Данный обзор itWeek посвящен актуальным задачам защиты критически важной информации (КВИн), конфиденциальность которой наиболее существенна для ее владельцев.
Защита корпоративных данных не может быть эффективной, если затраты на нее превосходят ценность самих этих данных. Поэтому прежде чем приступать к построению корпоративной системы информационной безопасности, следует выделить наиболее ценную, критичную для владельцев информацию и оценить, каким может быть ущерб от ее хищения, уничтожения, искажения или недоступности для пользователей.
Источниками КВИн могут быть как непосредственно бизнес-системы (скажем, АБС — автоматизированные банковские системы), так и данные систем промышленного Интернета вещей (например, те, что поступают от датчиков производственных процессов).
Как же выделить КВИн из общего множества корпоративных данных? Как построить ее защиту? С какой стороны ожидать наиболее серьезных угроз для нее? Может, со стороны персонала, по-прежнему остающегося «самым слабым звеном» в корпоративной ИБ? Следует ли тогда в первую очередь обзаводиться системами защиты от утечек данных (DLP) и контроля поведения пользователей (UBA)?
Или все-таки для КВИн страшнее внешние угрозы со стороны «черных» хакеров, вооруженных современными инструментами взлома (в которых, в частности, уже используются технологии машинного обучения), и, значит, необходимо спешно внедрять системы управления событиями безопасности (SIEM), строить центры мониторинга и реагирования на инциденты ИБ (SOC), развертывать системы резервного копирования и восстановления данных, устанавливать «песочницы», межсетевые экраны нового поколения (NGFW) и защитные экраны веб-приложений (WAF), чтобы противостоять целевым атакам (APT), программам-шифровальщикам, атакам на уязвимости веб-приложений?
В этом обзоре itWeek мы постараемся найти ответы на прозвучавшие вопросы, получить рекомендации о том, как выделить КВИн из прочих корпоративных данных, как определить наиболее вероятные векторы атак на КВИн и оценить возможные ущербы от реализации этих атак.
С такой целью мы дали слово экспертам в сфере защиты информации.
Как из корпоративных данных выделить КВИн
По мнению опрошенных нами экспертов, КВИн — это информация, нарушение свойств безопасности которой (конфиденциальность, целостность, доступность) может привести компанию к значительным финансовым потерям, включая репутационные, конкурентные и прочие возможные непрямые ущербы, либо к таким ситуациям, которые могут повлечь за собой масштабные катастрофы (разрушение объектов федеральной критической инфраструктуры, остановку системообразующих процессов масштаба страны, человеческие жертвы...).
«В терминологии защиты ключевых систем информационной инфраструктуры существует устоявшееся понятие „КВИн“, однако, по моему убеждению, этот термин адекватно подходит к вопросам безопасности любой организации. КВИн — информация, от конфиденциальности, целостности и доступности которой зависит функционирование рабочего процесса организации», — полагает директор департамента развития технологий компании «Аладдин Р.Д.» Денис Суховей.
Secret Disk компании «Аладдин Р.Д.»: предотвращение информационных утечек
Конфиденциальную и важную корпоративную информацию надежно защитит программный комплекс Secret Disk от компании «Аладдин Р.Д.», ведущего российского разработчика и поставщика решений для обеспечения информационной безопасности. Это специализированное решение призвано предотвращать любые утечки конфиденциальных данных.
Функционал Secret Disk весьма обширен, остановимся на самом важном.
Шифрование системного раздела (FDE): чтобы загрузить компьютер, необходимо пройти обязательную двухфакторную аутентификацию, чего злоумышленник сделать никак не сможет. Не повышает риски и физический доступ к диску с системным разделом, потому что информация на нём тоже надёжно защищена методом шифрования. При этом на авторизованного пользователя работа системы защиты не накладывает никаких ограничений и является для него совершенно прозрачной.
Шифрование папок и файлов, благодаря которому можно создать отдельную защищённую область хранения и обработки конфиденциальной информации. Доступ к такой информации возможен только для авторизованного пользователя. У остальных пользователей, включая ИТ-администратора, доступа к зашифрованным данным не будет. Таким образом проблема разделения рабочей и личной областей на домашнем компьютере решается без дополнительных сложностей.
Контроль использования USB-носителей, позволяющий разрешить копирование защищаемой (а значит, важной/конфиденциальной) информации только авторизованным пользователям. При копировании вся информация, попадающая на USB-носитель, будет зашифрована, и прочитать её также сможет только авторизованный пользователь и только на определённой рабочей станции. Предприятию, располагающему такой возможностью, не придётся отказываться от использования флэшек, поскольку его информация всегда будет надёжно защищена.
