Апгрейд інформаційної безпеки. 3 кейси від Parimatch Tech, як побудувати надійну IT-інфраструктуру в ковідний період

29 грудня 2020, 10:03
Позиція
Андрій Чігаркін, директор з інформаційних технологій Parimatch Tech (Фото:Parimatch)

Андрій Чігаркін, директор з інформаційних технологій Parimatch Tech (Фото:Parimatch)

2020 став роком шаленої автоматизації, гібридних форматів роботи, пошуку нестандартних технологічних рішень. Адаптуватися до нових реалій, спровокованих пандемією COVID-19, довелося всім бізнесам без винятку.

Однак великий продуктовий бізнес мав справу зі ще одним важливим, але не настільки очевидним викликом. У режимі нон-стоп довелося реорганізовувати інформаційну безпеку, пристосовуючи її до нових реалій.

Відео дня

Директор з інформаційних технологій Parimatch Tech Андрій Чігаркін розповів, з якими організаційними і продуктовими ризиками мала справу компанія, а також як вдалося вивести інформаційну безпеку на якісно новий рівень.

Кейс № 1. Перейти від параноїдального режиму до комплексних IT-рішень

В умовах тотального локдауну організаційна безпека вийшла на перший план. Продуктову безпеку ми підтримували і посилювали як і раніше, адже це основний бізнес-напрям.

З якими викликами потрібно було впоратися першочергово? По-перше, в компанії формат доступу до внутрішніх корпоративних ресурсів чітко зафіксований робочою технікою. Це одна з базових вимог інформаційної безпеки для команд: потрібно працювати з робочої станції або з ноутбуків, на яких налаштовані захисні ПЗ, багатофакторна аутентифікація, моніторинг активностей. Коли співробітники роз'їхалися по домівках, ми в стислі терміни забезпечили всіх необхідною робочою технікою. Колапсу вдалося уникнути.

Не забуваємо, Parimatch Tech це R&D центр міжнародного холдингу Parimatch, що працює в Україні.

По-друге, до березневого карантину в більшості компаній 80% співробітників працювали в офісах, близько 20% — дистанційно. Протягом березня-травня звичний формат роботи буквально став з ніг на голову: до 90% співробітників почали працювати з дому. Зростання віддалених підключень на VPN-сервери (віртуальна приватна мережа, яка забезпечує шифрування між клієнтом і VPN-сервером, — ред.) збільшилось у 12 разів, операційне навантаження на підтримку віддалених співробітників також різко зросло. Крім того, зросло навантаження на моніторингову функцію: IT-команда пильно стежила, хто зі співробітників відвідує конкретні сервери, аналізувала причинно-наслідкові зв’язки. У перші місяці карантину вся функція безпеки функціонувала в режимі параної. Частково через те, що мережеві доступи були максимально обмеженими. А отже, необхідні доступи видавалися за запитом, і співробітники наражалися на організаційні труднощі їх отримання. Рівень параної пом’якшав у міру того, як IT-команда розуміла, хто приєднується до мережі і чи має таке підключення відбуватися в принципі. Хоча водночас ми почали шукати принципово нову парадигму інформаційної безпеки.

Не забуваємо, Parimatch Tech — це R&D центр міжнародного холдингу Parimatch, що працює в Україні. Компанія обслуговує не тільки українців, а й команди сусідніх країн. Щоб забезпечити локальну безпеку мережевого доступу, ми обмежили доступ «міжнародників» в рамках мережевого периметра нашої внутрішньої мережі. Також переглянули концепт доступу до корпоративних ресурсів регіональних працівників.

У центрі концепту визначено підхід Zero Trust і принцип мінімальних привілеїв. Так виникла ідея перейти на спеціальний сервіс віддаленого доступу: надалі колеги з регіонів отримують доступ до наших ресурсів без підключення до корпоративної мережі. Ця програма дозволяє надати доступ до частини внутрішніх ресурсів, аби дати доступ в Datacenter. Без VPN і установлення додаткових агентів команди можуть долучитися до системи Cloudflare, де представлені внутрішні ресурси і є багатофакторна авторизація. У такий спосіб ми скоротили вірогідність зараження всередині мережі та мінімізували ризики, пов’язані з прискореним атаками VPN-сервісів. Адже глобально VPN слугує як якась єдина точка відмови, недоступність якої може вивести з ладу всі операційні процеси. Якщо VPN-сервіс або сервіс віддаленого доступу ненадійний, бізнес може повністю зупинитися. Такого збою ми собі дозволити не могли.

poster
Дайджест головних новин
Безкоштовна email-розсилка лише відбірних матеріалів від редакторів НВ
Розсилка відправляється з понеділка по п'ятницю
Андрій Чігаркін, директор з інформаційних технологій Parimatch Tech
Фото: Андрій Чігаркін, директор з інформаційних технологій Parimatch Tech

Кейс № 2. Запобігти зламам і враховувати людський фактор

Продуктовий профіль ризиків локдаун практично не змінив. Зросла тільки частота серйозних хакерських атак, приблизно від 2 до 3−5 на місяць.

