По оценке Сбербанка, сделанной в 2016 году, количество киберпреступлений к 2018 году может вырасти примерно в 4 раза, при этом общие потери России от киберпреступлений могут превысить 2 трлн рублей.
Эта и другие «вдохновляющие» перспективы ИБ неизменно сводятся к одному: количество кибератак независимо от их формы — не важно — массовые или целевые — в обозримом будущем будет только расти, а суммарные потери от них будут только увеличиваться. Подобные перспективы заставляют серьезно задуматься над тем, на правильном ли мы — специалисты по ИБ — пути или необходимо пересмотреть используемые подходы для качественного рывка вперед.
Одной из причин роста количества атак и их успешности является ежедневно увеличивающийся разрыв между возможностями профессиональных киберпреступников и все еще огромной частью организаций, в которых ИБ не уделяется внимание вообще. Злоумышленники идут по пути наименьшего сопротивления, выбирая наименее подготовленные и защищенные жертвы. Поэтому в большинстве случаев значительных атак организации были абсолютно беззащитны перед профессиональными киберпреступниками. Подобные размышления вызывают у некоторых безопасников и, что еще важнее, представителей топ-менеджмента, ложное чувство защищенности, основанное на простой мысли: чем больше мы тратим на ИБ, тем более мы защищены.
Однако это самовнушение скрывает печальную истину: независимо от величины организации, ее финансовых возможностей и бюджетов на ИБ, количества специалистов и их квалификации перед лицом организованной киберпреступности все равны, и вопрос компрометации — это лишь вопрос того, сколько злоумышленник готов потратить ресурсов и, самое главное, времени на атаку.
Будем честны, основным драйвером ИБ для большинства организаций (особенно финансовых) в России являются регуляторы и их нормативные требования. В итоге вся философия защиты определяется подходом, продвигаемым регуляторами. Основная проблема этой философии и, соответственно, всех современных отечественных фреймворков по ИБ, начиная от подзаконных актов ФЗ-152 и заканчивая нормативной документацией Центробанка РФ, заключается в изначально неверном посыле о том, что в первую очередь необходимо опираться на превентивные контроли ИБ. Вернее — на устаревшем посыле. Данный тезис, логически вышедший из практик защиты гостайны, сейчас, в условиях текущего развития ИТ-технологий и колоссальных требований к скорости протекания бизнес-процессов, не актуален.
К сожалению, подобные тенденции присутствуют и в зарубежных стандартах. Примером может служить PCI DSS, который идет по тому же пути горожения логических заборов по целевому периметру и политике полного запретительства. К каким практическим сложностям приводит попытка применить подобный подход на области действия большей, чем 50–70 хостов, автору как практикующему QSA-аудитору в данной статье даже не хочется упоминать.
Две беды современной ИБ
В чем же проблема концепций защиты, основанных преимущественно на превентивных контролях? Основных проблем две: человеческий фактор (социальная инженерия) и размытый сетевой периметр большинства современных коммерческих организаций.
Концепция системы защиты, в первую очередь основанной на принципе защиты сетевого периметра, крайне сомнительна в сегодняшних реалиях. Сетевой периметр более-менее крупной организации давно перестал быть просто набором внешних IP-адресов с опубликованными сервисами — сейчас это мобильные устройства работников, их домашние компьютеры, сетевые разъемы и Wi-Fi-сети, установленные в офисах, точки подключения устройств обслуживания клиентов (банкоматы, информационно-платежные терминалы, электронные весы в розничных магазинах и т.д.).
Идея о том, что можно надежно защитить сетевой периметр, например, среднестатистического банка из топ-100, у которого открыты отделения в разных регионах страны (а значит, количество точек входа в корпоративную сеть передачи данных исчисляется десятками), уже слабо реализуема. А для ритейла с сотнями магазинов, причем в каждом есть неквалифицированные работники, Wi-Fi-сети, скоммутированные сетевые порты для подключения устройств обслуживания клиентов в зале или крупного банка с сотнями отделений эта идея просто нереализуема.