Криптоконтейнеры — функция, позволяющая поместить один или несколько файлов в специальный защищённый файл-контейнер и передать его другому сотруднику либо контрагенту по e-mail или через любой публичный сервис. Обмен будет произведён без риска компрометации конфиденциальных данных в случае перехвата контейнера при передаче. Такой способ не потребует обязательного использования Secret Disk на компьютере получателя, ему достаточно установить компактную утилиту и получить от отправителя пароль к контейнеру.
Отличительной особенностью Secret Disk является обязательная двухфакторная аутентификация, гарантирующая надёжный контроль доступа к защищённым данным. Система работает в связке с USB-токенами и смарт-картами линейки JaCarta для обеспечения усиленной или строгой двухфакторной аутентификации в информационных системах и сервисах, также разработанных компанией «Аладдин Р.Д.». Secret Disk совместим с продуктами других производителей, что дает свободу в выборе технологических решений.
ПАРТНЕРСКИЙ МАТЕРИАЛ
Заместитель директора практики Oracle компании «Техносерв Консалтинг» Кирилл Щукин, определяя критически важную для организации информацию, отправляет нас к данным, хранимым во вполне конкретных ИТ-системах — корпоративных хранилищах данных (DWH), системах управления отношениями с клиентами (CRM). «Мы столкнулись, — говорит он, — с тем, что на „черном“ рынке помимо персональных данных интерес вызывает информация о совершённых людьми сделках (скажем, о покупке квартиры, автомобиля и пр.), об открытии брокерских счетов, остатках на счетах и т. п.» Эта информация позволяет спрогнозировать поведение клиента для последующей продажи конкурентных услуг (например, пакетов страхования в случае покупки квартиры), а также для планирования экономических махинаций. Как правило, отмечает эксперт, подобные данные хранятся именно в CRM-системах и доступны сотрудникам компаний, через которых сделки были совершены.
К КВИн, по мнению директора направления ИТ-сервиса и аутсорсинга компании
Чтобы выделить КВИн среди прочей информации и правильно ее категорировать, считает руководитель отдела ИБ компании Cross Technologies Алексей Даньков, необходимо определить и использовать нормативные требования к категорированию информации с учетом процессов ее обработки и специфики функционирования самого предприятия, организовать экспертную оценку рисков ИБ в отношении информационных активов с привлечением владельцев бизнес-процессов и выявить различные уровни критичности информации от низкого до высокого с использованием для каждого такого уровня подходящих инструментов управления рисками.
Методы и инструменты оценки возможных ущербов от реализации угроз КВИн
По словам Дениса Суховея, для определения возможного ущерба от реализации угроз КВИн в настоящее время используется ряд методов анализа — натурный эксперимент, математическое моделирование и экспертные методы. «Суть натурного эксперимента заключается в подготовке полноценной копии реального объекта защиты с учетом взаимосвязей между компонентами объекта и другими объектами определенной системы. Полученная модель позволяет моделировать возможные действия нарушителей, осуществляющих несанкционированный доступ к объекту защиты. Результаты моделирования статистически обрабатываются, на основе этой информации вырабатываются практические рекомендации по обеспечению защиты информации. Что касается математического моделирования, то это процесс определения соответствия реального объекта защиты некоторой математической модели. В дальнейшем модель подвергается анализу возможных действий злоумышленника по изменению различных ее характеристик. И, наконец, экспертный метод предполагает опрос специалистов и владельцев информации с последующим созданием базы информации, подлежащей анализу. В ходе анализа за основу берутся определенные экономические показатели объекта защиты. Далее специалисты высказывают свое мнение об относительном снижении данных показателей в результате предполагаемой реализации угроз КВИн. Финальные выводы определяются на основе усредненных значений», — пояснил он.
Для прогнозирования и оценки ущерба, который может причинить реализация угроз КВИн, Кирилл Щукин предлагает использовать экспертные, расчетно-аналитические и экономико-математические методы и регулярно проводить анализ бизнес-процессов, чтобы понимать, какие данные являются критичным активом компании, и уже исходя из этого оценивать ущербы, учитывая, однако, что применяемые модели оценки сильно зависят от действующих отраслевых стандартов. Репутационные риски, по его мнению, плохо измеримы, зато легко ощущаются компаниями в долгосрочной перспективе. «Рассмотрим „безобидный“ пример, — говорит он. — Вы пришли в страховую компанию оформлять КАСКО на автомобиль, и уже на следующий день вас по телефону атакуют предложениями смежных услуг: страховых, по сервисному обслуживанию и т. д. Скорее всего это означает, что кто-то из страховой компании „слил“ ваши данные. Какова вероятность того, что вы снова обратитесь к этому страховщику? А теперь представьте, насколько вырастают репутационные риски компаний и ваши личные риски как клиента, если подобное происходит в сфере финансовых услуг или услуг управления активами».
