А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

2 марта, 2017«BIS Journal» № 4(23)/2016

Акинин Андрей

генеральный директор (компания Вэб Контрол)


Новый мир — новые подходы?

Чудеса случаются, но ориентироваться нужно на реальность: устойчивость бизнеса и защиту конечного пользователя

Тема обеспечения информационной безопасности сейчас более чем актуальна, сказано много слов про различные средства и методы защиты информации. Еще больше в последнее время говорится о необходимости повышения профессионального уровня специалистов ИБ, создании SOC и подбора команд профессионалов, способных решать проблемы любой степени сложности. Очевидно, ландшафт ИТ стремительно эволюционирует, что требует изменения не только инструментов и методов, а зачастую подходов к Информационной безопасности в целом. Мы живем в постпревентивном мире — инциденты безопасности из потенциальной угрозы давно стали привычным фактором в бизнесе. Многие эксперты формируют новую парадигму безопасности информационной системы (далее ИС), которая выдвигает на первое место надежность и безопасность функционирования — функциональную безопасность ИС. В последнее время вместо защиты информации все чаще говорят о киберустойчивости, понимая под этим обеспечение устойчивого и бесперебойного функционирования информационной инфраструктуры в условиях постоянно присутствующего риска, а также в ходе кибератаки. Все более актуальной становится задача снижения ущерба в условиях принятия рисков безопасности взамен ранее приоритетной задачи устранения этих рисков. Стремление во чтобы то ни стало устранить риски приводит к снижению гибкости системы, что в свою очередь приводит к потере позиций в конкурентной среде.

Говоря об информационной безопасности, мы, как правило, говорим о защите собственно информации, защите информационных систем, защите физической инфраструктуры, разграничении доступа и контроля привилегий, но очень редко мы вспоминаем об устойчивости бизнеса и защите конечных пользователей. Вспоминая о конечных пользователях, многие эксперты ИБ непроизвольно «тянутся к пистолету». Основные темы — «как поймать нарушителя», «кого надо рассматривать как потенциальную угрозу», «как собрать доказательную базу для предъявления обвинений». Похожие вопросы возникают при взаимодействии с бизнесом — «как вынудить бизнес жить по нашим правилам», «как обосновать затраты на безопасность и откусить часть ИТ бюджета»? Давайте вместе подумаем, насколько такой подход оправдан и/или эффективен. Мне не хотелось бы выступать в роли «Капитана-очевидности», но попробуем начать сначала.

ИТ ИЗ ИНСТРУМЕНТА ОБЕСПЕЧЕНИЯ БИЗНЕСА ПРЕВРАЩАЕТСЯ В ЕГО ПРЕДМЕТ

Еще несколько лет назад информационные технологии расценивались как средства облегчения документооборота и ускорения бизнес-процессов. ИТ-системы использовались прежде всего, как средства автоматизации бизнес-процессов внутри компаний. В таком ключе для обеспечения информационной безопасности достаточно было выстроить эффективный периметр безопасности, сегрегировать информационные потоки внутри компании и использование общедоступной информации из внешних сетей.

Но жизнь берет свое: интернет-технологии проникают в бизнес-процессы и становятся не только источником информации, но и средой/инструментом ведения бизнеса, клиентские приложения уходят в Интернет. Где провести водораздел? Как разделить информационные потоки? Где информация, а где приложения? Естественное желание человека, отвечающего в этой ситуации за безопасность, отключить всем доступ к Интернету, чтобы исключить потенциальную угрозу компрометации систем или хотя бы изолировать ее на специально выделенном для этого компьютере, огражденном от внутренней сети. В этих условиях и возникла необходимость изменения подходов к рискам и угрозам информационной безопасности.

ЭВОЛЮЦИЯ БИЗНЕСА = ЭВОЛЮЦИЯ ПОДХОДОВ

В современном мире бизнес вышел в глобальную сеть и его уже не вернешь назад за периметр безопасности. Все больше сотрудников коммерческих компаний, в том числе и финансово-кредитных организаций, становятся мобильными, работают за пределами офиса и используют Интернет для ведения бизнеса. В таких условиях практически невозможно исключить связанные с этим риски, поэтому приходится их принять, а проектирование информационных систем выполнять с учетом требований обеспечения их киберустойчивости.

