Для начала – совсем простая модель. Есть три концептуальных угрозы безопасности конкретных данных: нарушение целостности, доступности и конфиденциальности информации.
Когда хакер Вася находит в мусорнике письмо вашей любовницы – это нарушение конфиденциальности, когда хомяк Билл перегрызает кабель сервера с репозиторием — это нарушение доступности, а когда админ Пупкин заливает бекап в обратную сторону — это нарушение целостности.
При этом эти три примера связаны с тремя разными факторами: хакер Вася специально охотился за вашим мусором; хомяк Билл показал нам отказ оборудования; а администратор Пупкин просто клинический раздолбай. За последний год только 37% проблем с данными были результатом действий запланированных атак. 29% случаев пришлось на сбои систем. И оставшиеся примерно 34% – на человеческий фактор, то есть халатность персонала.
Поэтому не надо представлять героя, в одиночку отбивающего хакерские орды, когда вам говорят «информационная безопасность».
Техника и технология
Есть первый уровень безопасности, когда вы закрываете детские косяки. Например – запрещаете использовать флешки и дискеты, настраиваете политики доступа к данным для разных сотрудников и так далее. Организуете бекап, имеете резерв по железу, можете развернуть сервисы на другой площадке, защищаете основные каналы связи. Объясняете пользователям, почему не надо наклеивать листики с паролями на стену перед компьютером. Думаю, в целом понятно.
Дальше вы ударяетесь в Disaster Recovery по направлению защиты данных от сбоев и дураков, в психологию для защиты от социальной инженерии и глубже в программно-аппаратную защиту информации. Последнее наиболее интересно.
Дальше
Следующий уровень – это закрытие болевых точек своего софта. Уязвимости, которые возникают в операционных системах и в приложениях, в принципе, публикуются. О них знают и хакеры, и те, кто занимается безопасностью. Поэтому нужно периодически контролировать свою систему на предмет их наличия.
Теперь давайте посмотрим на случаи санкционированного копирования (дизайнер Лена решила записать презентацию клиенту на диск) и несанкционированного (бухгалтер Зина попробовала унести домой базу данных бухгалтерии). На аппаратном уровне мы мониторим обращения пользователя к определённым портам, не даём использовать определённые носители, определяем политики того, что можно копировать, а что — нельзя.
Есть специальные решения, которые обнаруживают утечку информации по разным каналам и предотвращают её. Например, при попытке отправить друзьям историю продаж может появиться соответствующий алерт у сотрудника безопасности, и пока он не разрешит – письмо не уйдёт. Анализируя различный сетевой трафик можно отлавливать критичные данные компании в сети и тоже предотвращать их уход за пределы офиса.
Как известно, сотрудники становятся всё изобретательнее в своих попытках обойти ограничения. Соответственно, нужна система, которая обрабатывает и коррелирует события безопасности от различных систем защиты. Второй компонент — бдительный охранник, изучающий результаты ее работы. Как вариант, вместо человека – система, которая автоматически перенастраивает защитные механизмы на основе выявленных инцидентов безопасности.
Поскольку обрабатывать такие данные руками практически нереально, используются полуинтеллектуальные системы, анализирующие события безопасности. Если средство защиты зафиксировало факт утечки или факт, похожий на утечку, то оно формирует соответствующее событие и передаёт его в централизованную систему управления. В свою очередь, эти события потом могут консолидироваться в одном месте — системе мониторинга, и там обрабатываться в зависимости от других событий и правил. На выходе — решение, что это действительно утечка или это, может быть, единичное событие, которое, в общем, ни о чём не говорит.
Данные начинают представлять какую-то ценность
Дальше вместо раздолбаев на сцене появляется хакер. К счастью, для начала у него будет порог входа – потребуется проникновение внутрь зоны контроля. Он может представиться уборщиком, сотрудником техподдержки, гостем, наняться к вам в штат и так далее — и использовать все свои навыки в области социнжиниринга. Он может применять какие-нибудь технические средства для проникновения, например — прослушивать ваш радиоэфир. Он может пассивно собирать данные, просеивая ваш мусор. И, наконец, самый распространённый тип атаки сегодня — он может вычислить привычки ваших пользователей и разместить зловредный код где-то в «большом интернете», куда ходят пользователи. Как правило, взломать сервера третьей стороны проще, чем ваши — и уже с них ваши пользователи потащат зловреда внутрь корпоративной среды. Сегодня модель атак, когда нестандартное ПО готовится под отдельную компанию, наиболее актуальна. Например, это может быть сетевой червь, который резко обрастает функционалом только тогда, когда понимает, что попал в нужное место. Что самое волнительное, такие атаки по определению нельзя засечь как известный шаблон – ведь они делаются индивидуально под вас.
Для того чтобы противостоять злоумышленнику, надо иметь базу нестандартных ситуаций, каждая из которых соответствует некоей угрозе. Как с антивирусом — у него есть известные сигнатуры и эвристики. В этом направлении мир развивается по пути разработки систем выявления аномальных состояний. То есть когда начинает происходить что-то странное, система должна показать это людям, способным разобраться.
Работает это так: на начальном этапе своей работы анализируется, как и что происходит внутри какой-то системы. Формируется профиль нормального поведения, и потом фиксируются отклонения от этого профиля. И в зависимости от того, насколько сильно отклонение, вычисленное по определённым критериям, делать выводы о том, что что-то не в порядке.
