткий срок «разрулить» ситуацию. Термин MSSP трактуется достаточно широко.

Для нас MSSP включает все — от аутсорсинга средств защиты информации (СЗИ) и технической поддержки до предоставления услуг защиты решений, размещенных в облаке.

Андрей Макаренко. До пандемии в информационных системах, размещаемых в облаке, преобладала «бумажная безопасность». Сотрудники, ответственные за compliance, ставили антивирус и межсетевой экран и считали, что с точки зрения ИТ-безопасности этого достаточно. Со стороны бизнеса в основном поступали запросы на выполнение минимальных требований.

Потом к нам постучалась пандемия. Очень многие стали работать удаленно и публиковать свои сервисы в облаке. К облакам обратились цифровые компании с digital-архитектурой, и стали быстро развиваться услуги защиты от DDoS, WAF. На этом этапе в архитектуру защиты информационных систем в облаке добавились интересные СЗИ.

В 2022 году наступил самый интересный этап. На рынке средств защиты произошло несколько определяющих событий: ушли большие западные компании, пользователи перестали получать обновления, а их СЗИ превратились в «кирпич». Кроме того, в 4-5 раз выросло количество атак на критическую информационную инфраструктуру (КИИ) РФ, в том числе на информационные системы в облаках. Все начали серьезно задумываться о том, как правильно выстраивать систему защиты в облаке.

Уже понятно, что простых СЗИ — антивируса и сетевого экрана — недостаточно. Сейчас начинают более детально прорабатывать концепции построения систем ИТ-безопасности в облаке, а также разрабатывать отдельные требования по размещению информационных систем в облаках.

Процессы выстраиваются с учетом системы защиты, которая уже есть у заказчика on premise, а технологический стек выбирается таким образом, чтобы с максимальной выгодой для бизнеса осуществить переходы, связанные с заменой оборудования и его улучшением. Облако в этой ситуации имеет преимущество, потому что при погружении информационной системы в облако и при выстраивании процессов защиты информации в облаке можно как создать новую независимую экосистему СЗИ, так и интегрировать ее с существующей системой on premise, что сейчас востребовано.

Андрей Макаренко. Почему мы пришли к формированию комплексной стратегии?

В большинстве компаний, которые размещаются в облаке, драйверами погружения информационных систем в облако являются ИТ-специалисты или директора по ИТ. А специалисты по ИТ-безопасности, к сожалению, либо подключаются на последних этапах, либо вообще не определяют требования к системе защиты в облаке.

Приведу пример. К облачному провайдеру обратился ИТ-директор с просьбой проработать ИТ-ландшафт для размещения в облаке большой системы. Коллеги все спроектировали, согласовали концепцию, построили архитектуру и только в конце пригласили специалистов К2 Кибербезопасность. Мы провели проверку комплаенса и выяснили, что компания подпадает под требования 187-ФЗ и 250-го указа, а то, как спроектирована инфраструктура, приведет к нарушению этих требований.

Поэтому мы всегда рекомендуем приглашать специалистов по ИТ-безопасности на этапе технического задания, чтобы упростить проектирование систем в облаке, а также понять требования, предъявляемые к их размещению.

Ситуацию полезно рассматривать и с точки зрения конечного потребителя. Когда мы выдаем техническое задание, не формулируя внятных требований, исполнитель будет перекладывать эти риски на заказчика. Это означает, что по всем требованиям, которые попадают в серую зону, расходы будут расти. Это стоит учитывать специалистам по ИТ-безопасности при формировании ТЗ, потому что правильно сформированная концепция сокращает затраты на размещение в облаках.

Мы сделали для себя вывод, что необходимо глубоко прорабатывать комплексные мероприятия по ИТ-безопасности, чтобы предоставлять клиентам необходимую информацию для проектирования их систем.
 
