Падение Белого дома. Уроки для кибер-безопасности

"Можно ли выстроить абсолютную кибер-защиту? Или пришло время полной публичности?". Так или иначе, Ваша задача – построить систему оптимального реагирования на вызовы.

Шокирующий декабрь: взломана компания из топ-10. Что дальше?

Декабрь прошлого года был оглушающим для IT-сообщества. Взломана FireEye – одна из ведущих компаний в области кибер-безопасности. Мировой топ-10 на секундочку!

Расследование показало, что атака произведена через внедрение вредоносного кода в сторонний продукт от компании SolarWind, что потянуло за собой цепочку новых громких событий.

Затронуто, по оценкам, от 18 до 33 тыс. различных компаний. Среди пострадавших – практически весь список Forbes500, множество госструктур США.

Особая пикантность ситуации, что потенциально проблемный софт от SolarWind использовало, в том числе, U.S. National Security Agency (АНБ), ответственное за защиту США от кибератак.

Эта история напомнила notPetya 2017 года: множество компаний оказалось парализованными из-за внедрения зловреда в инфраструктуре поставщика полезного софта.

Так называемая supply chain attack. Казалось бы, у мирового IT-сообщества было время сделать выводы, но, похоже, еще только предстоит наработать действенные тактики противодействия таким атакам.

Кстати, в украинском сообществе IT-безопасников декабрьские события активно анализировались и обсуждались.

Однако, к моему удивлению, много дискуссий строилась в пессимистичном ключе: "Зачем тратить деньги на безопасность, если даже специализированные топ-компании взламывают. Может быть мы уже пришли к новой парадигме: давайте быть полностью публичными и прозрачными. Смысл защищать информацию, если злоумышленники к ней все равно получат доступ?"

Легко понять, почему у безопасников "опускаются" руки: ты должен быть на страже каждый день, а злоумышленнику достаточно быть успешным один раз.

С первым взломом в своих инфраструктурах я лично столкнулся более 20 лет назад и до сих пор помню неприятное ощущение бессилия.

Но первые "столкновения" привели к важному выводу: надо принять как данность – вас взломают, какие бы защиты не выстраивались. Важнее то, что вы делаете, чтобы оттянуть этот момент как можно дальше и программа действий после взлома.

Итак, в ситуации неизбежного "идеального шторма", на какие тенденции в области кибер-безопасности лично я обратил бы внимание?

Постоянно повышайте цену взлома

На удивление, многие атаки – однотипные и автоматизированные. Согласно ежемесячной развернутой аналитики нашего Security Operation Center, более 99% зловредной активности – неприцельное "бомбометание".

Вы оставили ssh-порт вашего сервера открытым в интернет? Через десять минут вы получите из Интернета непрерывный поток попыток подобрать туда пароль администратора.

У вас есть web-сервер? Он будет под постоянными автоматизированными попытками взлома: sql-injection, unix command execution, xss-injection и так далее.

Ваши сотрудники будут регулярно получать фишинговые письма в стиле "В вашей почте обнаружена аномальная активность, пройдите по ссылке подтвердить ваш пароль" или угрозы в стиле "Мы взломали вашу веб-камеру, заплатите биткоин и тогда никто не узнает, что вы делали во время просмотра adult-контента".

Ко всем вашим публичным серверам, роутерам, IoT-устройствам будут в автоматическом режиме применять все известные на этот момент времени эксплоиты.

Автоматизированные атаки стоят очень дешево, поэтому счет попыток идет на тысячи в день. Базовые меры информационной безопасности делают большинство таких попыток неуспешными:

• Своевременное обновление ПО на своих системах
• Антивирусная защита на конечных устройствах пользователей
• Антиспам-механизмы
• Web Application Firewall
• Двухфакторная аутентификация или аутентификация по ключам
• Просветительская работа с пользователями (не открывать непонятные вложения; не переходить по неожиданным ссылкам; не вводить свои учетные данные на непонятных сайтах)
• …и так далее

Универсальное правило: повышайте "стоимость" усилий злоумышленников по "прохождению" ваших защит.

Чем дольше нужно "подбирать ключик" именно к вам, чем больше индивидуальных усилий нужно – тем дороже такие усилия стоят. И это "отсекает" многих преступников уже на входе.

Затормаживайте дальнейшее продвижение в инфраструктуре

Вас взломают, мы приняли эту мысль. Нужно настолько замедлить продвижение злоумышленника в инфраструктуре к вашим ценным данным, чтобы была возможность заметить вашим мониторингом факты взлома и успеть отреагировать на проникновение.

Несколько идей для этого:

• Zero trust architecture
• Принцип минимальных прав всем и везде
• Микро-сегментаций (каждый отдельный сервер сам себе сегмент).

Zero trust architecture – архитектура нулевого доверия. Достаточно свежая концепция: первые документы от National Institute of Standards and Technology были выложены только осенью 2019 года.

Концепция (документ NIST.SP.800-207) предполагает переход от модели сетевого периметра (когда у вас есть защищаемая внутренняя сеть) к модели защищаемых операций.

