Основные принципы современной информационной безопасности
Информационная безопасность Информационная безопасность

В данной статье автор предлагает читателям задуматься о том, в какую сторону развивается наша индустрия, а также берет на себя смелость изложить свои соображения по поводу того, как направить это развитие в конструктивное русло.

Информационная безопасность Тема номера

Философия защиты

Дата публикации:
16.08.2017
Посетителей:
416
Просмотров:
360
Время просмотра:
2.3

Авторы

Автор
Павел Волчков Заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»
В данной статье автор предлагает читателям задуматься о том, в какую сторону развивается наша индустрия, а также берет на себя смелость изложить свои соображения по поводу того, как направить это развитие в конструктивное русло.

 

 

По оценке Сбербанка, сделанной в 2016 году, количество киберпреступлений к 2018 году может вырасти примерно в 4 раза, при этом общие потери России от киберпреступлений могут превысить 2 трлн рублей.

 

Эта и другие «вдохновляющие» перспективы ИБ неизменно сводятся к одному: количество кибератак независимо от их формы — не важно — массовые или целевые — в обозримом будущем будет только расти, а суммарные потери от них будут только увеличиваться. Подобные перспективы заставляют серьезно задуматься над тем, на правильном ли мы — специалисты по ИБ — пути или необходимо пересмотреть используемые подходы для качественного рывка вперед.

 

Одной из причин роста количества атак и их успешности является ежедневно увеличивающийся разрыв между возможностями профессиональных киберпреступников и все еще огромной частью организаций, в которых ИБ не уделяется внимание вообще. Злоумышленники идут по пути наименьшего сопротивления, выбирая наименее подготовленные и защищенные жертвы. Поэтому в большинстве случаев значительных атак организации были абсолютно беззащитны перед профессиональными киберпреступниками. Подобные размышления вызывают у некоторых безопасников и, что еще важнее, представителей топ-менеджмента, ложное чувство защищенности, основанное на простой мысли: чем больше мы тратим на ИБ, тем более мы защищены.

Однако это самовнушение скрывает печальную истину: независимо от величины организации, ее финансовых возможностей и бюджетов на ИБ, количества специалистов и их квалификации перед лицом организованной киберпреступности все равны, и вопрос компрометации — это лишь вопрос того, сколько злоумышленник готов потратить ресурсов и, самое главное, времени на атаку.

 

Будем честны, основным драйвером ИБ для большинства организаций (особенно финансовых) в России являются регуляторы и их нормативные требования. В итоге вся философия защиты определяется подходом, продвигаемым регуляторами. Основная проблема этой философии и, соответственно, всех современных отечественных фреймворков по ИБ, начиная от подзаконных актов ФЗ-152 и заканчивая нормативной документацией Центробанка РФ, заключается в изначально неверном посыле о том, что в первую очередь необходимо опираться на превентивные контроли ИБ. Вернее — на устаревшем посыле. Данный тезис, логически вышедший из практик защиты гостайны, сейчас, в условиях текущего развития ИТ-технологий и колоссальных требований к скорости протекания бизнес-процессов, не актуален.

 

К сожалению, подобные тенденции присутствуют и в зарубежных стандартах. Примером может служить PCI DSS, который идет по тому же пути горожения логических заборов по целевому периметру и политике полного запретительства. К каким практическим сложностям приводит попытка применить подобный подход на области действия большей, чем 50–70 хостов, автору как практикующему QSA-аудитору в данной статье даже не хочется упоминать.

Две беды современной ИБ

 

В чем же проблема концепций защиты, основанных преимущественно на превентивных контролях? Основных проблем две: человеческий фактор (социальная инженерия) и размытый сетевой периметр большинства современных коммерческих организаций.

 

Концепция системы защиты, в первую очередь основанной на принципе защиты сетевого периметра, крайне сомнительна в сегодняшних реалиях. Сетевой периметр более-менее крупной организации давно перестал быть просто набором внешних IP-адресов с опубликованными сервисами — сейчас это мобильные устройства работников, их домашние компьютеры, сетевые разъемы и Wi-Fi-сети, установленные в офисах, точки подключения устройств обслуживания клиентов (банкоматы, информационно-платежные терминалы, электронные весы в розничных магазинах и т.д.).

 

Идея о том, что можно надежно защитить сетевой периметр, например, среднестатистического банка из топ-100, у которого открыты отделения в разных регионах страны (а значит, количество точек входа в корпоративную сеть передачи данных исчисляется десятками), уже слабо реализуема. А для ритейла с сотнями магазинов, причем в каждом есть неквалифицированные работники, Wi-Fi-сети, скоммутированные сетевые порты для подключения устройств обслуживания клиентов в зале или крупного банка с сотнями отделений эта идея просто нереализуема.

 

Фактически в любой области, будь то банки, ритейл, телеком или страховые компании, понятие «сетевой периметр» на текущий момент невозможно точно определить и контролировать. Исключение составляют разве что предприятия промышленности, чьи производственные мощности консолидированы в рамках одного надежно защищенного физического периметра.

