Андрей Янкин, «Инфосистемы Джет»:
Невзламываемых систем нет, но это не повод опускать руки

АНДРЕЙ ЯНКИН: Сложилась интересная ситуация: рост специализации злоумышленников чрезвычайно повысил их эффективность. Хакер-одиночка может немного. Экспоненциальный рост числа компьютерных преступлений обеспечила целая индустрия киберпреступности, пусть даже укомплектованная отчасти достаточно низкоквалифицированными специалистами. Рынок ИБ в России в 2019 году TAdviser оценивал в 90,6 млрд рублей. Судя по всему, обороты «русскоязычных хакеров» как минимум не меньше.

Кроме того, сложность и число ИТ- и ИБ-систем растет. Поэтому становится уже недостаточно безопасника-универсала. И, в свою очередь, мы наблюдаем рост спроса на узких специалистов. Одна специализация порождает другую. Это неминуемо приведет к росту объемов профессиональных сервисов на рынке. Кроме того, и это мы видим и у себя, необходимы ИБ-фреймворки, позволяющие синхронизировать работу большого числа специализированных ИБ-шников.

АНДРЕЙ ЯНКИН: Сами мы стараемся не изобретать велосипед и, если есть подходящий готовый фреймворк или лучшая практика, берем их. Когда готовых решений нет или они нас не устраивают, мы разрабатываем свои подходы, адаптируя то, что есть. Например, так в свое время родился Jet Container Security Framework, а сейчас мы дорабатываем Jet Supply Chain Security Framework.

В какой-то момент нам стало понятно, что необходим некий макрофреймворк, который бы объединил наши представления о том, как экономически эффективно делать ИБ.

Нам понравилось сравнение наших французских коллег современной системы ИБ в компании с обеспечением безопасности критичных объектов, таких как крупные аэропорты. Поэтому наш макрофреймворк получил название «Модель Аэропорт».Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.9 т

Большой аэропорт посещают миллионы человек. Если бы мы хотели гарантированно не допустить проникновение злоумышленников на территорию, меры безопасности парализовали бы работу транспортного узла. Но мы также не можем допустить, чтобы преступники добрались до критичных объектов аэропорта и воздушных судов. Поэтому строится многозоновая система безопасности. Каждый желающий пройти в зону с более высоким уровнем доступа заново проверяется, работают системы мониторинга и видеонаблюдения, охрана готова по заранее отработанному сценарию отреагировать на нарушение.

Невзламываемых систем нет — это базовый принцип «Модели Аэропорт». Абсолютно любая защита будет преодолена, а любой пользователь, даже во внутренней сети — потенциальный злоумышленник. Но это вовсе не повод сдаваться.

Мы стремились к тому, чтобы ИБ была гармоничной частью комплексных проектов. Поэтому, помимо прочего, нам нужно было синхронизироваться с коллегами из департаментов, занимающихся инфраструктурой, сетями, прикладными системами и разработкой.

АНДРЕЙ ЯНКИН: На наш взгляд, для многих существующих систем безопасности в организациях свойственны общие черты: концентрация на конфиденциальности данных, использование унифицированных подходов и СЗИ, акцент на защиту ИТ-инфраструктуры, выстраивание защищенных периметров. Такой подход в реальных условиях ограниченных ресурсов дает безопасность, «размазанную» ровным слоем и одинаково посредственную как для маловажных элементов ИТ, так и для критичных процессов. Этот подход похож на выполнение требований регуляторов — надо, чтобы везде было хотя бы на троечку.

Такой подход может применяться для общего снижения уровня рисков ИБ в организации. То есть мы делаем так, чтобы проблемы случались не так часто, чтобы нанести существенный урон. Но едва ли таким образом можно работать с катастрофическими рисками, реализация которых ставит организацию на грань выживания.

АНДРЕЙ ЯНКИН: Статистика правоохранительных органов говорит о том, что правонарушения, совершенные с использованием компьютерных технологий, давно превысили своим числом не только такие преступления, как убийства или торговля наркотиками, но и банальные бытовые кражи. Конечно, эту статистику формируют в первую очередь атаки на физические лица. Атак на юридические лица меньше, но ущерб от каждой из них значительно выше.

