Общая теория информационной безопасности и защиты. Несколько инструментов для осуществления ИБ
Время на прочтение
В рамках современного научно-технического прогресса и развития IT хранение информации чаще всего происходит посредством использования электронных носителей. Их использование существенно упрощает процесс хранения, передачи и получения информации, а также, способствует более слаженному ведению и отслеживанию производственных и иных процессов.
ИБ подвергается не только намеренным, но случайным атакам. При этом каждая атака носит индивидуальный характер, осуществляется разнообразными инструментами и ввиду этого защита происходит исходя из ситуации.
Руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров делится своим взглядом на историю развития отрасли информационной безопасности на протяжении последних 20 лет.
Если взглянуть на программу любой современной конференции по информационной безопасности, можно увидеть, какие важные темы занимают исследователей. Если проанализировать список этих важных тем, технологий и направлений, то окажется, что еще двадцать лет назад подавляющего большинства из них просто не существовало.
Вот, например, некоторые темы с конференции OFFZONE 2018:
Из них только две проблемы существуют достаточно давно. Первая — особенности архитектуры процессоров ARM, которые появились в середине 80-х годов. Вторая — проблема спекулятивного исполнения (speculative execution), которая берет начало в процессоре Intel Pentium Pro, выпущенном в 1995 году.
Другими словами, из этих тем действительно «древними» являются те, что связаны с железом. В основном же те исследования, которые сегодня проводят специалисты, вдохновлены событиями одно-, двух-, трехлетней давности. Например, технология HTTP/2 появилась лишь в 2015 году, ее в принципе можно изучать не больше четырех лет.
Вернемся на 20 лет назад. В 1998 году закончилась так называемая Первая браузерная война, в ходе которой конкурировали два крупнейших на тот момент браузера Internet Explorer и Netscape Navigator. В итоге Microsoft победила в этой войне, а главный конкурент ушел с рынка. Тогда подобных программ было мало, многие из них были платными, как, например, Opera: это считалось нормальным. При этом наиболее популярные сегодня браузеры Safari, Mozilla и Chrome были придуманы гораздо позже, а мысль о том, что браузер может быть платным, в наши дни никому не придет в голову.
Проникновение интернета 20 лет назад было в разы ниже, чем сегодня, поэтому и спрос на многие связанные с вебом сервисы сформировался гораздо позже завершения браузерной войны.
Другая ситуация сложилась в сфере криптографии. Она начала развиваться много десятилетий назад, к девяностым годам существовал целый ряд проверенных временем стандартов шифрования (DES, RSA) и цифровой подписи, а на протяжении последующих лет появилось много новых продуктов, алгоритмов и стандартов, в том числе развивавшийся в свободном формате OpenSSL; в России был рассекречен стандарт ГОСТ 28147-89.
Почти все связанные с криптографией технологии, которыми мы пользуемся сегодня, существовали уже в девяностые. Единственное широко обсуждаемое событие в этой области с тех пор — обнаружение бэкдора в поддерживаемом АНБ США алгоритме Dual_EC_DRBG от 2004 года.
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке “Файлы работы” в формате PDF
В связи с проникновением информационных технологий в жизнь человека и общества вопросы по обеспечению информационной безопасности приобретают всё большую и большую актуальность. Информационные процессы являются условием управления, а данный процесс возможен лишь на основе приёма, обработки и передачи информации.
Обстановка в информационной сфере продолжает оставаться сложной. С одной стороны – это увеличение вредоносных программ, увеличивается количество киберпреступлений, появляются новые виды хакерских атак, раскрываются новые возможности новых технологий в военной сфере. Это одни из масштабных проблем информационной безопасности. Понимая их, любая страна будет вести против них свою интенсивную политику, в том числе и правовую. Так же одной из главных проблем информационной безопасности является неорганизованность и не контролируемость интернета (речь в данном контексте не идёт о запрете своего мнения, без аргументированного высказывания), то есть не предполагает наличие какой-либо ветви власти, будь то судебной, исполнительной или законодательной.
Существуют методы борьбы с проблемами информационной безопасности. Для выявления суицидального контента и групп смерти подготавливается методика выявления данного контента. Ежедневно блокируются более 200 сooбществ и личных страниц, посвящённых запрещённому контенту. Скорость удаления варьируется от 1-3 часов. Во всех странах Европейского союза, начиная с 1 января 2018 года, запрещена регистрация в социальных сетях несовершеннолетних в возрасте до 16 лет без согласия родителей. ( Такая же норма действует и в США).
