Десять аксиом кибербезопасности. Аксиома первая. Взломать можно абсолютно все!

Аксимомы кибербезопасности:

1. Взломать можно абсолютно все.

2. Доверять нельзя никому.

3. Принцип «безопасность через неизвестность» не работает.

4. Знай свои актив.

5. Безопасность на уровне бизнес.

Мы живем в быстроменяющемся мире, где давно уже нет незыблемых правил, законов и аксиом (исключая, быть может, естественные науки – физику, математику, химию, биологию и т. п.). К тому же нередко в своих решениях и действиях мы опираемся на устаревшую информацию, полученную нами в прошлом – в школе, в институте, на каких-либо курсах повышения квалификации. И это часто приводит к печальным последствиям, которых можно было бы избежать, своевременно обновляя свое внутреннее хранилище знаний. Ярким примером сферы, в которой очень сильны заблуждения, является кибербезопасность. За 26 лет, что я тружусь в этой сфере, мне приходилось наблюдать немало догм, вдребезги разбившихся об инновации или изменившееся поведение людей, но по-прежнему плотно засевших в умах многих людей, даже тех, кто профессионально занимается информационной безопасностью. А потому я решил в ближайших десяти номерах журнала сформулировать десять аксиом кибербезопасности и объяснить, почему я считаю их таковыми.

Взломать можно абсолютно все!

На протяжении двух десятков прошедших лет я постоянно слышу от разных людей и компаний заявления о том, что «нас взломать нельзя», «наш продукт невзламываемый», «еще никому не удалось обойти нашу систему защиты». Возможно, вы и сами думаете так о какой-то из своих систем. А может, вы слышали подобные высказывания в процессе общения со своими подрядчиками или подчиненными. Увы, все не так, и существует немало примеров, доказывающих этот факт. Но о них чуть дальше. Давайте сначала попробуем поразмыслить.

В качестве примера возьмем обычную сеть (аналогичные рассуждения применимы к любой системе или объекту), существующую практически у любой компании. Если говорить человеческим языком, то вероятность взлома такой сети внешним хакером или внутренним злоумышленником зависит как минимум от трех параметров. На самом деле их больше, но для нашей статьи достаточно и этих трех. Первый параметр – надежность средств, защищающих сеть, или, иными словами, вероятность их взлома или обхода. Нехорошо, когда такое средство только одно (например, межсетевой экран или фильтрующий маршрутизатор). Обычно средств все-таки несколько – МСЭ следующего поколения (NGFW), системы предотвращения вторжений, антивирусы, системы защиты электронной почты и контроля веб-доступа, «песочницы» и VPN и т. д.

Данный параметр (надежность) никогда не будет равен максимальному значению – единице. Связано это с тем, что, к сожалению, не существует абсолютно надежных систем, которые лишены ошибок и уязвимостей. Ведь людям, создающим такие системы, свойственно ошибаться, и ошибки могут стоить очень дорого, что уже не раз демонстрировала история. Да и статистика подтверждает это факт: по данным института Карнеги — Меллона, который уже много лет занимается исследованиями надежности ПО, среднестатистическая программа содержит до 15 ошибок/уязвимостей на 1000 строк кода и 5% из них критичны для безопасности. Если вспомнить, что современные программные средства насчитывают миллионы строк кода, можно себе представить, какое количество дыр способны использовать злоумышленники для обхода защитных механизмов. Справедливости ради надо отметить, что и нулю рассматриваемый параметр равен быть не может, поскольку хоть какой-то, но уровень защиты эти средства обеспечивают (а иначе, зачем они нужны?).

Но… злоумышленники тоже не всегда действуют прямолинейно и могут атаковать организацию с помощью обходных маневров. Скажем, в конце прошлого года стала набирать популярность атака, названная DarkVishnya (не спрашивайте почему). Суть ее в том, что злоумышленники просто подбрасывали устройства рядом с интересующей их жертвой (надо признать, схожий сценарий уже давно зафиксирован и в нашем бизнес-центре, где помимо ряда международных ИТ-компаний, находится еще и офис одной азиатской фирмы, чьи сотрудники регулярно подкидывают флешки к соседям). Любопытство заставляет сотрудников компании-жертвы подбирать такие устройства и включать их в свои компьютеры, со всеми вытекающими последствиями. Вообще действия злоумышленников до боли напоминают анекдот про инопланетян, захвативших американца, француза и русского, заперших их в комнате и давших им два титановых шарика. Они настолько хитроумны, что диву даешься, куда они направляют своего злого гения.

