«Одна из задач практически любой организации — оградить внешний контур, настроить эффективный режим допуска и исключить несанкционированный доступ к активам и ИТ-инфраструктуре предприятий. Одни системы физической безопасности стопроцентную защиту не дадут, но конвергенция с системами информационной безопасности позволит распознать нетипичное поведение людей и предупредить о рисках», — говорит руководитель департамента «ICL Системные технологии» Николай Дюбанов. Компания много лет занимается внедрением комплексных систем безопасности, а среди заказчиков — крупнейшие российские логоцентры, производства и технопарки. Для чего оцифровывают маршруты сотрудников, могут ли преступники устроить дорожный коллапс и реально ли обмануть биометрию макияжем?
Задача каждой организации — оградить внешний контур предприятия от проникновения. Но системы физической безопасности стопроцентную защиту дать не могут. Конвергенция позволит понять, что человек, проникнувший на территорию предприятия, будет делать, и предупредить об этом
Пентест: 96% организаций не защищены от внешнего проникновения
В России количество инцидентов в области кибербезопасности продолжает расти. В первом полугодии 2023 года их число на четверть превысило показатели предыдущих 6 месяцев. Хакерская активность усложняется: целью преступников все чаще становится не выкуп за расшифровку баз данных или вымогательство денег за украденные данные, а деструктивное воздействие на информационные системы в целом. Число политически мотивированных кибератак, целью которых было хищение конфиденциальных данных или полное разрушение ИT-инфраструктуры, выросло на 140% по сравнению с прошлым годом, подсчитали, к примеру, в F.A.С.С.T.*
Николай Дюбанов: «Зачастую извне получить доступ к IT-инфраструктуре сложно. И если злоумышленник хочет получить доступ к инфраструктуре организации, ему нужно туда физически прийти»
Парадокс в том, что чем сильнее защищен внешний периметр, тем больше риски проникновения изнутри и тем критичнее они могут быть. Нагляднее всего это видно из результатов пентестов (тестирование на проникновение), которые проводила компания Positive Technologies. Выяснилось, что 96% протестированных организаций не защищены от проникновения внешнего злоумышленника, а в 84% случаев проникновение в локальную сеть не требовало высокой квалификации. Самое печальное, что в 100% исследованных компаний внутренний злоумышленник (инсайдер) мог получить полный контроль над ИТ-инфраструктурой
И преступники активно этим пользуются. Кто-то нанимает действующих сотрудников атакуемых организаций для разных незаконных действий, кто-то пытается проникнуть в закрытую сеть под видом подрядчика, инженера или нового сотрудника, подделав пропуск. «Зачастую извне получить доступ к IT-инфраструктуре сложно, потому что на уровне информационной безопасности она защищена криптошлюзами, межсетевыми экранами и прочими средствами защиты информации. И если злоумышленник хочет получить доступ к инфраструктуре организации, ему нужно туда физически прийти», — объясняет руководитель департамента технических решений и проектов «ICL Системные технологии» Николай Дюбанов.
В большинстве компаний установлены системы физической и информационной безопасности, но они крайне редко используются совместно
Что такое конвергенция?
«В большинстве компаний установлены системы физической и информационной безопасности, но они крайне редко используются совместно. Профильные департаменты, которые за них отвечают, как правило, не взаимодействуют друг с другом, и это может привести к серьезным уязвимостям», — рассуждает Дюбанов.
ООО «АйСиЭл Системные технологии» — системный интегратор, обладающий широким перечнем компетенций в области информационных технологий и информационной безопасности. Имеет многолетний опыт внедрения комплексных систем безопасности как на промышленных, так и на гражданских объектах. В числе заказчиков — крупнейшие логоцентры, автопроизводители, промышленные предприятия и технопарки.
По его словам, прорыв через кордон физической обороны должен нивелироваться на уровне процессной отработки проблемы либо внедрением сопутствующих систем информационной безопасности, которые могут проследить нетипичное поведение. «Например, в банковской системе, как правило, клиенты ведут себя единообразно. Переводят каждый месяц примерно одинаковую сумму одному и тому же кругу лиц, тратят средства на одни и те же категории товаров. Злоумышленники, которые похитили данные карты, будут вести себя иначе, и система считает нетипичное поведение пользователя», — объясняет эксперт.
Злоумышленник, который подделал карту-идентификатор и прошел на территорию предприятия, не будет действовать, как сотрудник, за которого он себя выдает, — он не пойдет на «свое» рабочее место, чтобы там работать. Изменится и его поведение в информационных системах компании.