Для предотвращения проблемы взлома и хакерства следует изначально, на производственном этапе устанавливать специальное ПО, защищающее от хакерских атак. К ним относятся антивирусные программы (общего и профильного назначения), обучение персонала на административном уровне, чем выше квалификация сотрудника, тем меньше шанс обмана его, особенно в информационной среде.
Методом борьбы против шпионажа, является подготовка специальных кадров по профилю: “Информационная безопасность” или аналогичная; выявление на ранних этапах взлома сети или технического оборудования.
Защита информации – гарант государства, задача государства. Но и обычный юзер (пользователь) способен предотвратить многие проблемы в информационной сфере, проводя различные мероприятия по защите. Успех в области информационной безопасности может принести только комплексный подход, под административным руководством; усилия компаний по убеждению сотрудников в необходимости повышения информационной безопасности, создание законодательных инициатив со стороны государства; использование отечественного ПО; проверка информации на точность и актуальность; системный подход к улучшению всемирной сети интернет; внедрение новых средств опознавания – биометрических систем.
Следовательно, проблемы информационной безопасности тесно связаны с тенденциями становления информационного общества и личности каждого человека.
Борьба черных и белых шляп
За время карьеры уже внутри сферы информационной безопасности я встречался и переписывался с огромным количеством людей. В ходе такого общения я стал понимать, что разделение на «черные шляпы» и «белые шляпы», принятое в отрасли, не отражает реального положения дел. Конечно же, цветов и оттенков здесь гораздо больше.
Если обратиться к истокам интернета и информационной безопасности и почитать истории хакеров тех времен, то станет ясно, что главным стимулом для людей тогда было их любопытство, желание узнать что-то новое. Не всегда они при этом использовали законные способы — достаточно почитать о жизни Кевина Митника.
Сегодня спектр мотивации исследователей расширился: идеалисты хотят сделать весь мир безопаснее; кто-то еще хочет прославиться, создав новую технологию или исследовав популярный продукт; другие пытаются как можно скорее заработать денег — и для этого есть много возможностей разной степени законности. В итоге последние часто оказываются «на темной стороне» и противостоят своим же коллегам.
Как следствие, сегодня существует несколько направлений для развития внутри ИБ. Можно стать исследователем, соревноваться в CTF, зарабатывать на поиске уязвимостей, помогать бизнесу с киберзащитой.
PОf
Наиболее частое применение данного инсрумента фиксируется в рамках отслеживания активности пользовательских сетей. В последнее время разработчики прекратили выпуск обновлений, но инструмент не ушел из топа, хотя надолго ли сохранится его позиция – неизвестно.
Данный инструмент используется при выявлении узлов операционных систем, подключаемых к внутренней сети предприятия. Необходимо учитывать, что POf не обеспечивает полной защиты от всех видов атак и угроз, поэтому его использование должно быть дополнено другими инструментами и методами защиты. Кроме того, важно соблюдать законодательные требования и правила использования подобных инструментов в своей стране или регионе.
Эволюция законодательства
Как было сказано выше, на заре интернета основным мотивом хакеров была тяга к знаниям и банальное любопытство. Чтобы удовлетворить его, исследователи часто делали сомнительные с точки зрения властей вещи, но в те годы еще было крайне мало законов, регулирующих сферу информационных технологий.
В итоге законы часто появлялись уже «по следам» громких взломов. В России первые законодательные инициативы в области ИБ появились в 1996 году — тогда были приняты три статьи уголовного кодекса, касающиеся несанкционированного доступа к информации (статья 272), разработки вредоносного кода (статья 273) и нарушения правил обслуживания компьютерных систем (статья 274).
Однако четко прописать в законах все нюансы взаимодействий довольно трудно, в результате чего возникают разночтения в трактовках. Это также затрудняет деятельность исследователей информационной безопасности: часто непонятно, где заканчивается добросовестная с точки зрения закона исследовательская деятельность и начинается преступление.
Даже в рамках программ bug bounty разработчики софта могут запрашивать у исследователей демонстрацию эксплуатации уязвимости, proof of concept. В итоге специалист по ИБ вынужден создать, по сути, вредоносный код, а при его пересылке уже начинается «распространение».
