Rambler's Top100
 
Статьи
Алексей ФОМИН  Андрей ГАЙКО  13 июля 2018

Запрос на безопасность

В сегодняшнем мире физическая и информационная безопасность неотделимы друг от друга и важны как для организаций, так и для частных лиц.

  Алексей Фомин
 Андрей Гайко
Если производитель и поставщик товаров и услуг не позаботились о безопасности для себя и своих клиентов, то последствия могут быть печальными – от финансового ущерба до человеческих жертв. Из-за желания быстро вывести услугу или товар на рынок производители зачастую пренебрегают мерами безопасности, относя их в разряд не основных бизнес-функций, а обеспечивающих. К сожалению, это касается как информационной безопасности (ИБ), так и безопасности физической (ФБ).

Каждый производитель еще на этапе планирования своего продукта должен оценить риски как для себя (какие риски возникают для бизнеса при продаже, поддержке решения? могут ли нелегитимные действия пользователей повлиять на бизнес, на сотрудников?), так и для конечного потребителя (какие риски возникают при использовании решения? есть ли угрозы здоровью, личной информации и т.д.?). Но вендоры редко проводят столь глубокий анализ и изучают риски информационной и физической безопасности, а тем более их в комплексе. Практика показывает, что коммерческие организации еще могут задуматься о безопасном использовании решения, но физические лица будут полностью игнорировать элементарные меры защиты, надеясь, что решение по умолчанию безопасно или просто не думая в таких категориях.

Хакерская атака – это просто

Последние 10 лет прослеживается тенденция к автоматизации методов взлома информационных систем. Как следствие, снижается порог входа «в профессию». В начале 2000-х злоумышленники должны были обладать серьезными навыками программирования. Они писали собственные приложения/скрипты для эксплуатации уязвимостей в программном обеспечении, делали «кастомные» связки «боевого» ПО под определенные векторы атак. Сейчас для все тех же целей есть множество готовых наборов приложений, не требующих высокой квалификации. Например, для атак на финансовые учреждения хакеры активно применяют ПО Cobalt Strike, которое его производители изначально позиционировали в качестве средства для эмуляции киберугроз и проведения тестов на проникновение. А при взгляде со стороны защиты вредоносная активность Cobalt Strike схожа с действиями реальных хакеров. Раньше надо было «руками» взламывать одну машину, обследовать доступные узлы, соседствующие со взломанной машиной, эксплуатировать уязвимости и переходить на следующий узел, где повторять эти действия. При использовании Cobalt Strike эти рутинные операции автоматизированы и доступны «из коробки». Уже не нужно самому писать эксплойты, их можно почти легально купить, а многие -- бесплатно скачать. Взлом информационных систем стал доступнее и проще.

То же касается распределенных атак типа «отказ в обслуживании» (Distributed Denial of Services, DDoS). Можно самому создать подобную платформу для атак либо воспользоваться уже существующими сервисами. Цена зависит от интенсивности и продолжительности атаки и начинается от $3.

В области обеспечения ФБ тоже проявились новые тенденции. Например, с помощью вездесущих дронов можно осуществить несанкционированный доступ, слежку и разведку на защищаемом объекте. Дроны становятся совершеннее и дешевле из года в год.

Помимо атак на организации или физических лиц с помощью технических средств, существуют методы социальной инженерии. Их цель -- склонение атакуемого человека к определенным действиям. Причем с жертвой часто даже не нужно проводить серьезной работы: наличие различных новомодных гаджетов, возможность «поделиться фоточками» с режимного места работы и игнорирование процедур безопасности делают свое дело. Кроме того, в целом люди подвержены внушению, ленятся исполнять разработанные регламенты безопасности. Получается огромный пласт возможностей для проведения целевой атаки методом социальной инженерии, не говоря уже о прямых диверсиях или передаче прав доступа третьим лицам.

Безопасность – задача комплексная

Многие из современных услуг и сервисов интегрируются с решениями сторонних компаний, а это означает серьезный пограничный обмен между системами (причем как в части ИТ, так и в части физических ресурсов, персонала и т.д.). Таким образом, построить изолированную систему, жестко настроив ее на периметре, невозможно -- она просто не будет работать. Современный тренд к аутсорсингу всего, кроме целевой функции бизнеса, накладывает на обеспечение безопасности целый ряд дополнительных ограничений, делая его крайне нетривиальным процессом.

