Кибербезопасность организации: защищаем информационный периметр

Кибербезопасность организации: Защищаем информационный периметр


Тема защиты IT-ресурсов и пользовательских данных от киберугроз, а также разработки действенных превентивных мер, никогда не утратит своей актуальности в условиях стремительного развития технологий.


СОДЕРЖАНИЕ:


Мнимая угроза? Увы, нет

Вопросы информационной защиты инфраструктуры компании волнуют сейчас многих владельцев бизнеса и руководителей корпоративных IT-подразделений. Еще 7-10 лет назад ревнителей кибербезопасности и защиты корпоративных сетей снисходительно называли конспирологами, а самыми “параноидальными” сферами считались банки, административные структуры государственного управления, предприятия оборонного комплекса и охранные фирмы. Но даже тогда жестких мер информационной безопасности (ИБ), принимаемых IT-подразделениями этих организаций, было недостаточно. Вирусы все равно проникали в их сети и наносили ущерб вплоть до уничтожения бизнеса. Еще сильнее страдали те компании, где киберзащите IT-инфраструктуры и данных не уделяли должного внимания.


Современные киберугрозы гораздо сложнее и намного серьезнее, чем мы готовы себе представить. Только за последние пять лет мировые компании пережили масштабные кибератаки таких мощных зловредов, как BlackEnergy, TeleBots, CryptoLocker, GreyEnergy, Industroyer, Petya и NotPetya, BadRabbit, Buhtrap, WannaCry, TeslaCrypt, Nyetya. Они атакуют предприятия критической инфраструктуры, энергетического сектора, финансовые организации, транспортные и логистические компании, медицинские и фармакологические фирмы, софтверные компании. Фактически от них не защищен никто.


За последнее десятилетие мир хакеров трансформировался: если раньше хакеры действовали, как правило, поодиночке, стремясь превзойти конкурентов и показать личное преимущество, то сейчас они объединяются в конгломераты, создают группировки по всем правилам корпоративного менеджмента, у них есть свои колл-центры и рекрутинговые компании, разработчики и аналитики, стратегическое планирование и риск-менеджмент.


Примерно таким же образом изменился и их продукт – вирусы-одиночки “мутировали”, превратившись в сложные многомодульные программы, которые модифицируются, исправляются, подстраиваются под окружающую среду и меняющуюся обстановку в сфере информационной безопасности. Прежде цель вируса была в том, чтобы “засветиться” как можно скорее, дать о себе знать, чтобы мир ахнул. Цель многих нынешних вирусов – закрепиться в инфраструктуре и оставаться незамеченными как можно дольше. За это время хакерская команда успевает изучить уязвимости системы, получить доступы к ней через рабочие станции нерадивых пользователей, написать вредоносный код и постепенно внедрить его, обойти ловушки ИБ, пропатчить уязвимые участки вредоноса и, наконец, “положить” систему. Это не набег, как в кино про гангстеров, – это операция, тщательно спланированная стратегически и тактически, которая может длиться месяцами и даже годами.


Яркой иллюстрацией такого подхода может служить пример компании StarLightMedia, атакованной в 2015 году вирусом BlackEnergy. Он показывает, что в корпоративных сетях компаний, не принадлежащих к сферам, где ИБ четко регламентирована и вынесена на передний план, очень часто нет централизованной системы защиты: антивирус обновляется частично, некоторые пользователи отключают файерволл, кто-то из пользователей корпоративной сети получает открытый доступ ко всем ресурсам интернета, включая потенциально небезопасные сайты и т.д. Успех кибератак строится во многом на “человеческом факторе”: всегда найдется нерадивый пользователь, из-за которого угроза безопасности IT-систем станет реальной.

Многообразие киберугроз

Все кибератаки доказывают: если задаться целью, можно получить доступ абсолютно к любой организации. Вопрос в том, какой метод использовать. Киберугрозы бывают разными, но все они нацелены на одно – нанести вред системе и пользователям.


Классифицировать киберугрозы необходимо как минимум для того, чтобы эффективно выбрать инструмент для их устранения или предотвращения. Точно так же, как в медицине: понять, какую болезнь лечим, а затем найти соответствующий способ лечения.


Итак, киберугрозы можно условно разделить на две группы – внешние и внутренние.