В дальнейшем законы дорабатывались, но не всегда это облегчало жизнь исследователям. Так, в 2006 году появились статьи гражданского кодекса, касающиеся защиты авторских прав и технических средств защиты. Попытка обхода таких средств защиты даже в ходе исследований может быть признана нарушением закона.
Все это создает риски для исследователей, поэтому перед проведением тех или иных экспериментов лучше консультироваться у юристов.
Ossec
Данный инструмент позволяет обнаруживать и предотвращать различные виды атак в режиме реального времени. Он также обеспечивает защиту от утечек данных и контроль доступа к ресурсам сети.
Преимуществом данного инструмента является его открытый исходный код, что позволяет пользователям самостоятельно настраивать и дорабатывать его под свои нужды. Кроме того, он бесплатен и не требует больших затрат на его использование.
Однако, следует учитывать, что данный инструмент может быть менее эффективным, чем коммерческие аналоги, и требует определенных знаний и навыков для его правильной настройки и использования. Также он может не подходить для крупных корпоративных сетей, где требуется более мощное и профессиональное решение
Nagios
Предоставляет возможность не только отслеживать, но и осуществлять управление сетями, которые подключены к хостам и системе клиента. Управление и мониторинг осуществляются удаленно в режиме реального времени. При этом подозрительная активность, атака или ее попытка являются причиной уведомления пользователя. Уведомления настраиваются индивидуально, в зависимости от потребностей пользователя.
ИБ-цикл развития технологий
В современном мире технологии развиваются по определенным циклам. После возникновения какой-то хорошей идеи она коммерциализируется, появляется законченный продукт, который позволяет зарабатывать деньги. Если этот продукт оказывается успешным, он привлекает внимание киберпреступников, которые начинают искать способы самостоятельного заработка на нем или его пользователях. Бизнес вынужден реагировать на эти угрозы и заниматься защитой. Начинается противостояние атакующих и безопасников.
При этом за последние годы произошло несколько революционных технологических прорывов, от появления массового высокоскоростного доступа в интернет, соцсетей до распространения мобильных телефонов и интернета вещей. Сегодня с помощью смартфонов пользователи могут делать почти все то же самое, что и с помощью компьютеров. Но при этом уровень безопасности в «мобайле» кардинально отличается.
Чтобы украсть компьютер, нужно проникнуть в комнату, где он хранится. Похитить телефон можно просто на улице. Однако многие люди до сих пор не понимают масштаба рисков безопасности, которые несет развитие технологий.
Похожая ситуация с удалением данных с SSD (то есть флеш-дисков). Стандарты удаления данных с магнитных накопителей существуют много лет. С флеш-памятью ситуация иная. К примеру, такие диски поддерживают операцию TRIM: она сообщает контроллеру SSD, что удаленные данные больше не нужно хранить, и они становятся недоступными для чтения. Однако эта команда работает на уровне операционной системы, и если спуститься ниже на уровень физических микросхем памяти, то получить доступ к данным будет возможно с помощью простого программатора.
Еще один пример — модемы 3G и 4G. Раньше модемы были подчиненными устройствами, они полностью контролировались компьютером. Современные модемы сами стали компьютерами, они содержат собственную ОС, внутри них идут самостоятельные вычислительные процессы. Если взломщик модифицирует прошивку модема, то сможет перехватывать и контролировать любые передаваемые данные, и пользователь никогда об этом не догадается. Для обнаружения такой атаки нужно иметь возможность анализировать 3G/4G-трафик, а такие возможности есть только у спецслужб и мобильных операторов. Так что и такие удобные модемы оказываются недоверенными устройствами.
Угроза ИБ и ее виды
Угроза безопасности классифицируется по целой совокупности факторов, поэтому рассмотрим некоторые из них. Классификация угроз по их происхождению:
Более масштабная классификация отражает основные виды информационной безопасности исходя из ее направленности: информационно-техническая и информационно-психологическая.
Согласно классификации, существует разделение видов информационной безопасность на основе направленности угрозы на государственном уровне:
Объектами ИБ являются: все информационные ресурсы или документирование информации; права физических и юридических лиц, а также, организаций; системы распространения информации и формирования общественного мнения.
