С чего начать обеспечение информационной безопасности? Ключевые угрозы и средства защиты
Наверняка многие мои коллеги, работающие в сфере информационной безопасности, попадали в ситуацию, когда, приходя на новое место работы, понимали, что с точки зрения технологий и бизнеса компания работает вполне успешно, но информационной безопасности никогда не уделялось должного внимания, и сейчас необходимо начать ее грамотное внедрение “без остановки рабочей машины”, то есть на ходу, без прерывания бизнес-процессов, обеспечивающих основной доход. Так часто происходит, потому что руководство не всегда осознает, что безопасность критичных процессов необходимо внедрять еще на этапе их разработки, а не тогда, когда “стало понятно, что нужно это защищать”. Этот подход будет проблемнее и затратнее, но, пока на горизонте не видно прибыли или существенных рисков ее потери, об информационной безопасности никто не задумывается. В статье я поделюсь опытом обеспечения ИБ компании в подобной ситуации
Первое, что необходимо сделать, — определить направление, в котором будет двигаться ваша защита относительно конкретной организации. Оно зависит от того, чем занимается компания, каковы ее основные информационные активы, критически важные процессы и т.д. Исходя из основных аспектов работы, вы уже должны понимать, на какой из уровней будущей защиты будете делать основной упор. Рекомендую также выстроить грамотные отношения с коллегами из департамента информационных технологий, так как именно они способны помочь вам ознакомиться со всеми бизнес-процессами и информацией, которую будет необходимо защищать.
Основная и главная задача любого отдела информационной безопасности в том, чтобы находить и устранять новые уязвимости в системах и процессах компании до того, как они перерастут в полноценные угрозы с немалой степенью риска их реализации. Я предлагаю всегда разделять угрозы на внутренние и внешние.
Внутренние угрозы
Подавляющее большинство угроз — внутренние. Они возникают из-за отсутствия понимания коллег, имеющих доступ к защищаемой информации, того, в каких случаях ошибка в действиях может повлечь за собой серьезную угрозу. Поэтому в первую очередь я рекомендую позаботиться о внутренних угрозах, если нет возможности разделить обязанности с коллегами на параллельно выполняющиеся, но это уже кадровый вопрос для вашего отдела информационной безопасности.
Инфологическая модель
Чтобы иметь полное и наглядное представление о том, как основные процессы и отделы в организации функционируют между собой, стоит разработать инфологическую модель компании (или несколько для каждого сложного процесса или отдела). Благодаря этому у вас должно сложиться представление, как движется информация в компании, какие системы используются для ее обработки, где она хранится, а также как она попадает в компанию и куда передается вовне. Если добавить к инфологической модели грамотную оценку критичности информационных активов, то вам станет ясно, какие области и процессы являются наиболее критичными. С них и стоит начать поиск уязвимостей.
рис. 1. Инфологическая модель
Нормативные документы информационной безопасности
Нормативные документы информационной безопасности помогут проинформировать ваших коллег об определенных рисках и правилах во время выполнения своих служебных обязанностей. Я бы рекомендовал взять за основу следующий комплекс документов:
- политика информационной безопасности;
- парольная политика;
- политика обработки персональных данных;
- инструкции для пользователей и администраторов ИС;
- инструктаж по информационной безопасности;
- периодические рассылки для сотрудников.
Само собой, этот перечень документов не является исчерпывающим, но если у вас в компании их нет, значит, нормативная база со стороны информационной безопасности проработана не лучшим образом.
Доступ к ресурсам
Хотелось бы заострить внимание на процессе предоставления доступа к различным ресурсам и автоматизированным информационным системам компании. Данный процесс поможет обеспечить грамотное распределение ролей сотрудников и снизит определенные риски наступления инцидентов, связанных с действиями по неосторожности или же незнанием правил работы той или иной системы. Для правильного функционирования этого процесса необходимо подготовить понятный для сотрудников компании регламент.
Режим коммерческой тайны
Установка режима коммерческой тайны в организации — важная часть обеспечения приемлемого уровня защищенности инфраструктуры. В различных рабочих ситуациях, а также и при наступлении инцидентов правового характера наличие режима коммерческой тайны сыграет большую роль в принятии решения об исходе инцидента.
Внешние угрозы
Под внешними угрозами, как правило, понимаются те случаи, когда реализация уязвимости в системе приходит из внешних пределов защищаемого контура. Чтобы таких угроз стало значительно меньше, по крайней мере на сетевом уровне, используются различного рода программные и аппаратные средства.
Как правило, уязвимости для защиты от внешних угроз находятся в ресурсах компании, которые открыты для публичного просмотра. Например, это может быть сайт компании, мобильное приложение или лендинговая страница, в которой клиент может оставить свои контакты. Эти уязвимости формируются на этапе разработки, а также при введении в работу и обновлении данных ресурсов.
Безопасная разработка
Если ваша компания использует такие публичные страницы, как свой основной “магазин”, и содержит свой штат разработчиков, которые постоянно выпускают новые программные релизы, стоит подумать о внедрении процесса безопасной разработки. Он предполагает наличие в штате тестировщиков на проникновение (пентест), которые постоянно ищут новые уязвимости на публичных ресурсах компании, а также проверяют и тестируют предрелизные версии продукта на проникновение. Так вы можете обеспечивать безопасность вашего основного онлайн-ресурса еще на этапе разработки, снижая риски наличия критичных уязвимостей при его обновлении на новую версию.
