Пожалуйста, используйте этот идентификатор, чтобы цитировать или ссылаться на этот ресурс:
http://hdl.handle.net/10995/73899
Все ресурсы в архиве электронных ресурсов защищены авторским правом, все права сохранены.
Общая теория информационной безопасности и защиты. Несколько инструментов для осуществления ИБ
Время на прочтение
В рамках современного научно-технического прогресса и развития IT хранение информации чаще всего происходит посредством использования электронных носителей. Их использование существенно упрощает процесс хранения, передачи и получения информации, а также, способствует более слаженному ведению и отслеживанию производственных и иных процессов.
ИБ подвергается не только намеренным, но случайным атакам. При этом каждая атака носит индивидуальный характер, осуществляется разнообразными инструментами и ввиду этого защита происходит исходя из ситуации.
Для начала – совсем простая модель. Есть три концептуальных угрозы безопасности конкретных данных: нарушение целостности, доступности и конфиденциальности информации.
Когда хакер Вася находит в мусорнике письмо вашей любовницы – это нарушение конфиденциальности, когда хомяк Билл перегрызает кабель сервера с репозиторием — это нарушение доступности, а когда админ Пупкин заливает бекап в обратную сторону — это нарушение целостности.
При этом эти три примера связаны с тремя разными факторами: хакер Вася специально охотился за вашим мусором; хомяк Билл показал нам отказ оборудования; а администратор Пупкин просто клинический раздолбай. За последний год только 37% проблем с данными были результатом действий запланированных атак. 29% случаев пришлось на сбои систем. И оставшиеся примерно 34% – на человеческий фактор, то есть халатность персонала.
Поэтому не надо представлять героя, в одиночку отбивающего хакерские орды, когда вам говорят «информационная безопасность».
Техника и технология
Есть первый уровень безопасности, когда вы закрываете детские косяки. Например – запрещаете использовать флешки и дискеты, настраиваете политики доступа к данным для разных сотрудников и так далее. Организуете бекап, имеете резерв по железу, можете развернуть сервисы на другой площадке, защищаете основные каналы связи. Объясняете пользователям, почему не надо наклеивать листики с паролями на стену перед компьютером. Думаю, в целом понятно.
Дальше вы ударяетесь в Disaster Recovery по направлению защиты данных от сбоев и дураков, в психологию для защиты от социальной инженерии и глубже в программно-аппаратную защиту информации. Последнее наиболее интересно.
Дальше
Следующий уровень – это закрытие болевых точек своего софта. Уязвимости, которые возникают в операционных системах и в приложениях, в принципе, публикуются. О них знают и хакеры, и те, кто занимается безопасностью. Поэтому нужно периодически контролировать свою систему на предмет их наличия.
Теперь давайте посмотрим на случаи санкционированного копирования (дизайнер Лена решила записать презентацию клиенту на диск) и несанкционированного (бухгалтер Зина попробовала унести домой базу данных бухгалтерии). На аппаратном уровне мы мониторим обращения пользователя к определённым портам, не даём использовать определённые носители, определяем политики того, что можно копировать, а что — нельзя.
Есть специальные решения, которые обнаруживают утечку информации по разным каналам и предотвращают её. Например, при попытке отправить друзьям историю продаж может появиться соответствующий алерт у сотрудника безопасности, и пока он не разрешит – письмо не уйдёт. Анализируя различный сетевой трафик можно отлавливать критичные данные компании в сети и тоже предотвращать их уход за пределы офиса.
Как известно, сотрудники становятся всё изобретательнее в своих попытках обойти ограничения. Соответственно, нужна система, которая обрабатывает и коррелирует события безопасности от различных систем защиты. Второй компонент — бдительный охранник, изучающий результаты ее работы. Как вариант, вместо человека – система, которая автоматически перенастраивает защитные механизмы на основе выявленных инцидентов безопасности.
Поскольку обрабатывать такие данные руками практически нереально, используются полуинтеллектуальные системы, анализирующие события безопасности. Если средство защиты зафиксировало факт утечки или факт, похожий на утечку, то оно формирует соответствующее событие и передаёт его в централизованную систему управления. В свою очередь, эти события потом могут консолидироваться в одном месте — системе мониторинга, и там обрабатываться в зависимости от других событий и правил. На выходе — решение, что это действительно утечка или это, может быть, единичное событие, которое, в общем, ни о чём не говорит.