Подходы к разглашению информации
За последние двадцать лет возникло несколько подходов к тому, как именно должно выглядеть разглашение результатов исследований в области информационной безопасности. Существуют компании, вроде Zerodium, которые скупают уязвимости нулевого дня и рабочие эксплойты для популярного софта — например, 0-day в iOS стоит около 1 млн долл. С ША. Однако более правильный для уважающего себя исследователя способ действий после обнаружения уязвимости — обратиться сначала к производителю софта. Не всегда производители готовы признавать свои ошибки и сотрудничать с исследователями, но многие компании оберегают репутацию, стараются оперативно устранять уязвимости и благодарят исследователей.
В случае если вендор недостаточно активен, распространенная практика заключается в том, чтобы дать ему время на выпуск патчей, а уже затем публиковать информацию об уязвимости. При этом исследователь должен в первую очередь думать об интересах пользователей: если есть вероятность, что разработчики вообще никогда не исправят ошибку, ее публикация даст атакующим инструмент для постоянных атак.
Первые шаги в ИБ
В 1998 году я заканчивал обучение на кафедре «Системы автоматизированного проектирования» в МГТУ им. Баумана, где меня учили разрабатывать сложный софт. Это было интересно, но я понимал, что могу заниматься чем-то еще. Еще со школы мне нравилось пользоваться отладчиком, разбираться в том, как устроено ПО; первые эксперименты в этом направлении я проводил с программами «Агат-отладчик» и «Агат-DOS», когда хотел выяснить, почему первый загружался в пять раз быстрее, хотя занимал столько же места.
Как мы уже выяснили, на момент завершения моего обучения веба в современном понимании не существовало. Поэтому меня ничто не отвлекало от реверс-инжиниринга. Одно из важных направлений обратной разработки — восстановление логики работы кода. Я знал о том, что существует множество продуктов, которые защищают от пиратского копирования, а также решения для шифрования данных — при их исследовании также использовался реверс-инжиниринг. Была еще разработка антивирусов, но это направление почему-то меня не привлекало никогда, как и работа в военной или правительственной организации.
К 1998 году я неплохо умел программировать (например, создавал софт для систем автоматизированного проектирования), пользоваться отладчиком, увлекался решением задач типа keygen-me и crack-me, интересовался криптографией (однажды даже сумел восстановить забытый знакомым пароль от базы Excel по косвенным данным — «русское женское имя в английской раскладке»).
Далее я продолжал обучение, даже написал диссертацию на тему «Методы анализа программных методов защиты электронных документов», хотя так никогда и не вышел на ее защиту (но понял важность темы защиты авторских прав).
В сферу ИБ я окончательно погрузился после прихода на работу в компанию Elcomsoft. Это также вышло случайно: знакомый попросил помочь ему с восстановлением утерянного доступа к базе данных MS Access, что я и сделал, создав автоматизированный инструмент восстановления паролей. Этот инструмент я попробовал продать в Elcomsoft, но взамен получил предложение о работе и провел в этой компании 12 лет. На работе в основном я занимался как раз вопросами восстановления доступа, восстановления данных и компьютерной криминалистики.
В ходе первых лет моей карьеры в мире криптографии и парольной защиты произошло несколько прорывов — например, в 2003 году появилась концепция радужных таблиц, а в 2008 году началось использование графических ускорителей для восстановления паролей.
Развитие программ bug bounty
Серьезным импульсом для развития рынка информационной безопасности уже в 2000-х годах стало распространение bug bounty. В рамках этих программ разработчики сложных систем вознаграждают исследователей за обнаруженные в их продуктах уязвимости.
Основная идея здесь в том, что выгодно это в первую очередь разработчикам и их пользователям, потому что ущерб от успешной кибератаки может в десятки и сотни раз превышать возможные выплаты исследователям. Специалисты же по ИБ могут заниматься любимым делом — поиском уязвимостей — и при этом оставаться полностью в рамках закона и еще получать вознаграждение. В итоге компании получают лояльных исследователей, которые следуют практике ответственного разглашения и помогают делать программные продукты безопаснее.
В начале девяностых появилась культовая книга Брюса Шнайера Applied Cryptography, она была очень интересной, но была посвящена именно криптографии, а не информационной безопасности. В России в 1997 году была издана книга «Атака через Internet» Ильи Медведовского, Павла Семьянова и Владимира Платонова. Появление такого практического материала, основанного на личном опыте российских экспертов, дало толчок к развитию сферы ИБ в нашей стране.
