Денис Ковалев, Лига Цифровой Экономики: DLP- или PAM-системы не могут предотвратить кражу технологических учетных данных, которые хранились в коде приложения и годами не менялись

Денис Ковалев, директор направления информационной безопасности Лиги Цифровой Экономики, рассказал Cyber Media об участившихся случаях компрометации данных на российском ИТ-рынке, способах борьбы и мерах по недопущению.

Ситуация на российском рынке заставила всех задуматься об усилении мер защиты своих ИТ-инфраструктур, информационных систем и данных. Риски стать жертвой злоумышленников выросли. От их действий сейчас полностью не застрахованы ни крупные корпорации, ни малый и средний бизнес. Как показала практика Лиги Цифровой Экономики за последний год, количество инцидентов, которые привели к утечкам информации, выросло на 25% относительно 2021 года. А главное – значительно возросла критичность последствий таких инцидентов. 

Cyber Media: Какие причины компрометации данных, по вашей статистике, можно считать основными?

Денис Ковалев: Одной из самых частых причин кибератак остается кража учетных данных, это показывает не только наша статистика. По данным Verizon от 2022 года, почти 50% всех утечек произошли из-за кражи учетных данных. Один из способов украсть их – найти в коде приложений забытые разработчиками ключи, сертификаты, токены и другие учетные данные для доступа к различным ресурсам.

Дело в том, что современные информационные системы не монолитны и не существуют в изоляции друг от друга. Архитектура приложений состоит из множества самостоятельных сервисов, отвечающих за небольшие блоки операций. Эти сервисы непрерывно взаимодействуют друг с другом, используя для аутентификации различные способы: пароли, ключи, сертификаты, токены. В целом их можно назвать «секреты». Разработчики часто сохраняют их в коде приложения или записывают в конфигурационные файлы. А дальше проще – опубликованные проекты на GitHub или GitLab доступны для изучения множеству специалистов, в том числе и недобросовестных.

Cyber Media: Есть ли способ избежать таких ошибок?

Денис Ковалев:  Способ есть, но, как в любом деле, нет единственной «волшебной таблетки» – нужно уделить внимание целому ряду мероприятий, которые в полной мере обозначены в требованиях регулятора финансовой области. Условия к обеспечению информационной безопасности в целом и к управлению техническими учетными записями в частности достаточно четко зафиксированы в требованиях национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Они просты и логичны: обязывают финансовые организации обеспечить полноценное управление техническими секретами, их своевременную ротацию и контроль использования. На самом деле, такие мероприятия я бы рекомендовал взять во внимание и компаниям из других отраслей. Их выполнение значительно снизит риски компрометации и утечки информации.

Cyber Media: С чего, по-вашему, стоит начать?

Денис Ковалев: Прежде всего, необходимо определить уровень защищенности данных в компании. Для этого стоит провести аудит с фиксацией текущего среза либо собственными силами, либо с помощью организаций, оказывающих подобные услуги.

Аудит выявит области с низким уровнем защиты. Далее потребуется проанализировать их и выполнить оценку рисков. С помощью такой процедуры можно определить самые приоритетные задачи, с которых стоит начать усиление безопасности.

Не видя реальную ситуацию в компании, я могу отталкиваться только от статистики и собственного опыта в части рекомендаций. Однозначно важно уделить внимание управлению техническими учетными данными в компании. Главное – не допустить их бесконтрольное распространение и безучетное хранение, также важно обеспечить их своевременную смену. Здесь было бы хорошим решением исключить доступ специалистов, в том числе внутренних, к таким данным. Чтобы это реализовать, рекомендую обратить внимание на системы управления секретами.

Cyber Media: О чем именно речь? Что представляют собой системы управления секретами?

Денис Ковалев: Это класс систем, которые обеспечивают централизованное управление техническими секретами и исключают доступ к ним. Они помогают разработчикам уйти от публикации учетных данных в коде.

Благодаря таким системам можно построить защищенное, отказоустойчивое хранилище учетных данных для использования в распределенном сервисно-ориентированном развертывании, что позволит исключить вектор компьютерных атак на учетные записи и распространение паролей.

Cyber Media: В каких отраслях сегодня чаще применяют системы управления секретами? И почему именно там?

Денис Ковалев: Подобные системы чаще всего используют в финансовой отрасли, где безопасности уделяется особое внимание и где риски компрометации данных могут привести к катастрофическим последствиям. Дело в том, что негативные последствия от утечки или компрометации данных в работе отдельных финансовых организаций могут привести к кризису банковской системы или финансового рынка Российской Федерации в целом. Поэтому для финансовых организаций угрозы безопасности информации представляют существенную опасность, а обеспечение защиты информации является важной частью их деятельности.

Cyber Media: С какими классами решений сейчас конкурируют системы управления секретами? Могут ли их функции заменяться возможностями других продуктов?

Денис Ковалев: Я бы сказал, что это самостоятельный класс, который дополняет другие классы ИБ-решений, но не конкурирует с ними. К примеру, многие считают, что от утечек их данные надежно защищают системы класса DLP или PAM. Но они не могут предотвратить обычную кражу технологических учетных данных, которые хранились в коде приложения и годами не менялись. Системы управления секретами должны работать совместно с PAM- или DLP-системами, обеспечивая всестороннюю защиту информации компании.

Cyber Media: Почему системы управления секретами пока не отличаются высоким спросом в России (если сравнивать с другим ПО в ИБ)? Как к ним относятся CISO?

Денис Ковалев: Думаю, это связано с тем, что на сегодня довольно мало информации об этих системах, равно как и предложений на российском рынке. Руководители, отвечающие за информационную безопасность в компаниях, чаще всего проявляют активный интерес к системам управления секретами. С их стороны демонстрируется понимание, что подобные продукты крайне важны для любой организации, поскольку позволяют обеспечить защиту и сохранность данных.