Согласно исследованию «Лаборатории Касперского», 42 % компаний обращаются к поставщикам управляемых ИБ-услуг (MSSP) в связи с нехваткой собственных специалистов по информационной безопасности, ещё столько же — в связи с экономической целесообразностью и необходимостью следования требованиям регуляторов.
Согласно выводам из того же исследования, среди главных угроз ИБ следует выделять ненадлежащее использование ИТ-ресурсов сотрудниками компании, атаки с целью вызвать отказ в обслуживании (DDoS), инциденты с поставщиками услуг.
Впервые МегаФон ПроБизнес начал предоставлять сервис по модели MSSP семь лет назад — это была «Защита от DDoS-атак». Сейчас в портфеле компании уже более 15 решений. Рассмотрим некоторые сервисы и предоставляемую ими помощь в борьбе с обозначенными угрозами.
Общий обзор российского рынка и сравнение провайдеров услуг по управлению информационной безопасностью (MSSP) наша редакция проводила ранее.
Защита от DDoS-атак
«Защита от DDoS-атак» — это сервис мониторинга и защиты сетевой инфраструктуры, веб-ресурсов компании от атак, результатом которых может стать недоступность активов, использующих внешние адреса. Подобные действия могут совершаться с разными целями: для вмешательства конкурентов, шантажа, сокрытия атак другого типа и т. д. Обзор этого сервиса публиковался ранее.
Услуга «Защита от DDoS-атак» осуществляет фильтрацию вредоносного трафика и сохраняет доступность сервисов и приложений легитимным пользователям.
Сервис построен на базе высокопроизводительного аппаратно-программного комплекса фильтрации, который входит в реестр отечественного ПО и имеет сертификат соответствия от ФСТЭК России. Защита осуществляется на уровнях L3–L7 (от сетевого до уровня приложений), а реакция на атаку может наступить уже через пять секунд. Система способна отражать крупномасштабные атаки объёмом до 300 Гбит/c.
Настройка услуги занимает от 15 минут до двух часов в зависимости от сложности, а само подключение может производиться в том числе и под атакой. Выделенная служба мониторинга и реагирования работает круглосуточно и без выходных.
Всего под защитой описываемого сервиса находятся более 1100 организаций, включая банки из топ-10, организации из госсегмента и телеком-сектора.
WAF
Услуга «МегаФон WAF» предназначена для защиты веб-приложений от сетевых атак различных типов, включая вредоносные операции с использованием бот-сетей, атаки на прикладные интерфейсы (API) и эксплуатацию уязвимостей из перечня OWASP Top-10 (наиболее опасные бреши по мнению некоммерческой организации Open Web Application Security Project Foundation).
Принцип работы услуги заключается в фильтрации веб-трафика программным комплексом межсетевого экранирования уровня приложений, установленном в «МегаФон Облаке» или в инфраструктуре клиента (on-premise).
В случае обнаружения вредоносного трафика, попыток взлома приложений, кражи информации или чрезмерного потребления ресурсов серверных платформ такие попытки блокируются, а в приложения передаются только легитимные запросы.
NGFW
Межсетевой экран следующего поколения (NGFW) от «МегаФона» защищает информационные ресурсы от компьютерных атак, обеспечивает безопасный удалённый доступ по VPN и фильтрует интернет-запросы пользователей. Для этого используются модули предотвращения вторжений, антивирусной проверки, инспекции трафика и другие.
NGFW предоставляется из «МегаФон Облака» или устанавливается в собственную инфраструктуру компании.
Защита корпоративной почты
Услуга «Защита корпоративной почты» предназначена для очистки почтового трафика от спама, фишинга и вредоносных программ. Принцип действия заключается в перенаправлении почтового трафика через фильтрующие узлы путём перенастройки MX-записи в базе DNS-регистратора домена. Решение позволяет гибко настраивать все функции безопасности, в том числе и исключения для входящего почтового трафика.
Криптозащита
В рамках услуги «Криптозащита» шифруется вся информация, передаваемая по открытым каналам связи. Это позволяет обеспечивать конфиденциальность данных даже в случае их перехвата злоумышленниками.
Шифрование передаваемого трафика выполняется с использованием современных российских криптографических алгоритмов на высокопроизводительном криптооборудовании ведущих производителей. Сервис позволяет организовать защищённое взаимодействие между географически удалёнными объектами в любых регионах России и выполнить требования регуляторов и российского законодательства. В рамках услуги «Криптозащита» используются СКЗИ (средства криптографической защиты информации), сертифицированные ФСБ России.
Анализ защищённости ИТ-инфраструктуры
МегаФон ПроБизнес предоставляет широкий спектр услуг по анализу защищённости ИТ-инфраструктуры, которые можно условно разделить на практическую безопасность и соответствие нормативным требованиям.
Решения для анализа безопасности ИТ-инфраструктуры
В рамках услуг по анализу практической безопасности компания осуществляет поиск уязвимостей и ошибок в процессах обеспечения ИБ, которыми могут воспользоваться злоумышленники для совершения кибератак. МегаФон ПроБизнес предоставляет шесть услуг, направленных на выявление проблем, связанных с уязвимостями и потенциальных инцидентов в ИБ.
Объектами анализа могут быть внутренняя и внешняя инфраструктура, мобильные и веб-приложения, сети Wi-Fi, сотрудники (социотехнические тестирования), системы дистанционного банковского обслуживания (ДБО), автоматизированные системы управления технологическим процессом (АСУ ТП), бизнес-приложения (ERP, CRM) и другие.
