27.05.2013

Корпоративная ИБ идет в дома

В январе я написал заметку про революцию в деятельности корпоративных служб ИБ; потом из нее выросла целая статья для февральского номера журнала "IT Manager". В ней я писал о том, что очень много потребительских технологий (BYOD, Dropbox, Google.Docs, соцсети и т.п.) приходит в корпоративную среду и это надо учитывать службам информационной безопасности. Но ведь существует и обратное движение.

Достаточно вспомнить, что лет десять назад у многих дома был только один компьютер и больше никаких иных IP-устройств не присутствовало. Время шло, благосостояние росло, число устройств увеличивалось. Свой компьютер, компьютер супруга (супруги), компьютер детей, планшетник (а то и на каждого члена семьи), смартфон (и тоже на каждого члена семьи), хранилище файлов, видео, музыки, мультимедиа-центр, игровые приставки... Кто-то идет дальше и обустраивает дома систему видеонаблюдения (CCTV), подключает к Интернет холодильник, кофеварку, пианино (для скачивания новых мелодий и прошивок). Устройство много и все они разные. Как и разная на них информация хранится, доступ к которой имеют разные категории пользователей для решениях различных задач.

Я попробовал набросать простейшую матрицу доступа с указанием информационных активов и субъектов доступа. Получилась такая картина (желтый означает открытый доступ, зеленый - есть материалы как в открытом, так и в закрытом доступе, синий - доступ ограничен):

Информационные активы и субъекты доступа
Разумеется, у вас может получиться иная картина. Например, отсутствующие соседи (а иногда, в дружных домах, на этаж шарится какое-нибудь файловое хранилище с музыкой и фильмами). Или запрет подключения к внутренним ресурсам всех, кроме членов семьи, подразумевающий отсутствие друзей в качестве субъектов доступа. Интернет в качестве субъекта доступа выделен неслучайно - нередко организуется доступ к каким-либо внутренним ресурсам извне (например, в рамках пирингового взаимодействия). Ну и категоризация информационных активов тоже может быть иной.

Но вышеприведенная матрица достаточно высокоуровнева - ее надо транслировать на имеющиеся в квартире/на даче устройства и прописать между ними информационные потоки. Получается вот такая картина (черный означает полный запрет взаимодействия, зеленый - взаимодействие может быть ограниченным, желтый - взаимодействие разрешено).

Объекты доступа

Очевидно, что тут не полный перечень объектов доступа. Не хватает сетевого оборудования (маршрутизаторы, коммутаторы, а также точки беспроводного доступа), игровых приставок, принтера, сканера, да много ли еще чего. Например, в загородном доме может быть интерфейс для управления системой жизнеобеспечения дома через Интернет. А у продвинутых пользователей и бытовая техника может быть привязана к Интернет. Например, у Cisco есть такая штука как Home Energy Controller, который позволяет управляет "домашней АСУ ТП" и отслеживать все ключевые показатели деятельности домашних потребителей энергии; в т.ч. и через Интернет.




И вот тут возникает вопрос с защитой и самих информационных активов и обрабатывающих их объектов и с контролем доступа всех возможных субъектов. Ведь по сути наша квартира - это мини-версия корпоративной сети - разные устройства, разные пользователи, разные задачи, разные сегменты... А угрозы те же! Значит и методы защиты должны быть те же. Денег на дорогостоящие средства ИБ для дома обычно нет и приходится выкручиваться за счет правильно выстроенного дизайна домашней сети, настройки сетевого оборудования, активного задействования встроенных механизмов защиты. Очень интересный опыт, полезный.

ЗЫ. Хотя у многих безопасников ничего такого дома нет ;-) Сапожники без сапог ;-(

10 коммент.:

Andrey Kondratenko комментирует...

Тэкс, про сапоги:
1. В качестве МЭ - дефолтовый МЭ на роутере, который не пускает никого извне внутрь домашней сети, а регулировать доступ изнутри наружу - это уже какая-то паранойя. Роутеры - обычно АСУС. В принципе они позволяют сделать ДМЗ для доступа извне для расшаривания всяких ftp, но не пользовался.
2. Что бы самому попадать в сеть извне использую hamachi. Внутри сети есть старый ноутбук на ubuntu на котором установлен hamachi. Таким образом, находясь во вне, подключаюсь через hamachi к ноуту, а через ssh пробрасываю любой протокол и порт.
Не верю во всякие DDNS и организацию доступа извне через роутер.
3. Ну, антивирусы на домашних компах.
4. Обнаружения вторжений и мониторинга уязвимостей нет :)

Ничего не забыл?

