Информационная безопасность

comic-strip-5-copyЗа последний год меня радует возрастающий интерес к информационной безопасности, но огорчает что представители ИТ часто не понимают даже основ этой области.

Для начала, предлагаю определить информацию как некое уникальное знание, обладание которым обеспечивает работу бизнеса.

“Классическое” определение информационной безопасности – конфиденциальность, целостность и доступность информации.

Обычно как риск ИБ понимают только конфиденциальность, хотя по статистике, риски целостности менее вероятны чем риски конфиденциальности, а вот риски доступности наиболее вероятны.

Кроме этих рисков, часто не рассматривают больше никаких, допуская серьёзную ошибку в самом начале.

Всего можно перечислить больше десятка, но давайте возьмём несколько, которые подойдут всем:

  • Время доступа (информация через час мне уже будет не нужна);
  • Дезинформация – не совсем то же самое, что целостность. Реализуется и пресекается скорее организационно, чем технически.
  • Тиражирование – в свою очередь не совсем то же самое, что конфиденциальность (возможно информация ещё конфиденциальна, но уже растиражирована);
  • Неотрицание авторства – этот не всем очевидный риск проявляется достаточно часто.

Возможности контроля и управления информацией и рисками ИБ безусловно необходимы, но эти возможности, в свою очередь, генерируют ещё несколько классов рисков.

Всем известно что крепость цепи определяется крепостью самого слабого звена её.

Одна из проблем ИБ в том, что ни представители бизнеса, ни представители ИТ не пытаются распределить средства по всем звеньям цепи, в том числе по незнанию.

Вторая веская проблема тоже связана с человеческим фактором – люди склонны защищать те дыры, через которые их атаковали или те, через которые они считают атаку возможной.

Ну и третья проблема, как всегда, в ресурсах – квалификации, времени и средствах. Грубо говоря, ИБ стоит денег и относительно приличных.

Переходя к ресурсам (для простоты к деньгам) – у каждой конкретной компании (бизнеса) есть стоимость. Предположим что стоимость бизнеса равна стоимости уникальных знаний этого бизнеса, информации. Очевидно что затраты на защиту этой информации не должны превышать стоимость компании. А ведь у реального бизнеса вполне хватает рисков кроме рисков ИБ, так что бюджет на ИБ будет всегда ограничен.

Перед тем как идти дальше, нужно сказать несколько слов про информационную структуру.

Мы уже определили информацию как некое уникальное для компании знание, которое распределено между субъектами (для простоты – сотрудниками).

Чтобы собрать хотя бы часть общего “знания” потребуется понимание злоумышленником структуры.

Соответственно, чтобы защитить “знание” службе ИБ также потребуется понимание структуры.

Отсюда вывод , подтверждённый практикой – если у компании нет информационной структуры (а такое бывает сплошь и рядом), адекватно реализовать техническую атаку и защиту невозможно.

Видел компании, в которых руководитель сознательно стимулировал хаос, чтобы никто, кроме него, не знал всего.

Про эффективность судить не берусь, могу лишь предположить что это работает для небольших компаний, но это не значит что они себя чувствуют плохо. Отнюдь.

С другой стороны, встречал компании, руководители которых тратили на создание и поддержку информационной структуры (и, соответственно, ее безопасности) больше средств, чем на развитие бизнеса. Наверно в современном ускоряющемся мире такой подход для большинства устарел, потому что как-то плохо у них закончилось.

Но вернёмся к информационной безопасности, и поговорим об угрозах, которые я, для упрощения, разделю на такие:

  1. Злой вендор или вендор работающий под автоматами правительства. И зачем им тратить свои средства на анализ ваших данных?
  2. Субъекты, желающие получить доступ к информации. Это такой хакер в маске, который за деньги конкурента выкачивает информацию в табличках и графиках с мейнфрейма. Живёт чаще всего под шапочками из фольги.
  3. Субъекты, имеющие доступ к информации. Купить сотрудника уже имеющего доступ к информации гораздо проще, чем взламывать сервер с данными. Охрана таких субъектов с точки зрения ИТ обычно сводится к максимальному ограничению прав доступа и, что важнее, обеспечении возможности как можно быстрее доступ прекратить и показать аудит доступа.
  1. Школьник из соседнего дома, скачавший журнал Хакер, примитивные боты или “дырки” в ПО.
  2. Ошибка субъекта с доступом к информации – потерял флешку с документами, удалил отчёт из общей папки, отправил не тому клиенту письмо, пролил кофе на ноутбук, скачал вирус с личной почты и т.д. и т.п.