Данные начинают представлять какую-то ценность
Дальше вместо раздолбаев на сцене появляется хакер. К счастью, для начала у него будет порог входа – потребуется проникновение внутрь зоны контроля. Он может представиться уборщиком, сотрудником техподдержки, гостем, наняться к вам в штат и так далее — и использовать все свои навыки в области социнжиниринга. Он может применять какие-нибудь технические средства для проникновения, например — прослушивать ваш радиоэфир. Он может пассивно собирать данные, просеивая ваш мусор. И, наконец, самый распространённый тип атаки сегодня — он может вычислить привычки ваших пользователей и разместить зловредный код где-то в «большом интернете», куда ходят пользователи. Как правило, взломать сервера третьей стороны проще, чем ваши — и уже с них ваши пользователи потащат зловреда внутрь корпоративной среды. Сегодня модель атак, когда нестандартное ПО готовится под отдельную компанию, наиболее актуальна. Например, это может быть сетевой червь, который резко обрастает функционалом только тогда, когда понимает, что попал в нужное место. Что самое волнительное, такие атаки по определению нельзя засечь как известный шаблон – ведь они делаются индивидуально под вас.
Для того чтобы противостоять злоумышленнику, надо иметь базу нестандартных ситуаций, каждая из которых соответствует некоей угрозе. Как с антивирусом — у него есть известные сигнатуры и эвристики. В этом направлении мир развивается по пути разработки систем выявления аномальных состояний. То есть когда начинает происходить что-то странное, система должна показать это людям, способным разобраться.
Работает это так: на начальном этапе своей работы анализируется, как и что происходит внутри какой-то системы. Формируется профиль нормального поведения, и потом фиксируются отклонения от этого профиля. И в зависимости от того, насколько сильно отклонение, вычисленное по определённым критериям, делать выводы о том, что что-то не в порядке.
Проблема в том, что такие системы есть уже давно, но, как правило, остаются непонятными шаманскими штуками для среднего заказчика.
Теперь вернёмся к другим типам угроз
По доступности сегодня главный вектор — это «банальные» DDoS. Поскольку реализовать такую атаку может любой человек с деньгами и смелостью арендовать ботнет, вероятность того, что вас положат, растёт с ростом серьёзности бизнеса. Про то как от них защищаются, можно прочитать в куче топиков здесь. Если коротко — нужно иметь специальные средства, отсекающие паразитный трафик и позволяющие быстро отвечать настоящим пользователям. Плюс возможность расширять свои каналы при необходимости, поскольку завалить большой мощностью можно что угодно.
По целостности важно отслеживать критичные изменения в системе, чтобы не проморгать факт появления бекдора или несанкционированного изменения настроек безопасности. Если, например, вы разрабатываете ОС, то здесь основное развитие будет в мониторинге за всем происходящим с исходным кодом.
Что минимизирует ущерб?
Вот несколько простых вещей, которые работают универсально:
Каков средний процент стоимости потерянных данных к стоимости компании?
Как правило, драматичный. В среднем по миру — около трети от стоимости компании, а в странах с жестким промшпионажем вроде США — до половины. Очень чётко видна зависимости IT развитости региона и стоимости потери данных. Одна утерянная запись в США означает около $277 убытка, в Германии — $214, а, например, в Индии — всего $46. Кстати, при этом хакеров больше всего в Германии, США и Франции, а самые ошибающиеся люди живут в Бразилии.
Это по данным майского отчёта 2013 Cost of Data Breach Study: Global Analysis (исследование спонсировано Symantec, выполнено Ponemon Institute).
Что поменялось за 15 лет в информационной безопасности?
Если раньше «белые шляпы» были героями, готовыми работать руками на защиту компании, то теперь масштаб сместился в сторону войн используемого софта. Очень много зависит от подготовки решений на случай атаки или отказа, а не импровизаций на месте. Сложность и разнообразие угроз растёт, поэтому требуется умное ПО, позволяющие фокусировать внимание на странных событиях. Всё больше и больше компаний хранят данные у аутсорсеров — растёт необходимость убеждаться не только в своей защите, но и защите и ответственности контрагентов.
Технологии информационной безопасности развиваются параллельно с ИТ, но, к сожалению, с небольшим запаздыванием во времени. Например, в настоящий момент средства информационной безопасности пытаются активно догнать технологии виртуализации и мобильные технологии. Несомненно, что такое положение дел будет сохраняться и в будущем.
На сегодняшний момент меняется как портрет безопасника, так и хакера. И тот и другой все более становятся профессионалами. Если еще 10 лет назад типичный хакер представлял собой увлеченного молодого человека, интересующегося различными технологиями, то сегодня зачастую — это опытные профессионалы, имеющие коммерческий интерес.
Аналогично обстоит дело и с безопасниками. Так, первых профессиональных специалистов в области ИБ ВУЗы начали готовить где-то 15 лет назад. На тот момент таких людей вне стен спецслужб были единицы. Сегодня же таких специалистов уже заметное количество на ИТ-рынке, хотя все равно ощущается их недостаток.
Как учиться?
Хорошие безопасники учатся на практике (опыт мало что может заменить) и нестандартных задачах. Один из интересных способов обучения – участие в турнирах. Именно по этой причине корпорация Symantec совместно с КРОК организуют C^2: Cyber Challenge — онлайн-игру, оффлайн-турнир и конференцию по безопасности.