Что касается основных технических средств для обеспечения должного уровня информационной безопасности, вам необходимо определить самостоятельно их набор, так как он зависит непосредственно от организации и направления, которое вы выбрали после изучения ее основных процессов и активов. Но я предлагаю рассмотреть самые основные и часто встречаемые и них:
- Антивирус. Безусловно, важная часть в любой инфраструктуре, без которой наверняка не обходится ни одна организация. Но, что более важно, следует грамотно настроить политику работы антивируса, а также систему оповещений, чтобы всегда быть в курсе вероятных угроз.
- Средства контроля доступа к ресурсам. Сотрудники компании должны иметь доступ только к тем ресурсам, которые необходимы им для выполнения своих служебных обязанностей. В противном случае мы имеем повышенный риск вероятной ошибки в малознакомой системе либо же намеренной утечки информации.
- Файрвол. Также незаменимый инструмент защиты от внешних угроз. Стоит отметить настройки и проанализировать его работу на предмет наличия уязвимостей.
- Анти-DDoS. Решение необходимо, так как практически все компании так или иначе размещают свои данные на сайтах, приложениях и т.д.
- Файрвол веб-приложений (WAF). Необходим для компаний, активно продвигающих свои услуги через онлайн-сервисы. Позволяет закрыть большую часть внешних уязвимостей и существенно снизить риски взлома и повысить отказоустойчивость сервиса. Рекомендуется, если у компании нет своего штата разработчиков или ресурсов для введения процесса безопасной разработки, о котором я упоминал выше.
- Система контроля действий сотрудников (DLP). Система внутреннего контроля за действиями сотрудников компании на автоматизированных рабочих местах. Повышает вероятность предотвращения ошибок/нарушений пользователей, администраторов, руководителей во время работы. Главный инструмент расследований внутренних инцидентов в области информационной безопасности.
УЗНАЙТЕ О ВОЗМОЖНОСТЯХ ЛИДОГЕНЕРАЦИИ И ПРОДВИЖЕНИИ ЧЕРЕЗ КОНТЕНТ
5 советов из практики
В заключение хотелось бы дать несколько советов всем работникам сферы информационной безопасности относительно поведения с коллегами во время выполнения ваших рабочих обязанностей.
Технологии защиты информации в компании
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
- Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
- Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
- Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
- Нежелание обучаться работе с информационными системами.
- Отсутствие у сотрудника необходимой подготовки.
- Отсутствие техподдержки, что приводит к сложностям с работой.
- Умышленное или неумышленное нарушение правил работы.
- Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
- Ошибки при переконфигурировании.
- Отказ ПО.
- Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
- Ввод неправильных данных.
- Изменение сведений.
- Подделка заголовка.
- Подделка всего текста письма.
- Отказ от исполненных действий.
- Дублирование информации.
- Внесение дополнительных сведений.
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
- Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
- Использование одних и тех же паролей в различных системах.
- Размещение информации в среде, которая не обеспечивает конфиденциальность.
- Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
- Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
- Хранение сведений на резервных носителях.
- Распространение информации по множеству источников, что приводит к перехвату сведений.
- Оставление ноутбуков без присмотра.
- Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
- Защита помещения компании от действий злоумышленников.
- Защита хранилищ информации от действий заинтересованных лиц.
- Защита от удаленного видеонаблюдения, прослушивания.
- Предотвращение перехвата сведений.
- Создание доступа сотрудников в помещение компании.
- Контроль над деятельностью сотрудников.
- Контроль над перемещением работников на территории компании.
- Защита от пожаров.
- Превентивные меры против последствий стихийных бедствий, катаклизмов.
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
- Защита конфиденциальности сведений, которые передаются по открытым каналам.
- Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
- Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
- Сохранение целостности данных при их передаче и хранении.
- Подтверждение отправки сообщения с информацией.
- Защита ПО от несанкционированного применения и копирования.
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
- Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
- Инструменты для шифрования данных.
- Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
- Инструменты для уничтожения сведений на носителях.
- Сигнализация, срабатывающая при попытках несанкционированных манипуляций.
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
Служба защиты и нападения: информационная безопасность глазами профи
Как выглядит изнутри служба ИБ, чем внутренняя безопасность отличается от внешней и почему не надо бояться хакеров — в разговоре с Антоном Бочкарёвым.
Кадр: сериал «Мифический квест»
Антон Бочкарёв
Специалист по offensive security с восьмилетним стажем, основатель нескольких стартапов в области информационной и технологической безопасности.
Содержание
Привет, я Антон Бочкарёв, потомственный айтишник. Мой отец тоже работает в этой сфере, так что в теме я, можно сказать, с детства. Информационной безопасностью я загорелся классе в девятом, когда пришёл на день открытых дверей соответствующей университетской кафедры. И пошло-поехало: школа, вуз, подработка сначала в IT, потом в ИБ, соревнования по инфобезопасности, диплом, первая работа безопасником, вторая, третья и так далее. Я своего рода энтузиаст: выступаю на научно-популярных конференциях, продвигаю эту тему в массы. В общем, как в детстве зацепило — так до сих пор и не отпускает.
