Основные принципы ИБ: как исключить 99% проблем

Сразу оговорюсь - в данной статье мы рассматриваем непосредственно информационную безопасность, т.е. утечки информации, неправомерный доступ, вандализм (разместить на сайте зад вместо логотипа) и подобные технические явления. Мы не рассматриваем действия мошенников без технических методов.

Такое ограничение статьи введено неспроста. Решить вопросы технические можно методами информационной безопасности. Вопросы же розыска и профилактики относятся к другой плоскости, как к практической, так и к юридической.

ИБ начинается с вопросов, и с попытки ответить на них максимально коротко и просто. И найти решения, которые не позволяют на эти же вопросы ответить злоумышленнику так же коротко и просто.

Проблема замка

Если есть замок, он доступен проходящим мимо людям, и проходящие мимо люди явно понимают, что за его вскрытие им ничего не будет - рано или поздно его вскроют.

Конечно, если что-то приватное, например, админка сайта или ваша CRM доступна из интернета, её это тоже касается. Чаще всего взломы общедоступных ресурсов производятся не с целью получить именно ваши данные, а массово с помощью программ, подбирающих пароли и ищущих уязвимости в стандартных коробочных решениях. Такой взлом в момент его совершения редко причиняет какой-либо вред - хакеру не интересны 250 клиентов компании, продающей диваны в городе Н, но доступ у него останется. В будущем одна из тысяч таких взломанных CRM таких же компаний станет достаточно большой и будет содержать уже десятки тысяч данных клиентов по всей стране, и это уже станет зоной интереса, как минимум в качестве продаваемой базы клиентов в актуальном состоянии.

Проблема замка: правило двух замков

Сейчас популярна двухфакторная аутентификация. Она хороша там, где невозможно применить других методов и сервис доступен публично и должен быть таким. Жизненная аналогия проста - помимо подбора/обхода пароля, требуется так же обойти и 2FA-авторизацию. Плюс метода в том, что обойти 2FA программой сложно (хоть и возможно) и сейчас редки случаи массового обхода 2FA. 

Проблема замка: правило двух дверей

В корпоративных системах чаще используют правило двух дверей - VPN для доступа в сеть компании и пароль для доступа к конкретной системе. Это делает взлом пароля снаружи невозможным до тех пор, пока не будет взломан VPN. Такой подход полностью исключает взлом с помощью автоматической программы сканера, но совершенно не исключает других способов взлома.

Использование VPN позволяет вам защититься от явления массовых и малозаметных взломов, проявлений интернет-хулиганства и исключает низкоквалифицированных взломщиков из круга тех, кто может что-либо сделать с вашей информационной системой.

Проблема гостей

Звучит она следующим образом: в Ваш дом приходят гости, и некоторые из них могут болеть простудой - рано или поздно заболеете простудой Вы и Ваши домочадцы.

Так же и в информационной системе - приходящие внешние пользователи могут приносить различные трояны, смысл существования которых - обойти правило двух дверей. Троян - это уже корпоративный уровень угрозы, заточенный под корпоративные сети, и с учетом того, что они защищены VPN и фаерволами. Он технологичен и, зачастую, хороший троян не определяется антивирусом, по крайней мере сразу. Когда в Вашу сеть попал троян - злоумышленнику не нужно обходить фаервол и он может заняться сбором данных внутри сети, обходом паролей в системы таким же привычным автоматизированным способом, как будто работает с общедоступной системой Интернет.

Проблема гостей: принцип секретариата

Если к нам приходит много разных гостей, мы можем отделить приёмную от кабинета, в приемной посадить секретарей и они будут общаться с гражданами и решать 99% вопросов без потребности личного общения с Вами. Вы не будете болеть инфекцией, но будут простужаться секретари. Одно важное условие - вы не общаетесь с секретарями, а они с Вами.

Так и в сети предприятия - можно разделить сети на 3 глобальные группы: "гостевая сеть" - это сеть, куда ходят все, кто зашел к нам в гости, "сеть по работе с клиентами" - это сеть, которой пользуются люди, работающие с клиентами, "приватная сеть" - это сеть, куда не допускаются гости и устройства людей, работающих с клиентами.

Разделение на три зоны позволяет не причинить вред вносом/подключением зараженного устройства, а также позволяет защитить приватные данные от заражения устройств менеджеров, работающих с клиентами, получающими от них файлы, письма и так далее. Значит, что заражение их компьютеров троянами, пусть даже очень технологичными, само по себе не причиняет нам вреда и не создает угрозы. Всё ценное недоступно с компьютеров этих сотрудников.

Проблема гостей: принцип стерильности

Сейчас становится актуальным и другой принцип, позволяющий избежать заражения компьютеров клиентских менеджеров - принцип стерильности. Принцип требует вообще исключить факт получения любых файлов от клиента менеджером. Гораздо удобнее и проще, вместо обмена файлами - заполнить форму на сайте, или интегрировать две информационные системы, или просто обменяться ссылками на требуемые web-ресурсы без скачивания файлов. Удобно найти контрагента в справочнике по ИНН и не высылать карточку компании. Удобно обменяться документами по ЭДО без потребности их скачивать на компьютер. И так далее. Данный подход создает очень высокий уровень чистоты внутренних систем компании.