Вскормлена огромная индустрия киберпреступности, «пищевая база» которой растет относительно небыстро, а значит, злоумышленникам необходимо постоянно искать новых жертв в других областях, где раньше риски ИБ воспринимались несерьезно. Атаки на Colonial Pipeline и JBS Foods лишний раз показали, что вследствие компьютерной атаки может быть остановлена работа не только банка или ИТ-компании, но и организаций из других индустрий.

АНДРЕЙ ЯНКИН: Мы предлагаем разделить риски компании на три неравные части: катастрофические сценарии, серьезные риски и прочие риски. И, чтобы не распылять ограниченные силы, работать с ними принципиально по-разному.

К катастрофическим событиям относятся те, с которыми зачастую ИБ и вовсе не берется работать. Например, полное уничтожение ИТ-инфраструктуры и всех резервных копий, хищение средств, которое не позволит организации выплатить следующую зарплату работникам. С этим привыкли работать специалисты по DRP/BCP (восстановление после катастроф и непрерывность бизнеса), но ИБ зачатую даже не может сформулировать перечень этих событий. Чтобы сделать это, ИБ-шникам необходимо вовлечь в эту работу руководство компании. Задайте вопросы «Что может поставить нашу организацию на грань выживания?», «Чего ни в коем случае нельзя допустить?» и вы услышите о многих рисках, которые вполне могут реализоваться вследствие кибератаки. Мы не можем просто «снизить риски» для таких сценариев, сценарии нужно сделать практически нереализуемыми.

Таких рисков не может быть слишком много, иначе компания, скорее всего, уже бы погибла. А значит, каждый из них можно разобрать детально, превратив в дерево сценариев, приводящих к реализации этого риска. Такие деревья необходимо составить с представителями бизнес-подразделений и ИТ-службы. Процесс трудоёмкий, но оно того стоит.

Затем эти деревья сценариев должны быть верифицированы на практике с привлечением пентестеров. Многие ветки сценариев будут отброшены как нереализуемые на практике, а где-то мы наглядно покажем, что риск реализуем.

Теперь наша задача — «рассечь» эти деревья сценариев в нескольких местах, минимизировав вероятность прохождения злоумышленника по ним.

АНДРЕЙ ЯНКИН: Сценарный подход можно было бы применить не только для катастрофических рисков, но на практике это оказывается слишком трудоемкой задачей. Поэтому для более приемлемых рисков применяется традиционный подход, направленный на снижение вероятности их реализации с использованием общих лучших практик и «мер гигиены» по ИБ, в том числе, входящих в наш фреймворк.

АНДРЕЙ ЯНКИН: В «Модели Аэропорт» мы выделяем три уровня защиты. Первый из них направлен на то, чтобы замедлить продвижение злоумышленника по ИТ-инфраструктуре. Сделать такое продвижение невозможным мы не рассчитываем. На первом уровне наши ресурсы могут быть вложены в три блока: изменение бизнес-процессов, изменение ИТ-инфраструктуры и внедрение СЗИ. Причем эффективность инвестиций падает от первого к третьему, зато растет простота внедрения изменений.

Действительно, часть критичных рисков можно убрать, изменив сам бизнес-процесс. Вплоть до полного отказа от автоматизации в ряде случаев. Но провести такие изменения в компании может быть очень непросто.

Правильно выстроенная ИТ-инфраструктура с сегментированием и управлением доступом — как цифровое болото, в котором вязнут продвигающиеся армии злоумышленников. Верно и обратное: в ряде случаев качественно защитить скверно спроектированную ИТ-инфраструктуру практически невозможно.

Внедрять СЗИ относительно просто. Они не так сильно влияют на работу компании, как первые два блока, но зачастую их внедрение не дает желаемого эффекта, если на уровне ИТ- и бизнес-процессов ничего не было сделано.

