08.04.2013

Почему ваша защита неэффективна, несмотря на миллионные инвестиции в ИБ?

Все достаточно просто (ну или почти просто). Если окинуть взглядом то, что реально защищает большинство и чем изобилует большинство конференций, то мы увидим, что приоритет №1 для всех - защита периметра. Межсетевые экраны, системы предотвращения вторжения, защищенные маршрутизаторы, anti-DDoS, VPN, внешние пентесты, сегментация сетей, контролируемая зона и т.п. Все это, безусловно, необходимо, но уже явно недостаточно. Прошло то время, когда атаки концентрировались на этом уровне - злоумышленники пошли дальше, а безопасники пока нет. Причина проста - их либо не пускают дальше, либо они сами боятся сделать шаг вперед, т.к. предпочитают защищать то, что умеют (а защитить периметр "просто"), а не то, что надо.

Следующий уровень - это защита инфраструктуры. Внутренней локальной сети. Именно из-за недостатков разграничения доступа внутри сети происходят утечки данных, попытки НСД, вирусные эпидемии и другие проблемы. Но мало кто из безопасников пытается изменить ход событий. Я знаю немало организаций, входящих в Топ1 ;-) в своих отраслях (а то и в Топ5 в России), в которых до сих пор внутреняя сеть плоская - никакой сегментации, никаких VLAN, ничего... Проблема в одной части сети не локализуется, а мгновенно распространяется по всему предприятию в рамках, как минимум, центрального региона России, а иногда и за его пределы уходит. И это проблема; очень серьезная проблема. Я уже не говорю про виртуализацию, которая требует похожих, но все же своих механизмов защиты. А еще есть сети хранения данных (SAN)... Да мало ли чего еще есть. Индустриальные системы, кстати, сюда же относятся. Очень уж много неизвестных протоколов и способов взаимодействия там ходит. Да и ответственность за работоспособность выше.
Что у нас идет после инфраструктуры и на что пока внимание безопасников не легло? Приложения. ERP, CRM, SCM, Unified Collaboration, Telepresence, HRM, АБС, ДБО... Да мало ли этих приложений в разных компаниях. И как они защищаются? Где проекты по защите унифицированных коммуникаций - IP-телефонии, видеоконференцсвязи и Telepresence? Максимум, навесят на операционную систему какую-нибудь СЗИ от НСД. А причина та же - мало кто понимает, как эти приложения работают с точки зрения ИБ. Это ж вам не межсетевой экран Cisco ASA поставить и не систему предотвращения вторжений Cisco IPS внедрить - тут совершенно иной уровень компетений нужен. Не то, чтобы его нельзя было получить (даже в России). Просто на это надо выделить время, деньги, иметь желание и доступ к приложениям. Если со вторым и третьим еще как-то можно справиться, то первого обычно катастрофически не хватает, а с четвертым вообще швах. Если к инфраструктуре безопасников еще могут пустить, то уж к приложениям... Редкость большая. Особенно в отсутствие стандартов и лучших практик по настройке приложений с точки зрения безопасности. Дыры в них искать умеют многие, а вот разработать что-то действительно полезное для реального безопасника, увы... Из российских компаний

Но и это еще не все. По сути, все что мы рассмотрели до этого, - это обеспечение доступности систем, обрабатывающих конфиденциальную информацию. Но защищать-то мы должны не только и не столько информационные системы, сколько именно информацию. Парадоксальная ситуация - все учебники, все регуляторы нам уши прожжужали про защиту конфиденциальной информации (и даже лицензию на нее выдают), но о реальной защите информации они не говорят вообще. Ведь если посмотреть на большинство рекомендуемых защитных мер, регуляторы твердят про защиту систем, а не обрабатываемой ими информации. Даже ФСБ, которая наиболее близка к теме защиты информации, все же говорит об обеспечении защиты каналов связи или файлов, без привязки к их содержимому. Есть у меня канал связи, объединяющий два офиса. Будь добр шифруй - ходят там обычные персданные или специальные категории персданных, ходит там конфиденциальная информация или гостайна, используется текстовый чат или видеоконференцсвязь.