Напоминая о существовании семейства стандартов ISO 31000, касающихся риск-ориентированного управления, и экспертных рекомендаций в этой области, руководитель отдела сетевой безопасности и аудита компании Axoft Сергей Самойлов отмечает, тем не менее, что единообразного для всех организаций риск-менеджмента нет. «Есть, например, инструменты количественной и качественной оценки рисков, абсолютное и относительное выражение степени риска, субъективный и объективный методы его оценки, но из них нужно выбирать тот инструмент, который наиболее подходит в каждой конкретной ситуации», — говорит он.
Алексей Даньков, добавляя к упомянутым выше стандартам отечественный ГОСТ Р ИСО/МЭК
Чтобы оценить возможные ущербы от кибератак на КВИн, Вячеслав Логушев предлагает ориентироваться на оценку киберугроз по отношению к тем бизнес-процессам, с которыми КВИн непосредственно связана. Критериями оценки здесь могут выступать измеряемые показатели бизнес-операций, такие как изменение стоимости или количества чего-либо с учетом времени, влияющего на оба этих показателя. Финансовый ущерб при этом складывается из ряда параметров: прямых потерь от нарушения рабочих процессов, стоимости их восстановления, снижения стоимости активов, упущенной выгоды, потери лояльности клиентов и т. п.
Кто должен отвечать за ущербы от атак на КВИн
Если КВИн относится к тому виду данных, на которые распространяются требования действующих федеральных законов (персональные данные, гостайна, коммерческая тайна и т. п.), то ответственные за обеспечение безопасности КВИн и меры наказания за ее нарушение определены теми самыми законами.
В менее очевидных ситуациях ответственность за безопасность КВИн, как полагает Кирилл Щукин, несут (в порядке убывания): руководство компании (поскольку именно оно управляет активами и отвечает за их сохранность, а информация в наше время стала ценнейшим активом), руководитель по ИБ (который, как правило, принимает решение о том, какие данные следует беречь особо и какие инструменты для этого применять), ИТ-директор (в части выполнения требований к хранению, обработке и передаче данных внутри компании, соответствия безопасности требованиям со стороны ИТ) и только после них рядовые сотрудники (которые отвечают за соблюдение внутренних регламентов компании и ознакомлены с тем, какие неприятности могут у них возникнуть в случае инцидентов с КВИн; именно от упомянутых руководящих лиц зависит, решатся ли сотрудники на нарушение регламентов или посчитают связанные с этим риски неприемлемыми).
Руководители корпоративной службы ИБ, считает Алексей Даньков, несут ответственность не только за возможный ущерб от реализации рисков ИБ, но и за то, насколько своевременно и эффективно они доводят до руководства компании информацию о рисках ИБ, чтобы вовремя выполнялись работы, направленные на предотвращение этих рисков и управление ими. Следовательно, руководителям ИБ-служб необходимы знания и опыт, которые позволят им эффективно оценивать меры противодействия угрозам ИБ, добиваться того, чтобы эти меры не нарушали бизнес-процессы компании, были прозрачны и понятны для владельцев бизнес-процессов.
По мнению Дениса Суховея, ответственность за безопасность КВИн и возможный ущерб, понесенный в результате реализации угроз, несет владелец данной информации и соответствующих производственных процессов. «В большинстве случаев ответственного определить достаточно сложно. Это продиктовано тем, что организации чаще всего имеют сквозные процессы, зоны ответственности размываются в ходе развития и изменений организации», — отметил он.
«В условиях все более частого использования ИТ и ИБ по сервисной модели, — напоминает Вячеслав Логушев, — руководителям ИБ-служб важно договариваться о должных гарантиях безопасности КВИн со стороны провайдеров используемых сервисов».
Актуальные модели угроз и векторы атак на КВИн
Об актуальных векторах атак и угрозах безопасности КВИн, как полагает Алексей Даньков, следует говорить в контексте архитектуры информационных систем, процессов обработки КВИн и используемых для этого технологий. Наиболее уязвимыми, по его мнению, являются технологии, имеющие широкое распространение, высокодоступные (например, продукты с открытым программным кодом), а также новые, развитие которых только начинается, а значит, еще нет истории их успешного применения.