Среди многочисленных внешних угроз можно выделить такие:

  • вредоносное ПО (в народе – вредоносы или малварь, от англ. malware): внедряется в систему без разрешения и часто без ведома пользователей, может “сливать” конфиденциальную информацию, может наносить повреждения системе. В большую семью вредоносов “Лаборатория Касперского” включает трояны, вирусы, черви, программы-шпионы, hoax-программы, майнеры, спам и др.;
  • вымогатели (они же – шифровальщики, англ. ransomware): разновидность вредоносов. Внедряются в систему, шифруют файлы, а потом выдают сообщение пользователю, что вышлют ключ расшифровки за выкуп. К сожалению, даже если собрать и перечислить требуемую сумму выкупа, ни расшифровать файлы, ни восстановить систему вам не удастся, о чем мы уже когда-то рассказывали;


Шифровальщик

  • руткиты (англ. Root kit): специальное ПО, скрывающее от пользователя присутствие взломщика в системе или наличие вредоносных программ;
  • фишинг (англ. Phishing): наиболее простой, но очень эффективный метод кибератаки – рассылка электронных писем или сообщений в мессенджеры, имитирующих сообщения из надежных источников. В результате кибермошенники получают доступ к конфиденциальным данным пользователя. В случае с частным лицом это может привести к финансовым потерям; при фишинговой атаке на пользователя корпоративной сети злоумышленники получают доступ к системе компании;
  • социальная инженерия (англ. Social engineering): тактика кибермошенников, эксплуатирующая человеческие качества – доверчивость, страх, лень. Эти атаки могут быть замаскированы под просьбы перечислить деньги на лечение или сделать пожертвование в пользу благотворительного фонда, либо имитируют официальное обращение с требованием предоставить персональные данные для доступа к ресурсам. Очень часто пользователи пренебрегают проверкой фактов, что играет на руку злоумышленникам;
  • DDoS-атака (аббревиатура от англ. Denial of Service, “отказ в обслуживании”): одновременная множественная отправка по интернету запросов к системе (как правило, ботами), что в итоге блокирует доступ к этой системе добросовестным пользователям. Часто применяется при недобросовестной конкуренции;
  • эксплойт (англ. Exploit): программный продукт, эксплуатирующий уязвимости в ПО для осуществления кибератаки. Может действовать как извне (remote exploit), напрямую из интернета, без предварительного доступа к атакуемой системе, так и изнутри (local exploit), запускаясь в атакованной системе с использованием предварительно полученных прав. Цель атаки, как правило, получение полного контроля над системой (права суперпользователя) или нарушение функционирования системы;
  • ботнет (англ. Botnet): объединенные в единую сеть компьютеры, инфицированные вредоносами. Обычно является инструментом для скрытого осуществления других хакерских действий – DDoS-атак, фишинга и спам-рассылок и т.д. При этом владельцы таких компьютеров чаще всего не знают, что их машины инфицированы и используются в противоправных целях.


Внутренние угрозы кибербезопасности – это разнообразные уязвимости в ПО и архитектуре систем (в том числе бэкдоры) и, конечно, пресловутый человеческий фактор. Пользователи небрежно обращаются с паролями, недостаточно тщательно хранят конфиденциальную информацию, иногда спекулируют или продают ценные данные, пренебрегают базовыми правилами ИБ – не обновляют, либо вовсе не пользуются антивирусным ПО, отключают файерволлы, открывают прикрепленные к спам- или фишинг-рассылке зараженные файлы, подключают к персональным компьютерам посторонние внешние носители данных (например, найденные на улице флешки), пользуются сомнительными интернет-ресурсами, скачивают и запускают файлы из непроверенных источников и т.д. По данным исследования DBIR 2019 компании Verizon, при рассылке зловредов по электронной почте 94% таких “писем счастья” было открыто пользователями.


Вредоносные рассылки - Статистика


Что это означает? К сожалению, несмотря на все усилия экспертов по ИБ, пользователи по-прежнему чересчур доверчивы и невнимательны. Человеческие ошибки обходятся слишком дорого.

Вирусы и кибератаки: есть ли разница?

Противопоставлять вирусы и кибератаки не совсем корректно, поскольку вирусы являются одним из инструментов кибератаки. Скорее, кибератаки – это следующая ступень эволюции вирусных атак, происходивших раньше. Сейчас киберугрозы значительно усложнились технологически и организационно, и носят комплексный характер. То есть для проникновения в систему используется один тип киберугроз, для внедрения и маскировки вредоноса – другой, для реализации целей атаки – третий. Вместе с тем, изменились цели и амбиции нападающих, а последствия нарушений ИБ стали более разрушительными.


