Михаил Иванов разказа как да изберем правилното решение за защита срещу целенасочени кибер атаки

изберем

Насочените атаки могат да нанесат хаос на всяка организация - те не само са трудни за защита, но дори са трудни за откриване. Но, както често се случва, действията създават съпротива и се появи цял клас анти-APT решения за борба с целенасочени атаки. За това как да разберем цялото представено разнообразие от тези продукти и да подходим правилно към избора на решение Anti-APT, разговаряме с Михаил Иванов, директор на отдела за информационна сигурност на Росбанк.

- Доста често се чуват скептични твърдения относно факта, че тази тема е маркетингов трик. Как оценявате ситуацията? Можете ли да дадете примери защо такива проекти трябва да бъдат инициирани?

- Като практикуващ не мога да се съглася с твърдението, че тази тема е маркетингов трик. Факт е, че много организации все още гледат на проблема с информационната сигурност от гледна точка на класическите защитни стени: антивируси, защитни стени, DLP системи. От 2012 г. масовите атаки набират популярност, но едва сега специалистите по информационна сигурност осъзнават, че така наречената Advanced Persistent Threat (APT) не може да бъде отблъсната с класически средства за защита, за това има Anti-APT решения.

Трябва да разберете, че APT атаките винаги имат конкретна цел. Нападателите се интересуват от монетизация, независимо дали става въпрос за кражба на финансови или лични данни, повреда на инфраструктурата или измамни схеми, включващи изнудване на пари. Мога да различа две основни технологии за атака: те се излъчват или насочват. От гледна точка на процент, приблизително 95% в момента са излъчвани атаки и 5% са уникални атаки, които се подготвят за конкретна организация. Борбата с подобни атаки е изключително трудна, тъй като те използват определени технологии за прикриване. Единственият ефективен начин за борба с тях в момента ще бъдат решенията Anti-APT.

- Съществува мнение, че решенията Anti-APT скоро ще се превърнат в стандарт за информационна сигурност (IS), т.е. същата неразделна част от системата за информационна сигурност като антивирусната програма или FW. Съгласни ли сте с това мнение?

- Съгласен съм с това мнение, освен това зрелостта на такива решения се доказва от факта, че те вече са включени в някои международни стандарти и методологии за информационна сигурност, например CIS-20 (Controls for Effective Cyber ​​Defense) или NIST Framework за киберсигурност, откъдето Русия използва най-добрите практики. Необходимо е да се инициират такива проекти, тъй като по целия свят те са включени в концепцията за стандарт, надявам се и ние скоро да стигнем до това. Вярвам, че предвид мащаба на киберпрестъпността, Advanced Persistent Threat скоро ще премине от Advance към Basic.

- Можете ли да споделите вашата визия за това как да подходите по-добре към анализа на пазара и вземането на решения? Какво да обмислите, какво да търсите първо?

- Преди всичко е необходимо да решим кой вектор на атака ще затворим. Ако имате това разбиране, можете да започнете да избирате технологии и решения. Дори да говорим за силно критичен вектор, за проблем, който изисква спешно решение, е необходимо да си вземем почивка, за да го проучим. Имам златно правило: винаги изучавайте анализите, произведени от международни и руски компании. Примерите включват Group IB, Kaspersky Lab, Mandiant (Fire Eye).