Что такое служба информационной безопасности
Важно понимать, что ИБ и IT — это не одно в другом: ИБ — не часть IT, а IT — не часть ИБ. Это два больших пересекающихся множества.
Понятно, что в IT есть множество тем за рамками ИБ. Но и в безопасности есть очень многое за рамками IT. Это физическая безопасность: камеры слежения, турникеты и так далее. Это работа с персоналом. Это социальная инженерия, то есть взлом какой-либо организации через сотрудников. Это бумажки, юридические аспекты безопасности и прочее.
Кроме того, к ИБ относятся различные околофинансовые штуки для противодействия мошенничеству — например, антифрод-системы. Короче говоря, хотя ИБ и выросла из IT и тесно с ней связана, это не единый организм. Скорее это «близкие родственники»: много общих направлений, но у каждого есть и своя жизнь.
Из чего состоит служба ИБ
Если исходить из вузовской классификации, информационная безопасность делится на техническую, организационную и физическую. Но по факту сейчас они тесно связаны друг с другом, потому что даже физическая безопасность уже перестала ограничиваться турникетами и работает на IT: турникеты у нас теперь с бесконтактными картами, RFID-метками и прочими умными штуковинами. То же самое с социальной инженерией: фишинговые рассылки, обман сотрудников, вот это всё. Одно плавно перетекает в другое.
Всё неразрывно связано как с социальным фактором — с тем, чтобы сотрудники нажали на кнопку, совершили какие-то действия, так и с техническим: чтобы отработали средства защиты, чтобы сконфигурированное письмо действительно дошло до адресата, а не уничтожилось спам-фильтром и так далее. Даже физический взлом или проход на территорию в любом случае завязан на какие-то технические штуки. Всё-таки XXI век.
При этом многие IT-специалисты безопасностью не занимаются: они обслуживают системы, следят за тем, чтобы работали серверы, СКУД и тому подобное. А всё, что оказывается за рамками их полномочий, передаётся службе ИБ, которая строит стратегию, говорит, что и как должно работать. Так что в ИБ очень много гибридных направлений. Если сравнивать с IT, это чем-то похоже на сравнительно молодое направление DevOps.
В целом техническую часть ИБ можно разделить на две принципиально различающихся категории: offensive и defensive.
Defensive security — это так называемая blue team, «синяя команда» защитников. То есть сотрудники, которые занимаются мониторингом сети, настройкой средств защиты, антивирусов, безопасной разработкой. Они очень близко работают с IT: ставят security pipeline, методы проверок кода, который пишут разработчики. Часть blue team действительно работают наполовину системными администраторами, потому что им необходимо не только обслуживать средства защиты, но и банально разворачивать под них серверы.
Offensive security — атакующая команда. Несмотря на то что это звучит довольно странно, нелогично и даже как-то нелегально, это абсолютно законное направление, цель которого — в первую очередь тестирование на проникновение.
Специалисты offensive security стоят как бы вне организации: их основная задача — проверка защищённости тех или иных компонентов инфраструктуры либо всей компании в целом. Offensive security вообще родилась из того, что необходимо было как-то понять, насколько всё надёжно.
Один из самых верных способов сделать это — попробовать систему взломать. И этот подход сохраняется уже много лет. Изначально, если я правильно помню, его применяли в оборонных ведомствах США: именно там впервые начали продвигать тему тестирования на проникновение.
Чем различаются специалисты по внутренней и внешней безопасности
На самом деле скиллы и там, и там довольно разнообразные. Дело в том, что внутри каждого направления есть куча подсистем.
Например, в blue team есть отдельная очень сложная тема — форензика, или компьютерная криминалистика. Там работают люди, которые, как шутят безопасники, умеют профессионально копировать диски — и с них собирать всю информацию о том, как та или иная машина была взломана, какое вредоносное ПО использовалось, куда оно пыталось достучаться. Их задача — восстановить цепочку заражения или взлома.
Сюда же относятся ребята, занятые incident response, то есть реагированием на инциденты. Когда происходит взлом, они в тот же момент блокируют учётные записи, изолируют сегменты сетей, рабочие станции и так далее.
Скиллы у этих ребят довольно низкоуровневые: им нужно чётко понимать, как работает вредоносное ПО и как собирать цифровые доказательства с разных операционных систем. У тех, кто занимается, например, настройкой «Касперского» или других антивирусных средств, скиллы совсем другие, хотя они работают в том же blue team.
Кроме того, в blue team есть совершенно отдельное направление security operations center. Специалисты SOC — более универсальные, их задача — отслеживать угрозы в режиме реального времени. Им приходит очень много alert-информации с различных средств защиты. Они должны чётко понимать, проводится ли какая-то атака или происходит ли аномалия в сети либо на внешнем периметре, и передавать информацию куда нужно. Либо как-то самостоятельно расследовать, пока не разберутся, нужно ли вообще кому-то писать и беспокоить. Их скиллы близки к incident response, но они работают и со средствами защиты. В общем, своеобразная золотая середина.
