В 1989 году, Стивен Кови опубликовал очень популярную книгу «7 навыков высокоэффективных людей. Мощные инструменты развития личности». Вместе с публикацией данной книги Кови ввел в бизнес-лексикон понятие «парадигма», которое используется и по сей день.
Понятие «парадигма» определено Кови как модель, лежащая в основе теории или методологии определенных научных объектов. Однако, что общего имеет «парадигма» с безопасностью корпораций и энергетических компаний? Ниже будет показано, что парадигма обеспечения безопасности переворачивается с ног на голову.
Старая парадигма: цифровая крепость
В общем и целом, идея «цифровой крепости» является нормой, или парадигмой, для корпораций и энергетических компаний. Это относится как к физической так и к кибербезопасности. В отношении кибербезопаности, данная парадигма предусматривает строгую охрану периметра цифровой сети, обычно реализуемую с помощью шлюзов и межсетевых экранов.
В рамках старой парадигмы считается, что атакующие всегда находятся за пределами сети предприятия, соответственно, защита периметра сети позволит предотвратить не только проникновение в сеть, но и кражу ценной информации.
Инсайдерские атаки, т.е. атаки, осуществляемые изнутри защищаемой сети, по данной парадигме маловероятны и не являются практической угрозой, от которой необходима защита сети предприятия.
Используя этот подход и учитывая постоянный рост количества атак, предприятия увеличивали затраты на обеспечение кибербезопаности, приобретая все новые и новые средства для охраны периметра сети.
Именно так складывалась ситуация на протяжении многих лет, однако, на сегодняшний день, есть много новых идей в области информационной безопасности, переворачивающих старую парадигму буквально с ног на голову.
Новая парадигма: предположим, что система безопасности уже взломана
Если просмотреть новости за последние несколько месяцев, можно отметить несколько крупных взломов, результатом которых стала утечка корпоративной и конфиденциальной информации. Например, в результате недавнего взлома серверов Sony, компания была вынуждена приостановить работу нескольких сервисов на длительное время, для проведения расследования, что повлекло за собой серьезные потери прибыли.
В середине июня компания Sega сделала заявление о временной остановке сервиса Sega Pass, а также сбросе паролей всех пользователей сервиса, в связи с его взломом. Чуть позже, об утечке данных сообщила компании Lockheed Martin, что вызвало удивление у многих людей, учитывая тот факт, что компания является подрядчиком Пентагона.
В недавнем прошлом были зафиксированы и другие успешные атаки – результатом взлома процессингового центра кредитных карт Heartland Payment Systems стала утечка данных тысяч кредитных карт.
Все эти компании применяли парадигму цифровой крепости. Они использовали межсетевые экраны, шлюзы, IDS, двухфакторную аутентификацию и другие системы для надежной защиты периметра сети и все же их информационные системы были успешно взломаны.
Становится очевидно, что прежняя парадигма информационной безопасности уже несостоятельна и должна подвергнуться изменениям, для адекватной защиты от современных угроз.
Прежде всего, сегодня, при построении системы информационной безопасности необходимо исходить из того, что информационная система может быть и будет взломана.
Кто это сказал?
Крис Херрин (Kris Herrin), технический директор Heartland Payment Systems выступал с докладом на конференции The Source Security Conference, которая проходила в июне этого года, в Сиэтле, США. В ходе своего выступления Херрин отметил, что Heartland сделает все возможное для защиты конфиденциальной информации, однако, они будут придерживаться новой парадигмы, предполагая, что информационная система компании может быть и будет взломана.
В декабре 2010 Деборак Планкетт (Deborah Plunkett), глава Управления по защите информации Агентства Национальной Безопасности США заявила, что компьютерные системы должны разрабатываться с учетом возможности проникновения злоумышленников в систему. Планкетт также отметила, что самые изощренные атаки могут остаться незамеченными даже в сети самого Агенства.