Проблема в том, что такие системы есть уже давно, но, как правило, остаются непонятными шаманскими штуками для среднего заказчика.
Теперь вернёмся к другим типам угроз
По доступности сегодня главный вектор — это «банальные» DDoS. Поскольку реализовать такую атаку может любой человек с деньгами и смелостью арендовать ботнет, вероятность того, что вас положат, растёт с ростом серьёзности бизнеса. Про то как от них защищаются, можно прочитать в куче топиков здесь. Если коротко — нужно иметь специальные средства, отсекающие паразитный трафик и позволяющие быстро отвечать настоящим пользователям. Плюс возможность расширять свои каналы при необходимости, поскольку завалить большой мощностью можно что угодно.
По целостности важно отслеживать критичные изменения в системе, чтобы не проморгать факт появления бекдора или несанкционированного изменения настроек безопасности. Если, например, вы разрабатываете ОС, то здесь основное развитие будет в мониторинге за всем происходящим с исходным кодом.
Что минимизирует ущерб?
Вот несколько простых вещей, которые работают универсально:
- План действий на случай чрезвычайной ситуации. Например, знать что делать, если прямо сейчас ваш сайт начнут валить DDoS'ом или что будет, если админ случайно завалит боевые сервера. Чётко отработаете план – сможете восстановиться через час, а не сутки.
- Распределение ответственности между сотрудниками компании. Должно быть не так, что один-единственный сисадмин отвечает за бухгалтерию, но и чтобы каждый бухгалтер чётко знал, что он участвует в обеспечении безопасности.
- Надо дисциплинировать всех аутсорсеров вовремя сообщать о проблемах. Есть случаи, когда контрагент портит данные, а потом недели две боится сказать об этом. Звучит смешно, но очень много повреждений информации происходит по вине третьих компаний.
- Хорошо время от времени проверять критичные данные. Бывает, что большой массив информации, нужный раз в году, бывает повреждён так, что об этом вспоминают только на следующему цикле, то есть нарушение целостности обнаруживается через полгода после самого события.
- Важно следить за железом компании и сотрудников. BYOD-вектор активно обсуждается, но ещё не стал настоящей угрозой, но примеры были. У нас в России есть один софтверный гигант, за ноутбуками которого была настоящая охота на конференциях. Потом проблему частично решило обязательно шифрование дисков этих машин.
Каков средний процент стоимости потерянных данных к стоимости компании?
Как правило, драматичный. В среднем по миру — около трети от стоимости компании, а в странах с жестким промшпионажем вроде США — до половины. Очень чётко видна зависимости IT развитости региона и стоимости потери данных. Одна утерянная запись в США означает около $277 убытка, в Германии — $214, а, например, в Индии — всего $46. Кстати, при этом хакеров больше всего в Германии, США и Франции, а самые ошибающиеся люди живут в Бразилии.
Это по данным майского отчёта 2013 Cost of Data Breach Study: Global Analysis (исследование спонсировано Symantec, выполнено Ponemon Institute).
Что поменялось за 15 лет в информационной безопасности?
Если раньше «белые шляпы» были героями, готовыми работать руками на защиту компании, то теперь масштаб сместился в сторону войн используемого софта. Очень много зависит от подготовки решений на случай атаки или отказа, а не импровизаций на месте. Сложность и разнообразие угроз растёт, поэтому требуется умное ПО, позволяющие фокусировать внимание на странных событиях. Всё больше и больше компаний хранят данные у аутсорсеров — растёт необходимость убеждаться не только в своей защите, но и защите и ответственности контрагентов.
Технологии информационной безопасности развиваются параллельно с ИТ, но, к сожалению, с небольшим запаздыванием во времени. Например, в настоящий момент средства информационной безопасности пытаются активно догнать технологии виртуализации и мобильные технологии. Несомненно, что такое положение дел будет сохраняться и в будущем.
На сегодняшний момент меняется как портрет безопасника, так и хакера. И тот и другой все более становятся профессионалами. Если еще 10 лет назад типичный хакер представлял собой увлеченного молодого человека, интересующегося различными технологиями, то сегодня зачастую — это опытные профессионалы, имеющие коммерческий интерес.
Аналогично обстоит дело и с безопасниками. Так, первых профессиональных специалистов в области ИБ ВУЗы начали готовить где-то 15 лет назад. На тот момент таких людей вне стен спецслужб были единицы. Сегодня же таких специалистов уже заметное количество на ИТ-рынке, хотя все равно ощущается их недостаток.
Как учиться?
Хорошие безопасники учатся на практике (опыт мало что может заменить) и нестандартных задачах. Один из интересных способов обучения – участие в турнирах. Именно по этой причине корпорация Symantec совместно с КРОК организуют C^2: Cyber Challenge — онлайн-игру, оффлайн-турнир и конференцию по безопасности.
Во время онлайн и оффлайн игры пользователи побывают в роли киберпреступников. Состязание проходит по принципу «захвати флаг» и позволяет проверить свои способности в условиях уникальной имитации реальной среды.
Онлайн-игра, кстати, состоится уже в ближайшее время – 15-19 июля. Места ещё есть, вот здесь можно зарегистрироваться. Потом в сентябре будет оффлайн-чемпионат, где в режиме реального времени будет проходить турнир. И там же будет большая конференция по безопасности.
Автор: dinabur