Классическая модель защиты информации нацелена на поиск и обезвреживание нарушителя периметра безопасности. В условиях размывания и даже исчезновения периметра становится все сложнее найти точку применения инструментов безопасности. Конечные пользователи ИТ-систем и другие субъекты бизнес-коммуникаций оказываются на линии огня. В этих условиях многократно возрастает уязвимость ИТ системы. Кроме того, современный киберпреступник обладает огромными ресурсами, которым противостоит не хорошо развитая периметровая система информационной безопасности, а персональные средства защиты конечного пользователя в сочетании с «человеческим фактором». Это не война, на ней нет фронтов. Это больше похоже на террористическую атаку. Эта атака не всегда направлена на информацию, целью может стать вычислительная мощность или просто создание плацдарма для новой атаки.

Сейчас уже не стоит вопрос, будет ли скомпрометирована сеть организации, вопрос звучит по-другому: что делать, когда это произойдёт? Последние годы мы активно работаем с внутренними угрозами и опыт показывает, что многие компании уже смирились с наличием вирусов и элементов ботнета на компьютерах своих пользователей. Сейчас актуален вопрос, как снизить потенциальный ущерб при разумных затратах. Например, работа системы смены паролей администраторских и технологических учетных записей купирует угрозу компрометации привилегий, и чем чаше происходит эта смена, тем ниже риск прямого ущерба.

В эпоху Интернет, когда бизнес меняется со скоростью мысли, классические политики и правила безопасности становятся все менее и менее эффективными. То, что еще вчера можно было просто запретить без последствий, сегодня ведет к потере конкурентных преимуществ компании. В современном мире выигрывает тот, кто делает свой бизнес более удобным и простым для своих клиентов. В этих условиях классический подход «мистера Нельзя» перестает работать, потому что, если нельзя, но это позволяет зарабатывать деньги, то можно.

Так что же делать? Нужно изменить подход: думать, как сделать то, что приносит деньги бизнесу если не безопасным, то как минимум приемлемым. Пора позабыть про противодействие ИБ и ИТ, очевидно, что невозможно создать надежную ИТ-систему без обеспечения необходимых мер безопасности. ИТ-службы приняли это как данность, и специалисту ИБ нужно помочь им сделать бизнес-процессы максимально безопасными, при этом не нарушая их привычный ход.

Давайте искать друг в друге союзников. Кстати, большинство систем противодействия внутренним угрозам может быть полезно и для ИТ-специалистов. Информация, собираемая системами поведенческого анализа, может быть использована для анализа производительности и эффективности ИТ инфраструктуры, а записи систем регистрации действий пользовате-лей помочь службе поддержки понять, что она делает не так. Таким образом возрастает значимость уровня информационной грамотности не только сотрудников ИТ и ИБ, но и рядовых пользователей ИС.

ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ КАК ИНСТРУМЕНТ ПОВЫШЕНИЯ ЗАЩИЩЕННОСТИ

Учитывая смещение вектора угроз в сторону пользователя и устройств, с которыми он ежеминутно имеет дело, приходится менять подход к конечному пользователю с точки зрения ИБ. Вместе с поиском и наказанием нарушителя на первое место выходит превращение конечного пользователя в союзника и активного участника в процессе обеспечения киберустойчивости компании.

Как говорилось ранее, наравне с целенаправленными атаками, с которыми уже привыкли бороться, значительное беспокойство для бизнеса представляет безадресная веерная атака на различные элементы инфраструктуры и конечных пользователей. Современный киберпреступник во многих случаях начинает свою атаку задолго до того, как у него появилась цель и предмет атаки. Зачастую он работает впрок, проводя атаку «по площадям» с целью обнаружить «слабое место» и получить плацдарм для будущей атаки. Этот тип атаки, как правило, незамысловат и достаточно просто отбивается автоматизированными средствами ИБ, если они работают и содержат актуальные базы угроз, но довольно часто этим «слабым местом» оказывается случайно не обновившийся антивирус или неработающие автоматизированные средства безопасности на компьютере пользователя, а также поведение самого человека.

