Противостоять современным угрозам может только комплексная безопасность. Компании часто не знают, как построить подобную безопасность. У них возникает множество вопросов: «С чего начать?», «Какие могут возникнуть трудности?», «Может ли комплексная безопасность стоить недорого?»
Чтобы узнать, как обеспечивает информационную безопасность компания с разными бизнес-направлениями, мы взяли интервью у Андрея Кононцева — начальника отдела информационной безопасности МТИ ГРУПП.
Группа компаний MTI – это диверсифицированный бизнес, объединяющий три базовых направления:
-
информационно-коммуникационные технологии, такие как дистрибуция, гарантийный и послегарантийный сервис, проектирование и внедрение систем безопасности (антикражных систем, систем контроля доступа, управления складом на базе RFID- технологии)
-
розничная торговля (обувь, одежда, ювелирные украшения, электроника)
-
3-PL оператор (услуги по хранению, обработке и доставке грузов).
– Андрей, насколько сложно обеспечивать безопасность в столь крупной компании?
Андрей Кононцев: Такая раздробленность и неоднородность направлений нашего бизнеса очень сказывается на требованиях безопасности. Выбирая любые решения для ИБ или ИТ, мы обязательно должны учитывать не только задачи конкретной компании холдинга, но и ее место в общей инфраструктуре. К примеру, защита конечных точек должна одинаково хорошо работать на компьютере как менеджера розничного магазина, так и Sales Manager`a IT-дистрибьютора, бухгалтеров, ИТ-сотрудников или руководителей. Компьютерная техника, используемое ПО и знания в ИТ сфере разные, а справляться со всем имеет единая система безопасности. Тем более, что типы угроз, частота атак и их специфика многообразны.
– Какие отделы занимаются безопасностью?
А. К.: Безопасность — это целый отдельный кластер в структуре компании, задачи которого в направлении кибербезопасности хотя и перекликаются с задачами IT-отдела, но в большинстве своем все же отличаются как в техническом плане, так и в самой сути. Раньше защитой конечных точек и сети занималось IT-подразделение. С ростом угроз, появлением новых решений и анализа рисков ИБ, мы поняли, что для оперативного реагирования на современные киберугрозы нужно заниматься безопасностью не по остаточному принципу, а прежде всего. Да и по сути, на ИТ лежат вопросы поддержки инфраструктуры, чтобы все работало, вовремя чинилось и т.д. Поэтому мы решили провести небольшую реформу и переместить всю техническую безопасность в отдел информационной безопасности.
– Недавно вы ввели решение для защиты данных в облаке (CASB) и обнаружения угроз на конечных точках и реагирования на них (EDR). Расскажите, как пришли к необходимости этих решений?
А. К.: Мы довольно долго шли к той инфраструктуре, которую есть сейчас. Сначала это были попытки работы с облачными ресурсами, затем повальная миграция сервисов в облака. С переходом в облака мы должны были срочно разобраться, как обеспечивать качественную защиту и понимать, что происходит с нашими данными. Прежде всего, этот запрос поступил от бизнеса, для повышения гибкости и оптимизации бизнес-процессов. Перед нами остро встал вопрос – как обеспечить безопасность данных в облаках в том числе для сервисов Office 365, контроль перемещения данных и разграничение доступа, где бы ни находились пользователь и устройство (на работе или дома).
Решили не формировать разрозненную инфраструктуру безопасности, поскольку для ее сопровождения требуется больше ресурсов и, в первую очередь, больше специалистов. Поэтому сначала, проанализировав решение нескольких производителей, решили строить сохранность на продуктах McAfee Enterprise. Соответственно масштабировать безопасность также решили с использованием продуктов этого производителя. Так у нас появился весь антивирусный комплекс по защите конечных точек. Позже, как я уже говорил, мы начали активно использовать облачные услуги, поэтому нам понадобился брокер безопасного доступа к облакам. CASB от McAfee Enterprise – это лидер в данном классе решений как тогда, так и сейчас.
Но антивирусная защита на земле и облаке – это лишь часть безопасности. Сложность и количество векторов атак значительно выросло за последнее время. Для нас стало очевидно, что решения защиты, пусть даже «продвинутый антивирус», не могут дать полной видимости того, что у нас происходит в сети и на конечных точках. С его помощью нельзя построить форензику и полноценно расследовать инциденты ИБ. И оно, по сути, для этого и не предназначено. Потому мы решили внедрить EDR. С таким набором инструментов мы были готовы ко всему, и пандемия не застала нас врасплох. За один день мы смогли перейти на удаленный режим работы.
– Какие критерии были важны при выборе CASB и EDR?
А. К.: На нашем рынке все же первое место занимает цена — многие компании не могут позволить себе колоссальные расходы на безопасность, поэтому иногда вынуждены идти на компромиссы в виде опенсорсных решений. У нас тоже не было полной финансовой свободы, но бюджет позволял выбрать решение в лучшем соотношении цена/качество. Продукты McAfee Enterprise всегда находятся в лидерах на рынке и часто оказываются значительно доступнее конкурентов.
Следующий критерий – возможность интеграции с другими компонентами инфраструктуры. Без такой гибкости безопасность будет не единственной логической системой, а просто несвязанным набором инструментов, что, конечно, снижает эффективность безопасности в целом. Интеграция решений из коробки, в случае McAfee, не только ускоряет выявление сложных угроз, но и дает возможность автоматизации для быстрого реагирования на них.
