Стадии, факторы и симптомы кибер-болезней
Главное – это здоровье. Будет здоровье – будет всё.
Банальный тост
Часть 1. Семь стадий и факторов кибер-болезней
Кибер-здоровье и информационная безопасность систем и организаций аналогичны человеческому здоровью и медицине. Отчего «болеют» компьютерные системы организаций? У информационных систем (приложений, веб-сайтов, сетей и организаций в целом) можно выделить такие же стадии и факторы болезней, как у человеческого организма:
- «Плохая наследственность». Программное обеспечение или конфигурации могут включать в себя или использовать ненадёжные устаревшие компоненты. Это пример технической уязвимости безопасности.
Под уязвимостью понимается внутренний недостаток программного продукта, информационной системы или всей организации. Самые разные уязвимости периодически обнаруживаются в разнообразных системах – от iOS, Android и Chrome до программного обеспечения роутеров, электромобилей и даже промышленного оборудования. Во многих случаях, особенно когда активировано автоматическое обновление систем, уязвимости быстро устраняются. Но иногда по разным причинам злоумышленникам удаётся воспользоваться ими и проникать в системы.
Одними из наиболее серьезных уязвимостей в последнее время стали уязвимости Meltdown и Spectre, обнаруженные почти во всех современных микропроцессорах: от телевизоров и смартфонов до серверов и рабочих станций. При этом после выпуска исправлений этих уязвимостей проблемы не закончились, так как данные исправления снизили производительность компьютеров и других устройств. Представьте урон современной экономики, вынужденной мириться с замедлением всех цифровых устройств в мире на величину от 5 до 50%!
Мы встречали компании, для которых такое снижение производительности их серверов оказалось настолько критичным, что угрожало выживанию этих компаний из-за замедления технологических операций. И эти компании отказывались от исправления уязвимостей, находя различные альтернативные обходные пути и компенсирующие меры, чтобы не оказаться взломанными хакерами.
Говоря об уязвимостях, нужно также упомянуть понятие угрозы. В отличие от уязвимости, угроза – это внешний по отношению к системе фактор. Например, компьютерные вирусы, хакеры, обиженные сотрудники, конкуренты или скачок напряжения, который может уничтожить информацию. Для каждой индустрии существует свой набор типовых угроз, хотя их величина оценивается индивидуально для каждой организации. - «Несоблюдение гигиены», «беспорядочные половые связи» и т. п. приводят к заражению. Точно так же, несоблюдение кибергигиены – беспорядочное использование ненадёжных веб-сайтов, программных продуктов, компонентов, технологий, может привести к инфицированию или созданию «дыры» в безопасности.
Довольно распространены случаи, когда бухгалтер предприятия использует рабочий компьютер для личных целей, переходит на зараженный веб-сайт, и вредоносное программное обеспечение через открытое окно клиент-банка переводит деньги со счёта предприятия на счёт злоумышленника. Вернуть обратно эти деньги практически невозможно, так как операции совершаются с использованием цифровой подписи предприятия.
Впрочем, подобные инциденты происходят со счетами не только предприятий, но и физических лиц. Собственно, заражение компьютеров и проникновение в них мы рассмотрим в нашем следующем пункте перечня аналогий кибер-здоровья и физического здоровья. - «Инфицирование и проникновение». Так же, как внутри организма постоянно существуют тысячи различных микробов: бактерий и вирусов, не причиняя вреда человеку, в системах всегда присутствуют технические уязвимости, которые не приводят к инцидентам безопасности до поры. При сочетании нескольких внешних (среда) и внутренних (иммунитет) условий инфекция начинает развиваться.
Аналогично, при сочетании внешних и внутренних обстоятельств (определённые наборы угроз и уязвимостей безопасности) происходит инцидент безопасности, который наносит определённый ущерб. Так же, как человек может умереть от болезни, организация может прекратить своё существование в результате, например, утечки или кражи критически важной информации.
Здесь хочется привести яркие примеры, показывающие, насколько близко связаны кибербезопасность с физической безопасностью.
За последние 5 лет было несколько случаев хакерских атак на больницы в США и Великобритании с целью отключения свидетелей преступлений от аппаратов жизнеобеспечения, подключенных к компьютерным сетям. Некоторые из этих атак достигли своей цели, и преступники избавились от нежелательных свидетелей, которые усиленно охранялись физически, но недостаточно – в виртуальном мире.