Візьмемо, наприклад, DDoS-атаки. Це комплекс дій, здатний повністю або частково вивести з ладу інтернет-ресурс. Що під час карантину, що до нього наші ресурси постійно «намагалися покласти». Тримаючи руку на пульсі, ми аналізували особливості березневих атак — і запускали власні DDoS-тести. Прагнули відпрацювати оперативність реакції, переконатися в надійності моніторингової системи, зрозуміти, скільки часу триватимуть контрзаходи. Якщо не відпрацювати процеси і реакцію, є ризик зіткнутися з вимаганням та шантажем.

Брутфорсінг також стрімко набрав обертів. Це метод зламу шляхом добору всіх можливих комбінацій пароля. До і під час карантину сталося безліч зливів паролів, тож ризик знову на порядку денному. Частково активніше і старанніше довелося припиняти цей вид атак, оскільки зловмисники помітили: «ринку потрібно швидко адаптуватися до нових реалій, може не встигнути оперативно відреагувати». Ось і доводиться постійно бути напоготові, щоб не прогаяти добре продуману пастку.

Ну і куди ж без фішингу, виманювання у користувачів їхніх персональних даних. Здебільшого це паролі або номери кредитних карток. У ковідний період цей вид шахрайства зріс в рази: хакінг на тривозі людей — вдала наживка. Хоч цільового фішингу наша команда не виявила, але нам довелося постійно з ним працювати — він надходить з найрізноманітніших джерел.

Усвідомивши, що гібридні формати роботи нікуди не зникнуть в найближчому майбутньому, ми запустили програму обізнаності для співробітників, які працюють віддалено. У простий і доступний спосіб awareness-програма допомагає навчитися розпізнавати хакінг і не потрапляти на наживки в мережі. Чому це важливо? Існує недооцінений психологічний нюанс при роботі вдома або в тому ж коворкінгу — навмисне внутрішнє відчуття спокою і зниженого порога критичності. За кілька останніх місяців ми побачили, що люди почали менш критично ставитися до безпеки. Наприклад, не переймаються встановленням складних паролів або відкривають листи, до яких немає довіри.

Андрій Чігаркін, директор з інформаційних технологій Parimatch Tech
Фото: Андрій Чігаркін, директор з інформаційних технологій Parimatch Tech

Оскільки слабкою ланкою в ланцюзі безпеки була і залишається людина, ми прагнули створити ефективну awareness-програму не в канонічному стилі. Уявіть, можна весело і просто розповідати про соціальну інженерію, ризик-менеджмент, фішинг та інші види зламу. У кожному корпоративному порталі ми розробили сторінку з восьми доменів безпеки і навичок, які потрібно прокачувати. По закінченню навчання і тестування кожен співробітник побачить, наскільки скіли в тих чи інших доменах безпеки у нього розвинені. До того ж подання інформації прив’язане до ігрової динаміки. З кожним рівнем співробітник отримує новий титул і приємний корпоративний презент. Завдяки такій неформальній внутрішній кампанії ми знижуємо ризики, пов’язані з людським фактором. В ідеалі, звести б їх до мінімуму, щоб жоден клікбейт на віддаленці не пройшов.

Кейс № 3. Про що мають пам’ятати продуктові компанії, розвиваючи IT-безпеку

Усі складові IT-системи мають бути незалежними і розділеними. Продукт для вебсайту має працювати на власній інфраструктурі, користувачі — на своєму інтернеті і своїх серверах. Звісно, у користувачів має бути можливість оперувати до бек-офісних продуктів. Але важливо пам’ятати, що це вже продукт з власною інфраструктурою. Щойно між ними є перетин, відразу збільшується ймовірність зламу в кілька разів. Варто пам’ятати: основні ризики завжди надходять від людей якраз під час підключення.

Для Parimatch Tech робота з базовими ризиками і запобігання загрозам перетворюється на таку собі хірургічну операцію. Ми всі в IT-команді розуміємо, що насамперед працюємо з емоціями людей. І нам надважливо постійно боротися за поліпшення якості продукту.

Важливо також дотримуватися мережевої і сервісної сегментації. Тобто визначати, кому та які доступи необхідні для певного сегмента роботи і не більше. Сегментація і мінімізація повноважень дозволяє тим чи іншим співробітникам бачити тільки невеликий шматочок сервісів, до іншого масиву даних вони просто не мають доступу. А отже, не можуть завдати шкоди. Тут набуває чинності простий закон: що менше людей мають доступ до мережі, то менша ймовірність настання ризику.

І, звісно ж, спостереження. Потрібно постійно моніторити, що відбувається з боку продукту і з боку користувача. Найближчим часом зросте попит на всеосяжний моніторинг, який допомагає приймати більш якісні та зважені рішення щодо інформаційної безпеки.

Вкотре наголошую: безпека — це невіддільна частина продукту. Будь-який користувач є доволі емоційним за своєю суттю. Годі й казати про користувача, котрий звик отримувати потрібну інформацію за декілька секунд. Для нього будь-який збій або злам рівнозначний найсильнішому емоційному обуренню. Ліпше цього не допускати від слова взагалі. Тому для Parimatch Tech робота з базовими ризиками і запобігання загрозам перетворюється на таку собі хірургічну операцію. Ми всі в IT-команді розуміємо, що насамперед працюємо з емоціями людей. І нам надважливо постійно боротися за поліпшення якості продукту.

Показати ще новини
Радіо НВ
X