Ход маятника
Многие процессы в бизнесе носят периодический характер. Я уже писал в этом журнале о циклах в аутсорсинге (свой департамент – подрядчики – полный аутсорсинг – служба приемки работ – свой департамент), теперь хотелось бы обсудить циклы в корпоративной информационной безопасности.
У информационной безопасности три основных драйвера: требования регуляторов, риски и инциденты. В момент зарождения информационной безопасности в 90-х основным ее драйвером были инциденты. Системы информационной безопасности внедряли в основном после серьезных проблем – взломов и вирусных эпидемий – с основным посылом: чтобы больше так не происходило. Для оценки рисков тогда не хватало понимания ценности информационных активов, не было накоплено достаточно статистики, а регулирование отсутствовало как таковое. В результате был накоплен серьезный опыт противодействия ненаправленным атакам, и из этого опыта выросли отличные команды как на стороне заказчиков, крупных компаний, так и на стороне исполнителей – интеграторов и производителей.
Однако почти 10 лет защита компаний строилась либо исходя из опыта самих защитников и их подрядчиков, либо по иностранным «лучшим практикам» и стандартам. В какой-то момент полностью отданная на откуп экспертам, информационная безопасность привела к тому, что богатые компании, имеющие средства на квалифицированную экспертизу и продукты, стали защищаться богато, а бедные, не имеющие таких средств, – бедно. И, поскольку данные, особенно не принадлежащие компаниям, а отданные им на хранение, должны защищаться одинаково вне зависимости от размера компании-хранителя, пришло время уравнять уровни защищенности.
Замена собственно защиты документами о хорошей защите
Тогда, в середине нулевых, появились первые требования регуляторов по информационной безопасности. Внезапно риски не соответствовать этим требованиям стали для компаний выше рисков потери данных или нарушения работы инфраструктуры – регуляторы не карали за утечку данных, а лишь за «ненадлежащее исполнение требований». Теоретически возникала ситуация, что, потеряв данные в системе, которая успешно прошла аудит на соответствие требованиям регулятора, компания не рисковала ничем. В модели угроз регулятор стоял выше хакера и инсайдера, поэтому пышным цветом расцвел консалтинг на тему «как соответствовать требованиям регуляторов», а специалисты по информационной безопасности, которые учили в университетах математику, криптографию и технические аспекты безопасности, а потом десяток лет обеспечивали защиту информации, вдруг массово стали переквалифицироваться в юристов и толковать законы и нормативные требования. Грамотно составленные отчеты, предоставляемые при проверке на соответствие требованиям регулятора его аудиторами, стали для бизнеса ценнее реальной защиты, поэтому неудивительно, что появилось целое направление, обобщенно называемое критиками «бумажной безопасностью»: составление разного рода документов на тему информационной безопасности.
Но бизнес относится к любым навязанным извне требованиям как к налогу. А налоги платить никто не любит, поэтому обычно их пытаются «оптимизировать». И у бизнеса возникло естественное желание лишь минимальным образом соответствовать таким требованиям. Мол, раз регулятор вводит их, значит он думает за нас, ему и отвечать за свои требования, а нам лишь надо им соответствовать. Раз он требует антивирус – купим антивирус, а лучше поставим бесплатный. Ничего не говорит регулятор про защиту веб-сайта и мобильных устройств? Ну и не будем пока их защищать…
Маятник двигался в сторону изменения мотивации к внедрению информационной безопасности только на требования регуляторов. В этом нет ничего плохого – крупнейший в мире рынок продуктов информационной безопасности – американский – во многом является предопределенным списком покупок по требованиям регуляторов, поэтому каждый уважающий себя производитель, желающий продавать продукты на этом рынке, на первой странице сайта или брошюры пишет аббревиатуры PCI DSS, HIPPA, SOX и др.
От бумаги к пассиву
Однако до крайней точки маятник не дошел, помешал рост количества инцидентов ИБ и ущерба от них. Оказалось, что стопки бумаги не способны защитить информацию.
Поскольку полноценную двойную нагрузку на обе безопасности – бумажную и реальную – нести бизнес был не готов, компании для своей защиты стали увлекаться малобюджетными пассивными средствами. Фактически борьба с инцидентами из их предотвращения превратилась в их расследование вкупе с реализацией принципа неотвратимости наказания для виновных. Компании массово начали внедрять системы пассивной безопасности – различные корреляторы, мониторы и снифферы. Даже системы, способные работать активно, покупались в минимальной комплектации без резервирования: системы предотвращения вторжений заменялись системами обнаружения вторжений, DLP- системы – почтовым и другими архивами. Даже WAF (web application firewall) у многих компаний сегодня работает не с трафиком, идущим на сайт, а с копией трафика. Появился даже термин «постериорная безопасность» – как антоним априорной. Постериорная безопасность не предотвращает инциденты, а направлена на обеспечение безопасности через расследование и наказание виновных.
Пассивные системы сами по себе – отличная вещь. Проблема их тотального использования в безответственности – они переносят ответственность на того, кто получил сообщение об инциденте, полагаясь на его квалификацию и полномочия. Как сигнализация на автомобиле под балконом лишь зовет хозяина в случае ночной попытки угона, а он уже сам, выглянув и оценив угрозу машине и стоимость предотвращения угона, должен решить: выбегать с топором ее защищать, вызывать полицию или ложиться спать и с утра заявить об угоне в страховую компанию. Как дополнение к активной безопасности, пассивная безопасность дает возможность проводить ретроспективный анализ и модифицировать модель угроз на основе статистики инцидентов, что часто не менее важно, чем реальная защита. Но сама по себе она никого не защищает.