Замыкает тройку, очевидно, функционал самого продукта. Одной из главных задач у нас есть контроль и защита данных в облаках. Пилот решения CASB от McAfee показал, что продукт имеет широкий функционал и, что немаловажно, удобный интерфейс. Яркий пример использования – это Office 365. Также нас привлекло то, что решение является абсолютным лидером по результатам оценки Gartner.
– Каковы альтернативные варианты решений безопасности?
А. К.: На первый взгляд, альтернатив казалось много. Затем, когда начали углубляться в решения других производителей, оказалось, что многие продукты еще не столь «зрелые». Сейчас многие производители расширяют свои продуктовые линейки, но их продукты на этапе вывода на рынок могут иметь довольно низкую и привлекательную стоимость. А вот их способности далековато не постоянно решают актуальные задачи безопасности. По этическим нормам не буду называть названия компаний.
Мы остановились на 2-3 производителях. Взвесив все факторы, после проведения пилота мы выбрали решение McAfee Enterprise. Одним из важных факторов было то, что McAfee имеет достаточно сильные решения, как для защиты конечных точек, так и для защиты облака. К тому же вся система уже опиралась на McAfee и мы решили не тратить время и средства на переобучение специалистов без веских преимуществ.
– Как прошло внедрение решений?
А. К.: С использованием CASB, EDR и других продуктов вендора никаких проблем не было. Касательно CASB отмечу, что большую роль играет подробная и понятная документация — все настройки, схемы и варианты интеграций уже предоставлены «из коробки». Решения CASB и EDR поставляются как SaaS и не требуют установки серверной инфраструктуры. Я сам все интегрировал без дополнительных учеб и создавал начальные политики. Там нет каких-либо серьезных сложностей.
Порадовало, что все наши наработки с пилотной версии перешли к платной лицензии, поэтому нам не пришлось начинать с нуля.
– Кстати, легко ли управлять сразу всеми системами безопасности?
А. К.: Удобное управление, пожалуй, один из тех критериев, на которых базировался наш выбор. В McAfee это решается с помощью ePolicy Orchestrator – единственной консоли для управления всеми решениями безопасности. Поскольку для нас актуальна задача справиться с разными решениями для защиты инфраструктур неоднородных компаний, такая оркестрация становится обязательной. Управление из единственной точки мы давно определили как критерий отбора любой защиты.
– Что вы лично отметили в продуктах McAfee?
А. К.: Внедряя CASB, мы нуждались в брокере безопасного доступа к облакам и более детальном контроле в O365 за умеренные расходы. Иногда внедрение чего-то нового добавляет новые проблемы с производительностью и дает нагрузку на систему. Как результат, ИБ и IT начинают конфликтовать и выяснять приоритеты. Но McAfee не нагружает инфраструктуру и позволяет всем работать спокойно.
Решение CASB удобно, поскольку политики быстро и легко настраиваются, их можно подогнать под себя до мелочей, подвязать устройства и т.д. Другими словами, это не занимает много времени. Разумеется, идеальных систем не существует и бывают профилактики, обновления и какие-то нюансы. Но главное – проблемы случаются редко, а разработчик быстро на них реагирует.
Что касается решения EDR, то скажу, что оно очень расширяет возможности защиты и действительно помогает в работе. EDR значительно повышает видимость происходящего, повышает возможности для оперативного блокирования процессов или перемещения в «карантин» пораженной рабочей станции, упрощает определение связей между событиями безопасности и позволяет быстро принимать меры.
– Какие другие инструменты McAfee вы используете?
А. К.: McAfee имеет MVISION Insights, который у нас тоже включен в функционал. Хотя, на первый взгляд, это довольно факультативное решение (оно непосредственно ничего не защищает и не блокирует), практической пользы от него гораздо больше, чем может показаться.
Я бы сказал, что это решение касается проактивной защиты. Во-первых, MVISION Insights проверяет вас еще раз, то есть, по сути, проводит аудит политик безопасности. Если специалист забыл активировать какую-то функцию, политику безопасности или где-то не установил продукт, критически важный для отражения атак — решение это заметит и известит его.
Во-вторых, оно заменяет кучу подписок на разные новости и другие ресурсы. Вы узнаете, как меняется ландшафт угроз в мире, Украине, по направлениям бизнесов. Вы получите полную информацию об их маркерах компрометации, целях атак, а также данные от других вендоров по этим атакам. В самом решении вы сможете сравнить полученную информацию с MITRE ATT&CK и оценить, какая атака является потенциальной угрозой для вашей компании.
– Что вы можете сказать о комплексе решений по безопасности от McAfee?
А. К.: Я бы назвал решение McAfee конструктором, где многое зависит от самих специалистов и того, как они спроектируют защиту. В этом смысле архитектура решений и подходы – фундамент, на котором строится безопасность. Сначала мы себе отметили, что с платформой безопасности и подходами McAfee мы сможем обеспечить интеграцию решений, а значит, и автоматизацию по реагированию на атаки. На этапе, когда мы определяли стратегию развития безопасности, решили, что для нас это важно. Если к этому вопросу сначала не подойти системно, можно получить зоопарк из разных решений, а вместе с тем — несвязанную и неэффективную инфраструктуру безопасности.
На основе продуктов McAfee можно строить эшелонированную защиту на разных уровнях, при этом удобно управлять и все настраивать с одной консоли. У решений есть синергия. При этом отдельные продукты тоже достаточно эффективны, поэтому можно решить абсолютно любые задачи безопасности.
У нас уже есть комплекс безопасности. Но мы видим, что нам не хватает Песочницы и SIEM, поэтому размышляем над их приобретением. Я рад, что руководство с пониманием относится к нашим инициативам и проектам развития ИБ, ведь от безопасности в первую очередь зависит стабильность бизнес-процессов.