При расширении бизнеса его IT-инфраструктура становится более уязвимой: злоумышленники проявляют больший интерес к компании, растет вероятность кибератак. Приходится увеличивать не только затраты на серверы и ПО, но и дополнительно нанимать специалистов по информационной безопасности (ИБ), задумываться о визитах регуляторов. Последние предъявляют серьезные требования к ИБ даже в небольших компаниях из таких отраслей, как, например, финансы, логистика и здравоохранение. При этом уровень ИБ часто не поспевает за ростом компании. Рассказываем, как пройти этот этап без риска для бизнеса и избыточных расходов, одновременно создав задел на будущее.
Инструментов, которые защищают малый бизнес, среднему уже недостаточно, потому что теперь им интересуются более серьезные киберпреступники
Время действовать
В момент роста компании руководство обычно сосредоточено на том, чтобы выстроить обслуживание многочисленных новых клиентов и расширить производственную базу. На мысли о компьютерах, программах и ИБ времени остается немного. Понять, что эта область требует инвестиций, можно, задав IT-специалистам несколько простых вопросов:
- Получается ли читать все оповещения от компьютеров, серверных систем?
- Требуется ли пересматривать архитектуру сети и основных IT-решений?
- Удается ли обслуживать запросы сотрудников в течение одного дня?
- Нужны ли дополнительные приложения, чтобы уследить за всем происходящим?
- Были ли за последние месяцы инциденты или «почти» инциденты, которые могли остановить процессы?
Если хотя бы на пару вопросов (особенно последних) был ответ «да», если число сотрудников уже исчисляется сотнями, то, вероятнее всего, компьютерные системы требуют перехода на следующий уровень сложности, на котором для непрерывности процессов нужны автоматизация работы IT и новые, более мощные средства защиты от угроз.
Как правило, бюджет на внедрение IT*-новшеств ограничен, но и откладывать это в долгий ящик тоже нельзя. Серьезный киберинцидент обходится среднему бизнесу примерно в 5 млн рублей, при этом каждая пятая целенаправленная атака сфокусирована именно на компаниях такого масштаба.
Проще говоря, инструментов, которые защищают малый бизнес, среднему уже недостаточно, потому что теперь им интересуются более серьезные киберпреступники. А цена их успешной атаки, да и просто масштабного IT-сбоя, значительно растет.
В крупных компаниях уже два десятка лет используют решения класса SIEM
C чего начать
Проблемы, которые можно обнаружить, задав своим айтишникам вопросы из предыдущего абзаца, — это в первую очередь дефицит видимости и подконтрольности. Специалистам не хватает времени, им нужны централизация сбора информации и автоматизация реагирования на нее.
Для этого в крупных компаниях уже два десятка лет используют решения класса SIEM (Security Information and Event Management**). Они в реальном времени собирают данные из многочисленных источников в организации (события в приложениях, на серверах, в сети), объединяют связанные события в группы и позволяют ИБ- и IT-специалистам видеть назревающие инциденты и быстро принимать меры.
Для небольших компаний SIEM был слишком дорог, да и считался ненужным, поскольку ИБ-риски малого и среднего бизнеса казались низкими. Сегодня ситуация изменилась: риски выросли, но появились недорогие решения, включающие SIEM, например Kaspersky Smart I, не требующие ни мощного оборудования для установки, ни дорогостоящего сопровождения.
Мониторинг позволяет решать проблемы до того, как они перерастут в масштабный сбой, мешающий работать всей компании
Что дает внедрение SIEM
Внедрение новых инструментов должно приносить конкретные результаты. В случае внедрения SIEM можно рассчитывать на ряд улучшений в работе компании и ее IT-систем:
Новый этап в кибербезопасности. Компания сможет видеть и вовремя пресекать сложные атаки, нацеленные на вымогательство денег или «цепочки поставок». У среднего бизнеса часто бывают клиенты из числа крупных организаций, и компания может оказаться ступенькой в кибератаке на крупного клиента. Успех такой атаки не просто приносит одноразовый ущерб, а может лишить ключевого заказчика.
Экономическая эффективность в IT. SIEM создает хорошо обозримую картину событий, позволяя на ранних этапах находить различные аномалии и решать проблемы. Это не только предотвращение кибератак до того, как они нанесут большой ущерб. С помощью SIEM можно, например, видеть перегруженные серверы, мешающие нормально работать целым отделам.
Это экономит время не только айтишникам, но и всем сотрудникам. Они могут не понимать, что их рабочие проблемы связаны с невидимым им IT-кирпичиком и часами пытаться решить проблему самостоятельно, а специалисты без SIEM просто не узнают вовремя, что им нужно вмешаться.