Фактически в любой области, будь то банки, ритейл, телеком или страховые компании, понятие «сетевой периметр» на текущий момент невозможно точно определить и контролировать. Исключение составляют разве что предприятия промышленности, чьи производственные мощности консолидированы в рамках одного надежно защищенного физического периметра.
Специфика целенаправленных атак: социальная инженерия + использование уязвимостей «zero-day» + значительный запас времени, — приводит к тому, что злоумышленник так или иначе и практически гарантированно сможет преодолеть любую защиту периметра и иные превентивные контроли.
Читатель может возразить мне, заметив, что в современных системах обеспечения ИБ детектирующие контроли занимают не менее важное место, чем превентивные, однако я вынужден с этим не согласится. Едва ли текущие реализации детектирующих контролей можно считать эффективными. Во-первых, основная проблема всех распространенных средств защиты информации, обеспечивающих функции детектирования (IDS/IPS, WAF, DAM, Integrity Control, NetFlow анализаторы и т.д.), — огромное количество ложных срабатываний. Данная проблема должна решаться перманентным тюнингом политик средств защиты под конкретную ИТ-инфраструктуру, но в подавляющем большинстве организаций этого не происходит из-за нехватки кадровых ресурсов или их низкой квалификации. Во-вторых, все более значимой проблемой становится наличие в инфраструктуре так называемого Shadow-IT (неучтенных ИТ-ресурсов, которые не покрываются средствами защиты). О том, что данная проблема становится все более актуальной, свидетельствует возрастающее количество запросов от наших клиентов на такую, казалось бы, тривиальную задачу, как инвентаризация объектов сети.
Безусловно, есть организации, и в первую очередь это продвинутые ИТ-компании, которые серьезнейшее внимание уделяют продвинутому детектированию, но это скорее счастливые исключения из описанного выше, а не правила.
Другой концептуальной проблемой текущего подхода к построению систем защиты является идея строго формального моделирования угроз ИБ. Вообще проблема классического подхода к моделированию угроз и последующему анализу рисков выражается известной фразой У. Черчилля «Генералы всегда готовятся к прошлой войне». В сфере ИБ это изречение можно перефразировать в «Безопасники учитывают только известные угрозы». Но не только в этом заключается проблема анализа рисков ИБ. На каждом шаге классического подхода к анализу рисков ИБ приходится сталкиваться с задачами, которые с теоретической точки зрения выглядят выполнимыми, но на практике оказываются не всегда решаемы. Что считать активами и до какой глубины их декомпозировать? Как учесть будущие угрозы? Как учитывать уязвимости «zero-day»? Как учесть степень потери (%) свойства ИБ в ходе реализации атаки? и т.д.
На практике ответы на поставленные выше вопросы лежат в плоскости значительного упрощения процесса анализа рисков. Это приводит к тому, что он становится способом формализации подхода к анализу проблем, а не инструментом их решения. И в результате плана обработки рисков ИБ определяется набор мер, необходимость которых и так не вызывает сомнений у специалистов. Действительно, нужен ли анализ рисков, чтобы понять, что необходим антивирус или периметровый межсетевой экран?
Извечный вопрос: что делать?
Описанные выше соображения не претендуют на то, чтобы стать новостью в мире ИБ, но их все же необходимо изложить, чтобы перейти к извечному вопросу «Что делать?».
Как и в любой другой предметной области, «серебряной пули» в ИБ не существует, а решение нужно искать комплексное, методом проб и ошибок.
- Во-первых, несмотря на все описанные выше недостатки, классический подход, основанный на главенстве превентивных контролей, совместно с текущими средствами детектирования имеет свои преимущества. В первую очередь это реализация принципа 80 на 20, когда 80% известных угроз закрываются 20% усилий.
- Во-вторых, необходимо больше доверять аутсорсингу в ИБ. Поскольку именно в этом случае при совершении целенаправленной атаки на организацию, ей сразу же будет оказана помощь профессионалов, специализирующихся на противодействии целенаправленным атакам.