Но злоумышленник может не использовать образовавшийся плацдарм сразу, а приберечь его до подходящего момента, и подобные «дыры», как правило, очень сложно обнаружить и, самое главное, абсолютно не разумно использовать для их поиска значительные ресурсы, потому что они могут никогда и не повлечь за собой никакого ущерба, и ресурсы будут израсходованы впустую.

Для борьбы с этим типом угроз необходимо прививать всем сотрудникам компании правила цифровой гигиены. Каждый сотрудник компании должен четко понимать и выполнять общие правила безопасного поведения при работе с информацией. К сожалению, при создании систем информационной безопасности вопрос осведомленности конечных пользователей стоит далеко не на первом месте. В то время, как в обычной жизни мы постоянно встречаемся с средствами информирования об опасности — «Не влезай, убьет!», «Осторожно, злая собака!», «Внимание, торговый зал снимает скрытая камера!» и прочие, в ИБ мы сидим в засаде и стараемся поймать нарушителя! Иначе как нам доказать свою необходимость и эффективность?!

Коллеги, как и в повседневной жизни, гораздо легче поймать нечаянного нарушителя, чем реального злоумышленника, причиняющего значительный ущерб. Повышение осведомленности конечных пользователей значительно снижает количество несущественных инцидентов информационной безопасности, борьба с которыми может съедать значительную долю ресурсов систем информационной безопасности.

Это так же позволяет высвободить ресурсы для борьбы с реальным ущербом. Что нужно сделать для этого?
  • Разработать четкий и понятный свод правил информационной гигиены, как общих, так и персональных, связанных с функциональными ролями сотрудников;
  • Организовать обучение сотрудников этим правилам при приеме на работу и переводе на другую должность;
  • Проводить регулярный инспекционный контроль знаний правил и следования этим правилам;
  • Регулярно информировать сотрудников компании об актуальных угрозах ИБ и необходимых мерах осмотрительности в этих условиях.
Возможно, эти меры выглядят несколько архаично, но без союзников среди «простых граждан» терроризм не победить. Каждый сотрудник компании должен знать, что он должен и не должен делать, чтобы не стать мишенью злоумышленника как внешнего, так и внутреннего. Это не только затруднит жизнь киберпреступникам, но и облегчит работу ИБ. Кроме этого, хорошо информированный сотрудник раньше обнаружит подозрительную активность и привлечет к ней внимание ИБ, повысив качество внутреннего контроля в организации. В такой ситуации нерадивый сотрудник трижды подумает прежде чем нарушить правила. Если его поведение будет выбиваться из общей поведенческой модели, это довольно скоро будет обнаружено системами поведенческого анализа, контролирующими внутреннюю безопасность организации.

Таким образом, необходимо формировать в компании профиль хорошего поведения. Как это сделать?

НЕ ПОЗВОЛИМ ХОРОШИМ ЛЮДЯМ ДЕЛАТЬ ПЛОХИЕ ВЕЩИ

Основной подход в обеспечении «хорошего поведения» сотрудников — это формирование безопасного профиля поведения, следуя которому выполнение функциональных обязанностей сотрудника будет максимально удобно, просто и безопасно. Можно выстроить всеобъемлющую систему запретов и ограничений, обеспечивающую максимальную безопасность, но, если это будет существенно мешать сотруднику исполнять свои обязанности, он будет пытаться ее обойти.

Эксперты в области безопасности очень много пишут и говорят о злоумышленниках и преступлениях, и это понятно. Борьба с плохими людьми — это то, за что нам платят деньги. Но давайте не будем забывать, что большинство людей все-таки хорошие, и они, как правило, приносят деньги компании. Наша задача, прежде всего, обеспечить их безопасность и функциональность.