Предотвращение сбоев. Мониторинг позволяет решать проблемы до того, как они перерастут в масштабный сбой, мешающий работать всей компании.
Соблюдение требований регулятора. Сегодня требования к информационной безопасности предъявляют десятки регулирующих органов — от ФСБ и Роскомнадзора до минздрава. В число требований часто входит сертифицированная система мониторинга угроз. Штрафы за несоблюдение требований относительно скромны, но вот ответственность за инциденты при несоблюдении требований ИБ уже серьезная, вплоть до уголовной.
Упрощенное и ускоренное реагирование на проблемы. Типовые проблемы ИБ и IT могут решаться прямо из интерфейса SIEM благодаря «коробочным» сценариям реагирования. Заблокировать или разблокировать учетную запись, запустить проверку здоровья компьютера или сканирование на вредоносное ПО можно буквально одной кнопкой.
Разгрузка команды для стратегических задач. Появление SIEM убирает из жизни ИБ- и IT-специалистов многие часы рутины вроде чтения e-mail-*** и Telegram-оповещений от различных автоматизированных сервисов. Эти часы могут быть потрачены на решение фундаментальных IT-задач, а руководству не придется нанимать новых сотрудников при дальнейшем расширении бизнеса.
Задел на будущее. Централизация мониторинга и реагирования — один из краеугольных камней масштабирования сети. Дальнейший рост организации, включая появление новых филиалов, новых подразделений и даже новых видов бизнеса, будет проходить значительно легче — по крайней мере в той части, которая касается IT.
Рекордно производительная система SIEM легко разворачивается на любых относительно современных серверах и виртуальных машинах, требования к оборудованию очень скромные. Большое количество правил отслеживания и сценариев реагирования поставляются «в коробке»
Затраты на внедрение и возможности оптимизации
Внедрение любой сложной IT-системы требует не только денег на лицензию. Нужно определенное оборудование и время IT-команды для интеграции и обкатки решения. В зависимости от конкретного выбранного продукта эти затраты могут отличаться на порядок.
В случае с SIEM для малого и среднего бизнеса наиболее комфортный режим разворачивания будет у Kaspersky SMART. Рекордно производительная система SIEM легко разворачивается на любых относительно современных серверах и виртуальных машинах, требования к оборудованию очень скромны. Большое количество правил отслеживания и сценариев реагирования поставляются «в коробке», а активное сообщество российских пользователей создает удобные видеодемонстрации и инструкции по настройке решения в различных жизненных сценариях.
Поскольку у многих отечественных компаний и так развернуты решения «Лаборатории Касперского», им будет очень просто объединить эти системы, чтобы в SIEM поступали дополнительные данные из защитного решения на компьютерах, а в обратную сторону шли команды, например, на автоматическое устранение уязвимостей.
Решение входит в Единый реестр отечественного ПО Минцифры РФ и закрывает существенную часть имеющихся регуляторных требований по ИБ.
Если хранимые данные критически важны
Компаниям, которые относят себя к группе высокого киберриска, управляют критической инфраструктурой или чувствительными данными, необходимо комплексное решение, позволяющее обнаруживать и останавливать сложные целевые атаки, вести расследования инцидентов и оперативно взаимодействовать по ним с регулятором.
Для таких бизнесов подойдет Kaspersky SMART II — решение, объединяющее SIEM и EDR (Endpoint Detection & Response**** — технология проактивного обнаружения нетиповых угроз и целевых атак на конечных точках). Последний, работая на каждом компьютере и сервере организации, позволяет собирать расширенный набор данных и реагировать даже на продвинутые киберугрозы. Эта комбинация решений дает полную видимость в сети для анализа первопричин и расследования инцидентов.
А какие альтернативы?
Усложнение IT-систем компании при росте бизнеса неизбежно, но адаптироваться к нему можно разными способами. Если пытаться обслуживать компьютерные системы по старинке, то администраторы будут либо тратить очень много времени на ручные операции и не успевать сделать все необходимое, либо придется нанимать больше людей. При этом растут не только штат и затраты, но и риски сбоев, успешных кибератак или проблем с регулятором.
Можно поискать решение в аутсорсинге, доверить ИБ специализированной компании. Это относительно быстрый способ решения проблемы, но при дальнейшем росте бизнеса (и инфраструктуры) расходы на внешнего подрядчика будут пропорционально расти. Поэтому управляемые сервисы могут быть вполне эффективным, но временным решением проблем роста — в дальнейшем все равно придется создавать компетенции и инфраструктуру внутри компании.
* информационные технологии
** управление событиями и информацией о безопасности
*** электронная почта
**** Обнаружение и реагирование на конечных точках
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 0
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.