Это перекликается с идеями концепции Zero Trust в оригинальном ее виде, как ее когда-то описал Forrester. Подходы Zero Trust вполне могут применяться для реализации конкретных решений в рамках «Модели Аэропорт».

Задача второго уровня модели — обеспечить оперативное обнаружение атаки и реагирование на нее, пока злоумышленник не нанес существенного урона. Речь идет не только о Log Management и SIEM. Это должен быть всеобъемлющий мониторинг и на уровне инфраструктуры, и на уровне работы бизнес-систем, дополненный данными киберразведки (OSINT и TI). Хорошо, если здесь применяются и решения по обнаружению фрода.

Оперативность реагирования, которую нужно обеспечить, невозможно реализовать без автоматизации и многократно отработанных плейбуков. Пока выходит, что операторы-люди — это самое слабое и медленное звено мониторинга и реагирования, но на практике пока полностью заменить их автоматизацией невозможно, поэтому без жестких SLA и постоянных тренировок не обойтись.

АНДРЕЙ ЯНКИН: Это задача третьего уровня модели. Сложно гарантировать надежность мер ИБ без практической проверки, даже если эти меры внедряли мы сами по многократно отработанному сценарию. В рамках тестирования на проникновение зачастую всплывают забытые неучтенные элементы ИТ-инфраструктуры, ошибки конфигурирования и т.п. Проверки требуют и навыки специалистов, защищающих организацию, по противодействию атакам. В таких случаях обычно рекомендуют RedTeam или полноценные киберучения.

Однако есть очевидная проблема. Сотрудники аутсорсинговых SOC несколько чаще встречаются со сложными инцидентами ИБ, а специалисты внутренних служб ИБ большого опыта в обнаружении и отражении атак на практике приобрести не могут. Соответственно, ни к киберучениям, ни к реальным инцидентам они оказываются не готовы.

Здесь необходимо обучение: с опытными инструкторами и отработкой на практике. Нужна инфраструктура, которую не страшно сломать, средства имитации атак, набор средств защиты и мониторинга. В свое время мы создали такую лабораторию (Jet Cybercamp) для собственных нужд и активно ее развиваем, добавляя новые сценарии на основе опыта нашего центра мониторинга Jet CSIRT. Идеальный вариант — построить на основе наработок нашей Jet Cybercamp собственную тренировочную базу, заточенную под особенности организации. Однако можно проводить обучение и на нашей лабораторной инфраструктуре, адаптировав её под свои нужды.

Как бы ни были найдены недостатки защиты, нужно будет не просто оперативно заткнуть дырку, но и найти корневую причину проблемы. Если это непропатченный сервер, то разобраться с Patch Management, если элементы Shadow IT — провести инвентаризацию. Звучит очевидно, но на практике мало кто следует этому совету.

Вот эти практические проверки и непрерывное улучшение — и есть третий уровень «Модели Аэропорт».

Полноценная система защиты выглядит так:

• Первый уровень — отвечает за замедление продвижения злоумышленника в инфраструктуре на уровне бизнес-процессов, ИТ и средств защиты.
• Второй уровень — обеспечивает раннее обнаружение и оперативное реагирование на инцидент ИБ за счет тотального мониторинга.
• Третий уровень — дает возможность проверить защиту на практике и натренировать персонал, не дожидаясь реальной разрушительной атаки.

В совокупности со сценарным подходом такая система реально может свести риски реализации катастрофических сценариев к минимуму, да и существенно снизить традиционные риски ИБ.

АНДРЕЙ ЯНКИН: «Модель Аэропорт» говорит скорее о том, «что» делать, а не «как» делать. На нее на каждом уровне нанизываются конкретные лучшие практики и технические решения, всегда индивидуальные для каждой организации. Думаю, описанный подход с определёнными вариациями станет через какое-то время стандартом для построения результативной информационной безопасности любых крупных организаций. Теория под это готова давно, но сейчас такие проекты начинают воплощаться в жизнь. Участие в таких «стройках», возможность видеть реальный результат — это не просто интересно. Это вдохновляет.