- В-третьих, нужно менять парадигму защиты с «необходимо защитить периметр и не пустить злоумышленника в сеть» на «периметр и пользовательские у.з. всегда могут быть скомпрометированы, поэтому защита должна строиться на максимально быстром обнаружении факта проникновения».
Здесь уместна полная аналогия с ситуацией в области физической защиты. Никто не строит безопасность своего жилища на основе идеи о защите двери в подъезд или на лестничную клетку. Более того, известно, что даже лучшая дверь в квартиру не гарантирует защиту от взломщиков, потому что есть балкон, решетки на который ставить не очень хочется, или окно, а самое главное, потому что любой замок может быть взломан при наличии достаточного количества времени. Добавление к превентивным средствам детектирующих в виде сигнализаций и средств видеонаблюдения, а также корректирующих в виде групп быстрого реагирования позволяет качественно повысить надежность превентивных средств — у злоумышленника просто не хватит времени на их обход.
Именно идея не дать злоумышленнику достаточно времени для преодоления внутренних логических «заборов» и должна лежать в основе современных систем защиты.
Иными словами, главным становится не защита абстрактных активов самих по себе, а противодействие злоумышленникам. В этом случае основной задачей становится профилирование злоумышленника, а основой для построения системы защиты — детектирующие контроли.
Естественность перехода к новой парадигме подтверждают и зарубежные издания. Gartner предсказывает изменении структуры бюджетов ИБ: «Gartner predicts that by 2020, 60% of enterprise information security budgets will be allocated for rapid detection and response approaches, up from less than 30 percent in 2016».
Аналогичные предсказания, но на более ограниченном временном промежутке дает SANS в своей аналитике IT Security Spending Trends: «Together with current spending, detection and response assumes the leading position in next (2017. — Авт.) year’s budget, overtaking prevention and protection».
Подобное изменение парадигмы не может не сказаться на реализуемых мерах защиты. Извечная проблема того, что ИБ являются догоняющим ИТ, должна решаться за счет максимальной универсализации детектирующих мер защиты. Можно сформулировать три критерия эффективности детектирующих мер:
A. Детектирующие меры защиты должны как можно меньше зависеть от изменений ИТ- инфраструктуры. Иными словами, не важно, какие новые угрозы и риски порождаются изменением ИТ- инфраструктуры, выбранные меры должны оставаться максимально актуальными (разумеется, в разумных пределах).
B. Должен обеспечивать минимальный уровень ложных срабатываний. Детектирующие меры должны как можно меньше зависеть от человеческих ресурсов и их квалификации.
C. На этапе эксплуатации детектирующие меры защиты должны быть максимально независимыми от параметров защищаемых активов, их внутренних свойств, ценности, режимов обработки, требований по доступности и т.д.
Все новое — хорошо забытое старое
Что позволяет улучшить методы детектирования: SOC, в первую очередь коммерческий, User Behavior Analytics, и еще одно несправедливо забытое решение — ханипот — заведомо уязвимый объект сети, провоцирующий злоумышленника на атаку, а следовательно, на проявления себя. Правильно внедренный ханипот идеально вписывается в описанные выше критерии, так как он направлен не на защиту активов, а на противодействие нарушителю. Безусловно, ханипот тоже не внедряется по щелчку пальца и требует предварительного проектирования и подготовки. Основной сложностью здесь является сокрытие ханипота в ИТ- инфраструктуре, но сложность этой задачи несопоставима со сложностью внедрения того же SIEM. Все преимущества и ограничения этой технологии мы рассмотрим в следующей статье.
Несмотря на поднятые в статье проблемы, автор уверен, что индустрия с ними справится, и методы обеспечения защиты перейдут на качественно новый уровень. Вопрос лишь в том, когда этот переход будет осуществлен — в среднесрочной перспективе или в долгосрочной, и что это будет: осознанное, управляемое движение или хаотичная реакция на все увеличивающееся количество киберпреступлений.