Вот наиболее характерные черты современных кибератак:

  • главной мишенью стали корпоративные сети, преимущественно на Linux/Unix серверах. Этим современные кибератаки принципиально отличаются от вирусных атак прошлых лет, когда большинство вирусов создавалось для массового распространения в среде Windows сегмента Small Office/Home Office, а среда Linux еще считалась относительно безопасной;
  • многоступенчатый сценарий атаки включает тщательную подготовку и планирование, затем получение доступа к информационной сети объекта через уязвимости сетевых протоколов и операционных систем;
  • довольно широко распространена технология, при которой часть компонентов атаки (скрипты, вредоносный код и др.) может выполняться в оперативной памяти бесфайлово, на уровне процессов. При этом следов в виде зараженных или посторонних файлов на дисках не остается, и после сбоя и перезагрузки системы восстановить ход событий практически невозможно. То есть выяснить, какие данные были похищены, куда отправлены, а тем более, где и когда будут использованы злоумышленниками, нельзя;
  • отдельное внимание хакерских группировок привлекает стремительно растущий сегмент IoT (англ. Internet of Things, Интернет вещей) – совокупность промышленных и бытовых приборов, оснащенных процессорами и осуществляющих взаимный обмен данными посредством интернета. Гипотетическую возможность поднять “восстание кофеварок” уже многократно освещали фантасты, теперь же кошмары sci-fi начинают воплощаться в жизнь. Всего лишь за три месяца, с мая по август 2018 года, число кибератак на IoT выросло более чем в два раза. Устройства IoT используются для передачи вредоносного кода, проникновения в локальную сеть объекта-жертвы через скомпрометированные модули IoT и запуска там процессов из сценария кибератаки;
  • требования выкупа за разблокировку файлов в сообщениях вымогателей могут быть только ширмой для отвлечения внимания жертвы от главного ущерба. Настоящей целью атакующих может стать кража учетных записей пользователей и админов сети (которые затем с успехом перепродаются в Darknet), компрометация легального программного обеспечения, либо перехват управления системой с целью выведения ее из строя. То есть для жертвы цена вопроса окажется неизмеримо выше, чем сумма на экране: как при любом другом вымогательстве, выполнение требований злоумышленников вовсе не означает, что вас теперь оставят в покое, – наоборот, самые серьезные проблемы только начинаются.


Стоит заметить, что ожидать стабильности в том, что касается киберинцидентов, нельзя. Инструменты хакеров совершенствуются, меняется их методология, организационный подход, меняются цели. По данным исследования Positive Technologies, количество киберинцидентов в первом квартале 2019 года на 11% выше показателя первого квартала 2018 года. И для того, чтобы защитить свой бизнес и персональные данные пользователей, необходимо внедрять комплексные меры кибербезопасности.

Кибербезопасность – одна из ключевых задач бизнеса

Чтобы одолеть такого сложного, постоянно меняющегося противника, нужна комплексная стратегия информационной безопасности. Кибербезопасность организации – это системный многоуровневый бизнес-процесс, суть которого состоит в разработке и практической реализации мер по защите информационных систем, программного обеспечения, приложений и данных от киберугроз, а также в разработке превентивных мероприятий. Чтобы защита информационного периметра организации оказалась эффективной, необходимо соблюдать разумный баланс между двумя противоположностями:

  • максимальной безопасностью – желанием корпоративных ИБ-подразделений «все запретить»: интернет на рабочем месте, USB-порты, личную почту, CD/DVD, смартфоны и т.д.;
  • максимальным удобством работы пользователей – просьбой сотрудников разрешить все, что может пригодиться в работе, и не снижать производительность работы их бизнес-приложений: часть ресурсов системы действительно перенаправляется для работы антивирусного и другого служебного ПО, вследствие чего работа офисных приложений заметно замедляется.


Комплексная стратегия информационной безопасности


Комплексный подход к реализации ИБ заключается в том, что защиту необходимо осуществлять на трех ключевых уровнях – персонала, процессов и технологий:

  • персонал компании: пользователи должны знать и четко соблюдать основные принципы информационной безопасности: выбор надежных паролей, внимательное отношение к вложениям в электронных письмах, резервное копирование данных, разумное использование внешних интернет-ресурсов с рабочих устройств и др.
  • бизнес-процессы и нормативная регламентация: необходимо разработать базовый набор мероприятий по противодействию предпринимаемым и успешно осуществленным атакам. В нем должно объясняться, как определять атаки, защищать системы, выявлять угрозы и противодействовать им, а также восстанавливать работоспособность рабочих систем после осуществленных атак.
  • технологии: ключевое звено в системе ИБ. Основные компоненты, которые должны быть защищены, – так называемые конечные устройства: компьютеры, интеллектуальные устройства и маршрутизаторы, сети и облачная среда. Наиболее распространенные технологии для защиты оборудования – брандмауэры, фильтрация DNS, антивирусное ПО, решения для защиты электронной почты.