В последнее время тенденции развития решений в области ИБ и ФБ для организаций различного размера имеют много общего, поскольку вызовы по большому счету схожи. Например, ущерб от пожара в архиве или серверной комнате компании условно равен ущербу от утечки коммерческих данных, а в ряде случаев может и превышать его.

Все процессы и меры обеспечения безопасности можно разделить на три группы:
  • предотвращение -- организационные процессы и технические средства, направленные на минимизацию рисков безопасности;
  • обнаружение -- выявление фактов нарушения состояния безопасности;
  • реагирование -- реагирование на события, классифицированные как инциденты безопасности, их расследование и устранение.
В сфере ИБ защитные меры обычно выбирают на основании результатов оценки рисков, зарегистрированных инцидентов или требований регуляторов. До сих пор среди безопасников в компаниях из различных секторов экономики крепка вера в «железо». Многие считают, что купив и внедрив современное программное или программно-аппаратное средство защиты, они обезопасят себя от определенной угрозы (таргетированных атак, например). К сожалению, реальность оказывается иной. При внедрении любого средства защиты следует думать о том, кто его будет использовать и как. Но главное даже не это: необходимо понять, действительно ли купленная «серебряная пуля» будет делать то, что написано в рекламе, и достаточно ли одной ее для решения проблемы.

Аналогичная ситуация в сфере ФБ: установка современных, качественных систем, например системы контроля и управления доступом (СКУД) и видеонаблюдения совсем не означает, что безопасность на объекте будет обеспечена должным образом. Без встраивания логики работы этих систем в общую концепцию обеспечения безопасности на объекте, а также без соблюдения регламентов рядовыми сотрудниками компании и сотрудниками службы безопасности безосновательно ожидать, что установленное оборудование само собой повысит уровень защищенности объекта.

SOC не панацея

Ярким представителем класса средств обнаружения вредоносной активности в ИТ-системах является центр оперативного управления безопасностью (Security Operation Center, SOC).

В современных организациях используется множество информационных систем. Эти системы построены на базе различных стеков технологий. Системы генерируют огромный массив журналов событий и оповещений. Системным администраторам и сотрудникам ИБ-служб для выявления инцидентов безопасности приходится обрабатывать большое количество данных от информационных систем и систем безопасности в различных форматах. Возникают проблемы с оперативностью обработки и своевременным реагированием. Поэтому возникла технически понятная и правильная идея о сборе всех этих данных в одном месте, осуществлении предварительного анализа, отображении данных в более простом виде для ускорения их восприятия и работы с ними. В результате интеграторы предлагают услуги построения SOC, сформированы нормативные требования к созданию таких центров на государственном уровне, крупные компании организуют у себя подразделения по мониторингу безопасности, проводятся тематические форумы. Однако эффективно работающих центров управления безопасностью не так много. Причин тому несколько.

При постоянно растущей и меняющейся инфраструктуре необходимо выстроить процесс своевременного подключения к SOC новых источников событий. Часто служба мониторинга и сотрудники ИБ-отделов об этом забывают. В итоге часть неконтролируемых систем оказывается в «серой» зоне. На Западе в SOC передаются, в частности, данные от систем физической безопасности, например СКУД. В России это большая редкость.

Еще одна причина -- нехватка квалифицированных кадров, которые могли бы понять, что вообще происходит. Какая цепочка событий от каких систем может свидетельствовать о вредоносной активности, как по периметру, так и внутри сети? Аналогичная ситуация складывается в ФБ: отставники из силовых ведомств успешно решают задачи обеспечения режима на объекте, но им часто не хватает знаний в области информационных систем ФБ. С другой стороны, есть ИТ-специалисты, хорошо разбирающиеся в технических средствах ФБ, которые не сильны в области соблюдения режима и регламентов безопасности, а иногда они прямо саботируют эти требования, считая их «бумажной безопасностью». Людей с комплексным подходом к проблеме не хватает как в сфере ИБ, так и в сфере ФБ.

