Адаптация к новым ИБ-рискам: как обеспечить безопасность в условиях цифровой трансформации

Александр Хонин

Руководитель отдела консалтинга и аудита, Angara Security

Максим Ежов

Руководитель отдела непрерывного мониторинга безопасности, Product Owner решения для управления площадью внешних атак Angara ASM.

Михаил Сухов

Руководитель отдела анализа защищенности, Angara Security.

Масштабная трансформация российского бизнеса, перевод его на цифровые рельсы ведут за собой новые риски и угрозы для информационных систем как на стороне самих компаний, так и на стороне заказчиков их товаров и услуг. Все участники цифрового взаимодействия заинтересованы в конфиденциальности критической информации или персональных данных, поэтому вопрос обеспечения информационной безопасности технологических процессов стоит очень остро.

Аудит ИБ: зачем он нужен и в чем заключается

Работу по усилению кибербезопасности в компании мы рекомендуем начинать с аудита системы ИБ — независимой, сторонней оценки текущего состояния защищенности информационных ресурсов заказчика, при которой определяются недостатки системы и приоритетные направления ее развития. В классической форме такой аудит может включать четыре блока:

• анализ соответствия требованиям по ИБ (в том числе законодательные требования, например, в области защиты персональных данных);
• анализ конфигураций различных компонентов, входящих в состав информационной системы (настройки межсетевых экранов, антивирусных систем защиты, средств управления доступом и т.д.);
• тестирование на проникновение (пентесты): «белые хакеры» пытаются взломать вашу систему, ищут в ней слабые места;
• анализ уязвимостей с помощью специализированных инструментов (сканеров уязвимостей).

Классический аудит ИБ можно разделить на следующие основные этапы:

1. Обследование. Состоит из двух подэтапов: подготовка (определяется, что именно нужно аудировать — границы обследования и состав инфраструктуры) и сбор исходных данных (анализ документации, проведение интервью в отделах ИТ и ИБ и запрос свидетельств). Для заказчика это самый трудоемкий этап, в котором требуется его непосредственное участие, поскольку необходимо выделять ресурсы как на сбор данных, так на участие в интервью.
2. Анализ защищенности. Идентифицируются информационные ресурсы компании, производится анализ организационно-распорядительной документации, оценивается эффективность мер защиты, а также проводится анализ актуальных угроз ИБ.
3. Разработка итогового отчета. По итогам первых двух этапов составляется отчет по аудиту, в котором описываются текущее состояние ИТ-инфраструктуры и выполняемые мероприятия по ИБ. В нем также содержатся рекомендации по устранению выявленных недостатков и перечень необходимых мероприятий по повышению уровня ИБ на предприятии в целом.

ASM, или Как повысить защиту внешнего периметра

Для каждого объекта информационной инфраструктуры в компании есть множество векторов атак (вектор атаки — это последовательность действий, которые производит злоумышленник). И каждый такой вектор есть не что иное, как уязвимость. Совокупность векторов складывается в поверхность (или площадь) атаки.

Уязвимостей ПО множество: сейчас их десятки тысяч и с каждым годом будет становиться еще больше. Для управления уязвимостями выстраивается процесс Vulnerability Management. Это непрерывный цикл, состоящий из пяти классических этапов: инвентаризация уязвимостей, их категоризация по уровню критичности, приоритезация порядка устранения, непосредственное устранение, контроль. Этот сложный процесс должен происходить в компании постоянно. Необходимо непрерывно перерабатывать большой массив информации о своем периметре, каждый день отслеживать его изменения, а также следить, какие новые инструменты появляются у злоумышленников.

Сложная задача — правильно категоризировать найденные уязвимости и расставить их по приоритетам устранения, так как, хоть закрывать надо все уязвимости, далеко не всегда это возможно сделать. Главное — понять, какой патч ПО или какая политика безопасности закроет конкретную брешь в защите.

Управление уязвимостями в компании складывается из сотрудничества двух отделов: ИТ и ИБ (или подрядчика, если информационная безопасность отдана на аутсорс).

Уязвимости есть практически во всей инфраструктуре: в сетевом сегменте, на ПК и даже на принтерах. Самые опасные связаны с внешним периметром компании, поскольку именно этот барьер надо в первую очередь преодолеть злоумышленнику. Для управления поверхностью атак внешнего периметра есть специальный термин — ASM (Attack Surface Management). Это процесс, в который входят те же самые этапы, которые описаны выше, — от инвентаризации до контроля устранения уязвимостей. Выстроить этот процесс можно несколькими путями:

1. Собственными силами компании: сотрудники отдела ИБ отслеживают все новые версии прошивки ОС, следят за информацией от вендоров о найденных уязвимостях.
2. С использованием специализированного ПО: сетевых сканеров, инструментов asset management, сканеров уязвимостей.
3. Автоматизация взаимодействия используемого ПО — интеграция работы отделов ИБ и ИТ.
4. С использованием специализированных платформ. Такие системы агрегируют результаты работы со всех сканеров и выдают единую консоль управления поверхностью атаки.

Самое простое решение для работы с такими платформами — отдать ее на аутсорс.

Каждый из этих путей имеет свои достоинства и недостатки. Но нужно понимать: даже если внутри компании все выстроено по последнему слову техники ИБ, эту систему нужно обслуживать, а значит, требуется постоянно повышать квалификацию сотрудников отдела кибербезопасности. Чем больше компания, тем больше у нее филиалов. Чем шире распределена информационная сеть, тем шире становится поверхность атак. Нужно быть достаточно информированным о том, какие порты открыты в филиалах, какие сервисы и протоколы на них используются. Несколько центров обработки данных, облачная инфраструктура, сотрудники-удаленщики, а главное, теневая инфраструктура, которая не задокументирована в информационных системах, — все это множит количество уязвимостей.

Для борьбы с уязвимостями внешнего периметра есть коммерческие решения — платформы, разработчики которых берут на себя полный спектр работ процесса ASM для компании. При этом предприятию не нужно будет устанавливать никаких сканеров ИТ-инфраструктуры, тратить ресурсы на их администрирование и содержать команду аналитиков.

Пентест: кто и как ищет дыры в безопасности вашей ИТ-инфраструктуры

Пентесты — еще один решительный шаг к информационной безопасности в компании. Это тестирование на проникновение, которое выполняет внешний подрядчик. Главная цель пентеста — имитировать действия злоумышленников: «белые хакеры», проводящие тест, пытаются проникнуть в информационный периметр компании или реализовать бизнес-риски. Результатом становится выявление векторов атак и последующее закрытие обнаруженных уязвимостей. Есть разные виды тестирования на проникновение. Они отличаются моделью поведения, по которой действует злоумышленник. Вкратце представлю самые популярные из них.

Внешнее тестирование на проникновение производится «снаружи», из интернета. Чаще всего оно выполняется по методу «черного ящика»: имитируются действия нарушителя, у которого нет никаких внутренних доступов к корпоративной сети и сведений об организации. Цель этого теста — получить доступ к внутренней корпоративной сети, «пробить внешний периметр».

Внутреннее тестирование на проникновение — попытка взлома локальной сети изнутри. Эксперт выезжает на площадку предприятия или действует удаленно, через VPN. Есть два варианта такого тестирования: «черный ящик» (к примеру, если «злоумышленник» действует или из приемной, или из переговорной комнаты, но не имеет корпоративных доступов) и «серый ящик» (когда воспроизводится наличие у нарушителя доступа к пользовательской учетной записи с ограниченными привилегиями).

Анализ защищённости представляет собой процесс выявления уязвимостей в приложениях, инфраструктуре и других компонентах информационных систем. Важно отметить, что такой анализ не является пентестом, хотя эти понятия часто путают.

Пентест имеет конкретную цель, тогда как анализ защищенности направлен на поиск всех возможных уязвимостей, доступных злоумышленникам с различными уровнями привилегий.

Чаще всего анализ защищенности применяется к веб-приложениям. Он может проводиться по трем сценариям: «черный», «серый» и «белый» ящики. В последнем случае нарушитель получает максимальную информацию о системе, включая исходный код и, возможно, доступ к серверам.

В последние годы веб-приложения стали причиной ряда громких утечек данных компаний. Особенно выделяются приложения, основанные на CMS Bitrix. В комментариях ко многим утечкам упоминалось сходство структуры базы данных с Bitrix, что указывает на необходимость усиления мер защиты для подобных систем.

Анализ защищенности беспроводных сетей — это процесс выявления уязвимостей в беспроводных сетях. Специалисты, занимающиеся анализом защищенности, или «белые хакеры», ищут уязвимости в корпоративных Wi-Fi-сетях, беспроводных мышах и клавиатурах (многие из которых уязвимы для атак), многофункциональных устройствах (МФУ) и пр.

В ходе анализа защищенности выявляются случаи, когда у принтеров по умолчанию настроена Direct-сеть, которая не отображается на обычных устройствах. Однако эта сеть имеет простой пароль «12345678», что позволяет получить через нее доступ к внутренней сети организации.

Социотехническое тестирование представляет собой проверку сотрудников компании на восприимчивость к фишинговым атакам через телефонные звонки, мессенджеры, почтовые ящики и другие каналы коммуникации. К сожалению, какой бы защищенной ни была инфраструктура компании, главной уязвимостью остаются люди. Большинство инцидентов связано именно с фишингом и его последствиями.

Регулярность пентестов, которая требуется компании, зависит от ее инфраструктуры, области деятельности и частоты изменений сетевой «начинки». Мы обычно рекомендуем проводить пентесты ежеквартально, если сетевая инфраструктура часто обновляется. А если ИТ-ландшафт внутри компании устойчивый и меняется редко, то достаточно и ежегодного пентеста.

Заключение

Важность грамотного построения системы информационной безопасности в организациях не вызывает сомнений. В сфере ИБ даже существует поговорка: «Есть два типа компаний на рынке: те, которых взломали, и те, кто не знает о том, что их взломали».

В данной статье мы рассмотрели лишь три инструмента противодействия мошенническим действиям, хотя на практике их гораздо больше. Однако это тема уже для отдельного обширного обсуждения.