Обеспечивать эффективность информационной безопасности задача нелегкая, особенно сейчас, когда количество цифровых устройств значительно превысило число пользователей, киберпреступники становятся все изобретательнее, а объем ценных данных растет с каждой минутой. По недавно опубликованным данным, в 2019 году каждые 14 секунд происходит кибератака, а прогнозируемый ущерб, который понесет в результате действий киберпреступников глобальная экономика, за год составит $2,5 трлн.

Защищаем систему правильно

Глобальный масштаб киберугроз неминуемо привел мировое информационное сообщество к разработке единой системы критериев ИБ. Так были введены стандарты кибербезопасности (Cybersecurity standards), описывающие методологию защиты информационной среды пользователя или организации: всего ПО, данных, информационных систем, сетей, хранилищ, серверного и коммутационного оборудования, рабочих станций, разнообразных гаджетов с подключением к сети и т.п. Эти стандарты разрабатываются с 1990-х годов и непрерывно актуализируются с учетом меняющейся обстановки в сфере информационной безопасности. Они используются как в глобальном, так и локальном контексте, формируя унифицированный подход к защите информационных систем в каждой стране. Наиболее известные международные стандарты: ISO/IEC 17799:2005, ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005, ISO 15408, немецкий стандарт IT Baseline Protection Manual – Standard security safeguards (Руководство по базовому уровню защиты информационных технологий) от German Information Security Agency, британские стандарты IASME, BS 7799-1:2005, BS 7799-2:2005 и BS 7799-3:2006, американские NERC и NIST. Эти документы максимально подробно описывают процессы и процедуры ИБ, раскрывают терминологию, включают в себя различные инструменты защиты от киберугроз, концепции безопасности, политики, руководства пользователя, меры безопасности, концепции риск-менеджмента, сборники best practices, гарантии и технологии и т.д. Очевидно, что для успешной работы системы кибербезопасности организации она должна быть построена на стандартах ИБ.


Обязательным элементом системы киберзащиты информационного периметра организации должен быть аудит ИБ. Аудит бывает внешним (проводит независимый подрядчик, как правило, разово) и внутренним (осуществляется сотрудниками ИБ компании на постоянной основе). В идеале оба вида аудита должны сочетаться и делаться регулярно. Цели аудита:

  • исследовать и оценить уровень защищенности информационных систем компании на текущий момент;
  • определить уязвимости, “узкие места”, подверженные риску ресурсы, потенциальные киберугрозы;
  • оценить потенциальные убытки, если киберугрозы будут реализованы, и стоимость последствий кибератак;
  • выделить приоритеты внедрения мероприятий по защите систем и информации;
  • минимизировать риски и оценить рентабельность мер кибербезопасности.


На основании данных аудита можно строить прогноз развития системы ИБ, составить план систематических мероприятий, планировать экономически обоснованный бюджет. Несмотря на то, что стопроцентная защита от киберугроз невозможна в принципе, регулярный и профессионально выполненный аудит кибербезопасности дает компании большую защищенность, чем бессистемные, случайным образом подобранные ИБ-мероприятия. А кроме того, грамотный аудит выгоден с точки зрения корпоративных финансов, поскольку позволяет достичь максимально полной отдачи от бюджетных инвестиций в создание и обслуживание системы кибербезопасности компании.


Стоит признать, что никакой аудит текущего состояния системы не может дать стопроцентной достоверности. Всегда останутся “белые пятна”, которые могут быть упущены экспертами. Здесь очень хорошо себя зарекомендовала программа Bug Bounty (альтернативное название Vulnerability Reward Program), реализованная рядом сайтов и компаний-разработчиков, среди которых, например, Google, Reddit, Facebook, F-Secure, и другие. Суть программы состоит в том, что пользователь получает вознаграждение за найденные ошибки или уязвимости в ПО, веб-приложениях, сайтах. С помощью Vulnerability Reward Program разработчики устраняют пропущенные ошибки, эксплойты и бреши в программах, а пользователи в итоге получают более совершенный и безопасный продукт. Важно, чтобы добросовестные юзеры обнаружили эти баги раньше, чем ими воспользуются злоумышленники. С точки зрения стратегии кибербезопасности, эта практика заслуживает внимания.