Если раньше начинающие исследователи могли лишь купить книги-перепечатки зарубежных исследований, часто плохо переведенные и без ссылок на источники, то после «Атаки через Internet» новые практические пособия стали появляться гораздо чаще. Например, уже в 1999 году вышла «Техника и философия хакерских атак» Криса Касперски. Сама «Атака через Internet» получила два продолжения — «Атака на Internet» (1999), и «Атака из Internet» (2002).
В 2001 году вышла книга корпорации Microsoft по безопасной разработке кода — Writing Secure Code. Именно тогда гигант софтверной индустрии осознал тот факт, что безопасность программного обеспечения очень важна: это был очень серьезный момент в развитии информационной безопасности. После этого корпорации начали задумываться об обеспечении безопасности, раньше же этим вопросам не уделялось достаточно внимания: код пишется, продукт продается, считалось, что этого достаточно. С тех пор Microsoft вкладывает значительные ресурсы в безопасность, и несмотря на существование уязвимостей в продуктах компании, в целом их защита на хорошем уровне.
В США индустрия информационной безопасности развивалась довольно активно с 70-х годов. В итоге в девяностые годы в этой стране уже существовало несколько крупных конференций по теме ИБ. Одна из них была организована компанией RSA, появился Black Hat, в те же годы прошли и первые соревнования хакеров в формате CTF.
В нашей стране ситуация была другая. Многие сегодняшние лидеры рынка информационной безопасности в России в девяностые годы еще не существовали. У исследователей было не так много вариантов трудоустройства: существовали «Лаборатория Касперского», «ДиалогНаука», «Информзащита» и еще несколько компаний. « Яндекс», Positive Technologies, Digital Security, Group-IB и даже «Доктор Веб» появились после 1998 года.
Аналогичная ситуация сложилась с конференциями для обмена знаниями и изучения текущих тенденций. За рубежом с этим все было хорошо: с 1984 года проводился Chaos Communication Congress, с 1991 года существовала конференция RSA, в 1993 году появился DEF CON (в 1996 году они провели первый CTF), с середины девяностых проводился Black Hat. В нашей же стране первым значительным событием в этой сфере стала конференция «РусКрипто», впервые прошедшая в 2000 году. Специалистам в России, не имевшим возможности ездить на зарубежные мероприятия, было тяжело находить единомышленников и обмениваться идеями.
С тех пор количество достойных отечественных мероприятий значительно расширилось: есть Positive Hack Days, ZeroNights, OFFZONE.
Классы защиты ИБ
Существует несколько классов защиты и степени ее эффективности:
Угрозы информационной безопасности в эпоху цифровой трансформации
Цифровая трансформация (ЦТ) — это прежде всего инновационный процесс, требующий внесения коренных изменений в промышленные технологии, социум и культуру, финансовые транзакции и принципы создания новых продуктов и услуг. Фактически, это не просто набор подлежащих развертыванию ИТ-продуктов и решений в компаниях и на производстве, а глобальный пересмотр подходов и стратегий в бизнесе, выполняемый с помощью информационных технологий. Цифровая трансформация является переходным периодом к шестому технологическому укладу в ходе четвертой промышленной революции (Industry 4.0).
Рис 1. Цифровая трансформация — переход к 6-му технологическому укладу
Не все компании готовы к новым и достаточно жестким требованиям, которые им предъявляет ЦТ, а именно, к полной модернизации методов ведения бизнеса, пересмотру внутренних бизнес-процессов и новой культуре взаимоотношений внутри компании. Мало того, менеджмент должен быть подготовлен, как к позитивным, так и к негативным последствиям цифровой трансформации.
Цифровая трансформация — это не просто автоматизация и цифровизация отдельных производственных процессов «на местах», это интеграция обычных офисных и промышленных технологий, которые мы используем ежедневно, с совершенно новыми ИТ-направлениями, специфичными для ЦТ, (облачные вычисления, искусственный интеллект и машинное обучение, IoT и т.д.).
Негативные последствия цифровой трансформации
Однако у процессов, которые вызывает цифровая трансформация, есть и негативная сторона. Революционные изменения, которые привносит в бизнес ЦТ, породили определенные проблемы для служб информационной безопасности (ИБ), а именно, возникли новые вектора угроз ИБ и расширился спектр уязвимостей для потенциальных кибератак.
«Модная технология» DevOps является предметом особой настороженности специалистов ИБ, так как она принципиально изменила взаимоотношения между разработчиками софта, системными администраторами, службами тех. поддержки и конечными пользователями. ( Методология DevOps означает интеграцию деятельности разработчиков и специалистов по обслуживанию ПО, сетей и оборудования в командах и компаниях).