Проблема принципа - он требует усилий и интеграций в каждом из процессов, что в реальности невозможно, потому что каждый новый процесс будет начинаться с личного контакта, обмена файлами, ссылками, скачиванием и так далее. Только массовый налаженный процесс может быть доведен до уровня работы с ЭДО или справочника контрагентов.

Проблема публичного дома

Все предыдущие принципы хороши, когда дом, в который ходят гости - это дом. А вот если это публичный дом, то принципы, описанные выше, - не работают.

Когда распространение троянов и вирусов происходит не по пути клиент -> сотрудник компании, а личный обмен данными -> личный ноутбук сотрудника -> сеть компании. Не работают вообще все вышеперечисленные методы, так как человек где-то вне работы подхватывает троян и тащит его в корпоративную сеть.

Проблема публичного дома - сеть нулевого доверия

Одним из решений предлагается разделить все доступы внутри сети максимально, исходя из парадигмы "каждый компьютер взломан". Само разделение не помогает, конечно, решить проблему, но позволяет понять какие действия выполнены с какого компьютера. При наличии логирования - всегда можно прочитать логи, найти конкретный компьютер, действующий вредоносно, и заняться лечением на нем вирусов. 

Вторая сторона - это наличие малополезной и ничего не производящей работы по чтению логов и лечению вирусов. Специалисты, занимающиеся этим, рано или поздно съезжают в их квалификации и становятся сами скорее генератором новых уязвимостей в сети, чем способом их решить. Да, отдел ИБ в компании, зачастую, сам несет огромную угрозу тем, что является сосредоточением доступов в различные системы, а ничего не производящий труд делает людей пассивными, а значит делает их основной целью хакера.

Проблема публичного дома - в чем задача хакера?

Задача на системном уровне простая - сделать из дома благородного дом публичный, чтобы там завелся отдел ИБ. С этого момента - фактически всё находится в руках злоумышленника.

Кто же он? Вообще, ему лично ваша компания не очень интересна, ему нужны разные данные из разных мест. Ими можно воспользоваться по-разному: с выгодой и пользой для себя. Т.е., в конечном итоге, хакер собирает то, что собирается. Как грибник. А грибник не полезет в горы ради белых грибов, которых полно и здесь в Подмосковье.

Стандартные решения ИБ

Как только у вас образовался отдел ИБ, он стал применять стандартные решения: готовые продукты с известными уязвимостями, готовые схемы, взятые из интернета, и готовые методики, взятые оттуда же. С этого момента ваша сеть, закрытая VPN-ом, антивирусами, разделенная на 10 независимых сегментов - стала уязвима как никогда.

Всё потому, что теперь для получения доступа ко всем данным не нужно трояну попадать на большую часть ваших компьютеров - ему нужен один компьютер - вашего ИБшника, и нужно годик пособирать с него информацию - пароли, закрытые ключи, адреса в сети и так далее. В целом этого достаточно для того, чтобы можно было полностью игнорировать SSL и собирать всё прямо в открытом виде. После этого становится доступен полный набор данных - логины/пароли всех и каждого в открытом виде. Доступно всё, что защищено путем всех предыдущих методик.

Стандартные решения ИБ - облако

Можно хранить данные в облаке - тогда, в целом, потребность в сложной сети и ИБшнике пропадет. Правда вернется назад проблема замка и правило двух замков. Т.е. теперь ваши корпоративные данные защищены на самом минимально допустимом уровне. Наверное, это не то, чего мы хотели добиться.

Стандартные решения ИБ - насколько реальна проблема самого ИБшника?

Реальна, при полной беспечности ИБшника (они обычно такие). Решить достаточно просто - непосредственно его компьютер, обрабатывающий все эти данные, должен взаимодействовать с окружающим миром по принципу стерильности и только по нему. В целом - этого достаточно для того, чтобы именно он не стал достижимой целью номер один.

Просто ИБшник ставит себе 2 компьютера - один для жизни и повседневного пользования интернетом и общения с коллегами, а второй для управления доступами. Минус, наверное, только один - неудобно вводить ручками все пароли, очень хочется поставить на оба компа мессенджер и копировать пароли Ctrl-C/Ctrl-V. Вообще, именно лень админов, ИБшников, sre и devops - это основная причина того, что система, выстроенная как Форт Нокс, становится уязвимой до смешного простым способом.

Стандартные решения ИБ - исключить ИБшника, он лентяй

Оптимальное решение достаточно простое - оно стало некоторым прародителем и идеей требований ФСТЭК к защите персональных данных. Реальная защита от обхода ограничений может быть достигнута только путем всеобщего соблюдения требований к ИБ. Отсутствие выделенного ИБшника, и грамотность каждого - в использовании корпоративных средств защиты, в использовании антивирусов и кратном усложнении задач для взломщика.