Смена приоритетов ИБ как следствие коронавируса

Смена приоритетов ИБ как следствие коронавируса
Когда 4 недели назад мы в Cisco предложили всем желающим бесплатно получить наши решения для организации удаленной работы, я не думал, что этот месяц вся команда ИБ российского офиса Cisco будет с утра до вечера заниматься тем, что будет выписывать лицензии на сотни тысяч удаленных подключений. Но заметка будет о том, какие изменения произошли в приоритетах многих компаний в части информационной безопасности или произойдут в самое ближайшее время?

Совершенно очевидно, что для абсолютного большинства компаний на первое место вышла тема удаленной работы. Такой же важный приоритет у этой темы и для ИБшников, которым надо было в экстренном режиме либо с нуля выстроить архитектуру безопасного удаленного доступа, не мешающего бизнесу, либо проверить, что уже построенная ранее архитектура справится с многократным ростом числа удаленных подключений (тут и кластеризация VPN-шлюзов, и правильное "прокидывание" удаленных пользователей к нужному сегменту/приложению, и защита от DDoS VPN-кластера и т.п.). Удаленка - это вообще отдельная тема, требующая не одной статьи. Я попробую ее начать раскрывать на следующей неделе.

Учитывая существенные проблемы в экономике, которые начинаются касаться практически любой компании (кроме торгующих туалетной бумагой и гречей), вторым приоритетом становится реализация уже имеющихся планов и новых задач в условиях сокращения бюджета. Пока еще не все с этим столкнулись, но думаю, что очень скоро это почувствует на себе все. И сейчас, когда аврал, связанный с переходом на удаленку, спадет, стоит пересмотреть все свои планы и оценить их с точки зрения приоритетности и важности для бизнеса. А он обязательно спросит при очередном запросе денег на оплату ранее согласованных проектов: "А нам это действительно надо?", "А что нам это даст?". Я бы посоветовал перенести все свои проекты и услуги на один слайд, который у вас будет всегда наготове и вы сможете его показать своему руководству:
тут и тут.
  • Мониторинг DNS. Учитывая, что сотрудники могут работать с личных устройств и их могут легко затроянить, стоит посмотреть в сторону сервисов по мониторингу DNS, которые позволяют без установки ПО на компьютер, мониторить доступ к фишинговым сайтам, блокировать работу ботнетов и обращение к C&C-серверам. Простенько и  прозрачно для пользователя.
  • Многофакторная аутентификация (MFA). Ну тут вроде и так все понятно. Учитывая, что в 81% инцидентов задействованы были украденные или подобранные учетки, то доверять обычным паролям сегодня нельзя. А при удаленной работе тем более.
  • Повышение осведомленности и фишинговые симуляции. Если вы прошли по последним двум ссылкам (на два абзаца выше), то увидели примеры фишинговых атак, которые сейчас популярны у киберпреступников. Пользователей, которые не сидят в офисе, и предоставлены сами себе, будут чаще попадать на удочку мошенников, чем раньше. Стоит их обучать тому, как выявлять подозрительные письма, сайты и ссылки, и что делать, если они с ними столкнутся. 
  • UEBA. Это из серии "неплохо бы", так как существенно возрастают риски неправомерных действий со стороны сотрудников, как с их ведома, так и без оного. Но можно и просто правильно настроить существующие средства мониторинга (те же NTA, SIEM и др.).



  • Кстати, сегодня будут выигрывать те производители, которые имеют гибкую лицензионную политику и могут перераспределять уже купленные лицензии более эффективным способом, например, переносить их с одного компьютера (установленного в офисе и неработающего) на другой (домашний).

    Также не стоит забывать, что многие производители сейчас выдают лицензии на свои продукты бесплатно, но не навсегда, а на определенное время. У кого-то 45, у кого-то 60, у кого-то 90 или 180 дней, которые пролетят очень быстро. Особенно если наш гарант в очередной раз, вспомнив про половцев и печенегов, не продлит, наплевав на Конституцию, Трудовой Кодекс, закон о ЧС и эпидемиологическом благополучии населения,  режим самоизоляции. И тогда надо думать, как продлять полученные разные лицензии. Кто-то из производителей может и продлит, а кому-то это не позволят сделать финансовые контроллеры и надо будет оплачивать лицензии.

    Стартапам от ИБ будет тяжело (а им так тяжело в России, так как отечественные требования по ИБ не дают возможности малым компаниям развиваться и находить заказчиков), так как CISO в текущих условиях будут предпочитать доверенных и проверенных поставщиков. Стартапы к таковым, увы, не относятся.

    Напоследок оставлю тему, которую я описал в начале недели, а точнее, как в условиях перевода на удаленку выполнять все требования регуляторов, связанные с лицензированием, аттестацией, получением согласий на обработку ПДн, доступом к ПДн и т.п. Это еще один приоритет, но последний в списке, так как и регуляторы сегодня сидят в самоизоляции, проверок не проводят и бояться их поэтому не стоит. Но в голове держать эту задачу по-любому стоит...
    Alt text