 

Специфика целенаправленных атак: социальная инженерия + использование уязвимостей «zero-day» + значительный запас времени, — приводит к тому, что злоумышленник так или иначе и практически гарантированно сможет преодолеть любую защиту периметра и иные превентивные контроли.

 

Читатель может возразить мне, заметив, что в современных системах обеспечения ИБ детектирующие контроли занимают не менее важное место, чем превентивные, однако я вынужден с этим не согласится. Едва ли текущие реализации детектирующих контролей можно считать эффективными. Во-первых, основная проблема всех распространенных средств защиты информации, обеспечивающих функции детектирования (IDS/IPS, WAF, DAM, Integrity Control, NetFlow анализаторы и т.д.), — огромное количество ложных срабатываний. Данная проблема должна решаться перманентным тюнингом политик средств защиты под конкретную ИТ-инфраструктуру, но в подавляющем большинстве организаций этого не происходит из-за нехватки кадровых ресурсов или их низкой квалификации. Во-вторых, все более значимой проблемой становится наличие в инфраструктуре так называемого Shadow-IT (неучтенных ИТ-ресурсов, которые не покрываются средствами защиты). О том, что данная проблема становится все более актуальной, свидетельствует возрастающее количество запросов от наших клиентов на такую, казалось бы, тривиальную задачу, как инвентаризация объектов сети.

 

Безусловно, есть организации, и в первую очередь это продвинутые ИТ-компании, которые серьезнейшее внимание уделяют продвинутому детектированию, но это скорее счастливые исключения из описанного выше, а не правила.

 

Другой концептуальной проблемой текущего подхода к построению систем защиты является идея строго формального моделирования угроз ИБ. Вообще проблема классического подхода к моделированию угроз и последующему анализу рисков выражается известной фразой У. Черчилля «Генералы всегда готовятся к прошлой войне». В сфере ИБ это изречение можно перефразировать в «Безопасники учитывают только известные угрозы». Но не только в этом заключается проблема анализа рисков ИБ. На каждом шаге классического подхода к анализу рисков ИБ приходится сталкиваться с задачами, которые с теоретической точки зрения выглядят выполнимыми, но на практике оказываются не всегда решаемы. Что считать активами и до какой глубины их декомпозировать? Как учесть будущие угрозы? Как учитывать уязвимости «zero-day»? Как учесть степень потери (%) свойства ИБ в ходе реализации атаки? и т.д.

 

На практике ответы на поставленные выше вопросы лежат в плоскости значительного упрощения процесса анализа рисков. Это приводит к тому, что он становится способом формализации подхода к анализу проблем, а не инструментом их решения. И в результате плана обработки рисков ИБ определяется набор мер, необходимость которых и так не вызывает сомнений у специалистов. Действительно, нужен ли анализ рисков, чтобы понять, что необходим антивирус или периметровый межсетевой экран?

 

Извечный вопрос: что делать?

 

Описанные выше соображения не претендуют на то, чтобы стать новостью в мире ИБ, но их все же необходимо изложить, чтобы перейти к извечному вопросу «Что делать?».

 

Как и в любой другой предметной области, «серебряной пули» в ИБ не существует, а решение нужно искать комплексное, методом проб и ошибок.

 

  • Во-первых, несмотря на все описанные выше недостатки, классический подход, основанный на главенстве превентивных контролей, совместно с текущими средствами детектирования имеет свои преимущества. В первую очередь это реализация принципа 80 на 20, когда 80% известных угроз закрываются 20% усилий.

  • Во-вторых, необходимо больше доверять аутсорсингу в ИБ. Поскольку именно в этом случае при совершении целенаправленной атаки на организацию, ей сразу же будет оказана помощь профессионалов, специализирующихся на противодействии целенаправленным атакам.

  • В-третьих, нужно менять парадигму защиты с «необходимо защитить периметр и не пустить злоумышленника в сеть» на «периметр и пользовательские у.з. всегда могут быть скомпрометированы, поэтому защита должна строиться на максимально быстром обнаружении факта проникновения».

 

Здесь уместна полная аналогия с ситуацией в области физической защиты. Никто не строит безопасность своего жилища на основе идеи о защите двери в подъезд или на лестничную клетку. Более того, известно, что даже лучшая дверь в квартиру не гарантирует защиту от взломщиков, потому что есть балкон, решетки на который ставить не очень хочется, или окно, а самое главное, потому что любой замок может быть взломан при наличии достаточного количества времени. Добавление к превентивным средствам детектирующих в виде сигнализаций и средств видеонаблюдения, а также корректирующих в виде групп быстрого реагирования позволяет качественно повысить надежность превентивных средств — у злоумышленника просто не хватит времени на их обход.

 

Именно идея не дать злоумышленнику достаточно времени для преодоления внутренних логических «заборов» и должна лежать в основе современных систем защиты.