В offensive security всё ещё сложнее. Есть люди, которые занимаются непосредственно безопасностью веб-сайтов, такие профессиональные веб-тестеры. Моя же основная специализация — тестирование на проникновение всей внутренней инфраструктуры: серверов, сетевых протоколов, spoofing , active directory , если это Windows, поднятия привилегий на любых серверах. Там совсем другие скиллы.
Отдельная категория — социальная инженерия. Я этим тоже довольно долго занимался, мне это нравилось. Там вообще работа наполовину с людьми, наполовину с технологиями, от рассылки вредоносных писем до звонков или физического прохода на территорию заказчика. Задача — всеми правдами и неправдами, не показывая никаких документов, дойти до сетевой розетки предприятия, зайти внутрь, подключиться, что-то скачать.
Если же говорить об общих чертах всех безопасников — это люди с большим желанием учиться и любопытством. И с особым подходом, который вырабатывается либо в вузе, либо, что чаще, на работе, — на всё смотреть с точки зрения именно безопасности. Ты везде ищешь брешь, уязвимость, возможность обойти тот или иной механизм.
С какими угрозами чаще всего сталкивается бизнес
Сейчас на слуху утечки, особенно из-за прошлогодних событий с «Яндекс Едой» и прочими массовыми сервисами. Их можно классифицировать на три категории.
Внутренние злонамеренные утечки — самая распространённая категория. Они происходят, когда в компании есть инсайдер, который по каким-либо мотивам хочет слить данные. Это как раз то, что произошло с «Яндекс Едой». Мотивы могут быть разные: обогащение, политика, идеология либо просто желание отомстить компании. Эти утечки наиболее опасны.
Нередко злоумышленники вербуют персонал тех же сотовых операторов или банков, чтобы через них работать на рынке «пробива». Им за это платят деньги. Над такими утечками работает в первую очередь служба безопасности. Для их фиксации пытаются ставить DLP и подобные системы контроля утечек.
Внешние злонамеренные утечки — это примерно то, что сейчас делают некоторые хакерские группировки. Правильно говорить даже не «хакерские», а «киберкриминальные», которые пытаются не только зашифровать информацию клиентов — сейчас это самый успешный способ монетизации для преступников, — но ещё и устроить утечку с целью шантажа. Например, перед одной из недавних презентаций Apple слили техническую документацию по новым макбукам. Такие утечки случаются довольно редко.
Внутренние ненамеренные. Они происходят довольно часто, но, как правило, по мелочи. Например, у вас в сети есть какой-нибудь сервер Elasticsearch . Он прекрасно работает внутри сети, его порт виден всем, кому нужно. Всё замечательно. Но тут какой-нибудь сисадмин Вася случайно ошибается и неправильно обновляет конфигурацию сетевого оборудования на периметре, и неожиданно порт Elasticsearch становится виден всему интернету. Вашу базу сразу же кто-то скачивает, а через пару дней её продают на каком-нибудь хакерском форуме как утечку. Как правило, такие утечки менее разрушительны, потому что что-то серьёзное обычно достаточно изолировано от интернета и утекает какая-то ерунда. Но компания тем не менее несёт репутационный ущерб, что неприятно.
Если же перейти вообще ко всем угрозам, то вирусы 1990-х уже не актуальны. И сами вирусы стали другими, и киберкриминальный бизнес вырос до полноценных ОПГ со своими цепочками поставок и субподрядчиками.
Против крупных корпораций вроде Microsoft работают криминальные корпорации размером чуть поменьше, где профессионально пишут вирусы-шифровальщики, которые очень хорошо и просто монетизируются. Всё это делается солидным штатом разработчиков, поддерживается тысячами криминальных сисадминов, распространяется через широкую сеть партнёров.
Всё это абсолютно разные люди, которые могут быть друг с другом даже не знакомы, а работать исключительно по системе фактически подряда друг у друга, по партнёрствам криминальным. Эти цепочки могут перестраиваться. И самые ценные в них те, кого действительно пытаются ловить сейчас все силовые структуры практически всех стран, — первые в цепочке, первоначальные шифровальщики, которые пишут сам вирус, потому что их меньше всего. Это самая сложная часть.
А дальше всё проще. Например, на распространение в таких цепочках принимают кого угодно, с минимальной репутацией. Человек работает исключительно на проценты. Его задача — отправить в какую-нибудь компанию вирус и добиться, чтобы он там что-нибудь зашифровал. Он не переживает, кто будет запрашивать выкуп и как они получат деньги. Ему просто на биткоин-кошелёк прилетит сумма.
Участники подобных криминальных схем не отдают лишнюю информацию по цепочке. Например, дилерам вирус генерируется автоматически, предварительным распространением. Разработчики отгружают его туда и за это сразу берут предоплату. Каждый распространитель получает свой уникальный вирус, можно сказать. Хотя в целом все они работают идентично. Если какой-то образец утекает и начинает детектироваться средствами защиты, об этом моментально проходит информация, и разработчик пропадает. Поэтому у силовиков редко получается восстановить цепочку полностью — никто ж никого не знает.
