Positive Technologies представила ХардкорИТ — подход к расчету киберустойчивости ИТ-инфраструктуры
Positive Technologies представила на форуме инновационных финансовых технологий FINOPOLIS 2024 новую методологию построения киберзащиты — ХардкорИТ. Концепция поможет организациям понять, сколько времени требуется злоумышленнику на причинение недопустимого ущерба[2], а также как замедлить и сделать более заметным для службы ИБ его продвижение в инфраструктуре.
Финансовые организации остаются в центре внимания киберпреступников: в 2023 году финсектор оказался в тройке самых атакуемых отраслей. По данным пентестов, проведенных Positive Technologies в прошлом году, 96% компаний не защищены от проникновения хакеров в их ИТ-инфраструктуру. При этом для успешной атаки и нанесения недопустимого ущерба злоумышленникам требуется от 6,5 часов. Для проникновения в локальную сеть трех из четырех организаций достаточно сделать всего три шага. Специалистам мониторинга и реагирования на инциденты нужно быть наготове круглосуточно, чтобы обеспечить непрерывную работу бизнеса в таких условиях. Как показывают опросы, позволить себе такие затраты могут лишь 36% организаций. Большинство по-прежнему уязвимы и не успевают вовремя отреагировать на инцидент. Для того чтобы оставаться киберустойчивыми, им необходимо проработать шаги для управления временем атаки и сделать ее более заметной для служб ИБ.
Подход ХардкорИТ заключается в том, чтобы замедлить атаку злоумышленников (time to attack, TTA) и предоставить команде по защите от киберинцидентов больше времени на реагирование и локализацию (time to contain, TTC).
На основе данных тестов на проникновение, многолетнего опыта компании в отражении кибератак и защите российских организаций, специалисты Positive Technologies создали тепловую карту, наложенную на матрицу MITRE ATT&CK.
С ее помощью можно посчитать время атаки на любую ИТ-инфраструктуру. Результаты моделирования показали, что для непрерывной работы критически важных бизнесу сервисов TTA должно быть в два раза больше TTC. Например, если период реагирования составляет 8 часов, необходимо увеличить время продвижения злоумышленника в системе до 16. Таким образом ХардкорИТ помогает бизнесу добиться прогнозируемой киберустойчивости с опорой на четкие метрики: время кибератаки и количество шагов для ее реализации.
«ХардкорИТ — это первая на российском рынке методология, основанная на математическом моделировании времени кибератак. Благодаря большому опыту в проведении тестов на проникновение, мы смогли предложить концепцию контроля киберзащиты, метрики которой понятны как специалистам ИБ, так и ИТ и бизнесу. Этот подход будет особенно полезен руководителям отделов цифровой трансформации и подразделений ИТ для поддержания высокого уровня киберустойчивости инфраструктуры как в финансовом секторе, сильно зависящем от бесперебойной работы ИТ, так и в других отраслях», - сказал Марат ЧураковДиректор по инфраструктуре Positive Technologies.
Внедрение методологии поможет компаниям определить собственные показатели времени атаки и реагирования на киберинцидент и сформировать программу ИТ-трансформации, чтобы прогнозируемо увеличить период, необходимый хакерам для причинения неприемлемого ущерба. ХардкорИТ позволит выявить наиболее опасные векторы атак и точки проникновения в ИТ-инфраструктуру конкретной организации. Кроме того, использование методологии сократит время выхода на рынок новых продуктов и сервисов за счет применения подхода secure by design при выводе в продуктивную эксплуатацию, что особенно важно на быстроразвивающемся финтех-рынке. Впоследствии эти данные можно использовать для непрерывной автоматической проверки кибеустойчивости ИТ-инфраструктуры с помощью метапродукта MaxPatrol Carbon.
[1] Параметров усложнения и замедления пути злоумышленника может быть много. Они зависят от архитектуры, недопустимого ущерба и инфраструктурных продуктов компании.
[2] Недопустимый ущерб (недопустимое событие) — событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей или приводящее к длительному нарушению основной деятельности организации.