Рис 2. Что такое DevOps
Также хочется отметить, что одним из серьезных препятствий для быстрого внедрения ЦТ в компаниях являются старые (унаследованные) технологии, которые обслуживают производственные и офисные процессы уже много лет. С одной стороны, их невозможно заменить быстро (без остановки бизнес-процессов), а с другой стороны они плохо вписываются в процессы цифровой трансформации и несут в себе множественные угрозы ИБ.
Ниже остановимся на основных проблемах ИБ, а также обозначим пути разрешения этих проблем в ходе ЦТ.
Проблемы информационной безопасности в условиях ЦТ
1. Непрозрачность событий ИБ в корпоративной инфраструктуре предприятий
В крупных компаниях повсеместно используются различные технологические локации, развернутые в облачных сервисах, причем оснащенные собственными инструментами ИБ и разными внутренними сервисами. Однако, пока еще есть проблемы, как с интеграцией таких решений, так и с прозрачностью и фиксацией всех инцидентов и событий ИБ в такой сложной ИТ-инфраструктуре. Мало того, цифровая трансформация предполагает значительный рост, как облачных решений, так и усложнение корпоративной инфраструктуры за счет внедрения IoT, блокчейна, ИИ и т.д.
2. Трудности с вопросом автоматизации всех процессов ИБ
В обычной средней или даже крупной компании многие процессы информационной безопасности остаются неавтоматизированными, при этом не выработан даже общий подход к их автоматизации. Однако у сотрудников департаментов ИБ таких компаний есть уверенность в том, что защита работает по всем возможным векторам атак, как внутри периметра, так и в облаках, на мобильных устройствах, веб-серверах и т. д. Возможно, отдельные решения ИБ (антивирусы, межсетевые экраны, системы обнаружения вторжений и т.д.) пока еще обеспечивают определенный уровень безопасности на отдельных участках и снижают количество инцидентов ИБ, но без выработки общей стратегии и политики безопасности в такой организации обязательно будут проблемы с ИБ в будущем, в ходе внедрения ЦТ.
Хочется отметить, что в большинстве организаций до сих пор плохо с интеграцией различных ИБ-решений, нет сквозной видимости всех угроз, плохо с контролем соответствия требованиям регуляторов (compliance).
По результатам опросов и исследований в области информационной безопасности экспертами выяснено, что на многих предприятиях, четверть корпоративной инфраструктуры так и остаётся незащищенной. По мере роста ИТ-инфраструктуры, вызванного цифровой трансформацией, а также в связи с усложнением кибератак, появляется потребность в масштабируемости ИБ-решений. И даже если в компании есть эффективно работающие решения, защищающие отдельные компоненты инфраструктуры ИТ (например, антивирусы, межсетевые экраны и т.д.), то в целом это не повышает общий уровень безопасности в организации, по причине плохой интеграции и масштабируемости этих отдельных решений.
На данный момент наибольшую проблему у специалистов по кибербезопасности вызывают сложные для блокировки полиморфные кибератаки, целевые кибератаки (APT, advanced persistent threat, «развитая устойчивая угроза»), а также рост использования методологии DevOps, которая повышает риски несвоевременного обнаружения новых уязвимостей.
Рис 3. Фазы целевой кибератаки (APT, advanced persistent threat).
5. Последствия обновлений ПО
До сих пор остаются опасными угрозы, связанные с обновлением софта, так как зачастую вместе с «патчами» и «апдейтами» может быть инсталлировано и вредоносное ПО.
Стратегия обеспечения безопасности в условиях ЦТ или меры противодействия угрозам
В будущем, ЦТ может быть использована как для позитивных изменений в социуме, так и для реализации угрозы для мировой стабильности и безопасности. Таким негативным примером является, так называемое, «кибероружие». Для того, чтобы в условиях постоянно нарастающей нестабильности, обозначить стратегию безопасности своего бизнеса и систем государственного управления, необходимо уяснить для себя в целом, что такое «безопасность» и какая она бывает.
Таким образом, само понятие «безопасность» подразделяется на 3 большие группы: личную, общественную и государственную.
Личная безопасность — это такое состояние, когда человек защищён от любого вида насилия (например, психологического, физического или др.)