В обычной жизни мы защищаем опасные участки перилами и оградами, развешиваем таблички, наконец, ставим охранников, чтобы люди не причинили вред себе и другим. То же самое нужно делать и в информационном пространстве, формируя для пользователей ИТ-систем оптимальные траектории цифрового поведения. В рамках данной статьи невозможно достаточно подробно раскрыть этот подход, остановлюсь на основных моментах.

Вводя какие-то ограничения, обусловленные требованиями безопасности, мы в той или иной степени наживаем себе врага. Потому, вводя какие-то ограничения, мы обязательно должны задуматься о возможных компенсационных мерах. Например, при введении требований к сложности и периодичности смены паролей, мы должны подумать, как пользователь будет его придумывать и запоминать. Вводя ограничения на доступ к определенным Интернет-ресурсам, мы должны убедится, что это не повлияет на доступ к остальным ресурсам. Правила и нормы поведения наиболее эффективны в том случае, если следование им является наиболее удобным или простым вариантом поведения. При создании безопасных ИТ-систем нужно не только создавать барьеры на пути «плохого» поведения, но и указывать на правильный путь. Это формирует ту оптимальную траекторию поведения, выбрав которую, пользователи будут находиться в большей безопасности с минимальными усилиями. Таким образом мы убережем хороших людей от плохих действий.

ДИФФЕРЕНЦИРОВАННЫЙ ПОДХОД К ПОЛЬЗОВАТЕЛЮ – ЗАЛОГ УСПЕХА

Однако не стоит забывать о том, что разные пользователи в организации требуют разного подхода с точки зрения обеспечения безопасности. Например, для контроля привилегированных пользователей недостаточно простой цифровой гигиены. Администраторы систем, как правило, могут обойти контрольные механизмы, то есть они постоянно находятся под искушением нарушить правила пусть даже и с благими намерениями. В этом случае необходимо выстраивать бизнес-процессы и инструменты контроля безопасности таким образом, чтобы их нарушение делалось более трудоемким, а еще лучше невозможным. До 45 % внутренних мошенничеств совершаются сотрудниками, которые наделены привилегией для совершения действий в обход контрольных мер. Прежде всего это происходит потому, что контрольные меры, как правило, затрудняют или замедляют действия пользователей, особенно в критической ситуации. Поэтому, внедряя контрольные системы, очень важно обеспечить контролируемому пользователю минимальное влияние средств безопасности на его обычный бизнес-процесс, а в идеале упростить его или ускорить.

Не всегда это получается, но если это удается, то мы получаем кумулятивный эффект от внедрения мер безопасности. Мы не только делаем бизнес компании безопасней, но и получаем позитивное отношение сотрудников и руководства компании.

Другой причиной обхода привилегированными пользователями контрольных механизмов является сам факт возможности бесконтрольного использования этих привилегий. На первый взгляд звучит парадоксально, но по сути, давая пользователю эту привилегию, мы провоцируем его на нарушение. В идеале необходимо исключить любой обход стандартных контрольных механизмов или он должен быть под особым контролем ответственного сотрудника ИБ.

Есть красивое решение этой дилеммы. Создание защищенной среды исполнения приложений, в которой пользователь может использовать положенные ему привилегии под контролем и без возможности компрометации учетных данных. Система авторизует пользователя для выполнения определенной привилегированной функции. После этого она выбирает в базе учетных данных соответствую запись и запускает для пользователя сеанс администрирования с использованием необходимого для этого инструмента. Таким образом пользователь никогда не получает привилегированных учетных данных и не может их использовать в обход защищенной среды. То есть он использует привычные средства администрирования при исключении возможности их компрометации.
* * *
Вы конечно скажете, что чудес не бывает, но мой опыт деятельности в этой области говорит о том, что это не чудо, а правильный выбор решения и схемы его внедрения. Ну и конечно же результат непосредственной вовлеченности в процесс внедрения всех заинтересованных сторон от контролируемого пользователя до владельца проекта.

Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31