Когда бизнес защищен – он успешен

Экономить на кибербезопасности – то же самое, что экономить на здоровье: лечение часто может обойтись дороже профилактики и обследований. Если вопросам ИБ в компании не уделяют должного внимания, то рано или поздно это приведет к большим неприятностям. Согласно исследованию, проведенному “Лабораторией Касперского” в 2018 году, ТОП-5 наиболее серьезных последствий нарушения кибербезопасности на промышленных предприятиях, по мнению руководителей корпоративных служб ИБ и экспертов в сфере защиты информации, выглядит так:

  • снижение качества продуктов или услуг;
  • вред для здоровья сотрудников или их гибель;
  • потеря доверия клиентов;
  • ущерб для бренда или репутации компании;
  • потеря конфиденциальной информации.



При разработке комплексной стратегии кибербезопасности нельзя забывать и о BYOD (англ. Bring Your Own Device), концепции, которая за последние 10-15 лет серьезно изменила подход к проблематике защиты информационного периметра компаний. Использование сотрудниками в рабочих целях личных смартфонов, ноутбуков, накопителей информации, а также личных интернет-аккаунтов обязательно нужно учитывать при проведении аудита ИБ и внедрении мер информационной защиты.


Стоит заметить, что универсальную модель стратегии кибербезопасности построить невозможно: у каждой компании своя отраслевая специфика, свое информационное окружение, свой технологический уровень. Поэтому вопрос поиска наиболее эффективной ИБ-стратегии остается ключевой задачей руководства компаний и экспертов по безопасности.


Для аппаратно-программной защиты информационного периметра компаний наиболее часто используют такие решения:

  • EPP (Endpoint Protection Platform): система комплексной защиты конечных устройств на программном, аппаратном и сетевом уровнях; платформенное решение, эффективное против уже известных угроз;
  • EDR (Endpoint Detection and Response): система мониторинга процессов и выявления подозрительной активности в информационной сети компании. Позволяет обнаружить атаку на ранних стадиях и противодействовать ее выполнению в реальном времени. Подозрительный процесс блокируется, уведомление об этой активности отправляется специалистам по ИБ;
  • DLP (Data Loss Prevention): технологии и программно-аппаратные решения, предотвращающие утечку данных через сотрудников. Заключается в непрерывном мониторинге процессов, выполняющихся на конечных устройствах: установка нового ПО, подключение портов, скачивание файлов, отправка информации за периметр организации. Кроме того, отслеживаются события повышения уровня привилегий учетных записей.


Функционал ИБ, как правило, усложняет работу информационной системы и приводит к ее удорожанию. Для работы такой системы защиты в режиме реального времени, в том числе с применением алгоритмов AI, Deep Learning, Big Data, необходимы внушительные кластерные ресурсы ЦОД. Как правило, развертывание и содержание таких инфраструктур является непрофильным и очень затратным для компаний, поэтому очень многие делают рискованный выбор, отказываясь от комплексной кибербезопасности или сводя ее к минимальному функционалу. Как правило, на пользу бизнесу это не идет.


В то же время есть отличная возможность сократить расходы на оборудование, ПО и специальную подготовку персонала – вынести критичные данные или даже всю IT-инфраструктуру в облако, размещенное, например, в Германии. В отказоустойчивой облачной инфраструктуре, где обеспечивается аппаратное шифрование данных и настраивается Backup-as-a-Service, важная информация будет защищена. Это грамотное и очень надежное решение.


Однако комплексная и систематическая работа над обеспечением кибербезопасности должна непрерывно продолжаться на всех уровнях компании с оглядкой на специфику бизнеса. Для кого-то важно обеспечить защиту веб-приложений, для других – сосредоточиться на защите рабочих станций или баз данных. Все зависит от того, киберугрозы какого типа характерны для конкретной локации, отрасли, масштаба бизнеса. Консалтинговая компания Booz Allen сделала прогноз главных векторов кибератак на компании и предприятия в 2019 году, который поможет сориентироваться и принять правильное решение в вопросе кибербезопасности.




При подготовке использовались материалы ресурсов:

https://www.cisco.com

https://www.anti-malware.ru

https://www.avast.ru/

 https://habr.com/

http://rfcmd.ru/

https://itsecforu.ru/

https://www.ptsecurity.com/

https://www.itweek.ru/

https://www.securitylab.ru/

https://support.kaspersky.ru/

http://sergeytroshin.ru/

https://www.f-secure.com/

https://www.popmech.ru/

https://en.wikipedia.org/

https://www.hackerone.com/

https://www.securityweek.com/

https://www.munichre.com/

https://enterprise.verizon.com/



Авторы: Алиса Кандеева, Станислав Комухаев

Понравилась статья? Поделитесь ею в социальных сетях!