В 2017 году была осуществлена хакерская атака на нефтеперерабатывающее предприятие в Саудовской Аравии. Злоумышленники смогли модифицировать работу промышленного оборудования, вызвали утечку и возгорание нефтепродуктов. В результате этого инцидента погибли люди. - «Отсутствие прививок (вакцин)». Разработчики ПО, системные администраторы и специалисты по информационной безопасности, как правило, имеют некоторый опыт работы с техническими уязвимостями, угрозами безопасности и кибер-атаками, но этот опыт может не охватывать многие специфические уязвимости и угрозы. Отсутствие правильной профилактики этих специфических негативных факторов является предпосылкой «заболевания» – инцидента безопасности.
Устранение технических уязвимостей – не всегда тривиальная задача. Как было упомянуто выше, иногда обновления и исправления приносят больше проблем, чем устраняют. Например, одна из компаний, разрабатывающая медицинское программное обеспечение, заказала у нас тестирование на проникновение для своей системы. Мы нашли ряд критических уязвимостей и написали отчёт о них. Разработчики их исправили и направили систему на повторное тестирование. Мы обнаружили, что при исправлении старых уязвимостей разработчики добавили довольно много новых.
Мы поняли, что такими темпами программное обеспечение никогда не будет безопасным, и занялись обучением разработчиков безопасному кодированию и проверкой изменений, которые они делают, перед выпуском новых версий. Только так получилось обеспечить безопасность этого социально важного программного продукта. - «Несбалансированное питание». «Пищеварение» любой организации – это её бизнес-процессы и технологические процессы. Поэтому здесь в качестве аналогии можно представить недостаточную организационную безопасность: беспорядок с документацией, ответственностью, инвентаризацией, управлением изменениями и т. д. Это приводит к всевозможным потерям и инцидентам безопасности.
С другой стороны, излишняя бюрократизация, документирование, санкционирование вредны для бизнеса, потому что тормозят его. Поэтому здесь так же важен оптимальный баланс, как и при питании. «Вредное питание» – это плохая организация процессов.
Почти любой компании очень сложно получить внутреннюю мотивацию выполнять сбалансированное управление бизнес-процессами . Абсолютно аналогично, человеку часто сложно придерживаться правильного питания. Здесь вступают в силу внешние стимулы. В случае с человеком – рекомендации врачей, тренеров и близких. В случае с организациями – требования регуляторов и законы.
Примеров достаточно много. Как известно, современный автомобиль перестал быть только средством передвижения. Теперь это скорее компьютер на колёсах.
Как и многие другие отрасли, европейская автомобильная промышленность стремится сократить расходны на ИТ, и делегирует разработку программного обеспечения в Восточную Европу, где зарплаты разработчиков ниже, чем в Европе, а качество продуктов выше. Однако вместе с таким делегированием возрастают риски информационной безопасности. Поэтому автопроизводители разработали набор требований VDA ISA и механизм сертификации ENX TISAX, которые помогают достичь правильного и сбалансированного управления процессами информационной безопасности в организации.
Несколько восточноевропейских ИТ-компаний с нашей помощью внедрили данные требования, получили официальные сертификаты европейского автопрома и новые крупные заказы в Европе. Выходит, что компания в хорошей форме настолько же привлекательна на рынке услуг, насколько и человек в хорошей форме пользуется успехом противоположного пола. - «Ослабление организма из-за тяжёлых условий работы». Персонал организации настолько загружен повседневной рутиной, что жертвует активностью, направленной на безопасность. Эта активность, как и здоровый образ жизни, обычно не приносит быстрого осязаемого результата, поэтому часто недооценивается.
Помните фильм “Как украсть миллион” с Одри Хепберн? Герои фильма, для того, чтобы украсть из музея свою семейную реликвию, воспользовались простейшим бумерангом, который “задолбал” охранников музея сработками сигнализации, заставил их подумать, что она вышла из строя, и заставил отключить её, чтобы она не будила их.
Примерно такие же приёмы используют хакеры для проникновения в системы организаций. Отвлекающий манёвр выполняется совсем не там, где планируется реальная атака.
Однако специалисты по безопасности тоже не “лыком шиты”. Они пользуются точно такими же стратегиями и создают ханипоты и ханинеты (honeypots and honeynets) – искусственные “ловушки”, имитирующие реальные системы, но являющиеся просто бесполезными виртуальными хостами, отвлекающими хакеров и расходующими их время и ресурсы. Существует целый класс программного обеспечения класса Deception – обманки.
Современные войны ведутся незаметно, в виртуальном мире. При этом искусство ведения боевых действий мало изменилось за 2,5 тысячи лет, когда Сунь Цзы написал свой знаменитый трактат “Искусство войны”, который до сих пор является настольной книгой американских спецслужб. - «Хроническая и острая патология». Инциденты безопасности, как и болезни, могут протекать долго и скрытно, либо быстро и болезненно. Ущерб от инцидентов может быть незаметен, но при этом аккумулироваться со временем, подрывая общее здоровье системы или организации. Уязвимости и мелкие инциденты могут накапливаться, чтобы прорваться в самом тонком месте, в самый неподходящий момент.