Мы в К2 Кибербезопасность строим сервисы по защите информации таким образом, чтобы иметь единый вектор взаимодействия с КРОК как облачным провайдером. И всеми силами стараемся привлечь специалистов по ИТ и безопасности компаний, которые приходят размещаться в облако, потому что эти четыре сущности должны взаимодействовать на одной площадке в рамках комплексного подхода. Безопасность и ИТ — взаимосвязанные сущности, которые должны работать вместе, потому что делают одно дело — помогают бизнесу зарабатывать деньги.

Андрей Макаренко. Необходимо сформировать экосистему средств защиты информации, которую мы будем готовы погружать в облако. Это важно, потому что у облачной платформы есть свои ограничения, и не все сервисы ИТ-безопасности можно спокойно на ней развернуть.

Например, раньше, когда заказчикам требовался межсетевой экран, они просили Cisco, Fortinet или CheckPoint. Но после того как с рынка ушла «большая тройка», заказчики просят отечественные решения, например, UserGate. Мы протестировали много таких продуктов и теперь готовы предложить их в облаке. Мы проделали хороший путь — собрали различные решения в единую экосистему и заставили их работать вместе. В этом состоит комплексный подход к защите инфраструктуры в облаке.

Одним из самых главных требований при размещении информационной системы в облаке является compliance. Облако КРОК аттестовано по 152-ФЗ (первый уровень защищенности) и по PСI DSS 4.0.

Облако КРОК: лицензии и сертификаты российских и международных регулирующих органов

Сергей Зинкевич. Аттестаты и сертификаты соответствия — подтверждение от компетентного органа, что облачный провайдер соблюдает предписания и требования compliance.

Требования к ИТ-безопасности в облаках тоже эволюционируют. Например, в пункте 4 ГОСТ 57580 для финансовых платформ оговаривается уровень защищенности, в том числе технические и административные средства защиты. При этом требования ГОСТ 57580 по УЗ-1 предусматривают, что не менее 80% мер защиты должны быть техническими. Такая сертификация требует серьезного подхода от провайдера.

Например, для соответствия стандарту безопасности финансовых систем нужно обеспечить, чтобы никто не мог менять IP-адреса в облаке. Поскольку такие права есть у администратора информационной системы, нужно реализовать механизм отзыва у администратора прав на снятие или выделение IP-адреса. Такая функциональность у нас есть, тем самым мы помогаем заказчикам выполнять все требования.

Мы стараемся мыслить категориями информационных систем. При этом облаку не обойтись без специалистов по безопасности, потому что облачная платформа может защищать информационную систему только до определенного уровня. Выше такого уровня мы пользуемся услугами по обеспечению защиты (Managed Security Service Provider).

Мы также участвуем в программе Bug Bounty, т. е. выплачиваем вознаграждение тем, кто найдет и покажет нам уязвимости облачной платформы.

Портфель Cloud Security Services


Андрей Макаренко. Когда мы строили сервисы Cloud Security Services, мы определили градацию сервисов и распределили заказчиков по группам в соответствии с уровнем их требований к ИТ-безопасности. Это важно, потому что зачастую требования заказчиков можно выполнить средствами платформы, не погружаясь в информационную систему. Например, если компания не подпадает под требования 152-ФЗ и 187-ФЗ, то, как правило, достаточно средств защиты собственно облачной платформы. Слой, когда требования закрываются механизмами и мерами самой облачной платформы, присутствует в CSS. Туда добавлено управление зонами безопасности. Сейчас в рамках примерно 70% проектов мы внутри облака делаем зонирование на сегменты, а в сегментах еще разделяем логическую инфраструктуру.

У нас большой опыт построения эшелонированной обороны, зонирования сетей на сложных объектах, и этот опыт мы перенесли в облако. Такое разделение позволяет значительно уменьшить поверхность атаки, а также облегчает жизнь администраторам за счет того, что сетевые соединения внутри перекрыты. Это увеличивает защищенность информационной системы.

Кроме того, в проектах мы начали харденить операционные системы и СУБД. Такой подход также позволяет создать некую стену на границах информационной системы. Это стоит недорого, хотя и влияет на цену погружения информационной системы в проект.