Вместе с новой парадигмой на первый план выступают предположение о потенциальной небезопасности компьютерных систем и необходимость правильной корректировки политик и правил их использования.
Тема новой парадигмы была затронута в докладе аналитического агентства PriceWaterhouseCoopers “Are You Compromised But Don’t Know It? A New Philosophy for Cybersecurity”. В докладе аналитики подкрепляют новую парадигму информационной безопасности, обращая внимание на возможность взлома современных информационных систем и необходимость соответствующей защиты информации. Они утверждают, что новая парадигма позволяет предприятиям быть более гибкими в вопросе защиты критически важных данных.
Кирк Бэйли (Kirk Bailey), IT-директор Вашингтонского университета в Сиэтле, также придерживается новой парадигмы компьютерной безопасности, заявляя, что информационная сеть университета может быть взломана в любое время.
Из отчета Verizon Data Breach Investigations Report for 2011 следует, что количество инцидентов кражи информации извне информационной системы постоянно растет. Другими словами, несмотря на все усилия по обеспечению безопасности периметра компьютерных систем предприятий, злоумышленникам все же удается выполнить проникновение в систему.
В отчете были приведены следующие статистические данные:
- 50% проникновений выполнено с помощью взломов,
- 49% за счет использования вредоносного ПО,
- 11% с помощью методов социальной инженерии.
Что делать?
Вместе с новой парадигмой информационной безопасности прежняя модель «цифровой крепости» никуда не исчезнет, однако, необходимо понимать, что классический подход на основе сигнатур не сможет эффективно защитить системы предприятия от все более и более изощренных атак. Также, нельзя забывать о том, что даже маленькая брешь в охране периметра цифровой системы – это именно то, что нужно злоумышленникам, желающим атаковать предприятие.
Например, предпринимается массированная атака на определенную энергетическую компанию, однако, данная атака, в отличие от обычных, направлена на управленческий состав компании.
Подобная атака может представлять собой фишинговую атаку, в ходе которой управленцам предприятия рассылаются сообщения электронной почты, содержащие ссылку или вложение с эксплоитом для эксплуатации уязвимостей в браузерах и другом прикладном ПО, например Adobe Reader или Microsoft PowerPoint.
Затем, злоумышленники могут установить «backdoor» для дальнейшей установки и запуска другого вредоносного ПО, перехвата сетевого трафика и конфиденциальной информации. Отсюда следует, что предположение о безопасности систем может создать существенную брешь в кибербезопаности всего предприятия.
Также, стоит отметить, что классический сигнатурный подход не сможет остановить подобную атаку, но обучение управленческого персонала позволяет эффективно противостоять таким атакам.
Следует признать, что это не просто убеждение сотрудников отказаться от открытия фишинговых писем, а внедрение новой парадигмы безопасности предприятия, т.к. новые уязвимости в программном обеспечении, а вместе с ними и новые методики атак, обнаруживаются постоянно, и, зачастую, первыми это делают представители организованной киберпрестпуности.
Итак, что же делать?
Кирк Бэйли (Kirk Bailey) предложил некоторые рекомендации по решению проблем в данной области.
Бэйли предлагает 10 ключевых рекомендаций по внедрению новой парадигмы безопасности. Рекомендации Бэйли представлены ниже, но они не являются легко внедряемыми в существующую сеть предприятия, и подробное описание каждой из них может занять больше места, чем данная статья.
10 ключевых рекомендаций Кирка Бэйли:
- Внедрить систему управления рисками (Risk Management Framework).
- Провести профилирование информационных активов, для выявления слабых точек, откуда информацию украсть проще всего.
- Приоритетным активом предприятия являются критически важные данные, соответственно, именно на защиту таких данных необходимо направить большее количество ресурсов.
- Создать четкую коммуникационную систему реагирования на инциденты.
- Реализация программы передачи рисков посредством контрактов и страхования.
- Создать и поддерживать стратегические альянсы с другими предприятиями для обмена опытом и информацией о новых угрозах.