Ах да, интернет стал такой быстрый, что теперь уже домашние пользователи хотят выносить домашние гаджеты за пределы домашней сети и получать доступ ко всему, чему привыкли...

doom комментирует...

Не совсем понял, чем отличаются "Интернет" и "Другие" в приведенной модели.

Ну а насчет сапожника - пограничный сервер содержит на себе все публикуемые наружу сервисы (это, собственно, торенты и удаленный доступ), он же является МЭ и беспроводной точкой доступа.
Систему мониторинга + примитивные SIEM (все на базе nagios) никак руки не доходят внедрить - все застопорилось на стадии макетирования :)

Еще пока не стоит вопрос защиты профиля Xbox live от ребенка - но если он поймет как там покупать игры, то придется создавать ему отдельный профиль без привязанной карты :)

Nick Petrov комментирует...

Можно сколько угодно сочинять идеальный дизайн домашней сети, но надо ли?

Для подавляющего большинства пользователей провод с интернетом - это примерно то же самое, что и кран с водой. Они готовы платить за воду из него, и даже пойдут купят фильтр. Но продумывать дизайн водопроводной сети под каждый тип применения (например, автополивалки для цветов в горшках, поилка для кошки, и всё это централизованно) - это уж увольте :) Они просто наберут воды из-под крана в ёмкость, и разольют по потребителям.

На мой взгляд, "сапожники" рано или поздно обрастают "сапогами" до того уровня, на котором находят гармонию между стоимостью системы защиты, её сложностью, функционалом и важностью защищаемой информации. "Несапожникам" эта тема никогда близкой не станет (как минимум не настолько, чтобы разбираться в матчасти), и провод с интернетом останется в одной категории с краном с водой. Операторы связи настолько глубоко в домашнюю инфраструктуру пользователей не полезут. Стоимость услуг сторонних компаний будет приемлемой, а сами услуги - интересными, только для пренебрежительно малого круга пользователей. С этим ничего не поделать.

Алексей Лукацкий комментирует...

Насчет крана с водой... Я тоже так думал пока не стал строить дом загородом и не пришлось въезжать в то, как делается и разводка, и количество контуров водоснабжения и т.п. Когда комп один проблем нет, когда их много задумываешься. И не важно, сапожник или нет. Другое дело, что сапожник быстрее солбразит, что и как разводить

Алексей Лукацкий комментирует...

Andrey, крут ;-)

Алексей Лукацкий комментирует...

Doom, Другие - это скорее "все остальное, что я не учел". Интернет все-таки понятный элемент; понятны его права доступа... А "другое" из серии "а в друг чего забыл". Пока запретил

Алексей Лукацкий комментирует...

Nick, отношение домашних и корпоративных пользователей к ИБ (если убрать complaince) одинаково ;-)

Евгений комментирует...

Andrey, доступ "изнутри-наружу" может понадобиться для ограничения доступа в инет ребенку :).

Значит в "организацию доступа извне через роутер" не верим, а стороннему VPN сервису верим, однако...
Я специально купил роутер помощнее (TL-WDR4300), чтобы иметь возможность поднимать на нем дополнительные модули. Так например SSH на нетипичном порту (чтобы сканеры не сильно задолбали) и аутентификацей по сертификату и паролю.

Шауро Евгений комментирует...

Ну осталось еще Arcsight Home Edition устанавливать дома и всё на него заводить.
Новая услуга зреет: консалтинг ИБ домашних сетей.

PS. приходит спец к кому-то домой и за 100 000 настраивает: три компа, три планшета, ТВ, медиацентр, ну и холодильниу с кофеваркой.

Turkish комментирует...

Те, кто дорастают до такого количества устройств в доме уже обычно призывают "сапожника" по "знакомству" или за деньги. "Чтоб было все красиво", то есть работало и было безопасно. И эта практика началась еще с середины 2000-х.
С другой стороны, сейчас действительно внешний канал уже достаточно толстый, чтобы обращать внимание на какие-то конфликты "внутри", а распространение устройств пошло в массы.