По словам Дюбанова, злоумышленник может подделать даже госномера машин, чтобы попасть на объект, и обмануть макияжем биометрическую систему распознавания лиц (и такие прецеденты в мировой практике были). И задача служб безопасности — максимально быстро его вычислить и по возможности нейтрализовать.
«Задача каждой организации — оградить внешний контур предприятия от проникновения, закрыть любой несанкционированный доступ к инфраструктуре. Но системы физической безопасности стопроцентную защиту от попыток проникновения дать не могут. Конвергенция позволит понять, что человек, проникнувший на территорию предприятия, будет делать, и предупредить об этом», — обращает внимание Дюбанов.
Смотреть за тысячами камер физически никто не сможет. Один человек может наблюдать не более чем за 12 камерами, при этом его реакция притупляется уже через полчаса
Что для этого нужно?
«На крупных и территориально распределенных объектах нужно оперативно реагировать на возникающие риски и проблемы. Но смотреть за тысячами камер физически никто не сможет. Один человек может наблюдать не более чем за 12 камерами, при этом его реакция притупляется уже через полчаса. Все интегрированные автоматизированные системы безопасности как раз направлены на то, чтобы оператор смотрел именно на ту камеру, на которую нужно, в случае возникновения инцидента», — привел пример Дюбанов.
Сегодня есть разные модули видеоаналитики. Например, детектор оставленных предметов отправит уведомление оператору о забытых или подозрительных вещах. Если в проходе появилась сумка, и никто ее 10 минут не убирает — это непорядок. Точно так же сегодня можно оцифровать поведение сотрудников в соответствии с распорядком их рабочего дня. «Важно, что все данные обрабатываются в обезличенном виде: система не знает, что это условный Василий Петров. Она сопоставляет данные идентификатора (связки логина и пароля) в привязке к рабочему месту», — подчеркивает эксперт.
Как алгоритм будет распознавать типичное и нетипичное поведение сотрудников? Система автоматически фиксирует существующие паттерны поведения или в ней прописывается принудительно на уровне процессов компании, как сотрудник в рамках своих должностных обязанностей должен вести себя в периметре предприятия и при взаимодействии с информационными системами. Данные от систем информационной и физической безопасности поступают в единый ситуационный центр для последующей обработки.
В процессе внедрения мы стараемся по возможности сохранить существующую архитектуру систем безопасности, которые работали у заказчика. Мы тщательно анализируем все участки, фиксируем все возможные пробелы и уязвимости и обращаем внимание на то, что нужно усилить или дооснастить.
«В конечном итоге конвергенция — это не продукт. Это услуга, требующая глубоких компетенций и в сфере физической, и в сфере информационной безопасности, которая в результате поможет увеличить защищенность компании в целом. У „ICL Системные технологии“ есть вся необходимая экспертиза и в одном, и в другом направлении», — рассказывает Дюбанов.
Арендаторы и посетители торгового центра будут понимать, что объект защищен нестандартно, их лояльность повысится. А владелец здания может, соответственно, увеличить арендную плату
Что это даст?
По словам Дюбанова, такая модель защиты делает объекты и компании более востребованными на рынке. К примеру, арендаторы и посетители торгового центра будут понимать, что объект защищен нестандартно, их лояльность повысится. А владелец здания может, соответственно, увеличить арендную плату. Впрочем, среди перспективных заказчиков есть организации самых разных направлений: маркетплейсы, банковский сектор, нефтегазовый сектор и так далее.
Но масштаб применения такой технологии не ограничен. Даже светофоры на улицах сегодня оснащены датчиками, которые измеряют количество автомобилей и автоматически управляют дорожным движением. Если злоумышленник решит залезть на стремянку и подключиться к такому объекту под видом обслуживающего персонала, он может создать коллапс. Так что любое проникновение в шкафы должно отображаться в системе.
«Объединение потока данных из систем физической и кибербезопасности, помимо предотвращения инцидентов с помощью предиктивной аналитики, позволит сократить время реакции сотрудников отделов безопасности и время на расследование инцидента, как минимум потому что сопоставлять такого объема данные вручную невозможно. И сегодня многие начинают понимать, что у физической безопасности и информационной безопасности теперь одинаковые цели. А значит, рано или поздно всем придется объединяться для решения задач бизнеса», — заключил Дюбанов.
* F.A.С.С.T. (Fight Against Cybercrime Technologies) — один из ведущих разработчиков решений для обнаружения и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 1
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.