Исследование «Кода безопасности» показало: слабым звеном в защите конечных точек является персонал

Наш партнер «Код безопасности» провел аналитическое исследование о защите конечных точек. Были выявлены проблемы, актуальные векторы атак, опасные последствия инцидентов для разных отраслей, а также распространенность различных типов средств защиты.

Об исследовании Кода Безопасности

Для оценки особенностей обеспечения информационной безопасности (ИБ) на конечных точках аналитики «Кода безопасности» опросили 220 специалистов ИБ-подразделений организаций из отраслей:

• госсектор,
• здравоохранение,
• ИТ и телеком,
• образование,
• промышленность,
• транспорт,
• топливно-энергетический комплекс,
• торговля и услуги,
• культура и финансы.

Цифровизация российской экономики – один из основных трендов развития информационных технологий. Повсеместно внедряются искусственный интеллект, машинное зрение и обучение, интернет вещей, виртуальная и дополненная реальности, облачные решения.

Однако цифровизация приносит и новые поводы для беспокойства: количество векторов атак неизбежно увеличивается.

По данным исследования «Защита корпоративных сетей», почти половина респондентов считают, что наибольшую опасность представляют атаки на рабочие станции. А наиболее актуальными являются атаки, связанные с действиями персонала.

Актуальные векторы атак

Одной из самых больших угроз для ИТ-инфраструктуры является собственный персонал. Чтобы снизить риск, необходимо предпринимать меры:

• организационного характера (разделение полномочий, принцип минимально необходимых прав),
• обучающего характера (обучение основам цифровой гигиены, регулярные тестирования и проверки знаний).

Высокая актуальность атак, связанных с наличием уязвимостей в операционной системе и прикладном программном обеспечении, вызвана развитием ИТ-инфраструктуры и неэффективными внутренними процессами управления уязвимостями.

Для решения этих задач необходимо:

• отладить процесс приоритизации обновлений,
• инвестировать в мониторинг безопасности,
• инвестировать в своевременную адаптацию политики безопасности средств защиты.

Каждый пятый респондент отметил актуальность атак с использованием закладок. Большая часть мер, которые помогут справиться с этим типом атак, находится в области управления поставщиками и управления цепочками поставок. Также целесообразными могут быть спецпроверки и специсследования критичных элементов ИТ-инфраструктуры.

Возможные последствия от кибератак

Последствия любых атак и, соответственно, приоритет при выделении ресурсов на те или иные задачи обеспечения информационной безопасности значительно различаются в зависимости от отрасли. Эксперты «Кода безопасности» выделили наиболее актуальные виды последствий:

• штраф регуляторов,
• остановка бизнес-процессов,
• кража денег,
• репутационный ущерб и пр.

Штрафа со стороны регуляторов больше всего опасаются организации с жестким регулированием:

• государственные компании (62%),
• организации здравоохранения (62%),
• образовательные (41%),
• финансовые организации (40%).

Многие отрасли наиболее неприятным последствием ИБ-угроз считают остановку бизнес-процессов. Важным по значению стал репутационный ущерб:

• для транспортной отрасли (81%),
• компаний ИТ и телекоммуникаций (79%),
• образовательных организаций (65%),
• финансового сектора (60%).

Банки и другие финансовые компании отмечают повышенную озабоченность последствиями, связанными с кражей денежных средств.

Обеспечение ИБ с российскими решениями

Информационную безопасность можно обеспечить только комплексными мерами защиты, важную часть которых составляют технические средства. Но большой «парк» средств защиты может создать сложности для ИТ-инфраструктуры компании.

1. Основной «киберболью» при использовании средств защиты конечных точек для пользователей стало снижение производительности системы – его отметили 66% респондентов.
2. На второе место участники рынка поставили конфликты между различными СЗИ, установленными в системе, – 64%.
3. И 49% ИБ-специалистов назвали ключевым неудобство, связанное с конфликтами эксплуатируемых СЗИ с прикладным ПО.