Во время онлайн и оффлайн игры пользователи побывают в роли киберпреступников. Состязание проходит по принципу «захвати флаг» и позволяет проверить свои способности в условиях уникальной имитации реальной среды.
Nagios
Предоставляет возможность не только отслеживать, но и осуществлять управление сетями, которые подключены к хостам и системе клиента. Управление и мониторинг осуществляются удаленно в режиме реального времени. При этом подозрительная активность, атака или ее попытка являются причиной уведомления пользователя. Уведомления настраиваются индивидуально, в зависимости от потребностей пользователя.
Инструменты защиты ИБ
Подбор инструментов для защиты информации происходит исходя из того в каком направлении требуется защита – для государства, для коммерческой организации или физического лица. Чаще всего безопасникам приходится работать с сертифицированными ФСТЭК ФСБ инструментами. Это не значит, что данные инструменты имею высокую степень защиты. Просто государственные организации должны использовать исключительно сертифицированные программные обеспечения. В качестве сертифицированных ПО могут выступать отечественные антивирусы, межсетевые экраны и аппаратное обеспечение разного рода.
Работники коммерческих организаций и наемные рабочие для физических лиц имеют более широкий выбор и могут работать с различными инструментами по согласованию с руководством или на свое усмотрение.
Обеспечение информационной безопасности достигается посредством активного использования методов шифрования и защиты электронных документов и программ. В первую очередь стоит отметить криптографические методы шифрования, которые позволяют искажать информационные данные посредством их преображения в секретные ключи. Чем более сложные механизмы шифрования применяются, тем более эффективной является защита.
Криптографическое шифрование может быть двух видов: симметричное и ассиметричное. В первом случае к информационных данным применяется секретный ключ-шифр, которые известен его отправителю и получателю. Во втором случае открытым является только один ключ. Его использование позволяет установить наличие электронной цифровой подписи или применить методы кодирования информации. В таком случае создать подпись или расшифровать информационные данные без знания ключа не получится. Поэтому даже владелец данных может не знать ключа, но пользоваться информацией. Существенным недостатком такого шифрования выступает необходимость использования мощных современных устройств.
Электронная цифровая подпись выступает в качестве преимущественно нового метода защиты электронных документов. Рассматриваемый метод предполагает наличие параметра, который подтверждает подлинность документа. Если рассматривать электронную цифровую подпись в узком смысле, то она является полноценной заменой подписи должностного лица и имеет равноценную юридическую силу. Ее применение предоставляет возможность идентификации владельца и подтверждает, что информация, содержащаяся в документе, не претерпевала существенных изменений. Важно отметить, что данный метод защиты электронных документов позволяет удешевить процесс защиты данных, но при этом является гарантом подлинности документа.
Практический видеокурс Школы информационной безопасности
Нет смысла лишний раз напоминать, почему при разработке сервисов важно уделять внимание безопасности. Поговорим о том, как строить системы защиты, поддерживать их в актуальном состоянии и развивать с увеличением числа угроз. Довольно много практических знаний по этой теме можно получить из интернета. Теория, в свою очередь, неплохо освещается в нескольких российских вузах. Есть и множество полезной литературы. Но хорошего специалиста по безопасности отличает не просто знание инструментов и теории, а способность применять теорию в реальных ситуациях.
В апреле этого года мы впервые провели бесплатную Школу информационной безопасности. Лекции в школе подготовили и прочитали сотрудники службы ИБ Яндекса — те специалисты, которые непосредственно отвечают за защиту наших продуктов. Мы получили более 700 заявок, 35 человек успешно закончили школу, 9 из них получили офферы в Яндекс (7 — на позицию стажёра, 2 — на штатную позицию).
Сегодня мы публикуем видеокурс со всеми лекциями Школы. Вы можете почерпнуть те же знания, что и студенты — разве что интерактива поменьше и не нужно делать домашнее задание. Для просмотра стоит знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, понимать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.
Надеемся, этот курс прокачает вас в роли специалиста по ИБ, а также поможет защитить ваши сервисы от утечек данных и атак злоумышленников.
001. Безопасность веб-приложений — Эльдар Заитов
Расскажем про устройство современного веба — микросервисную архитектуру, технологические, архитектурные уязвимости и как их предотвращать. Разберем уязвимости на стороне клиента. Поговорим про способы эксплуатации.
002. Безопасность мобильных приложений — Ярослав Бучнев
Поговорим о типовых уязвимостях мобильных приложений и о том, как их предотвращать на iOS и Android.
003. Сетевая безопасность — Борис Лыточкин
— Мощность DDoS атак превысила 1Tbit/s: кто виноват и что делать?