Второй параметр, влияющий на защищенность сети, – это уже качество не реализации, а настройки и конфигурации системы защиты. Данный параметр также зависит от человеческого фактора, но пскольку число возможных настроек несоизмеримо меньше числа строк программного кода в системе, то его максимальное значение, единица, теоретически может быть достигнуто. По умолчанию, указанный параметр нулю не равен, ведь обычно система защиты как-никак, а настроена (пусть и не самым лучшим образом). На практике значение параметра меняются волнообразно, потому что качество настроек постепенно ухудшается и требуется их регулярный аудит. Но и это теория. На практике почти всегда конфигурация неидеальна. К примеру, в свежем отчете компании Positive Technologies приводятся факты о том, что в рамках внешнего тестирования на проникновение экспертам удалось преодолеть сетевой периметр 92% организаций, а от лица внутреннего нарушителя был получен полный контроль над инфраструктурой во всех исследуемых системах, то есть в 100% случаев. В большинстве компаний было выявлено несколько способов (векторов) проникновения во внутреннюю сеть. Получается, что на практике данный параметр тоже не равен единице.

И наконец, третий параметр – быстрота реагирования на атаки злоумышленников со стороны не только автоматизированных средств защиты, но и специалистов, отвечающих в компании за безопасность. Даже пропущенная периметровыми защитными средствами атака может быть вовремя замечена в имеющемся центре мониторинга безопасности (Security Operations Center, SOC), который позволит предотвратить ее разрушительные воздействия. Сегодня вообще парадигма безопасности сдвигается от попыток предотвратить 100% угроз к сбалансированной идее разделить поровну защитные механизмы между предотвращением, обнаружением и реагированием. Этот вероятностный параметр, как и предыдущий, может быть равен единице, и на практике именно в таком случае можно постараться достичь идеала.

Обратившись к следствию из известной теоремы умножения вероятностей, получаем, что вероятность защиты от взлома или обхода защитной системы никогда не будет равна единице, то есть создать абсолютно защищенную систему невозможно в принципе. И это мы рассмотрели только три параметра. Если же учесть множество иных факторов, то ситуация и вовсе станет печальной. Особенно если у нас включаются различные отступления и допущения. Скажем, во время эпидемии WannaCry мы столкнулись с ситуацией, когда генеральной директор одной крупной корпорации принес на работу зараженный домашний ноутбук, и именно с него началось заражение внутренней сети, достаточно неплохо защищенной от внешней угрозы и отлично противостоявшей попыткам WannaCry попасть внутрь. А вот перед безалаберностью гендиректора и нежеланием соблюдать политики безопасности (а может, и вовсе их отсутствием) компания сдалась. Схожая ситуация была даже на не полностью изолированных от внешнего мира объектах, где сотрудники, чтобы не скучать, подключали к своим компьютерам 4G-модемы, через которые WannaCry и проникал внутрь систем, у которых в принципе не было подключения к Интернету. Историю с Stuxnet и вспоминать уже не хочется – атак на атомные объекты было уже несколько, уж что-что, а у них многоуровневая система защиты и отсутствие подключения к Интернету. Но даже они страдают.

Следствия из первой аксиомы

Безусловно, неприятно осознавать, что все наши действия обречены на неудачу и злоумышленники способны снаружи или изнутри, напрямую или обходным путем, все равно проникнуть в защищаемую систему или взломать ее. Но сегодня этого и не требуется. Достаточно вспомнить другую аксиому, которая вскользь преподается на специальностях по защите информации, но которую очень редко раскрывают на должном уровне. Речь идет о правиле «защита должна стоить дешевле ее обхода», или, перефразируя, «цена доступа к информации должна быть выше стоимости защищаемой информации». 

Поэтому задача специалистов по безопасности сегодня в 99% случаев заключается в том, чтобы существенно усложнить жизнь злоумышленников, делая их попытки проникновения/взлома слишком дорогими, а если они все-таки и увенчаются успехом, то служба ИБ предприятия должна оперативно нивелировать все последствия, выстроив соответствующий процесс реагирования на инциденты ИБ.