Мы много говорим о конфиденциальности и целостности информации, но мало кто обеспечивает их на практике. Т.е. либо все, либо ничего. Либо шифруем все, либо ничего. Мы почти никак не учитываем содержимое и тип защищаемой информации. МСЭ, IPS, антивирусы, шифраторы... это все хорошо. Но где активное продвижение и внедрение DLP, DRM, NAC/ISE, IdM? Эпизодические проекты есть. Эпизодическое упоминание в нормативных актах (пожалуй, только в последних приказах ФСТЭК по ПДн и ГИС этии вопросам уделяется больше внимания, чем раньше) тоже. Но серьезного внимания пока, увы, не хватает.

Инвестируя только в одну часть, мы не получаем целого.Защищая периметр, мы сталкиваемся с проблемами на уровне приложений. Защищая приложения, мы попадаем на инциденты из-за недостатков в ИБ инфраструктуры. А защищая инфраструктуру, у нас утекают беззащитные данные. Нужно комплексное решение задачи. Только тогда вложенные миллионы рублей или долларов дадут свой эффект.

Пора уже переходить от защиты периметра вглубь - к инфраструктуре, и наверх - к приложениям. А там и до самих данных недалеко. Хотя их защищать сложнее всего. В итоге мы получим следующий картину движения и развития в области информационной безопасности.


ЗЫ. Я сознательно опустил самый первый вопрос, на который надо ответить, прежде чем мы начнем что-то защищать, - ЗАЧЕМ нам надо это что-то защищать. Во-первых, это аксиома. А во-вторых, я планирую посвятить этому отдельный пост.

9 коммент.:

ilya комментирует...

"... по настройке приложений с точки зрения безопасности. Дыры в них искать умеют многие ..."

Многие?
А я думал у нас таких компаний раз два и обчелся на всю нашу необъятную.

Черный Шершень Зла комментирует...

Звучит красиво. Вот только как к этому прийти?

Вот я - специалист по ИБ. Умею защищать что-то из инфраструктуры. В части защиты именно информации в прикладных ИС (аналитика, архитектура, роли, бизнес-логика) - на самом начале пути.
И как поднять уровень?

Даже если удастся убедить руководство, дадут мне доступ к системе - я по неопытности приму неэффективное решение, усложню работу кому-то - и меня к системе больше не допустят. Опыта набрать не получится.

Но самое интересное, едва я попрошу доступ к системе, меня спросят "А зачем там информацию защищать?" И спросит именно что владелец системы - тот, у кого и должна болеть голова как бы все это защитить. Получается, что больше всех нужно мне, а не тому, кто в итоге будет принимать работу.

Есть выход?

Алексей Шабалин комментирует...

В стандарте iso 27001 говориться об определении зоны ответственности СУИБ и об оценке рисков безопасности при принятии решений ИБ, что вполне считаю оправданным и грамотным.

Почему в статье не упоминается об этом основополагающем подходе при построении системы защиты?

Алексей Лукацкий комментирует...

Последний абзац

Сергей Борисов комментирует...

Наверное, Алексей имел в виду что при выборе контрмер незаслуженно отдается предпочтение только мерам защиты периметра, хотя они могут неэффективно снижать риски связанные непосредственно с информацией.

То есть некое заключение типа: раз почти никто не занимается защитой инфраструктуры и защитой информации -> очень может быть что неправильно проводится анализ рисков
и надо обратить на это внимание.

Алексей Лукацкий комментирует...

+1

Евгений Родыгин комментирует...

На каждом следующем уровне представления информации и данных число каналов и возможных состояний растет в геометрической прогрессии. Контроль конечно осуществляется там, где легче его осуществлять. (с) КЭП...

Void Z7 комментирует...

Странно, при наличии и завершении внедрения (по всей стране) всех решений которые вы указали и перестройке уже в течении 5 лет инфраструктуры (и даже более) Алексей, мы уже начали давно выстраивать процессы по контролю и анализу ПО при его внедрении.

Более того эксперт по ИБ должен иметь системное (архитектурное) мышление (навыки), даже на уровне участия в контроле за развитием архитектуры информационных систем и обладать компетенциями, позволяющими на уровне здравого смысла аргументированно показать специалистам и организациям, внедряющим ИТ как это правильно сделать в условиях (и с учетом) окружающей ИТ среды при этом учитывая вопросы не только безопасности обеспечения заданного уровня функционирования ИТ сервисов.

По сути в российской практике от бардака в ИТ хозяйстве может спасти только архитектор (мне кажется что он все таки должен быть от ИБ, посколько при всей совокупности знаний ИТ он должен в голове постоянно решать задачу "как разрушить карточный домик").