Можно ли провести аудит ИБ на предприятии своими силами
Лучше, конечно, доверять профессионалам, как и в любой сложной работе. Хотя минимальный, базовый аудит может сделать и дилетант. Отталкиваться нужно в первую очередь от того, что для вас критично. В каждой компании есть данные, которые действительно важны для её бизнес-процессов. Иногда эти данные на удивление простые: скажем, архив электронной почты за месяц. Просто представьте, что будет, если у вас неожиданно зашифруют электронную почту, все предыдущие письма и почта встанет.
Нужно чётко понимать, что представляет для вас наибольший риск: утечка, потеря или простой. Например, на промышленных предприятиях простой критичнее всего. Им не так важно, что какие-то данные о внутренних закупках или стоимости материалов уйдут в Сеть. Но если остановятся станки, это будут огромные потери денег.
У других же компаний клиентские данные важнее всего: если они утекут из той же «Яндекс Еды», это будет непоправимый ущерб компании, и об этом будут ещё долго вспоминать. Никакой безопасник со стороны не скажет, что для вас критичнее всего, ведь для этого нужно понимать бизнес-процессы компании.
Опять же, в безопасности есть золотое правило целесообразности, которое гласит: не нужно защищаться от угрозы ущерба в миллион средствами защиты ценой в два миллиона. Допустим, с хорошей IT-командой удивительно много можно построить на open source, но придётся выложить крупную сумму на поддержку. А можно строить на хороших дорогих продуктах, которые будет просто поддерживать. Каждый выбирает свой путь.
Как вовлечь сотрудников фирмы в деятельность по ИБ
Люди всегда совершают ошибки, это проблема, и она будет вечной. Есть так называемое «правило 7%». Я многократно наблюдал его в действии: сколько людей ни обучай, как ни мотивируй, как ни пытайся каким-то образом запугать, всё равно 7% будут подвержены тем или иным социотехническим атакам. Они откроют письмо, перейдут по опасной ссылке, введут данные либо запустят что-то не то. И эти 7% никогда не уйдут. Не потому, что люди какие-то глупые. В эти 7% может попасть кто угодно. Просто в момент, когда к ним приходит это вредоносное письмо, люди случайно оказываются в состоянии, когда они не могут критически воспринимать информацию.
Например, у человека беда: у него умер близкий родственник или ещё что-то ужасное случилось. Он вроде бы сидит на работе, но в мыслях совсем не здесь, находится в состоянии «изменённого сознания». И в этот момент он напрочь забывает обо всём, чему его учили, и становится лёгкой наживкой для мошенников.
Схожим образом, кстати, действует эйфория. Допустим, человек только что выиграл в лотерею или получил новую должность в компании. Он пишет всем друзьям: «У меня всё круто, наконец-то! Новые возможности, всё прекрасно». И тут же отключает критическое мышление, попадая в те самые 7%. В принципе, мы всегда будем подвержены таким атакам. Но обучение позволяет не поднимать эту планку угрозы выше 7%. А если людей не обучать вовсе, у вас будет не 7%, а 17–20% и даже больше.
Сейчас многие ИБ-компании проводят на постоянной основе крутые тренинги по информационной безопасности, с презентациями, тестами и даже симуляциями. Я сам принимал участие в таких проектах. Это давало неплохие результаты. Но как с людьми разговаривать? Я, наверное, уже надоел немножко с «Яндекс Едой», но они действительно хорошо поступили, что признали утечку, объяснили всем, почему так случилось, написали большое письмо. И, ссылаясь на «Яндекс Еду», можно, в принципе, разговаривать с сотрудниками: «Смотрите, вы же не хотите, чтобы наши клиенты и бизнес пострадали так же? Чтобы завод встал и мы не выплатили вам премии? Ну так не лазьте по Сети где попало».
Если с людьми разговаривать таким языком, а не языком запретов: «Всё нельзя, потому что нельзя», люди адекватно это воспринимают и начинают понимать требования, которые к ним предъявляют. Например, иногда сотрудникам непонятно, почему нельзя подключить сотовый телефон и скидывать с него какие-то файлы на рабочем месте. Надо объяснять: «Потому что вы можете принести со своего домашнего компьютера что-то, что не особо хотели».
Что делать, если утечка данных всё-таки произошла
В таких случаях, без вариантов, нужно обращаться к профессионалам: провести полноценное расследование внутри компании средствами IT-отдела практически невозможно. Более того: часто случается, что именно айтишники могут невольно или умышленно замести важные следы и помешать своей самодеятельностью специалистам по ИБ.
Главное правило в любой чрезвычайной ситуации — не действовать хаотично. В идеале кто-то должен сразу же взять на себя ответственность за управление процессом и контролировать, кто и чем будет заниматься. К счастью, и на этой стадии вам на помощь могут прийти профи, некоторые — даже на безвозмездной основе. Возможно, они не вышлют сразу же своего специалиста, но в любом случае подскажут, что делать, если в вашей сети происходит что-то странное.
