ИС под защитой: оценка безопасности и основные шаги
Оценка защищенности ИТ-систем – это комплексный вопрос, который требует внимания ко множеству самых разных аспектов.
Во-первых, необходимо понять, все ли компоненты ИТ-системы нам известны, то есть насколько глубоко проведена инвентаризация имеющихся ресурсов. Если ИБ-администратор не может сказать, где конкретно находится тот или иной элемент системы, значит, с безопасностью уже не все в порядке.
Второй важный момент – идентифицированы ли все пользователи, которые так или иначе взаимодействуют с системой? Никогда нельзя гарантировать безопасность периметра, если мы не знаем, кто работает в системе и, кто ее администрирует.
На безопасность также влияет происхождение компонентов защиты. Очевидно, что сегменты с открытым исходным кодом ставят перед нами логичные вопросы: нет ли в них известных или скрытых уязвимостей? При этом важно понимать, как происходит проверка этих компонентов при добавлении в систему. Однако нельзя быть уверенными и в технологических партнерах, которые поставляют свои продукты для ИТ-системы. Их тоже нужно контролировать и проверять на наличие механизмов защиты, потому что если в представленных продуктов они отсутствуют, то даже идеальная система безопасности не поможет – хакеры войдут именно через продукты партнеров. Эта атака класса supply chain attack не самая простая для реализации, но она очень опасна – злоумышленнику не нужно взламывать хорошо защищенную цель, ему достаточно лишь «хакнуть» поставщика решений для этой цели, а дальше он сможет проникнуть куда угодно.
Следующий уровень вопросов, которые нужно рассмотреть при оценке безопасности, это непосредственно поиск уязвимостей. Необходимо понимать, есть ли какие-то известные или скрытые недостатки механизмов защиты в компонентах ИТ-инфраструктуры. Скорее всего, они обязательно найдутся. Дело в том, что их порой тяжело патчить, а айтишники без надзора безопасников этого делать не любят, ведь каждое изменение потенциально может повлиять на доступность системы для пользователей. После того, как уязвимости найдены, необходимо понять, сможет ли злоумышленник реализовать недостатки системы и получить несанкционированный доступ. Чем больше уязвимостей, тем выше вероятность различных инцидентов и, соответственно, ниже уровень защищенности.
Также важно уделить внимание управлению конфигурациями, потому что недостатком системы могут быть не только ошибки в коде, но и ошибки в настройках. Порой это даже опаснее. Неточности управления конфигурациями решаются правильной настройкой системы управления изменениями, когда ИБ-администратор проверяет, насколько каждое обновление конфигурации влияет на общий уровень безопасности. Здесь нужно обратить внимание на количество пользователей и систему разделения полномочий. Чем больше людей в системе имеют неограниченные права, тем выше вероятность, что хакеры смогут взломать кого-то из них и завладеть неограниченным доступом к системе.
Возможно ли обеспечить аналогичный уровень сетевой безопасности на основе российских решений по сравнению с зарубежными?
Это сложный вопрос, потому что исторически средства сетевой безопасности развивались в рамках сегмента госорганизаций и обязательно сертифицированных средств защиты. После 24 февраля на российские решения спрос существенно вырос, однако это повлекло за собой непонимание, почему отечественные средства защиты функционально проигрывают иностранным.
Для начала нужно понять, что для обеспечения аналогичного уровня сетевой безопасности нужно правильно выбрать продукт, а до того – определиться со сценарием системы защиты. Условно их существует пять: периметровый файрвол, файрвол внутренний сегментирующий, файрвол для большой территориально распределенной сети, файрвол для среднего и малого бизнеса и файрвол для технологической сети. Каждый файрвол обладает набором функций, например, централизованное управление, обнаружение и предотвращение атак, защита от вредоносного ПО, дешифрация зашифрованного трафика и так далее. Однако в зависимости от выбранного сценария у этих функций будет разный приоритет. Поэтому, чтобы система была надежно защищена, нужно определиться, для чего нам нужно то или иное решение.
Да, сейчас российские средства защиты развиваются, что называется, по накатанной и адекватно отреагировать на изменения внешней среды они смогут к концу года, а то и к середине следующего. Но второй важный момент заключается в том, что по большому счету сетевая безопасность лишь опосредованно зависит от продуктов. Конечно, каждый новый элемент системы не должен ухудшать сетевую связанность, но если грамотно реализован процесс инвентаризации, если правильно настроены политики и мониторинг безопасности, то аналогичный уровень сетевой защиты на основе отечественных решений обеспечить вполне реально.
В целом киберпреступники научились получать деньги практически из любой сферы. Если в организации есть большая ИТ-инфраструктура, то какой-нибудь банальный вирус-вымогатель, который шифрует все данные, – это отличный способ получить материальную выгоду.
Традиционно злоумышленники смотрят в сторону финансового сектора, потому что там априори много денег. Хакеры могут проникнуть в информационную систему финансовых организаций, а могут попробовать взломать их клиентов. Кроме того, киберпреступникам интересно «ломать» интернет-компании, потому что в них уровень цифровизации существенно выше, к тому же операции происходят онлайн, и в случае успешного взлома злоумышленники получат доступ к огромному массиву данных.
Также можно отметить предприятия оборонного сектора – сюда входят те компании, которые производят высокотехнологичное оборудование и выступают подрядчиками Министерства обороны. Правда, здесь скорее речь идет не о киберпреступности, то есть заработке денег криминальным путем, а о промышленном шпионаже и саботаже. Этим любят промышлять так называемые state-sponsored hackers, то есть группировки хакеров, спонсируемые государствами.
Еще одна довольно уязвимая сфера, особенно для вирусов-вымогателей, – здравоохранение. Взламывать медицинские учреждения не очень этично – хотя вряд ли это слово можно применить в отношении преступности – тем не мнее, от них злоумышленники добьются выкупа с большей вероятностью, потому что работа с данными – критически важная вещь, особенно в контексте времени. Ведь если пациенту вовремя не дать какое-либо лекарство, то он может умереть, а какое лекарство давать, если все данные находятся в «цифре» и в данный момент зашифрованы? Поэтому сфера здравоохранения нередко становится целью хакеров.
Опубликовано 25.07.2022