Это на первый взгляд банальные вещи, о которых в большинстве случаев и специалисты по ИТ, и специалисты по безопасности либо забывают, либо пытаются вместо них использовать «навесные» СЗИ. Мы в своем портфеле Cloud Security Services предоставляем более 30 услуг защиты информации, включая защиту сети, пограничные межсетевые экраны, межсетевые экраны при зонировании, защиту приложений, защиту Kubernetes, подключение информационной системы в облаке к мониторингу в SOC. Таким образом, всю информационную систему мы подгружаем под защитный «купол», где есть СЗИ, мониторинг и механизмы самого облака, которые помогают разграничить зоны безопасности и урезать права следуя принципу минимальных полномочий. В результате наша система получается защищенной.



Наш подход ориентирован на запросы бизнеса, в том числе, например, на локализацию, когда российские офисы западных компаний организовывали независимый бизнес в РФ. У нас появилось несколько фреймворков решения таких задач с точки зрения требований к ИТ-безопасности и регламентных работ. Сейчас мы можем выстроить и задокументировать процессы NIST. При этом с уходом с российского рынка консалтинговой «большой четверки» соответствие 27001 практически никто не подтверждает, остались только требования на соответствие российским ГОСТам. Однако сейчас появился интерес к выстраиванию фреймворков на базе Cloud Security Alliance, и многие коллеги, которые погружают свою информационную систему в облако, интересуются контролями. Появилось много проектов, где на этапе пресейла заказчики просят заполнить самооценку и рассказать, как выполняются меры безопасности.

На рынке много фреймворков, которые можно использовать для построения защиты, однако выбирать фреймворк необходимо с учетом требований бизнеса. Надо в первую очередь понять, какие задачи стоят перед бизнесом, а уже после этого строить сложные системы защиты. У нас был заказчик с огромным количеством СЗИ. Но когда мы начали выяснять детали, оказалось, что половина из них не установлена, а просто куплена для галочки. С точки зрения «бумажных» процессов всё было отлично: установлен межсетевой экран, правила межсетевого экрана были в работе у службы эксплуатации ИТ, и в идеале эти правила должны были согласовываться безопасниками. В один прекрасный момент мы сделали пентест и обнаружили торчащий наружу веб-интерфейс 1C. Коллеги сломали его за первые 2 часа с логином admin и простым паролем и получили доступ, пробив всю систему защиты. Когда мы стали разбираться, почему все хорошо было только на бумаге, оказалось, что безопасники ничего не согласовывали и публичный ресурс «выкинули» наружу.

Из этого можно сделать вывод, насколько важна совместная работа ИТ и безопасников.

Мы сформировали концепцию и roadmap реализации комплексной защиты, который начинается с аудита. В облака приходит все больше цифровых компаний, и есть запрос на написание комплексной концепции управления ИС в облаке и с точки зрения безопасности, и с точки зрения ИТ. Дополнительно проводятся мероприятия по проектированию и внедрению СЗИ, а также аттестации, если это необходимо.

В конце каждого проекта мы стараемся сделать заключение о том, что, во-первых, СЗИ в облаке функционируют правильно и реализованы все спроектированные настройки, и во-вторых, что размещаемые СЗИ не мешают ИТ-инфраструктуре зарабатывать деньги для бизнеса. Это важно, потому что СЗИ в системе, подгружаемой в облако, могут повлиять на доступность виртуализации или нагрузку на СУБД. Мы стремимся к тому, чтобы по завершении каждого проекта у всех было понимание, что СЗИ в облаке не мешают, а помогают.

В качестве примера могу привести один из проектов локализации, в котором мы разрабатывали масштабную концепцию защиты информационной системы в Облаке КРОК. Мы внедрили большую экосистему средств защиты информации, ориентируясь на чек-лист требований, который остался у безопасников со времени работы компании с западным партнером, включая управление уязвимостями, гибридный SOC и т. д. В этом проекте мы использовали максимальное количество наших сервисов.