- Реализация системы бизнес-аналитики, которая включает в себя эффективные функции ситуационной осведомленности.
- Создание систем управления и реагирования на инциденты.
- Разработка системы активного реагирования на инциденты.
- Максимальное ограничение сетевой активности ключевых сотрудников компании (руководителей, ведущих разработчиков и др.).
Сам Бэйли говорит, что представленный список не является исчерпывающим руководством обязательным к исполнению, но он утверждает, что новая парадигма безопасности требует иного мышления и подхода.
Следует помнить, что создать систему, защищенную на 100%, невозможно, и всегда будет присутствовать некоторый процент риска, который, зачастую, находится за пределами контроля ответственных сотрудников предприятия.
В качестве примера факторов, находящихся за пределами контроля ответственных сотрудников предприятия, можно привести т.н. «человеческий фактор», фундаментальные недостатки сетевых протоколов, установленного аппаратного или программного обеспечения и многие другие факторы.
Заключение
Новая парадигма компьютерной безопасности позволяет создать более совершенную и гибкую систему информационной безопасности, эффективно защитив конфиденциальную информацию даже от современных атак, защиту от которых не способен обеспечить классический сигнатурный подход.
Итак, для построения действительно стойкой системы безопасности, на сегодняшний день, недостаточно обеспечить безопасность периметра сети, также необходимо обеспечить контроль критически важных данных, отслеживать системные сообщения на предмет появления подозрительных изменений и контролировать всю активность в информационной системе.
Оригинал статьи: http://asian-power.com/node/11144
Комментарий SafenSoft к статье "Новая парадигма информационной безопасности: предположим, что система безопасности уже взломана"
В дополнение к рекомендациям от Кирка Бэйли и основываясь на аналитическом отчете, опубликованном компанией OPSWAT в июне 2011 года, компания SafenSoft хотела бы дать комментарии относительно новой парадигмы защиты ПК. Согласно вышеупомянутому аналитическому отчету www.opswat.com/media/reports/OPSWAT-Market-Share-Report-June-2011.pdf , ведущими игроками рынка антивирусного ПО в мире сейчас являются бесплатные антивирусные программы. Лидерами по количеству пользователей в мире (по 12,37% от общего числа) являются Avast Software и AVG Technologies, далее с небольшим отставанием (12,29%) идет Avira GMBH и Microsoft Security Essentials (11,24%). Если рассмотреть данные по Северной Америке, то там уверенное лидерство держит Microsoft (17%). Поэтому в новую парадигму защиты ПК с точки зрения SafenSoft входят следующие действия:
- Установка на рабочие ПК средств проактивной защиты, которые блокируют все действия сотрудника, противоречащие политике безопасности компании, а также позволяют отслеживать все действия, которые он производит на рабочей машине
- Мониторинг системных файлов и папок, отслеживание попыток вредоносных программ активизироваться на компьютере при помощи уже вышеупомянутых превентивных средств защиты
- Проводить настройку HIPS в «чистой» операционной системе. В идеале это может гарантировать только переустановка ОС. Если возможности переустановки нет, то в качестве дополнения установить на компьютер бесплатный антивирус и просканировать им систему до установки проактивной защиты, чтобы с наивысшей вероятностью избежать попадания вредоноса в список доверенных программ. Если Вас беспокоит вопрос эффективности бесплатных антивирусов по сравнению с платными, то вот здесь можно прочитать результаты тестирования на обнаружение вредоносных программ независимой лаборатории AV-Comparatives, которое показало, что они вовсе не уступают платным. Если есть сомнения по поводу отсутствия вредоносного кода в системе, рекомендуется дополнительно проверить систему один из бесплатных антивирусных сканеров.
- Не забывать о том, что не смотря на все современные средства защиты, нельзя гарантировать на 100% сохранность информации, пока имеет место быть человеческий фактор, поэтому необходимо тщательно подходить к подбору персонала, который имеет доступ к конфиденциальной информации и администрированию компьютеров.