Общественная безопасность — способность социальных институтов государства защитить личность и общество от различного вида угроз (в основном, внутренних).
Государственная безопасность — система защиты государства от внешних и внутренних угроз.
Еще одним важным направлением в области безопасности, является информационная безопасность и защита информации. Цель работы специалистов по защите информации — это обеспечение её конфиденциальности, доступности и целостности. В общем, эти три ключевых принципа ИБ называют триадой CIA, ниже раскроем смысл этих понятий.
Рис 4. Три ключевых принципа ИБ (триада CIA)
Основная цель информационной безопасности в контексте ЦТ — это обеспечить защищенность как информации, так и ИТ-инфраструктуры от случайных или преднамеренных воздействий (атак и т.д.), которые могут нанести неприемлемый ущерб владельцам информационных активов.
Особое внимание необходимо уделить инцидентам ИБ на объектах критической информационной инфраструктуры (КИИ), это могут быть, как таргетированные атаки (APT), так и техногенные катастрофы, физическое похищение активов и др. угрозы. По мере усложнения атак наращиваются и «средства обороны» (т.е. инфраструктура ИБ).
На этом фоне все большую популярность набирают системы SIEM (Security information and event management), основная задача которых — это мониторинг корпоративных систем и анализ событий безопасности в режиме реального времени, в том числе с широким использованием систем ИИ и глубокого машинного обучения (Deep learning).
Крупные технологические компании, которые лидируют в области ЦТ, намного чаще других интегрируют свои продукты и средства ИБ в единую архитектуру корпоративной безопасности. Надо отметить, что в таких компаниях отдают предпочтению стратегическому подходу и формированию политики безопасности, что позволяет:
Лидеры цифровой трансформации, как правило, охотнее автоматизируют ИБ-процессы в компании, это намного эффективнее ручного мониторинга угроз и событий ИБ, который применялся повсеместно до периода ЦТ. Позитивным примером такой автоматизации и комплексного подхода является внедрение SOC (Security Operations Center, центр обеспечения безопасности). Однако нужно учитывать, что настройка автоматизации всех рабочих процессов требует большего времени для тестирования и необходимости привлечения грамотных специалистов.
Рис 5. Внедрение SOC (Security Operations Center) в компании
Одной из особенностей ИБ в эпоху цифровой трансформации является процесс внедрения в корпоративную систему средств централизованного контроля соответствия как промышленным стандартам, так и стандартам ИТ и ИБ, что повышает эффективность работы такого направления ИБ, как compliance.
Заключение
Одним из серьезных препятствий на пути компаний к ЦТ является необходимость обеспечения высокого уровня информационной безопасности, что не всегда посильно большинству компаний, особенно фирмам из сектора SMB. При этом необходимо учитывать факторы нарастания, как внутренних, так и внешних угроз ИБ, связанные со значительным ростом сектора киберпреступности, а также рисками, возникающими естественным путем в ходе реализации методологии DevOps, облачных технологий, IoT и т.д.
Один из достаточно новых, но эффективных подходов в области обеспечения безопасности информационных активов — это применение методов проактивной защиты, способных не просто защитить, но и предотвратить кибератаки. Здесь хочется отметить такие технологии, как «ханипоты» (honeypots и honeynets), а также более продвинутые системы по развертыванию распределенной инфраструктуры ложных целей (Distributed Deception Platform, DDP).
В итоге, можно выделить лучшие практики ИБ, которые мы можем порекомендовать компаниям и бизнесу в ходе процесса цифровой трансформации:
Рис 6. Стратегический подход к ИБ — разработка политики безопасности компании
Splunk
Splunk это платформа для сбора, хранения, обработки и анализа машинных данных, что делает её очень востребованной в IT-сфере. С помощью Splunk можно отслеживать аномалии в поведении пользователей, обнаруживать уязвимости и атаки на инфраструктуру, а также проводить аудит безопасности.
Кроме того, Splunk может использоваться для мониторинга и анализа работы приложений и сервисов, оптимизации производительности, предотвращения сбоев и устранения проблем. Она также может быть использована для мониторинга работы оборудования и сетевых устройств.
Splunk имеет множество интеграций с другими системами и инструментами, такими как AWS, Azure, Docker, Kubernetes, Git, JIRA и многими другими.