Экономическое обоснование пассивной позиции
Компании выбирают пассивные решения ровно по двум причинам – цены и сложности обучения.
Активные решения стоят дороже прежде всего из-за того, что работают на реальном трафике и с действиями пользователей в реальном времени, а значит – должны держать нагрузку и уметь в любой момент заблокировать какую-то операцию. Это подразумевает отличную от пассивных решений архитектуру, а также возможность масштабирования и резервирования, которые не требуется для решений, которые просто протоколируют действия или архивируют трафик. Резервирование необходимо для поддержания непрерывности бизнеса – сбои в системе обеспечения безопасности не должны замедлять бизнес-процессы.
Однако, даже имея средства на системы информационной безопасности, умеющие работать «в разрыв», компании после их покупки часто используют их только в пассивном режиме. Почему?
Защита данных, то есть возможность блокировать опасную операцию, подразумевает работу на «живом» трафике в режиме онлайн, а в этом случае ложные срабатывания могут привести к нарушению легитимных бизнес-процессов. Этого можно избежать, правильно обучив систему защиты, но заниматься этим безопасники не хотят, да и, честно говоря, и не умеют – для такого обучения системы надо глубоко понимать бизнес-процессы компании, а это не так просто. Большинство инцидентов чувствительны к бизнес-контексту. Например, можно ли в информационной системе сотового оператора пропускать письмо с детализацией разговоров Петрова Ивана Сидоровича на адрес net_voine@ pochta_rossii.su? Можно, но только если Иван Сидорович, во-первых, заказал услугу рассылки такой информации, во вторых, указал именно этот адрес как свой, в третьих – рассылка идет со штатного для таких рассылок адреса и в выделенное для них время. Во всех остальных случаях отправка таких данных нелегитимна. Заморачиваться такой настройкой по каждому процессу и регулярно обновлять эти правила? Ах, увольте! Мы просто свалим весь траффик в кучу, проиндексируем его, и, если вдруг появится жалоба от господина Петрова о том, что его данные попали в чужие руки, найдем в архиве виноватого и накажем его.
Преувеличение эффективности пассивных средств
Почему-то люди, устанавливающие WAF на копию трафика, заменяющие защиту информационных потоков на слежку за сотрудниками и включающие защиту от DDoS только в случае атаки, не заменяют входные двери в собственную квартиру видеокамерой. Скорее всего, эти двери не просто бронированные, но и оборудованы панорамным глазком и несколькими замками повышенной сложности. Ничего, что это дорого и иногда причиняет неудобства: мешает попасть в квартиру ее жильцу, случайно забывшему ключи, или песок, попавший в замочную скважину, может привести к вызову слесаря, когда дело касается личной безопасности и своего имущества, включаются двойные стандарты.
Кроме того, наказание после расследования может напугать только того, кто боится наказания. А если это не запуганный стажер, мечтающий у вас работать, а сотрудник, подрабатывающий на конкурента, спецслужбу или преступную группировку? А если это невидимый или недосягаемый хакер? Тогда ваша постериорная безопасность просто не будет работать по определению. Как шутят внедренцы DLP-систем: «DLP (data leakage prevention) без P (prevention) равно DL (data leakage)». Вспомните хотя бы Сноудена, уж там-то пассивных систем хватало.
Всеобщая пассивизация привела к тому, что теперь чуть ли не каждый день происходя инциденты. То взломают сайт сотового оператора, пассивно защищенного инновационным WAF (взломщик в отчёте пишет “я видел, что WAF был включён»), то украдут и публично огласят данные из банка, в котором установлена в пассиве дорогущая DLP – похитителям было наплевать, что их обнаружат через какое-то время. Поэтому в разговорах с коллегами все чаще возникает забытое было слово «защищать». Как эта система защищает информацию? Не архивирует, не расследует, не мониторит, не генерирует инциденты, а именно защищает.
Возвращение к истокам
Многие специалисты уже отмечают обратное движение маятника, к исконному значению термина «информационная безопасность» – к трем китам: доступность, целостность, конфиденциальность. Чем дальше, тем больше о работе службы информационной безопасности судят по ее способности не обрабатывать большое количество интересных графиков и оценивать тренды и угрозы, а по гамбургскому счету: можешь ли она защитить информацию и, если может, какие средства ей для этого нужны.
Это не значит, что все пассивные средства будут отключены, а те, которые способны работать в обоих режимах, будут переведены в активный режим. Это не значит, что компании откажутся от расследования инцидентов и перестанут наказывать виновных. И адаптация систем защиты под требования регуляторов, безусловно, продолжится. Но акценты в приоритетах, очевидно, уже смещаются.
Будем надеяться, что после еще нескольких колебаний маятник найдет оптимальное равновесное положение, сочетая все три типа безопасности: бумажную, пассивную и активную. Каждая из них важна, каждая играет свою роль в процессе защиты информации, поэтому нельзя отказаться ни от одной и нельзя абсолютизировать только одну. Смысл лишь в правильных пропорциях, которые каждая компания должна определить для себя. Иначе за нее это сделают нарушители.
Опубликовано 14.09.2015