При проведении анализа защищённости описываются границы работ и модели нарушителей, составляется список выявленных уязвимостей и ошибок в бизнес-логике, разрабатываются подробные рекомендации по устранению выявленных уязвимостей. Также эксперты МегаФона ПроБизнес дают общее заключение об уровне защищённости инфраструктуры и предоставляют рекомендации по его повышению.
Тестирование на проникновение (пентест) помогает найти критические уязвимости. Команда МегаФона ПроБизнес оценивает устойчивость инфраструктуры в случае вторжения злоумышленника и выявляет возможную глубину продвижения вглубь системы.
Анализ защищённости используют для определения общего уровня безопасности инфраструктуры. Определяется максимальное количество уязвимостей, через которые может быть совершено вторжение злоумышленника без продвижения вглубь инфраструктуры.
Red Teaming. Во время командной имитации реальных кибератак проверяется работа технической защиты и команды ИБ, оцениваются скорость и эффективность реагирования на различные угрозы.
Услуга реагирования на инциденты в ИБ включает в себя пакет сервисов по оперативному реагированию или расследованию уже случившихся инцидентов, а также подключение команды экспертов МегаФона ПроБизнес для устранения последствий кибератак и проведения компьютерной криминалистической экспертизы (форензики). Преимуществом пакетного подхода является то, что если к концу срока там остались неиспользованные часы, то их можно потратить на другие виды активности.
Аудит в формате «As Is / To Be» — это комплексное изучение уровня ИБ и процессов управления ИТ-инфраструктурой:
- оценка процессов,
- выявление и описание проблемных зон,
- выдача рекомендаций по их устранению с предоставлением дорожной карты и бюджетной оценки модернизации СУИБ и системы управления ИТ-процессами,
- анализ существующей архитектуры инфраструктуры и средств информационной безопасности,
- предоставление рекомендаций по настройке элементов инфраструктуры (харденинг).
В рамках аудита и построения процессов безопасной разработки (SSDLC) команда МегаФона ПроБизнес исследует конвейер разработки, адаптирует методологии и процессы для трансформации и перехода к безопасной разработке ПО.
Соответствие нормативным требованиям
Анализ соответствия нормативным требованиям может включать в себя несколько направлений.
Для субъектов КИИ производятся обследование, категорирование и проектирование системы защиты значимых объектов критической информационной инфраструктуры и реализация системы защиты в соответствии с требованиями закона № 187-ФЗ.
Анализ и оценка соответствия требованиям закона № 152-ФЗ «О персональных данных» поможет понять, какие риски для бизнеса существуют в реалиях компании. Услуга востребована в связи с регулярно озвучиваемыми планами по увеличению штрафов за утечки персональных данных.
Аттестация ГИС по требованиям ФСТЭК России, необходимая, в частности, для государственных информационных систем — ещё одна услуга, оказываемая провайдером.
«МегаФон SOC»
Security Operations Center — центр круглосуточного мониторинга информационной безопасности и управления инцидентами. Сервис поможет повысить уровень информационной безопасности компании. Основная его задача — круглосуточный сбор и обработка событий со всей инфраструктуры организации и выявление подозрительной активности на основе разработанных экспертной командой правил выявления инцидентов. После регистрации подозрительной активности команда экспертов «МегаФон SOC» по разработанным алгоритмам комплексно оценивает выявленные события на предмет их опасности для компании и принимает решение о квалификации инцидента по уровню критической значимости. В случае подтверждения инцидента происходит ряд быстрых, но трудоёмких мероприятий по его обработке.
Благодаря этому подходу компания получает действенный инструмент минимизации рисков для своей информационной инфраструктуры и повышения устойчивости бизнеса в целом. Услуга построена на базе отечественного ПО с гибкими подходами по внедрению и составу, что позволяет в короткие сроки начать её предоставление. Информация, которая обрабатывается в процессе оказания услуги, размещается в облачных хранилищах, имеющих лицензии ФСТЭК и ФСБ России и соответствующих стандартам ISO и PCI DSS.
Помимо отечественных систем сбора и обработки событий в ИБ (SIEM) команда экспертов МегаФона ПроБизнес умеет поддерживать ряд известных SIEM-решений иностранного производства, что поможет не лишиться текущего уровня инфобезопасности бизнеса и осуществить безболезненную миграцию на ПО российской разработки.
Выводы
Сервисы, предоставляемые МегаФоном ПроБизнес по модели MSSP, востребованны по нескольким причинам: они позволяют компаниям строить эффективную информационную защиту, экономить на капитальных инвестициях в собственную инфраструктуру и фонд оплаты труда, не тратить время на подбор квалифицированного персонала и его адаптацию под применяемые СЗИ, своевременно получать квалифицированную экспертизу от команды провайдера.
Команда МегаФона ПроБизнес регулярно участвует в программах поиска уязвимостей за вознаграждение (Bug Bounty) и обладает рядом профильных сертификатов, таких как CEH, CHFI, CND, MCSE, EXIN, OSCP, CISSP. Имеется опыт внедрения процессов ИБ и участия в расследовании инцидентов. При необходимости оперативная команда провайдера выезжает на место инцидента с целью поиска улик, которые могут понадобиться для дальнейшего расследования.