Здесь было бы уместно привести пример классической атаки “ломтик салями”. Успешно проникнув в финансовую систему, злоумышленник может осуществить разовую крупную кражу и быстро демаскировать себя, а может настроить автоматическое регулярное списание небольшой малозаметной суммы. За месяцы и годы работы такой “закладки”, ущерб владельца счёта и доход хакера может накапать до весьма больших размеров.
Примерно так же хронические заболевания организма долго и незаметно подрывают общее здоровье человека.
* * *
Подобные аналогии позволяют взглянуть на проблемы кибер-безопасности с новой точки зрения, по-новому систематизировать негативные факторы информационной безопасности, чтобы ничего не упустить и переосмыслить приоритеты защиты.
Стоит также отметить, что описанные выше стадии и факторы болезней применимы не только к техническим компонентам информационных систем, но и к человеческим. Если утрированно рассматривать сотрудника организации как компонент её информационной системы, то необходимо также оценивать психологические уязвимости (халатность, болтливость, хвастовство, страх, подверженность влиянию и т. д.). Эти человеческие уязвимости также часто становятся причинами инцидентов безопасности.
Социотехническая безопасность – это отдельная вселенная. О социальной инженерии, то есть, проникновении в организацию или краже её секретов с помощью психологического воздействия на её сотрудников, написано много увлекательных книг.
Часть 2. Семь симптомов кибер-болезней и диагностических ситуаций
Как вам понять, что ваша организация или стартап нуждаются в диагностике? Как не упустить нужные моменты? Как распознать самые ранние симптомы? Снова пользуясь принятой аналогией и вышеперечисленными факторами, можно отметить следующие ситуации, требующие кибердиагностику:
- «Беременные». Авторам идей, архитекторам и разработчикам ПО не следует ждать, пока они станут «беременными» планами разработки своих продуктов, а следует закладывать в них безопасность ещё до их «зачатия». Провести техническую оценку безопасности продукта на этапе PoC (Proof of Concept), MVP (Minimum Viable Product) и beta-version – это то же самое, что УЗИ плода на 13-й, 22-й и 33-й неделях беременности. Must have.
- «Новорождённые и дети». Низкая безопасность вашего детища может подорвать его успех так же, как плохое здоровье ребёнка может испортить ему жизнь или даже отнять её. Насколько часто водить дитя на диагностику, в основном, каждый родитель решает для себя, в меру своей компетентности, тревожности или беспечности. Но есть и внешние требования, без выполнения которых не получится отдать ребёнка в детский сад, школу, бассейн, летний лагерь. И об этом отдельный пункт.
- «Внешние требования». Точно так же, как в некоторых случаях (поступление в образовательное учреждение, на работу, регулярные осмотры) от нас требуют ту или иную медицинскую справку (например, о флюорографии), существуют требования государственных органов, регуляторов и партнёров, предписывающие проходить регулярные аудиты безопасности. В том числе, техническую оценку и тестирование на проникновение. В развитых странах (США, ЕС) для важных отраслей (энергетика, платёжные системы, то же здравоохранение) эти требования закреплены законодательно.
- «Эпидемия». Так же, как в случае вирусной эпидемии в определённой местности, в определённых индустриях или типах организаций, существуют повышенные угрозы определённых видов кибер-атак. Например, практически все современные государственные конфликты, споры и соперничества (Израиль и Палестина, Северная Корея и США, Китай и США, США и Россия, Великобритания и Россия, Украина и Россия, и т. д.) не обходятся без кибер-войн. Если ваши пользователи находятся в одной из этих стран, или ваш продукт некоторым образом связан с такими конфликтами, существует повышенная опасность вашего вовлечения в кибер-войну. В отличие от традиционных войн, кибер-войны происходят незаметно, но при этом стороны наносят друг другу миллиардный ущерб. Похожие войны, хотя и в меньшем масштабе, происходят в высококонкурентных коммерческих средах.
- «Рецидивы». Если вы часто болели какой-то лёгкой болезнью или хотя бы один раз тяжёлой, вы будете уделять внимание диагностике именно этих заболеваний. Точно так же, если вы ранее сталкивались с инцидентами безопасности, вызванными определёнными уязвимостями (слабые пароли, отсутствие резервирования и т. п.) или угрозами (взлом веб-сайта, взлом учётной записи социальной сети, кража ноутбука и т. п.), вы будете уделять внимание и отслеживать именно эти негативные факторы. Хотя и есть общее правило «нельзя вступить в одну воду дважды», поэт-сатирик добавляет, что при этом вполне можно вступать «в одно дерьмо многократно». И об этом следующий пункт.