Более того, зачастую они сами становятся инициаторами расследования. Допустим, они могут мониторить новенький вирус, который на данный момент практически не детектируется. И если увидят, что он попал к вам, непременно позвонят: «Здравствуйте, у вас всё хорошо? Мы увидели, что вы вирус загружали. Может, у вас какие-то проблемы? Требуется ли наша помощь?»
Самые известные из таких компаний — в первую очередь дочка Сбербанка по кибербезопасности BI.ZONE («Безопасная информационная зона»), популярная в России компания расследования инцидентов Group-IB и, конечно же, «Лаборатория Касперского».
Но и частные специалисты тоже очень неплохо работают. Например, в моём стартапе зарегистрированы эксперты, которые могут поучаствовать вначале на безвозмездной основе, а дальше как договоритесь.
Точно так же сотрудников вашей службы ИБ, скорее всего, поддержат их коллеги из других компаний. В случае, если кто-то из них замечает, что у вас возникла опасность утечки, вам, как правило, немедленно приходит письмо: «Здравствуйте, у вас вот так и так случилось. Мы обнаружили, что у вас торчит сервер. Рекомендуем побыстрее исправить, пока только мы это видим».
По этой причине, кстати, рекомендую заказывать услуги сразу у нескольких ИБ-компаний. Это помогает получить широкую палитру независимых взглядов на вашу инфраструктуру. Дороговато, конечно, но если обратиться к частным специалистам, то получится и эффективно, и не очень накладно для вашего бюджета.
Правда ли, что есть хакеры-романтики?
В начале нулевых действительно было принято восхищаться «хакерами», «фрикерами», «белыми шляпами», «чёрными шляпами», Кевином Митником и прочими культовыми персонажами IT-тусовки. Про них писали в газетах, снимали кино и вообще всячески превозносили.
В ту пору хакерами называли всех, кто хоть мало-мальски разбирался в IT или хотя бы мог что-нибудь эффектно поломать. Когда-то Крис Касперски, известный автор по безопасности, сформулировал фразу: «Главное моё преступление — любопытство». Многие взломы банков и в самом деле происходили поначалу просто из любви к самому процессу: получить доступ к сети, посмотреть, что там, пройти в какие-то внутренние подсети. Например, взлом «Ситибанка» в России, ещё при FidoNet, преследовал целью не взломать сам банк, а получить доступ к интернету из Fido.
Сейчас всё иначе: слово «хакер» перестало нести романтический полукриминальный подтекст. Теперь это просто профессионал в сфере ИБ. Хотя в английском языке ещё сохранились отголоски той эпохи. В частности, всех, кто занимается безопасностью легально, до сих пор называют white hats. Стопроцентных, беспримесных уголовников от IT — black hats. А grey hats — это, соответственно, как бы не определившиеся: те, кто работает вроде бы и легально, но время от времени делает что-то не совсем законное для себя или не совсем для себя.
Хотя часто возникает путаница. Допустим, человек взломал какой-нибудь сайт, но не нанёс никакого ущерба, а только написал письмо: «Ребята, у вас всё плохо». Он вроде бы white — но при этом он даже близко не имел права делать что-то подобное, и по закону он black. Но, с другой стороны, он же никому не навредил, а наоборот — сделал всё во благо. И поэтому он вроде как grey. Попробуй разберись в этих оттенках серого.
Так что у профессионалов в ходу более простая и понятная терминология. Есть специалисты по безопасности, они же хакеры. Есть киберкриминал, который просто зарабатывает на этом деньги. И есть активисты, то есть люди, которые используют брешь в безопасности для продвижения какой-то своей идеологии. Активизм — это продолжение старого движения Anonymous, когда с помощью взломов привлекали внимание к какой-либо проблеме.
Также выделяют компании и хакерские группировки, которые работают на спецслужбы. Это фактически подрядчики либо штатные работники силовых структур той или иной страны. С одной стороны, они не криминал, потому что не занимаются зарабатыванием денег на выкупах. С другой — их деятельность с точки зрения международного права абсолютно нелегальна.
На какую зарплату может рассчитывать специалист по ИБ и какие в этой сфере грейды
Наша табель о рангах — не совсем как в обычном IT. В безопасность, как правило, приходят двумя путями. Путь первый — прямой, как у меня: загорелся, пошёл учиться в вуз по специальности, параллельно принимал участие в каких-то движухах, соревнованиях, где-то подрабатывал и вырос в безопасника. Но он довольно редкий. Чаще люди приходят к нам через IT, так как, условно говоря, после школы не все понимают, чем они хотят заниматься. Начинает человек в своей работе искать какой-то активности — и потихонечку смещается в сторону ИБ. Это довольно органичный путь: иногда переход из IT в ИБ происходит даже в рамках одной компании.
При этом я высчитал такую зависимость: средняя зарплата в IT примерно на 30% выше, чем в безопасности. И у нас довольно сложно определить, кто junior, кто middle, а кто senior. Особенно если человек начинал в одной специальности, потом перешёл в другую, потом в третью. Я знаю примеры, когда люди из offensive переходили в defensive, потому что им просто становилось интересно. Поначалу они теряли в скиллах, но рост в нашей сфере реактивный. Если человек захочет, подниматься можно довольно быстро.