Александр Кусков. Эксперты нашего Глобального центра исследований и анализа угроз проанализировали тенденции 2023 года и подготовили прогноз на 2024 год по продвинутым угрозам (APT). С полной статьей можно ознакомиться на портале securelist.ru. Хочу поделиться некоторыми выводами исследования.

По статистике ООН в 2022 году мир наблюдал самое большое количество вооруженных конфликтов со времен Второй мировой войны. Вместе с ростом числа конфликтов отмечается повышение вовлеченности государственных структур в кибератаки, и эта вовлеченность носит все более откровенный характер.

Второй тренд заключается в том, что в последнее время злоумышленники, преследуя свои цели, все чаще начинают атаку с промежуточного звена — подрядчиков, поставщиков, разработчиков и т. д. Пример — глобальный поставщик управления доступом и идентификацией, которого в 2022 и 2023 много раз атаковали, и можно только представить, к каким последствиям для клиентов компании могли привести успешные атаки.

Мы ожидаем рост атак на цепочки поставок, а также возможен выход этих атак на новый уровень — as a Service.

Эти тенденции наталкивают на неутешительный вывод, что риски воздействия сложных угроз будут расти для любых организаций, независимо от их размера, задействованных в цепочках поставок субъектов критической информационной инфраструктуры или крупных предприятий. Атакам подвергается инфраструктура независимо от ее формы — облачная и on premise.

Что с этим делать в условиях ограниченных бюджетов и недостатка компетенций по безопасности? Одним из решений может быть использование услуг провайдера управляемых сервисов защиты, так называемые MSSP. «Лаборатория Касперского» предлагает решения, которые лежат в основе MSSP-услуг.



  Решения базового уровня для защиты от известных угроз направлены на превентивные действия. Это

• платформа для защиты конечных точек Kaspersky Endpoint Security;
• решение для контентной фильтрации Kaspersky Web Traffic Security;
• антиспам Kaspersky Secure Mail Gateway;
• продукт для повышения осведомленности сотрудников Kaspersky Automated Security Awareness Platform. Самое слабое звено в любой системе — это человек, и нужно уделять внимание повышению уровня навыков и знаний своих сотрудников в области ИТ-безопасности;
• защита контейнеров Kaspersky Container Security. Контейнерные технологии набирают колоссальную популярность, поэтому не нужно забывать о контейнерных средах как об объекте защиты. Как любая новая технология, помимо плюсов и выгод контейнеры несут дополнительные угрозы, с которыми нужно бороться.

Решения экспертного уровня: 

• Kaspersky Anti Targeted Attack обеспечивает анализ сетевого трафика и поиск признаков сложных угроз, а также защищает от угроз нулевого дня за счет эмуляции файлов в песочнице;
• Kaspersky EDR анализирует активность на конечных узлах и предоставляет инструменты по реагированию;
• решение класса SIEM— Kaspersky Unified Monitoring and Analysis Platform — обеспечивает централизованный сбор, анализ и корреляцию событий из различных источников, а также интегрируется с большинством наших продуктов, например, для осуществления реагирования;
• Kaspersky Threat Intelligence — линейка продуктов киберразведки.

Для базового уровня защиты от типовых угроз в Облаке КРОК разворачиваются следующие серверные компоненты:

• средство управления защитой на конечных устройствах Касперский Security Center,
• средства контентной фильтрации: средство защиты почты Kaspersky Security Mail Gateway и средство фильтрации Kaspersky Web Traffic Security.

Эти компоненты интегрируются с центром мониторинга (SOC), который развернут в Облаке КРОК и которым управляют коллеги из К2 Кибербезопасность.

В облачной инфраструктуре клиента устанавливаются только агенты Kaspersky Endpoint Security. Больше никаких средств не размещается, а на почтовой службе и веб-прокси клиента настраивается пересылка контента на фильтрацию в инфраструктуру КРОК.