- «Профилактика». Так же, как полезно наблюдать, чем болели ваши родители, друзья, знакомые и окружение, и принимать меры предосторожности, полезно отслеживать, с какими проблемами безопасности сталкиваются другие организации. Всегда выгоднее учиться на чужих ошибках, чем на своих. Так же, как образованный и мудрый человек проходит регулярные медицинские обследования, глотает витамины зимой или делает прививки перед путешествием в Африку, нужно принимать меры безопасности и диагностировать технические уязвимости в нужные моменты. Например, когда создаётся проект новой системы; когда планируется крупное изменение в сетевой инфраструктуре; когда увольняется сотрудник, который имел доступ администратора; когда вы понимаете, что халатность персонала повысилась; когда накапливаются мелкие проблемы безопасности (до того, как они перерастают в крупные); когда планируется IPO, ICO, слияние и поглощение компаний. Для безопасности крайне важно не упускать подобные моменты. В информационной безопасности есть удачный термин “security hardening” (киберзакаливание), который хорошо отражает идею профилактики.
- «Психологическая помощь». В конце-концов, безопасность, как и здоровье, – это не только состояние, но и ощущение. Иными словами, кроме объективной безопасности, существует её субъективная составляющая. Совершенно естественно, когда вы не уверены в своём физическом или эмоциональном здоровье, вы проходите медицинскую диагностику или идёте к психологу. Точно так же, когда вы не уверены в ваших системах или персонале, вы проводите аудит или тестирование на проникновение с целью обнаружения технических и социотехнических уязвимостей.
Часть 3. Кибер-гигиена и диагностика
Для профилактики кибер-заражений и кибер-травм очень важно соблюдать кибер-гигиену: пользоваться легальным программным обеспечением, скачивать его из надёжных источников, не переходить по ненадёжным ссылкам, создавать длинные сложные пароли и так далее. Чем больше этих правил, тем тяжелее их выполнять, и они снижают удобство работы. В помощь приходят системы безопасности.
Современные именитые антивирусы Norton Symantec, McAfee, Kaspersky и т. д. – это как бы набор витаминов, антибиотиков, шприцов, тонометров и ватно-марлевых повязок. Набор довольно широкий, но не универсальный. Особенно когда речь идёт о безопасности разработки программного обеспечения. Пользуясь аналогией, существуют ещё «производители оборудования МРТ, УЗИ и рентгеновских аппаратов». Это сегмент специализированной глубокой диагностики. В этом сегменте работаем мы и такие компании как Qualys, Acunetix, Tenable, Rapid7, IBM, Veracode и т. д.
Даже самое хорошее оборудование в руках непрофессионалов – это груда железа. Мы – профессионалы по диагностике и определению способов «лечения» систем, а также по «здоровому образу жизни» систем и организаций:
- Чтобы найти наиболее важные участки вашей безопасности, которые требуют улучшения, мы моделируем действия хакеров и других злоумышленников. Узнайте больше о тестировании на проникновение и получите бесплатную консультацию.
- «Умная» безопасность строится уже на самых ранних стадиях создания информационных систем и организаций: на этапах разработки, выбора, покупки и внедрения систем, заключения договоров с партнёрами, найма сотрудников, выбора офисов, описания операций и прочих ситуаций, ошибки в которых могут ослабить систему, инфраструктуру или организацию в целом. Поэтому мы не только определяем наличие «болезней и слабостей» в системах до того, как они будут фактически инфицированы или атакованы, но и ликвидируем самые ранние предпосылки возникновения таких недостатков и слабостей. Такая заблаговременная профилактика достигается с помощью внедрения систем управления информационной безопасностью и их сертификации на соответствие ISO 27001, PCI DSS и другим стандартам, а также с помощью безопасности жизненного цикла приложений (SDLC).
Кроме сервиса диагностики, мы также производим «диагностические системы», которые предоставляем нашим пользователям бесплатно. К сожалению, люди часто более склонны искать простую и универсальную автоматическую диагностику, и такую же универсальную «пилюлю от всех болезней», чем обращаться к профессионалам за точным диагнозом, и тем более, чем вести здоровый образ жизни. Это справедливо по отношению к здоровью как систем, так и людей. Поэтому задача наших бесплатных сервисов – привлечь внимание «пациентов», чтобы показать сложность проблем безопасности и развенчать миф, что существует некая простая панацея от всех проблем безопасности.
Обратитесь к нам за профессиональной диагностикой и «лечением» ваших систем, сетей, персонала и организации в целом. Займитесь этим сегодня, ведь неприятный сюрприз может случиться в любой момент.