— Безопасность в IPv6: можно ли предотвратить arp spoofing, используя IPv6?
— Так ли безопасен WiFi? Заходите, открыто или ретроспектива развития безопасности в WiFi с первого стандарта до 2018.
004. Безопасность ОС — Игорь Гоц
Расскажем про классическую модель безопасность UNIX и расширения Posix ACL, системы журналирования syslog и journald. Обсудим мандатные модели доступа (SELinux, AppArmor), устройство netfilter и iptables, а также procfs, sysctl и hardening OS. Поговорим про устройство стекового фрейма и уязвимости, связанные с переполнением буфера на стеке, механизмы защиты от подобных атак: ASLR, NX-Bit, DEP.
005. Безопасность бинарных приложений — Андрей Ковалев
Поговорим о безопасности компилируемых приложений. В частности, рассмотрим уязвимости, связанные с порчей памяти (out of bound, use after free, type confusion), а также компенсационные технические меры, которые применяются в современных компиляторах для снижения вероятности их эксплуатации.
006. Расследование инцидентов. Форензика — Антон Конвалюк
Поговорим про подходы к обнаружению и расследованию инцидентов и основные проблемы, с которыми приходится сталкиваться. Также рассмотрим некоторые инструменты, которые помогают расследовать инциденты, и попробуем их на практике.
007. Виртуализация и контейнеризация — Антон Конвалюк
Для повышения КПД серверов мы в Яндексе используем контейнеры. В этой лекции по безопасности рассмотрим основные технологии, которые обеспечивают виртуализацию и контейнеризацию. Основной упор сделаем на контейнеризацию, как на наиболее популярный способ деплоя приложений. Поговорим про capabilities, namespaces, cgroups и прочие технологии, посмотрим, как это работает в современных Linux-системах на примере Ubuntu.
008. Криптография — Евгений Сидоров
Инженеры ИБ в Яндексе каждый день применяют знания о криптографии. Расскажем про то, как они это делают, про PKI, её недостатки и TLS разных версий. Рассмотрим атаки на TLS и методы ускорения протокола. Обсудим технологию Certificate Transparency, протокол Roughtime, баги в реализации алгоритмов и протоколов, а также скрытые недостатки различных фреймворков.
Классы защиты ИБ
Существует несколько классов защиты и степени ее эффективности:
PОf
Наиболее частое применение данного инсрумента фиксируется в рамках отслеживания активности пользовательских сетей. В последнее время разработчики прекратили выпуск обновлений, но инструмент не ушел из топа, хотя надолго ли сохранится его позиция – неизвестно.
Данный инструмент используется при выявлении узлов операционных систем, подключаемых к внутренней сети предприятия. Необходимо учитывать, что POf не обеспечивает полной защиты от всех видов атак и угроз, поэтому его использование должно быть дополнено другими инструментами и методами защиты. Кроме того, важно соблюдать законодательные требования и правила использования подобных инструментов в своей стране или регионе.
Угроза ИБ и ее виды
Угроза безопасности классифицируется по целой совокупности факторов, поэтому рассмотрим некоторые из них. Классификация угроз по их происхождению:
Более масштабная классификация отражает основные виды информационной безопасности исходя из ее направленности: информационно-техническая и информационно-психологическая.
Согласно классификации, существует разделение видов информационной безопасность на основе направленности угрозы на государственном уровне:
Объектами ИБ являются: все информационные ресурсы или документирование информации; права физических и юридических лиц, а также, организаций; системы распространения информации и формирования общественного мнения.
Ossec
Данный инструмент позволяет обнаруживать и предотвращать различные виды атак в режиме реального времени. Он также обеспечивает защиту от утечек данных и контроль доступа к ресурсам сети.
Преимуществом данного инструмента является его открытый исходный код, что позволяет пользователям самостоятельно настраивать и дорабатывать его под свои нужды. Кроме того, он бесплатен и не требует больших затрат на его использование.
Однако, следует учитывать, что данный инструмент может быть менее эффективным, чем коммерческие аналоги, и требует определенных знаний и навыков для его правильной настройки и использования. Также он может не подходить для крупных корпоративных сетей, где требуется более мощное и профессиональное решение
Splunk
Splunk это платформа для сбора, хранения, обработки и анализа машинных данных, что делает её очень востребованной в IT-сфере. С помощью Splunk можно отслеживать аномалии в поведении пользователей, обнаруживать уязвимости и атаки на инфраструктуру, а также проводить аудит безопасности.
Кроме того, Splunk может использоваться для мониторинга и анализа работы приложений и сервисов, оптимизации производительности, предотвращения сбоев и устранения проблем. Она также может быть использована для мониторинга работы оборудования и сетевых устройств.
Splunk имеет множество интеграций с другими системами и инструментами, такими как AWS, Azure, Docker, Kubernetes, Git, JIRA и многими другими.