Государство продолжает активно стимулировать переход российских организаций на отечественные решения. В процессе импортозамещения ИТ-инфраструктуры выделилась группа лидеров с наиболее зрелыми предложениями. Среди операционных систем – это РусБИТех и Базальт СПО, среди телекоммуникационного оборудования – Eltex. Уровень готовности переходить на российские продукты постепенно растет.

С 2018 года число российских организаций, планирующих использовать отечественные решения, увеличилось на 12%. Планируют заменить следующие ИТ-элементы:

• персональные компьютеры (21%),
• серверы (17%),
• сетевое оборудование (16%),
• системы хранения данных (7%),
• планшеты (4%),
• 2/3 участников опроса отметили, что не планируют ничего менять.

Сегментация или группирование компьютеров в отдельные группы по каким-либо признакам проводится для повышения доступности необходимых данных авторизованным сотрудникам и ограничения доступности данных неавторизованным сотрудникам.

Средства для киберзащиты

• 68% российских компаний осознает важность организации сегментированной внутренней сети для предотвращения атак на критические ресурсы системы.
• 79% респондентов отдают предпочтение аппаратным типам решений.
• Программные средства, позволяющие обеспечить сегментирование при меньших бюджетах в виртуальных инфраструктурах, а также в сетях сложной топологии, используют 17% опрошенных.

Основная причина, по которой компании не используют решения для сегментации сети, – это отсутствие финансирования; на втором месте – нехватка специалистов для эксплуатации средств сегментации.

По мере развития ландшафта угроз и повышения требований к корпоративной системе информационной безопасности на рынке появляется все больше средств защиты.

По результатам опроса можно выделить две большие группы используемых СЗИ: приоритетные и дополнительные.

В число приоритетных входят:

• межсетевой экран (86%),
• антивирус (82%),
• система обнаружения вторжений (67%),
• средства защиты от несанкционированного доступа (65%).

Дополнительные средства защиты, которые используются для защиты от специфических рисков ИБ:

• системы защиты от утечек (DLP, 35%),
• системы управления событиями ИБ (SIEM, 30%),
• песочницы (Sandbox, 20%),
• межсетевые экраны уровня веб-приложений (WAF, 14%),
• системы глубокого анализа трафика (DPI, 10%),
• системы обнаружения и реагирования на сложные угрозы (EDR, 6%).

Стратегия защиты конечных точек

Эффективная стратегия защиты конечных точек должна включать в себя ряд мер, которые условно можно разделить на организационные и технические.

В число технических мер входят:

• Внедрение комбинации системы защиты от вредоносного ПО и системы защиты от несанкционированного доступа к данным. Причем на этапе выбора стоит отдавать предпочтение совместимым и простым в настройке средствам защиты. В случае с рабочими станциями приоритет нужно отдавать средствам защиты от вредоносного кода. Для серверов, в свою очередь, более подходящим является подход замкнутой программной среды, когда с помощью средства защиты запрещается запуск любого неавторизованного кода и осуществляется глубокий контроль целостности файлов, процессов и драйверов ОС.
• Сегментация внутренней сети. Она позволит ограничить распространение злоумышленника, если он все же получил несанкционированный доступ к конечным точкам внутри сети. Сегментация может быть реализована как аппаратными средствами (межсетевым экраном), так и программным модулем, встроенным в СЗИ от НСД.

В число организационных мер входят:

• Риск-ориентированное управление уязвимостями. Организация должна не просто вести список обнаруженных уязвимостей, она должна внедрить практику оценки опасности уязвимости для своей инфраструктуры.
• Обучение пользователей. Необходима комбинация мер из очного и удаленного обучения, регулярной проверки знаний пользователей и тестирования их бдительности с помощью специальных инструментов, эмулирующих фишинг.

Полная версия исследования доступна на сайте в разделе «Аналитика».