Инструменты защиты ИБ
Подбор инструментов для защиты информации происходит исходя из того в каком направлении требуется защита – для государства, для коммерческой организации или физического лица. Чаще всего безопасникам приходится работать с сертифицированными ФСТЭК ФСБ инструментами. Это не значит, что данные инструменты имею высокую степень защиты. Просто государственные организации должны использовать исключительно сертифицированные программные обеспечения. В качестве сертифицированных ПО могут выступать отечественные антивирусы, межсетевые экраны и аппаратное обеспечение разного рода.
Работники коммерческих организаций и наемные рабочие для физических лиц имеют более широкий выбор и могут работать с различными инструментами по согласованию с руководством или на свое усмотрение.
Обеспечение информационной безопасности достигается посредством активного использования методов шифрования и защиты электронных документов и программ. В первую очередь стоит отметить криптографические методы шифрования, которые позволяют искажать информационные данные посредством их преображения в секретные ключи. Чем более сложные механизмы шифрования применяются, тем более эффективной является защита.
Криптографическое шифрование может быть двух видов: симметричное и ассиметричное. В первом случае к информационных данным применяется секретный ключ-шифр, которые известен его отправителю и получателю. Во втором случае открытым является только один ключ. Его использование позволяет установить наличие электронной цифровой подписи или применить методы кодирования информации. В таком случае создать подпись или расшифровать информационные данные без знания ключа не получится. Поэтому даже владелец данных может не знать ключа, но пользоваться информацией. Существенным недостатком такого шифрования выступает необходимость использования мощных современных устройств.
Электронная цифровая подпись выступает в качестве преимущественно нового метода защиты электронных документов. Рассматриваемый метод предполагает наличие параметра, который подтверждает подлинность документа. Если рассматривать электронную цифровую подпись в узком смысле, то она является полноценной заменой подписи должностного лица и имеет равноценную юридическую силу. Ее применение предоставляет возможность идентификации владельца и подтверждает, что информация, содержащаяся в документе, не претерпевала существенных изменений. Важно отметить, что данный метод защиты электронных документов позволяет удешевить процесс защиты данных, но при этом является гарантом подлинности документа.
Выводы по итогам 20 лет в ИБ
Я связан со сферой информационной безопасности уже двадцать лет, и за это время мои интересы внутри нее менялись параллельно с развитием отрасли. Сегодня информационные технологии находятся на таком уровне развития, что знать все в рамках даже отдельной небольшой ниши, такой как реверс-инжиниринг, просто невозможно. Поэтому создание по-настоящему эффективных инструментов защиты сегодня возможно только для команд, объединяющих опытных экспертов с разноплановым набором знаний и компетенций.
Другой важный вывод: в настоящий момент задача информационной безопасности сводится не к тому, чтобы сделать любые атаки невозможными, а к управлению рисками. Противостояние специалистов по защите и нападению сводится к тому, чтобы сделать нападение слишком дорогим и снизить возможные финансовые потери в случае успешной атаки.
И третий, более глобальный вывод: информационная безопасность нужна только до тех пор, пока в ней есть потребность у бизнеса. Даже проведение сложных тестов на проникновение, для которых нужны специалисты экстра-класса, — по сути своей вспомогательная функция процесса продажи продуктов для информационной безопасности.
Безопасность — это верхушка айсберга. Мы защищаем информационные системы, которые созданы только потому, что это нужно бизнесу, созданы для решения его задач. Но этот факт компенсируется важностью сферы ИБ. Если случится проблема безопасности, то это может нарушить функционирование информационных систем, а это непосредственно повлияет на бизнес. Так что от безопасников зависит очень много.
Итого
Сегодня в сфере информационных технологий далеко не все безоблачно, существуют и серьезные проблемы. Вот три основных, на мой взгляд:
Излишнее внимание властей. Государства во всем мире все активнее пытаются контролировать и регулировать интернет и информационные технологии.
Интернет превращается в площадку для информационной войны. Двадцать лет назад никто не обвинял во всех мировых проблемах «русских хакеров», а сегодня это в порядке вещей.
Новые технологии не делают людей лучше или умнее. Людям нужно объяснять, зачем нужно то или иное решение, учить их его использовать, рассказывать о возможных рисках.
При всех этих минусах информационная безопасность сегодня — это явно та область, которой стоит заниматься. Только здесь вы каждый день будете сталкиваться с новейшими технологиями, интересными людьми, сможете проверить себя в противостоянии с «черными шляпами». Каждый новый день будет бросать вызов, и скучно не будет никогда.