Из вывода о невозможности построения абсолютной защиты есть несколько интересных следствий. Во-первых, абсолютно защищенную сеть создать невозможно до тех пор, пока вероятность взлома системы защиты не достигнет нулевого значения (и наоборот, пока надежность защиты не достигнет единицы). А это возможно только в том случае, если устранить из процесса создания защитного средства или механизма (как и из создания системы вообще) человеческий фактор, являющийся главной причиной всех ошибок (и программирования, и конфигурирования, и реагирования). Очевидно, что на современном этапе развития науки и информационных технологий полностью это невозможно, но в последнее время многие игроки рынка кибербезопасности уделяют повышенное внимание вопросу автоматизации многих защитных процессов – от распознавания угроз с помощью машинного обучения до реагирования на них, от интеграции средств защиты между собой до написания автоматических правил защиты. Все указанные мероприятия направлены если не на полное исключение, то снижение зависимости от человеческого фактора. Тем более что и людей в ИБ не хватает – по оценкам Cisco, в 2020 году в мире будет не хватать около 1 млн специалистов по ИБ.

Второе следствие заключается в том, что надежность даже суперзащищенной системы быть сведена на нет некачественной или неграмотной настройкой (если второй описываемый выше параметр не равен единице). То есть любая система требует квалифицированного персонала, не только знающего, но и умеющего грамотно настраивать средства защиты. Это лишний раз доказывает необходимость наличия программы обучения, тренингов и повышения осведомленности в области безопасности. Можно привести хорошую аналогию. Если на двери установлен надежный замок фирмы MOTTURA или MULT-T-LOCK, но вы просто не заперли замок или забыли в нем ключ, то о какой защите может идти речь? К сожалению, этому процессу (повышению осведомленности) сегодня уделяют не так много внимания, пытаясь компенсировать нежелание работать с людьми техническими решениями (что, как мы видели выше, не всегда успешно).

В-третьих, несвоевременное реагирование (или его отсутствие) на попытки проникновения в корпоративную сеть тоже делают ее незащищенной. Неслучайно сегодня часто можно на различных конференциях услышать доклады, посвященные управлению инцидентами, построению или эксплуатации SOC и т. д. По сути, речь идет о последней линии обороны, которая может как помочь в случае прохождения нарушителем всех защитных преград, так и окончательно свести все усилия службы ИБ на нет.

Рекомендации

Какие рекомендации можно дать тем, кто согласен с первой аксиомой? Я могу предложить следующий список:

Вспомните классическую советскую комедию «Формула любви»: «Ален нови, ностра алис! Что означает — ежели один человек построил, другой завсегда разобрать может». Исходите из предположения, что вас могут взломать и готовьте ваше руководство к тому же. Не пытайтесь убедить его, что 100% – достижимый результат; не создавайте у него иллюзию абсолютной защиты. Если вы сможете принять эту аксиому, то дальше будет проще.

Не пытайтесь полагаться на предотвращение угроз – уделите внимание выстраиванию процесса реагирования на вероятные инциденты. Составьте список так называемых use case, ситуаций, которые могут произойти в вашей сети и к которым вы должны быть готовы. После определения use case, можно приступать к формированию так называемых playbook – руководств по реагированию на конкретную ситуацию. Понятно, что реакция на появление в Интернете сайта-клона, или подброшенной флешки у дверей офиса, или заражения шифровальщиком будет разная.

Внедрите решения по реагированию на инциденты и их расследованию. Это могут быть как отдельные платформы класса IRP (Incident Response Platform) или SOAR (Security Orchestration, Automation and Response), так и расширения существующих в организации SIEM. Не забывайте про решения класса Network Traffic Analysis (NTA), Forensics и Threat Hunting. Они позволят более эффективно выискивать следы злоумышленников в вашей инфраструктуре.

Выстройте процесс повышения осведомленности. Не полагайтесь только на технические решения – коммерческие или open source. Инвестируйте в обучение персонала, что гораздо дешевле капитальных затрат в средства защиты, но не менее эффективно.

Подготовьте план Б. Для любой из данных выше рекомендаций имейте резервный план, который вы оперативно сможете ввести в действие, если не сработал первоначальный вариант. И не забудьте протестировать оба плана, прежде чем введете их в боевую эксплуатацию.

Смотреть все статьи по теме "Информационная безопасность"