Важный момент, особенно для начинающих: высшее образование в индустрии ИБ приветствуется, но всё ещё не является обязательным и вряд ли будет таковым. Тут как в IT: скиллы важнее дипломов. У меня есть замечательные ребята. Один окончил экономфак, стал аспирантом, писал кандидатскую. Второй отучился на бухгалтера. Через какое-то время оба ушли в IT. А потом сместились и стали успешными безопасниками. Что тот, что другой — очень известные и авторитетные люди на рынке.
Вакансий для новичков хватает. Есть регулярные стажировки, особенно у гигантов. У меня был опыт, когда я собеседовал человека к нам на «новичковскую» вакансию. И к нам приходили в основном ребята после вуза. Выбирать было очень тяжело, практически не из кого: все, кто к нам приходил, были люди незаряженные. Складывалось ощущение, что они отучились просто ради галочки. Они вроде что-то освоили в процессе учёбы, а в голове каша. Для таких людей довольно тяжело найти вакансии. А если вы приходите с горящими глазами и желанием учиться, то это вам даёт гигантский бонус.
С чего начинать новичку, который хочет зайти в ИБ
Есть очень крутые конференции по ИБ. В России их три: Offzone, Positive Hack Days и ZeroNights. Первые две проходят в Москве, третья — в Санкт-Петербурге.
Можно поучаствовать в регулярных соревнованиях — например, в Capture The Flag, с которых я начинал ещё студентом. Они дают практику, позволяют влиться в тусовку, получить доступ к ресурсам по ИБ, которых на самом деле очень много. Есть известный телеграм-канал «Кавычка», который ведёт Антон Лопаницын aka Bo0oM. Там действительно крутые, глубокие вещи, связанные с web security. Есть более лайтовый, но позволяющий понять, что происходит в мире утечек, канал «Утечки информации» от компании DLBI.
Есть канал, довольно тяжёлый технически, но очень круто рассказывающий о том, что происходит в киберкриминале. Он называется SecAtor. Могу также порекомендовать канал моего товарища YAH — Yet another hacker channel. Тот же журнал «Хакер» до сих пор выходит, и там крутые статьи.
Можно читать и Habr, хотя про безопасность там мало, и её там в последнее время очень сильно не любят, судя по комментариям. Хотя я до сих пор не могу понять почему.
Есть известное противостояние IT и ИБ, потому что ИБ постоянно пытается заставить IT сделать что-то безопаснее и мешает им, условно говоря, спокойно жить. А IT постоянно пытается от этого всего отбиваться и не давать безопасности как-то контролировать себя. Думаю, зря. Ведь гораздо лучше жить по принципу из известного фильма: «Я помогаю тебе, ты помогаешь мне, а вместе мы делаем общее дело».
Читайте также:
В переводе с английского — подмена. В контексте ИБ — ситуация, когда человек или программа маскируются под другие.
Службы каталогов корпорации Microsoft для ОС семейства Windows Server.
Одна из самых масштабных утечек персональных данных, случившаяся в марте 2022 года и затронувшая около 7 млн пользователей сервиса «Яндекс Еда».
Анализируем рекомендации по защите персональных данных и ИБ — на что стоит обратить внимание
На днях мы рассмотрели целый ряд книг о рисках в ИТ, социальной инженерии, вирусах и истории хакерских группировок. Сегодня попробуем перейти от теории к практике и посмотрим, что каждый из нас может сделать для защиты персональных данных. На Хабре и в СМИ можно найти большое количество базовых советов: от использования менеджеров паролей и двухфакторной аутентификации до внимательного отношения к письмам и потенциальным признакам фишинга.
Несомненно, эти меры важны в качестве основы кибергигиены, но не стоит ограничиваться только ими. Рассказываем о менее очевидных моментах, касающихся ИБ при работе с интернет-сервисами.
Фото — Bianca Berg — Unsplash
Парольные фразы вместо паролей
Менеджеры для работы со сложными паролями исключают необходимость их запоминать. Однако password manager — это всегда компромисс между удобством и надежностью. У разработчиков порой случаются утечки. Например, в 2015 году хакеры украли у LastPass электронные адреса и секретные вопросы пользователей.
С учетом этого ряд экспертов по ИБ (в том числе представители отделения ФБР в Портленде) отдает предпочтение альтернативному варианту работы с аутентификаторами — парольным фразам. Их проще запомнить, чем цифробуквенные пароли со специальными символами.
При этом они считаются более надежными — еще в 2015 году специалист в области информатики Евгений Панферов математически доказал, что для усиления защиты от брутфорс-атак необходимо удлинять идентификатор, а не увеличивать его сложность за счет цифр, решеток и звёздочек (стр.2). Эту концепцию также проиллюстрировал автор комикса xkcd про будни разработчиков.
Фото — Erik Mclean — Unsplash
Поддерживают идею с парольными фразами и инженеры из Фонда электронных рубежей (EFF). Они даже предложили необычный способ их генерации — с помощью игральной кости. В EFF составили список из 60 тыс. английских слов, сопоставив с каждым определенную последовательность цифр, выпадающих на кубике.