Эта простая схема не требует дополнительных вычислительных ресурсов на стороне клиента и сложных настроек и обеспечивает хороший базовый уровень защиты от наибольшего количества угроз. В зоне ответственности MSSP-провайдера, т. е. К2 Кибербезопасность, остается администрирование политик защиты, таких как доступ в интернет и фильтрация почты, а также выявление инцидентов и, возможно, повышение осведомленности, хотя последним может управлять и заказчик. Все определяется потребностями заказчика.

Архитектура ИТ-безопасности экспертного уровня

Архитектура экспертного уровня, которую можно использовать для крупного проекта, позволяет значительно повысить уровень безопасности, оперативно обнаруживать инциденты и угрозы и реагировать на них.





Основу составляют продукты Kaspersky Anti Targeted Platform, Kaspersky Endpoint Detection and Response и Kaspersky Unified Monitoring and Analysis Platform. Серверные компоненты разворачиваются в инфраструктуре КРОК и являются ключевыми элементами центра мониторинга и реагирования (SOC). Дополнительно в инфраструктуре провайдера устанавливаются средства контроля защиты конечных устройств (KSC) и средства защиты почтового и веб-трафика.

Ядро центра мониторинга и реагирования — KUMA —собирает события с подключенных источников и за счет интеграции с нашей платформой Cyber Trace обогащает информацию дополнительным контекстом об угрозе. Это очень эффективный способ ускорения обнаружения угроз.

На портале Threat Intelligence опубликованы отчеты о различных APT-кампаниях — по секторам, с описанием потенциальных рисков утечки информации. Также портал включает в себя облачную «песочницу» уровня Research, которая позволяет делать расширенный анализ сэмплов, проводить атрибуции объектов исследования и другие интересные вещи, предназначенные для экспертов ИТ-безопасности.

Стоит обратить внимание, что KUMA дает возможность делать отчеты для НКЦКИ о произошедших инцидентах благодаря модулю ГосСОПКА. Это важно для компаний, которые являются субъектами критической информационной инфраструктуры.

В инфраструктуре заказчика размещаются агенты на конечных устройствах, настраивается пересылка почтового и веб-трафика в сторону MSSP-провайдера и отправка событий с СЗИ и с прикладного уровня в облачной инфраструктуре клиента в наше SIEM-решение.

Это базовые схемы, топологии и архитектуры. Они могут быть адаптированы под нужды конкретного заказчика, под его индивидуальные сценарии, модель угроз и, возможно, требования compliance. Мы обеспечиваем своим партнерам всю необходимую поддержку в проработке этих архитектур и внедрения решений в каждом конкретном случае.

Учитывая тенденцию рост количества атак на цепочки поставок, необходимо напомнить, что, как только заказчик принимает решение об аутсорсе определенных функций, в частности функций защиты, провайдеры этих функций становятся звеном в его цепочке поставок. Поэтому очень важно внимательно подойти к выбору провайдера MSSP-услуг и проявить должную осмотрительность, обращая внимание на опыт, репутацию, приверженность лучшим практикам, продукты, которые лежат в основе услуг провайдера, соответствие отраслевым международным стандартам, внутренним нормативно-правовым актам, наличие лицензий на ведение коммерческой деятельности в сфере ИТ-безопасности. Это очень важно!

ПРИМЕЧАНИЕ. Вышла KATA (Kaspersky Anti Targeted Attack) с поддержкой KVM, которая сейчас доступна для небольших инсталляций.

Сергей Зинкевич. Подведем итоги. Мы получаем очень много запросов, тренд на облака — это уже не будущее, это наше настоящее. И задачи ИТ-безопасности нужно подстраивать под новую облачную реальность.





Нужно отказываться от эмоциональных барьеров против облаков. При прочих равных облачная инфраструктура даже более надежна чем инфраструктура on premise. Мы готовы обсуждать ваши решения и требования и размещать в облаке самые критичные инфраструктуры.