Безопасность в государстве и в городе

На общенациональном уровне в рамках обеспечения безопасности критических информационных инфраструктур (КИИ) на территории РФ создается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Эта система состоит из иерархически организованных центров, среди которых на государственном уровне выделяется главный центр, на уровне федерального округа – региональный центр, на уровне субъекта РФ – территориальный центр. На каждом из уровней также присутствуют ведомственные и корпоративные центры. Каждый центр представляет собой отдельный SOC с дополнительными «модулями». Информация от этих систем будет передаваться в главные центры и там более глубоко анализироваться. Выходит, SOC – это уровень организаций, ГосСОПКА – уровень государства. Причем ГосСОПКА, судя по официальным документам, должна не только являться центром управления безопасностью, но и уметь реагировать на выявленные инциденты, т.е. иметь в своем составе группу реагирования на компьютерные инциденты (Computer emergency response team, CERT).

Неким аналогом SOC в области ФБ на уровне города является аппаратно-программный комплекс (АПК) «Безопасный город», куда должна стекаться в автоматическом режиме информация о работе различных систем: систем безопасности (нарушение периметра, пожар и т.п.), инженерных систем (затопление, прорыв канализации и пр.), радиационного мониторинга, мониторинга несущих конструкций и т.д. на различных объектах города. Суть таких систем -- максимально снизить или исключить, а в идеале предотвратить потенциальные жертвы на объектах массового скопления людей в ходе возможных террористических актов и чрезвычайных ситуаций (ЧС) различного характера. Достигается эта цель за счет минимизации влияния человеческого фактора (информация передается в центр автоматически, а не «голосом» по цепочке дежурных служб, как в основном делается сейчас) и серьезного сокращения времени получения информации о ЧС в городском оперативном центре.

ГОСТ на создание систем, которые отправляют данные в систему городского уровня, был разработан и введен в действие еще в 2012 году, но большого количества внедрений подобного класса, скажем в Москве, авторам неизвестно.

В области работ по «Безопасному городу» фокус с комплексного подхода пока смещен в сторону только одного, хотя и безусловно важного направления -- видеонаблюдения. Благодаря видеонаблюдению ежедневно выявляется множество правонарушений на дорогах, уголовных преступлений, что подтверждает необходимость такой системы. Но этого недостаточно. В соответствующем документе, регламентирующем АПК «Безопасный город», очерчена гораздо более крупная и разносторонняя система, в которой видеонаблюдение -- всего лишь часть.

Здесь уместно вспомнить о SIEM-системах в области ИБ, которые обеспечивают корреляцию событий, поступающих с множества устройств, и помогают сотрудникам служб безопасности в анализе ситуации. Подобного функционала в составе решений «Большого города» пока нет. Поэтому сейчас мы видим массу диспетчеров в различных ситуационных центрах, которые выполняют рутинные операции поиска и анализа информации, внося тем самым человеческий фактор в самое начало работы с инцидентом. Об автоматизации можно говорить в основном применительно к видеонаблюдению, где в последнее время наметился массовый тренд к использованию модулей видеоаналитики, которые позволяют снять большую часть нагрузки с диспетчерского персонала, определяя наступление важных событий автоматически.

Хотелось бы еще раз подчеркнуть важность наличия аналитического инструмента для корреляции событий в ФБ: если на уровне одного объекта создаваемые комплексные системы безопасности с единым журналом тревог как-то эту задачу решают, то в масштабах района и тем более города таких инструментов зачастую просто нет.

Как выполнить требования регуляторов?

К сожалению, в настоящее время четкая, системная государственная политика в области обеспечения безопасности, выраженная в виде упорядоченных и не конфликтующих между собой регламентов и стандартов, отсутствует.

Сегодня как в сфере ФБ, так и в сфере ИБ, существует ряд прямых противоречий в требованиях соответствующих регуляторов. Это сказывается на обеспечении безопасности «на местах». А ответственным за обеспечение безопасности является исполнитель (компания). Как быть? Универсального решения, увы, нет.

Специалисты по безопасности, которые считают, что занимаются «настоящей», а не «бумажной» безопасностью, уверены в бесполезности каких-либо стандартов в этой области. Они говорят, что ты сможешь надежно защитить систему, только если умеешь ее взламывать. Тут можно поспорить. Например, стандарт безопасности индустрии платежных карт (PCI DSS) позволяет «закрыть» до 80% основных угроз безопасности. А все потому, что создатель данного стандарта понял основные риски карточной индустрии и смог ясным языком объяснить, как их избежать. Именно в этом ключе стоит рассматривать любой из стандартов безопасности, определяя его как описание минимальных требований по безопасности. Однако не у всех регуляторов в нашей стране есть стандарты для защиты основных бизнес-процессов и систем. Хотя в каждом сегменте рынка существуют типовые угрозы, которые поддаются классификации и проработке.

