Оценивать состояние информационной безопасности на предприятиях стоит прежде всего с точки зрения защищенности от тех уязвимостей, с помощью которых атакующие уже сумели нанести серьезный ущерб – или вашей организации, или коллегам по отрасли. Если на какое-либо решение полагаются чересчур сильно, то оно само по себе становится слабым местом защиты. Следует искать эффективное сочетание инструментов. В то же время не стоит игнорировать действенные средства только из-за того, что они недостаточно удобны в использовании. Решениям безопасности, делающим акцент на удобстве, но упускающим из виду реальные опасности, нередко доверяют слишком сильно.
Какие системы безопасности делают вас уязвимыми
В компаниях нередко возлагают чересчур большие надежды на решения безопасности, которые в будущем могут не оправдать доверия из-за собственных дыр. Зияющие бреши, способные открыть вход атакующим, были обнаружены не только в OpenSSL, но и в ряде других технологий шифрования.
«Это как если бы у вас был надежнейший дверной замок, а потом выяснилось, что саму дверь можно легко отжать и снять с петель», – говорит Уолтер О’Брайен, эксперт по кибербезопасности, глава компании Scorpion Computer Services, который стал прототипом главного героя в сериале «Скорпион». (В сериале речь идет о группе вундеркиндов и эксцентричном руководителе их команды, работающей на службу национальной безопасности, и их задача – разбираться со сложными угрозами современности. «Скорпион» – это программа, которая помогает героям в получении информации о совершенных преступлениях. – Прим. ред.)
Так, протокол шифрования VoIP-звонков Mikey-Sakke, разработанный в британском Центре правительственной связи – спецслужбе, занимающейся электронной разведкой, имеет специально предусмотренный черный вход, а значит, является ненадежным по определению. Другой пример: в правоохранительных органах сразу двух стран, Голландии и Канады, сообщали об извлечении зашифрованных по алгоритму PGP сообщений электронной почты из специальной модели BlackBerry, отвечающей военным стандартам защищенности. Вряд ли после этого стоит доверять надежности такого шифрования.
Механизмы шифрования, используемые в виртуальных частных сетях, защищают данные в пути между ноутбуками дистанционных работников и корпоративными сетями. Но если сам ноутбук заражен и контролируется атакующим, защищенное соединение становится орудием взломщика, с помощью которого он возьмет под контроль сетевую систему на другом конце соединения и будет атаковать уже с нее, напоминает Эндрю Гинтер, сопредседатель комитета по кибербезопасности Международной ассоциации автоматизации ISA.
Самоконфигурируемые межсетевые экраны – еще один инструмент, обеспечивающий меньше защиты, чем некоторые полагают.
«Установившие такой сетевой экран начинают чувствовать себя в полной безопасности и не думают о том, что еще нужно заботиться о защищенности приложений, баз данных, исходных кодов», – продолжает О’Брайен.
Еще один вид самообмана – когда ограничиваются выбором самых современных решений (скажем, систем испытания на возможность проникновения, отчетности об аномалиях и т. п.). Внедрив их, ошибочно полагают, что этого достаточно.
«Вы видите, что система выдержала десятки тысяч тестов на уязвимость для SQL-инъекций за какой-то период времени, и у вас появляется ложное чувство защищенности, – говорит О’Брайен. – Но подобные тесты нередко просто варианты тех, что существуют уже лет десять или двадцать, а вовсе не новые. Устаревшие тесты не смогут показать, уязвимы ли ваши системы для свежих эксплойтов».
Каким решениям стоит доверять больше
В организациях следует вести учет мест размещения наиболее ценных данных, в том числе облачных сервисов, документировать маршруты и операции передачи данных, точки их входа в сеть и выхода из сети, а также обнаруженные уязвимости. Стоит также внедрять технологии, позволяющие защититься от возможных потерь самой ценной информации.
Целесообразно, в частности, внедрить защитные решения на основе искусственного интеллекта. Такие предлагаются той же Scorpion Computer Services, а также компаниями Lancope, AlienVault и другими – в сочетании с решениями, в полной мере реализующими базовые функции информационной безопасности. Если задействовать такие системы совместно с другими эффективными средствами и отказаться в то же время от решений, не удовлетворяющих современным требованиям, то организация сможет надежнее защититься от вторжений: можно будет более результативно тестировать системы на уязвимости и отмечать аномалии их поведения.
Действенность даже лучшего оружия определяется мастерством того, кто им пользуется, – если у воина связаны руки, он будет бессилен перед нападающим. «У специалиста, к которому поступают предупреждения системы безопасности, должны быть полномочия немедленно принять меры – отключить отдел от сети, отозвать чьи-то привилегии в системе или взять кого-то под стражу, – подчеркивает О’Брайен. – А если все, что вы можете, – это отчитаться в конце квартала, то смысла в ваших защитных системах – никакого».
Некоторые защитные механизмы работают практически без участия человека просто в силу особенностей своего принципа действия
Некоторые защитные механизмы работают практически без участия человека просто в силу особенностей своего принципа действия. В организациях стоит подумать о применении подобных подходов. «Мне, к примеру, по душе однонаправленная связь – шлюзы, которые разрешают прохождение информации только в одном направлении», – отмечает Гинтер.
Это, конечно, не подойдет, если сотрудники могут удаленно заходить в сеть по VPN и работать в режиме двунаправленного обмена данными из дома, как в офисе. Но если есть риск того, что бизнес может погибнуть из-за единственного проникновения в сеть, значит, позволять дистанционный обмен данными с системами, содержащими критически важную информацию, просто недопустимо.
– David Geer. Which security products do enterprises expect too much from? CSO. Feb 11, 2016