Достаточно выбрать шесть слов, чтобы получить случайный идентификатор из 25–30 знаков. Кидать кубик рекомендуют потому, что человеческий мозг не способен сгенерировать случайную последовательность чисел. Мы подсознательно стремимся выбирать цифры, которые имеют для нас какое-либо значение. Поэтому еще в 1890 году английский психолог Фрэнсис Гальтон (Francis Galton) писал, что игральная кость — это наиболее эффективный «генератор случайности».
Ротация паролей не нужна
Все мы сталкивались с требованиями менять пароль от какого-либо аккаунта раз в месяц или полгода. Но глава ИБ-компании Spycloud Тэд Росс (Ted Ross) говорит, что подобная ротация бессмысленна.
Она подталкивает пользователей лишь незначительно модифицировать пароли и переиспользовать прошлые идентификаторы. Все это вредит безопасности учетной записи. Также считают и в Национальном институте стандартов и технологий США (NIST). Там разрабатывают новый фреймворк для работы с паролями. К слову, его уже внедрили в Microsoft — с прошлого года Windows перестала требовать от пользователей регулярно придумывать новые аутентификационные данные.
Менять идентификаторы следует лишь в том случае, если они скомпрометированы. Для проверки этого факта существуют специальные инструменты — например, знакомый многим сервис Have I been Pwned. Достаточно ввести адрес своей почты, и он покажет, был ли email «засвечен» в каких-либо утечках. Также можно настроить уведомления — в случае нового «слива», поступит нотификация.
Фото — Nijwam Swargiary — Unsplash
Заменить утекшие в сеть пароли следует и для аккаунтов, которые долгое время не были активны. Но лучше вообще удалить эти учетные записи. Оставленные без внимания, они могут стать причиной компрометации персональных данных. Даже небольшой фрагмент информации поможет злоумышленникам собрать недостающие сведения о «жертве» в остальных сервисах.
На некоторых ресурсах процедура закрытия учетных записей не так проста. Иногда приходится общаться с техподдержкой, а иногда — подолгу искать нужную кнопку в интерфейсе. Однако существуют инструменты, способные упростить и эту задачу. Например, JustDeleteMe — каталог кратких инструкций и ссылок для отключения учетных записей. Это — расширение для Chrome, добавляющее в омнибар специальную кнопку. По клику на неё откроется страница для отключения аккаунта на текущем ресурсе (если это возможно). Дальше остается следовать инструкциям.
Работа с документами на специальной ОС
Примерно 38% вирусов выдают себя за док-файлы. Сегодня это один из самых распространенных векторов хакерских атак. Защититься от зловредов, распространяемых подобным образом, можно, если открывать подозрительные документы в облачных редакторах. Эксперты EFF отмечают, что в этом случае можно практически наверняка предотвратить установку вредоносного ПО. Но такой метод не подходит для конфиденциальных документов — есть риск сделать их публичными. Например, в 2018 году в общий доступ попали личные гугл-документы пользователей — их проиндексировала поисковая система.
Инженеры из Фонда электронных рубежей говорят, что одним из способов обезопасить себя от вирусов в PDF и DOC может стать установка специальной операционной системы (можно в облаке IaaS-провайдера) для чтения электронных документов — например, Qubes. В ней действия ОС и пользователя выполняются на отдельных виртуальных машинах. Поэтому, если один из компонентов будет скомпрометирован, вредоносное ПО окажется изолировано и не сможет получить доступ ко всей системе.
(НЕ) автоматическая установка обновлений
ИБ-эксперты — например, инженеры из Tech Solidarity и FOSS Linux — рекомендуют настраивать автоматическую установку обновлений безопасности для операционных систем и приложений. Однако эту точку зрения разделяют не все.
Фото — Rostyslav Savchyn — Unsplash
Значительной части взломов ИТ-систем действительно можно избежать, если вовремя их обновить. Ярким примером может быть утечка персональных данных 140 млн резидентов США из бюро Equifax. Злоумышленники использовали уязвимость во фреймворке Apache Struts (CVE-2017-5638), связанную с ошибкой в обработке исключений. Патч для неё появился за два месяца до атаки на Equifax. Но автоматическое обновление может привести к не самым приятным последствиям. Возникают ситуации, когда свежие «заплатки», решая одну проблему, создают другую — более серьезную. В 2018 году Microsoft пришлось остановить распространение новой версии операционной системы из-за ошибки, удаляющей личные файлы пользователей.
Можно сделать вывод, что обновления нужно ставить как можно скорее, но при этом проявлять осмотрительность. Прежде чем «накатывать» патч, стоит изучить его поведение, почитать отзывы и принимать решение уже исходя из найденной информации.
В следующий раз мы продолжим рассказывать о необычных рекомендациях, которые помогут защитить ИТ-системы от вмешательства злоумышленников. Нам также интересно послушать, какие решения для повышения информационной безопасности используете вы, — делитесь ими в комментариях.
Мы в 1cloud.ru предлагаем услугу «Частное облако». Вы можете арендовать виртуальную инфраструктуру для своих проектов. Новым клиентам — бесплатное тестирование.
Мы используем оборудование enterprise-класса от Cisco, Dell, NetApp. Виртуализация построена на гипервизоре VMware vSphere.