Актуальная модель угроз, соглашается Сергей Самойлов, разрабатывается в компании ИБ-специалистами в отношении конкретных информационных и автоматизированных систем. «В периодически пересматриваемых моделях должны учитываться возможные технические каналы утечки информации, выявленные уязвимости информационных и автоматизированных систем (например, на основе системы ссылок и обозначений уязвимостей и ошибок CVE и репозитория уязвимостей NVD), шаблоны компьютерных атак (они могут быть созданы на основе перечисления и классификации шаблонов атак CAPEC), а также возможные последовательности (комбинации) типовых атак (на основе базы знаний тактик, техник и общеизвестных знаний о злоумышленниках MITRE ATT@CK и т. п.)», — считает он.
«Основной угрозой КВИн в подавляющем большинстве вариантов является несанкционированный доступ злоумышленника к информации и, как результат, — противоправное использование этой информации», — уверен Денис Суховей.
Рекомендуемые подходы к защите КВИн
«Обеспечение корпоративной ИБ, — полагает Вячеслав Логушев, — должно включать комплекс мер, реализуемых на административном и технологическом уровнях для защиты данных на этапах их создания, хранения, обработки, передачи и утилизации. Необходимо, чтобы программно-аппаратные средства, входящие в состав корпоративного комплекса ИБ, с одной стороны, за адекватные деньги обеспечивали достаточный уровень защиты, а с другой, не создавали лишних препятствий для доступа к данным авторизованных пользователей».
По словам Дениса Суховея, современные технологии защиты КВИн, рекомендуемые к обязательному использованию, должны быть достаточно универсальными и распространенными. «В контексте данного вопроса такими технологиями представляются: защита с помощью шифрования информации на дисках компьютеров, рабочих станций, серверов и иных устройств объекта защиты; контроль доступа пользователей к защищенной информации с помощью средств двухфакторной аутентификации; обеспечение защиты коммуникаций между компонентами объекта защиты и внешними системами. Сочетание в использовании этих трех технологий позволяет противодействовать большинству распространенных угроз КВИн», — считает он.
«Для достижения наилучшего результата в защите КВИн, — советует Алексей Даньков, — следует прежде всего обратить внимание на выявление критичных активов компании, корректное и эффективное встраивание ИБ в бизнес-процессы компании, оценку рисков, обучение сотрудников и, конечно, противодействие ИБ-угрозам, мониторинг и реагирование на них».
Люди, остаются наиболее уязвимым звеном в обеспечении корпоративной ИБ в целом и ИБ КВИн в частности. При этом, к сожалению, в практике многих российских компаний, отмечает Вячеслав Логушев, все еще недостаточно строго соблюдаются, а то и вообще отсутствуют политики ИБ, регламентирующие доступ сотрудников к данным различного уровня конфиденциальности. И это в условиях, когда, как отмечает Кирилл Щукин, без преувеличения каждый сотрудник современной компании располагает техническими возможностями (такими, как фотокамера, память смартфона, программы мгновенного обмена сообщениями), позволяющими обойти наиболее распространенные корпоративные ИБ-средства.
Противостоять этому, считают эксперты, могут системы, сосредоточенные на анализе поведения пользователей корпоративных ИКТ-ресурсов. Отклонения от типового для конкретного пользователя поведенческого профиля должны регистрироваться как ИБ-события и передаваться для анализа ИБ-специалистам.
Алексей Даньков рекомендует для защиты КВИн использовать как уже зарекомендовавшие себя средства, так и новации; при этом он перечисляет: сегментирование сети и создание контуров безопасности; анализ защищенности и выявление уязвимостей в ИКТ-инфраструктуре; давно известные системы DLP с добавлением современного функционала анализа поведения пользователей и других объектов корпоративных ИКТ-инфраструктур (UBA, UEBA); системы управления идентификацией пользователей (IDM); средства защиты баз данных; инструменты автоматизации рутинных процессов обеспечения ИБ, позволяющие высвободить ресурсы специалистов на исследования, прогнозирование, развитие корпоративной системы ИБ.
Традиционно инструменты киберпреступников развиваются быстрее средств ИБ, что диктует необходимость применять технологии защиты от угроз «нулевого дня» и от целевых атак, позволяющие превентивно реагировать на новые варианты векторов атак. Среди наблюдаемых сегодня трендов, помогающих нивелировать разрыв между возможностями для осуществления кибератак и защиты, Вячеслав Логушев отмечает применение аналитических инструментов для решения ИБ-задач с использованием технологий искусственного интеллекта и машинного обучения, различных видов глубокой аналитики.