Ключевым элементом защиты вместо сети становятся Identity (данные пользователя) и непрерывная авторизация каждой операции.

Эта концепция – ответ на серьезное изменение ландшафта. В последние годы появилось множество интернет-облачных сервисов, в том числе обеспечивающих бизнес-процессы компании.

У сотрудников увеличилось количество мобильных устройств (от личных ноутбуков до смартфонов). А с регулярным введением карантинов увеличилась и доля удаленной работы вне корпоративного периметра.

Поэтому понятие сетевой периметр становится неэффективным: все чаще сотрудники работают вне его рамок. На смену приходит понятие identity-периметр. И меры по защите учетных данных: сильный пароль, многофакторная аутентификация и т.д.

Принцип минимальных прав всем и везде

Регулярно проводя технические собеседования, я поражаюсь, насколько много инженеров злоупотребляют в своей работе привилегиями администратора систем.

Достаточно типична ситуация, когда поддержка пользователей корпоративной сети выполняется от имени доменного администратора.

Причем еще и аккаунт такого администратора бывает один на нескольких сотрудников. Для IT-специалистов, немного больше погруженных в вопросы инфо-безопасности, очевидно, насколько легко при этом украсть учетные данные, позволяющие злоумышленнику взять всю инфраструктуру под полный контроль.

В области ERP- и других информационных систем ситуация аналогична. Стажер может получить права в CRM-системе, позволяющие видеть детали по многомилионным сделкам всем компании.

Разработчик ПО – доступ к "боевой" базе со всей ее чувствительной информацией типа "зарплатная ведомость" и т.п.

Простой принцип – предоставлять только самые минимальные права – очень серьезно ограничивает возможности доступа к "чувствительной" информации.

Продвижение злоумышленника в инфраструктуре так же осложняется: если ты взломал веб-сайт компании – это еще не дает доступ в ее внутреннюю ERP, если увел пароль специалиста поддержки – это еще не открывает доступ к коммерческой информации.

Особое внимание – на выдачу повышенных прав и прав на чувствительные действия. Их стоит выдавать на время конкретных операций.

Есть целый класс систем Privileged Access Management (PAM), где можно описать конкретные правила как, с чьего подтверждения, при соблюдении каких условий, на какой интервал времени выдаются повышенные права.

Очень рекомендую ко внедрению подобные системы.

Кстати, у многих организаций есть проблема доверия к сотрудникам. Особенно в госсекторе, где зарплаты наемного персонала не очень высоки, а вот возможности и полномочия бывают огромные: начиная от доступов в различные реестры и заканчивая возможностями управления элементами критической инфраструктуры.

Заранее неизвестно, "а не доплачивает ли наш агрессивный сосед этому админу, чтобы в какой-то момент он не положил, например, энергетику в стране".

Системы типа PAM хорошо дополняют концепцию "нулевого доверия" и позволяют решать в том числе подобные вопросы.

Успейте увидеть факт вторжения

Мониторинг – наше все. Важно не только затормаживать продвижение злоумышленника в своей инфраструктуре, но и иметь инструменты обнаружения его присутствия.

Задача: успеть заметить вторжение до того, как доберутся до действительно ценных данных.

Я, кстати, настоятельно рекомендую (и сам так делаю) разделять администраторов сети и мониторинг. Полезно логировать все события инфраструктуры где-то в недоступном для админов месте.

Например, во внешнем SOC (security operation center). Так решается несколько задач:

• Оставляем неповрежденными логи для реакции и последующих разборов на случай, если учетные данные админов будут скомпрометированы (логи – это чуть ли не первое, что подчищают за собой злоумышленники).
• Появляется механизм независимого контроля действий админов, что позволяет выявить "нечистых на руку" среди них.
• У админов исчезает возможность "замести" какие-то регулярные проблемы инфраструктуры "под ковер".

Важность incident response

Последующая реакция должна включать не только разбор конкретного выявленного мониторингом проникновения и смягчение его последствий.

Часто необходима реакция в публичной плоскости. Замалчивание фактов взлома может привести в итоге к намного большему ущербу.

Показательна в этом плане история со взломом FireEye. Безусловно, сам факт взлома ударил по их репутации. Но честный разбор, публикация сигнатур, информирование и взаимодействие со сторонними организациями помогло вскрыть целую цепочку взломов, в том числе в критических госучреждениях.

Неизвестно, сколько, как долго и какой информации продолжало бы "вороваться" из этих организаций, если бы FireEye не выступил в публичной плоскости.

Обеспечьте непрерывность процесса информационной безопасности

К сожалению, нет и не будет волшебной пилюли. Не получится выстроить один раз систему, которая бы защитила твои данные навсегда.

Процесс сродни борьбе снаряда и брони. Атакующие постоянно придумывают новые тактики и способы.

Мы должны вовремя замечать, понимать, что произошло, смягчать последствия атак, разрабатывать и внедрять новые меры защиты.