К сожалению, в том что вы написали отчасти виновата компания Cisco, специалисты по ИБ выросшие на защите периметра долго "курили" Cisco SAFE которая до недавнего времени только периметром и немного инфраструктурой и занималась (и продолжает кстати потому как верхний уровень, защиты свойств самой информации и информационных систем не охватывает своими решениями, соответственно эти вопросы в Cisco SAFE никогда не попадут поскольку бизнес Cisco никак не связан с ними в части решений).

В остальном виноваты сами спецы по ИБ:

Остальная большая часть кагорты спецов по ИБ в курпных компаниях это устроенные по знакомству (никак не на основе проф навыков) неквалифицированные кадры которых обсуждать не хочу даже, потому как им тема ИБ даже не интересна.

Оставшаяся часть это "сертифицированные специалисты", работающие или поработавшие в компаниях интеграторах, может среди них и есть нормальные специалисты, но поработав с топ 10 с ними из россии не увидел, людей способных комплексно подходить к вопросам по ИБ, но они есть я уверен!

И еще совсем маленькая часть это, простите за немодное слово "хакеры", которые зачастую очень узко специализированы (неважно где работая, как на себя, так и на дядю) и не могут также комплексно охватить взором большое ИТ хозяйство (потому как задачи другие), хотелось бы чтобы их было как можно больше как на темной стороне так и на другой.

Ну и остаются ГИПы опытные товарищи которые могут посмотреть на все свысока, при этом им всегда понятно где и в какой части косяки в любой архитектуре.

Порой посмотрев какие ужасы творятся в ныне модной (для всех почему то только сейчас она стала модной) теме АСУТП удивляешься почему до сих пор не происходит крупных технологических катастроф, поскольку проблемы там такие какие способен релизовать даже школьник.

Void Z7 комментирует...

Странно, при наличии и завершении внедрения (по всей стране) всех решений которые вы указали и перестройке уже в течении 5 лет инфраструктуры (и даже более) Алексей, мы уже начали давно выстраивать процессы по контролю и анализу ПО при его внедрении.

Более того эксперт по ИБ должен иметь системное (архитектурное) мышление (навыки), даже на уровне участия в контроле за развитием архитектуры информационных систем и обладать компетенциями, позволяющими на уровне здравого смысла аргументированно показать специалистам и организациям, внедряющим ИТ как это правильно сделать в условиях (и с учетом) окружающей ИТ среды при этом учитывая вопросы не только безопасности обеспечения заданного уровня функционирования ИТ сервисов.

По сути в российской практике от бардака в ИТ хозяйстве может спасти только архитектор (мне кажется что он все таки должен быть от ИБ, посколько при всей совокупности знаний ИТ он должен в голове постоянно решать задачу "как разрушить карточный домик").

К сожалению, в том что вы написали отчасти виновата компания Cisco, специалисты по ИБ выросшие на защите периметра долго "курили" Cisco SAFE которая до недавнего времени только периметром и немного инфраструктурой и занималась (и продолжает кстати потому как верхний уровень, защиты свойств самой информации и информационных систем не охватывает своими решениями, соответственно эти вопросы в Cisco SAFE никогда не попадут поскольку бизнес Cisco никак не связан с ними в части решений).

В остальном виноваты сами спецы по ИБ:

Остальная большая часть кагорты спецов по ИБ в курпных компаниях это устроенные по знакомству (никак не на основе проф навыков) неквалифицированные кадры которых обсуждать не хочу даже, потому как им тема ИБ даже не интересна.

Оставшаяся часть это "сертифицированные специалисты", работающие или поработавшие в компаниях интеграторах, может среди них и есть нормальные специалисты, но поработав с топ 10 с ними из россии не увидел, людей способных комплексно подходить к вопросам по ИБ, но они есть я уверен!

И еще совсем маленькая часть это, простите за немодное слово "хакеры", которые зачастую очень узко специализированы (неважно где работая, как на себя, так и на дядю) и не могут также комплексно охватить взором большое ИТ хозяйство (потому как задачи другие), хотелось бы чтобы их было как можно больше как на темной стороне так и на другой.

Ну и остаются ГИПы опытные товарищи которые могут посмотреть на все свысока, при этом им всегда понятно где и в какой части косяки в любой архитектуре.

Порой посмотрев какие ужасы творятся в ныне модной (для всех почему то только сейчас она стала модной) теме АСУТП удивляешься почему до сих пор не происходит крупных технологических катастроф, поскольку проблемы там такие какие способен релизовать даже школьник.