 

Иными словами, главным становится не защита абстрактных активов самих по себе, а противодействие злоумышленникам. В этом случае основной задачей становится профилирование злоумышленника, а основой для построения системы защиты — детектирующие контроли.

 

Естественность перехода к новой парадигме подтверждают и зарубежные издания. Gartner предсказывает изменении структуры бюджетов ИБ: «Gartner predicts that by 2020, 60% of enterprise information security budgets will be allocated for rapid detection and response approaches, up from less than 30 percent in 2016».

 

Аналогичные предсказания, но на более ограниченном временном промежутке дает SANS в своей аналитике IT Security Spending Trends: «Together with current spending, detection and response assumes the leading position in next (2017. — Авт.) year’s budget, overtaking prevention and protection».

 

Подобное изменение парадигмы не может не сказаться на реализуемых мерах защиты. Извечная проблема того, что ИБ являются догоняющим ИТ, должна решаться за счет максимальной универсализации детектирующих мер защиты. Можно сформулировать три критерия эффективности детектирующих мер:

 

A. Детектирующие меры защиты должны как можно меньше зависеть от изменений ИТ- инфраструктуры. Иными словами, не важно, какие новые угрозы и риски порождаются изменением ИТ- инфраструктуры, выбранные меры должны оставаться максимально актуальными (разумеется, в разумных пределах).

 

B. Должен обеспечивать минимальный уровень ложных срабатываний. Детектирующие меры должны как можно меньше зависеть от человеческих ресурсов и их квалификации.

 

C. На этапе эксплуатации детектирующие меры защиты должны быть максимально независимыми от параметров защищаемых активов, их внутренних свойств, ценности, режимов обработки, требований по доступности и т.д.

 

Все новое — хорошо забытое старое

 

Что позволяет улучшить методы детектирования: SOC, в первую очередь коммерческий, User Behavior Analytics, и еще одно несправедливо забытое решение — ханипот — заведомо уязвимый объект сети, провоцирующий злоумышленника на атаку, а следовательно, на проявления себя. Правильно внедренный ханипот идеально вписывается в описанные выше критерии, так как он направлен не на защиту активов, а на противодействие нарушителю. Безусловно, ханипот тоже не внедряется по щелчку пальца и требует предварительного проектирования и подготовки. Основной сложностью здесь является сокрытие ханипота в ИТ- инфраструктуре, но сложность этой задачи несопоставима со сложностью внедрения того же SIEM. Все преимущества и ограничения этой технологии мы рассмотрим в следующей статье.

Несмотря на поднятые в статье проблемы, автор уверен, что индустрия с ними справится, и методы обеспечения защиты перейдут на качественно новый уровень. Вопрос лишь в том, когда этот переход будет осуществлен — в среднесрочной перспективе или в долгосрочной, и что это будет: осознанное, управляемое движение или хаотичная реакция на все увеличивающееся количество киберпреступлений.

Уведомления об обновлении тем – в вашей почте

«Карл у Клары украл кораллы»: Road Show SearchInform 2022

ИБ-тренды 2022. Кейс: как поймать инсайдера, который сливает информацию конкурентам?

Новый подход к защите информации — системы обнаружения компьютерных угроз

Системы обнаружения сетевых вторжений и выявления признаков компьютерных атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Penetration Test по полочкам

Последняя пара лет была богата на события, которые резко повысили интерес общества к теме хакерских атак. Скандал со взломом систем демократической партии США, выведение из строя энергетических систем инфраструктуры Министерства финансов и казначейства Украины…

Как минимизировать угрозу Shadow IT

Что может узнать о компании злоумышленник, взломавший СКУД? Какие личные девайсы сотрудников особенно опасны с точки зрения ИБ? Может ли Shadow IT стать причиной остановки завода?

О банковском мошенничестве в целом и многообразии внутреннего в частности

Как автоматизировать контроль прав линейных сотрудников банка? Что лежит в основе моделей выявления аномального поведения? От чего зависит безопасность банковских бизнес-операций?

Кибератаки на критическую инфраструктуру — миф или реальность?

Число кибератак на промышленные системы растет. Если недавно эта проблема носила умозрительный характер, сейчас она приобрела реальные очертания. Причем нарушение промышленной безопасности чревато последствиями, далеко выходящими за рамки финансового ущерба и потери деловой репутации.

Задание: шпионаж

Я положил перед сидевшим молча президентом полную инструкцию по изготовлению самого важного из продуктов, разрабатываемых его компанией. Президент продолжал молчать, когда на его стол лег развернутый план разработок компании. Президент откинулся на ...

«Оставим иллюзии, что мы защищены»: как прошел Инфофорум-2023

Почему российским компаниям рано расслабляться? Могут ли отечественные решения справиться с современными угрозами? Чего бизнесу ждать в будущем?

Слепые пятна ИБ

О чем чаще всего забывает безопасник? Где искать Shadow IT? Что интересного есть выше L7 ISO/OSI?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня