11.02.2014

Разоблачение незваного гостя

"Директор информационной службы", № 2, февраль, 2014<br>
Экспертный комментарий Алексея Александрова, руководителя направления по работе с технологическими партнёрами компании "Аладдин Р.Д."

Наверняка вам приходилось чувствовать нечто подобное: вы ушли из дома или офиса, заперли дверь, затем вернулись спустя некоторое время, и... вроде бы все вещи на местах, ничего не пропало, но вас не покидает ощущение, что в помещении кто-то побывал. И вы проверяете, задумываетесь, припоминаете... Выдвигаете ящики, перекладываете бумаги, пытаетесь понять: что нужно было гостю, не пропало ли что-нибудь? И вообще, был ли кто-то у вас на самом деле или просто воображение разыгралось?

Если дело касается информационных систем, особенно крупных, вряд ли стоит полагаться на одну только интуицию. Когда компанию "посещает" профессионал высокого класса или "грамотный" инсайдер, следов может не остаться. И организация продолжает жить и развиваться дальше, не подозревая, что подвергается серьёзной опасности. Впрочем, такие сценарии вероятнее для компании, в которой отсутствует чётко выстроенная система ИБ с жёсткими правилами и политиками, да и квалификация персонала явно не на высоте.

Индивидуальный подход к жертве

Целью злоумышленников может стать любая компания, даже совсем небольшая. Иногда хакеры просто тренируются на некрупном "неинтересном" бизнесе, чтобы получить навыки взлома и других злонамеренных действий. Хотя сегодня подавляющее большинство атак на информационные системы российских предприятий являет собой распределенные атаки на отказ в обслуживании (DDoS), в последнее время они всё чаще становятся лишь частью плана хакеров или прикрытием для другой, более опасной деятельности внутри организации.

Постепенно растёт количество таргетированных атак, целью которых являются определенные ресурсы или бизнес-процессы компании. Для них характерны скрытность, нестандартный подход, высокая сложность и степень организации. Злоумышленники задействуют самое эффективное оружие, эксплуатируя любые доступные уязвимости — как программные, так и социальные. В частности, для доступа к ресурсам компании нередко используется неформальное общение с сотрудниками через социальные сети. Жертве могут прислать ссылку, кликнув по которой, она окажется, например, на сайте с набором эксплойтов "нулевого дня", позволяющих преступникам получить доступ к компьютеру с уязвимым ПО. Также квалифицированным "кибервзломщикам" бывает несложно попасть внутрь корпоративной системы благодаря "дырам" в ПО служб технической поддержки крупных организаций, доступных через Интернет.

Главная угроза в случае вторжения в информационное пространство чужака, конечно, утечки данных. Их число, равно как и тяжесть последствий, сейчас значительно возросло. Кроме того, корпоративные данные могут быть искажены, изменены, также существует вероятность нарушения маршрутов и графиков их прохождения. Неправомерный доступ к информационным ресурсам может повлечь за собой нарушение бизнес-процессов, сервисов, сбой в обслуживании клиентов, финансовые убытки и другие неприятности — вплоть до остановки бизнеса.

Кто не рискует...

Чётко определить зависимость между видом деятельности предприятия и рисками ИБ, которые ему угрожают, сложно, хотя, например, можно, безусловно, отметить повышенную чувствительность к DDoS-атакам у компаний, осуществляющих удалённое обслуживание большого числа клиентов, усиленную заботу о сохранности персональных данных клиентов банков и т. д. Алексей Лукацкий, бизнес-консультант Cisco, уверен, что "риски зависят не только от вида деятельности предприятия, но и от его текущих приоритетов, а также от квалификации и знаний борцов с киберугрозами". Например, считает он, основным риском для XXII зимних Олимпийских игр в Сочи служат не атаки на какие-либо объекты, а репутация России как страны, способной организовать и провести крупное мероприятие международного масштаба: если вдруг во время церемонии открытия хакеры отключат освещение главной арены, удар по репутации будет колоссальным. Между тем аналогичная проблема до начала Олимпиады или уже после её завершения такого эффекта иметь уже не будет.

Чтобы эффективно противостоять вторжениям, в первую очередь важно грамотно выполнить планирование, провести анализ рисков и классификацию угроз. Алексей Андрияшин, системный инженер компании Fortinet, отмечает, что в процесс выявления рисков необходимо вовлекать представителей различных бизнес-подразделений компании, их задача — "определить наиболее критичные участки и оценить вероятность атак и степень их влияния на основной бизнес". Лукацкий рекомендует привлекать к мероприятиям подобного рода владельцев бизнес-активов, которые подвержены рискам. По его мнению, "именно владелец может сказать, что стоит защищать, а что нет; какие риски надо нейтрализовать, какие можно принять, а какие стоит переложить".

Подобная оценка рисков должна проводиться регулярно, потому что новые угрозы появляются постоянно, да и приоритеты компании могут меняться. Когда основные ценности и векторы защиты определены, можно выбрать и начать использовать инструменты и технические средства для противостояния атакам или скорректировать настройки существующих систем ИБ. Помимо этого, естественно, в любой организации должны соблюдаться политики информационной безопасности, процедуры в рамках общей политики безопасности и действовать меры по контролю за их исполнением. Важное место в этом списке занимает обучение сотрудников основам ИБ.

Осознанная необходимость

Для снижения рисков, связанных с несанкционированным доступом пользователей к информации компании, неободимо разработать правила доступа к информации, провести классификацию данных, создать матрицу доступа к информационным ресурсам. Опираясь на эти правила и регламенты, можно выбрать технические средства для идентификации, аутентификации, авторизации пользователей и контроля их деятельности.

Алексей Александров, руководитель направления по работе с технологическими партнёрами компании "Аладдин Р.Д.", подчёркивает, что безопасность информации должна обеспечиваться комплексно. По его словам, с учётом роста популярности концепции BYOD и облачных сервисов понятие периметра размывается — и специалисты ИБ и ИТ должны адаптировать ИБ своих систем к новым реалиям.

Лукацкий напоминает, что достаточно полный перечень необходимых технических и организационных мер для защиты от вторжений приведен в стандартах ISO 27001 и 27002. Российскому банковскому сообществу стоит ориентироваться на комплекс документов Банка России СТО БР ИББС. Государственным и муниципальным учреждениям следует обратить внимание на вступивший в силу с сентября прошлого года приказ ФСТЭК № 17, который содержит достойные рекомендации по защите от различных нарушений требований ИБ.

Андрей Прозоров, ведущий эксперт по информационной безопасности компании InfoWatch, полагает, что выявлять попытки и успешные вторжения непросто. В "боекомплект" ИБ крупной компании нередко входят не только межсетевые экраны, но также системы обнаружения и предотвращения вторжений (Intrusion Prevention System, IPS; Intrusion Detection System, IDS), управления событиями информационной безопасности (Security Information & Event Management, SIEM), предотвращения утечек данных (Data Lost Prevention, DLP), управления правами доступа к информации (Information Rights Management, IRM). Каждое из этих решений должно быть правильно настроено, в организациях должны быть внедрены процессы управления событиями и инцидентами, необходимо наличие квалифицированных специалистов в области сетевой безопасности. Только при соблюдении этих условий можно рассчитывать на то, что решения для противодействия угрозам будут "боеспособны" и смогут полностью обеспечить потребности организации.

Враг в тылу

Если проникновение в систему произошло (выявить этот факт помогут вышеперечисленные системы), важно максимально оперативно перекрыть пути для дальнейших действий хакеров в системе и начать оперативное "лечение" пораженного узла. На этом этапе также важно вовлекать в расследование инцидентов сотрудников различных бизнес-подразделений и руководство — это поможет оперативно оценить ущерб и нейтрализовать злоумышленников. Также это позволит эффективно настроить системы, чтобы не допустить повторения инцидентов в дальнейшем.

На данном этапе, считает Лукацкий, полезно привлекать представителей юридического департамента (чтобы начать процедуру расследования), PR-департамента (чтобы подготовить сообщение для СМИ), клиентов, партнёров, акционеров и других заинтересованных лиц. Кроме того, в большинстве случаев следует вовлечь сотрудников службы безопасности или внутреннего контроля, осуществляющих "надзор" за инсайдерами. Если руководство считает возможным, нужно обратиться в правоохранительные органы и другие структуры и организации, способные помочь в расследовании.

Очевидно, что исключить вторжение в информационную систему невозможно. Всегда надо помнить о том, что однажды и вашу систему может "навестить" посторонний. Очень важно максимально оперативно обнаружить "гостя", блокировать и нивелировать его негативное влияние на ресурсы. Порой счёт идёт даже не на часы, а на минуты. Инструменты ИБ помогут защититься от злоумышленника, однако решающее значение будут иметь грамотно выстроенные действия всех, от кого в той или иной степени зависят спокойствие и порядок в информационном пространстве компании.