Хуан Антонио Кальес: «Без соответствующих специалистов меры безопасности быстро устаревают»
В первой части нашего интервью с Хуаном Антонио Кальесом, генеральным директором Zerolynx и директором по безопасности в Osane, мы узнали, как гарантировать безопасность облачных платформ, и обсудили угрозы, которые в настоящий момент наиболее актуальны для корпоративной информационной безопасности, а также поговорили о том, как можно смягчить их влияние. Во второй части данного интервью Хуан Антонио рассказывает о наиболее важных моментах в таких направлениях как цифровой экспертный анализ (digital forensic analysis), биохакинг, SIRP и кибер-устойчивость.
Panda Security ( P . S .): Насколько важен цифровой экспертный анализ в деловом мире?
Хуан Антонио (Х.А.): Прежде чем проводить какой-либо цифровой экспертный анализ, необходимо выяснить, что случилось, какова цель анализа и какие активы пострадали. Мы не будем действовать одинаково при анализе сети Windows, пострадавшей от шифровальщика и при расследовании того, как был перехвачен счет в рамках CEO-аферы. Нам необходимо адаптировать нашу методологию на индивидуальной основе в зависимости от инцидента. Цифровой экспертный анализ является базовой функцией в компаниях, если требуется ответить на такие вопросы: что произошло, как и почему это стало возможно? И такой вид анализа служит не только для того, чтобы расследовать инцидент, но он также позволяет, например, разобраться в том, кто из сотрудников может осуществлять кражу информации, какие угрозы выполняются через корпоративную электронную почту и многое другое.
P . S .: Что такое биохакинг, и какое применение он может иметь для компаний?
Х.А.: Термин биохакинг имеет очень широкое определение, и он может относиться к различным дисциплинам и направлениям от DIY-биологии, гриндеров, которые встраивают в свои тела различные технологические решения, до нутригеномики. Мы в Zerolynx в сотрудничестве с доктором биохимии Патрицией Радой из Ciberdem (Центр сетевых биомедицинских исследований), проводим исследования по хранению и сокрытию зашифрованной информации в ДНК. Это сложное исследование, в рамках которого мы находим барьеры, которые пока сложно преодолевать с помощью доступных на сегодняшний день технологий. Мы провели тесты на симуляторах, а теперь мы проводим реальные тесты на бактериальных штаммах. Располагая соответствующими ресурсами и видя, насколько некоторые организации заинтересованы в том, чтобы данные исследования продвигались вперед, мы верим, что мы сможем увидеть какой-то прототип через пару десятилетий. Возможности почти безграничны, но это, конечно, не совсем то, что мы увидим в компаниях в краткосрочной перспективе.
P . S .: Каковы 5 наиболее важных шагов в эффективном плане реагирования на инциденты?
Х.А.: Еще до того момента, как случится инцидент, мы уже должны быть уверены в том, что у нас имеется план по обеспечению непрерывности работы предприятия и соответствующий план на случай непредвиденных обстоятельств: мы должны заранее обучить наших сотрудников, чтобы они были в состоянии обнаруживать инциденты и знать, как правильно реагировать на них, в соответствии с тем, что установлено на корпоративном уровне.
Первым шагом в плане по реагированию на инциденты безопасности (SIRP, Security Incident Response Plan) должно быть обнаружение и оповещение сотрудников, которые отвечают за реагирование на инциденты. Поскольку требуемые шаги в случае с шифровальщиками, CEO-аферами или, допустим, пожаром в дата-центре являются различными, то сотрудники, которые обнаружили инцидент, должны уметь предоставить максимально полную информацию тем сотрудникам, кто отвечает за реагирование на инцидент, чтобы последние могли провести быстрый анализ и понять, как им следует реагировать на конкретную угрозу. Следующим шагом, направленным на обеспечение непрерывности работы предприятия, станет изоляция зараженных (пострадавших) окружений, а также сбор соответствующих доказательств для исследования источника проблемы и, если необходимо, проведения в последующем глубокого экспертного анализа. Это может привести к определенным правовым последствиям, если будут обнаружены вредоносные действия. В этом случае, прежде чем предпринимать какие-либо действия с пострадавшими активами, компании необходимо гарантировать соответствующую цепочку сохранности, а также клонирование и цифровой «слепок» пострадавших активов, чтобы обеспечить целостность информации, которую они могут содержать. Затем инцидент будет расследоваться и при необходимости о нем будет сообщено в соответствующие органы. Наконец, все предпринятые действия и полученные из инцидента выводы должны быть систематизированы в интересах самой компании, чтобы улучшить свои процедуры реагирования на последующие инциденты.
P . S .: Как компания может стать кибер-устойчивой?
Х.А.: Компаниям необходимо назначить руководителя по ИТ-безопасности ( CISO ) с надлежащим уровнем знаний и подготовки, и предоставить ему необходимые ресурсы для выполнения своей работы. Этот человек нуждается в сильной команде, которая сможет работать как с точки зрения соответствия нормативно-правовым положениям в сфере информационной безопасности, так и в плане технических и операционных аспектов. Существует много технологий, которые могут быть использованы для защиты корпоративных активов: системы резервного копирования, файерволы, системы обнаружения вторжений, SIEM и т.д. Тем не менее, без подходящих специалистов все эти меры безопасности, как правило, быстро становятся устаревшими и перестают работать в качестве реальных барьеров на пути у кибер-преступников, которые угрожают компаниям каждый день. Любое предприятие, которое не может иметь у себя собственную высококлассную кибер-команду, должно воспользоваться профессиональными услугами тех специализированных компаний, которые работают в данном секторе. Надежный поставщик с защитой, которая адаптируется к тому, что требуется предприятию, является ключевым звеном для компаний, которые не располагают своими собственными мерами безопасности.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!