19.5.16

Как повысить стоимость атаки?

Если перефразировать известное выражение о том, что "стоимость защиты не должна стоить больше защищаемой информации", то и "стоимость атаки не должна быть выше стоимости защищаемой информации". В противном случае злоумышленнику будет нецелесообразно осуществлять свои действия против выбранной жертвы или объекта. Это немного отличный от традиционного подхода, заключающегося в предотвращении вторжений.

В американском некоммерческом институте по изучению киберпоследствий (U.S. Cyber Consequences Unit) около 10-ти лет назад предложили более широкий подход, который заключается в том, чтобы сделать саму по себе атаку нецелесообразной для злоумышленника, который должен будет потратить слишком много времени или денег или иных ресурсов на достижение своих целей. Обманные системы, фальшивые токены, подставные данные, регулярная смена сетевых имен и адресов... Вот только небольшой список тех мер, которые предлагаются в так называемом US-CCU Cyber-Security Checklist, текущая версия которого представляет собой опросник по защитным мерам, которые могут быть реализованы на любом предприятии. Для облегчения работы с чеклистом он разделен на 6 больших блоков, характеризующих ключевые компоненты информационной системы - "железо", софт, сети, люди, поставщики и механизмы автоматизации. Каждый блок также имеет внутреннее деление - всего 16 направлений для контроля.


Основной объем чеклиста (свыше 30 страниц) занимает опросник, который подразумевает достаточно простые ответы "да/нет". Однако у данного чеклиста (как и у многих других) есть некоторые слабости. Во-первых, он исходит из мысли, что основная цель ИБ - предотвращение атак, что не совсем верно в ряде случаев. Да и недостижимо при современном уровне атак. Во-вторых, многие чеклисты предполагают, что защитные меры должны полностью останавливать атаки и действия злоумышленников. В-третьих, защитные меры предполагаются обязательными (но не во всех чеклистах). И, наконец, большинство защитных мер направлено на борьбу с угрозами, которые уже известны и происходили в прошлом. По сути, если посмотреть на жизненный цикл современной атаки, то большинство чеклистов имеет дело с самым первым этапом - "ДО", иногда залезая на второй этап - "ВО ВРЕМЯ".


На прошедшей в феврале RSA Conference была представлена новая версия чеклиста US-CCU. Правда, пока в формате проекта - финальная версия должна быть закончена к концу года. Она коренным образом отличается от предыдущего документа. И дело не только в объеме - 170 страниц против 42, львиная доля которых расширилась за счет новых вопросов и защитных мер. Число направлений для внимания безопасников было расширено до 23, хотя число и состав основных блоков не поменялся.

Также в новой версии учли основные проблемы большинства чеклистов, включая и предыдущую версию US CCU. В итоге в список защитных мер попали такие, которые:
  • не только направлены на предотвращение угроз,
  • могут не целиком предотвращать угрозы, а просто делать их реализацию более дорогой и длинной,
  • могут быть необязательными,
  • ориентированы на угрозы, которые еще не произошли, но могут произойти в скором будущем.
Большое изменение коснулось и самой идеологии чеклиста. Если в первых версиях он представлял по сути опросник аудитора, который мог быть использован для изучения собственных слабых мест, то в новой версии добавили раздел, описывающий шаги по усложнению для злоумышленников осуществления своих атак. Эти шаги разбиты на 5 разделов для каждого из 6 элементов информационной системы:
  • Как усложнить поиск цели? 
  • Как усложнить проникновение на цель?
  • Как усложнить использование цели?
  • Как усложнить скрытие атаки?
  • Как сделать последствия от атак обратимыми?


В целом, мне документ (пусть и в статуса проекта) мне понравился. Там есть здравые мысли по тому, как выстраивать систему обеспечения ИБ в современных динамичных условиях. Ну и с точки зрения экономики ИБ тоже есть интересные мысли.