Но даже если у одного из отечественных регуляторов будет свой стандарт безопасности, это не значит, что жить станет проще. Тексты таких документов порой сложны для восприятия и не всегда могут служить хорошим руководством к действию. Для примера достаточно открыть Положение № 382-П ЦБ РФ и попытаться понять, что имел в виду автор, как такие требования реализовать и что в качестве доказательства их выполнения попросит предоставить аудитор ЦБ РФ.

К сожалению, отечественные стандарты не идут ни в какое сравнение с западными по качеству изложения материала. Документы того же Американского института стандартов (NIST) написаны понятным языком и с примерами. Чувствуется, что их авторы хотят, чтобы читатель понял текст и сделал все правильно. Чем продиктован подход отечественных нормотворцев – авторам статьи неизвестно.

Кадры и здесь решают всё

Как в сфере ФБ, так и в сфере ИБ самым слабым звеном есть и будет человек. Какие бы стандарты и нормативы ни создавались, только от людей «на местах» зависит, как им будут следовать. Лишь сам человек, который является владельцем бизнеса, решает, ставить пожарную сигнализацию или решить вопрос «иначе». То же касается специалистов по безопасности. Кто-то заинтересован в профессиональном росте и вникает во все тонкости профессии, а кто-то сидит за столом с 9 до 17 и играет в «Косынку». И редкого обывателя волнуют вопросы личной кибербезопасности.

Сложность систем увеличивается, темп жизни растет. Изменения происходят прямо сейчас, но методы обучения и преподаваемый материал о безопасности – всё те же. Мы безнадежно отстаем от ритма жизни в скорости подготовки как простых людей к ЧС, так и профильных специалистов по ФБ и ИБ. Плохо поставлена работа с персоналом на объектах (за исключением, наверное, самых режимных, где этому традиционно уделяется много внимания и времени): не проводятся регулярные тренировки по эвакуации персонала на случай ЧС, нет и учебных действий на случай серьезных инцидентов в области ИБ. Уже сегодня профильные эксперты оценивают нехватку специалистов в сотни тысяч человек. А что будет дальше?

* * *
Данная статья -- попытка сфокусироваться на основных проблемах, с которыми авторы сталкиваются в повседневной работе и которые свойственны обеим отраслям безопасности. Результатом анализа проблем стал следующий список:
  • Различные ведомства, отвечающие за свои разделы безопасности, скорее создают трудности (к сожалению), чем способствуют повышению уровня безопасности.
  • Отсутствует системный подход к безопасности на государственном уровне. Нет общей концепции безопасности гражданина, которую преподавали бы, начиная со школы, в институте и постоянно актуализировали бы в ведомствах или компаниях по месту работы. В результате отсутствует понимание комплекса проблем ФБ и ИБ на уровне простого человека.
  • Следствие предыдущих двух пунктов -- выработавшаяся привычка тратить деньги на «минимальный минимум» защитных мер или постфактум -- уже после серьезного инцидента, а не заранее. Это одна из причин, почему с обеспечением безопасности до сих пор проблемы (и, вероятно, будут и дальше).
  • Требования к обеспечению безопасности растут, а при известной общеэкономической ситуации исполнять их никто не торопится. Безопасность -- не целевая бизнес-функция, а всего лишь обеспечивающий процесс, поэтому никто не спешит инвестировать в эту сферу. А без серьезных государственных вложений в инфраструктуру построить безопасность на уровне государства будет непросто.
  • Культурно-философский аспект: почему мы думаем об эффективности и необходимости мер, только тогда, когда что-то случится? Почему мы не крестимся до того, как грянет гром? Здесь решающим является комплекс факторов: воспитание, образование, регулярные тренировки и общая вовлеченность населения, не имеющего прямого отношения к ФБ и ИБ, в работу по повышению осведомленности.
По мнению авторов, обсуждение вопросов ИБ и ФБ должно начинаться еще на уровне младших классов школы. Чтобы с самого детства мы были грамотны, понимали риски и впоследствии могли четко сформулировать государству свой запрос на нашу безопасность.

Алексей Фомин, генеральный директор, SenseLab
Андрей Гайко, заместитель генерального директора, Digital Compliance
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!