Как несложно заметить, я отсортировал угрозы по возрастанию вероятности и без учёта тяжести последствий.

Возможно вы уже поняли, что у многих “дремучих” получить финансирование на защиту от страшного заказанного хакера с татуировкой дракона проще, чем на защиту от реальных угроз.

Хорошая новость в том, что кроме “продвинутых” существует целая пачка “стандартных” средств, которые в продукты встроены, но не используются по-умолчанию.

В этой статье я расскажу о том, как с небольшими затратами построить достаточно простую и жизнеспособную модель ИБ на небольшом предприятии без требований к соответствию стандартам.

Политики и процедуры

Напомню, политика описывает “зачем”, процедуры (регламенты, инструкции и т.п.) “как”.

Там где я видел действительно “тяжёлые” политики и процедуры они не работали, а значит средства были потрачены безрезультатно.

Не стоит натягивать на себя политики и процедуры скачанные из Интернета или принесённые из другой компании – это потенциально околонулевой результат.

Чего ещё не стоит делать так это писать процедуры и политики один раз “на всю жизнь”. Современное ИТ развивается очень быстро, и пересматривать политики и процедуры ИБ вам нужно будет часто, фактически это должно происходить при каждом значимом изменении (подробно останавливается на change management сейчас не будем).

Я рекомендую набросать список рисков связанных с ИБ  и вместе с представителями бизнеса классифицировать их, определить вероятности и приоритеты и согласовать проект по ИБ.

После этого, все участники будут понимать “зачем”, а реализация “как” будет зависеть от приоритета.

Дело осталось за малым – описать это в документах простым и понятным языком. Имейте ввиду, люди не делают того, чего не могут даже прочитать.

А чтобы сотрудники могли читать и выполнять, информацию до них нужно донести.

Проведение семинаров с небольшим тестом по окончанию будет хорошим вариантом, но должно быть подтверждено “сверху”.

В процедурах, на каждое “как” должно быть “иначе” – например, выговор или штраф. Тут важно не перегнуть палку – для бизнеса потеря сотрудника часто более приоритетный риск чем пароль от скайпа записанный на мониторе.

Теперь, надеюсь, понятно, что перед тем как начать что-то делать, нужно думать “зачем” и “как”, а не коллекционировать гайды и хабростатьи о том как сделать все по-быстрому.

Физическая безопасность

В реальном мире, данные проще физически отобрать, чем выудить через сеть, как в кино или подкупать сотрудников.

Ограничение и контроль физического доступа это как раз то, с чего стоит начать если ваши сервера не в облаке.

Что касается компьютеров, обеспечить централизованное хранение данных, как правило, дешевле чем обеспечить физическую их безопасность.

Для устройств, которые поддерживают геолокацию есть смысл ее использовать.

Периметр

В общем случае безопасность периметра обеспечивают брандмауэры.

Часто вопрос брандмауэров заканчивается на установке одной цыски (или чего угодно) и отключении (или дефолтных настройках) брандмауэров на хостах.

Этого, разумеется, недостаточно. И если говорить про средства, то последовательное включение брандмауэров на периметре дороже и менее эффективно чем настройка локальных брандмауэров на хостах.

Но далеко в каждой компании сетевик может быстро и чётко ответить какой трафик где и зачем разрешён.

Хорошим вариантом будет создание карты сети где фон будет красный, а на нем зелёными линиями будет нарисован нужный трафик.

Чтобы понять какой трафик необходим, нужно не только изучить документацию продуктов, но и провести мониторинг (логирование) того, что в сети происходит сейчас.

Правила трафика, как и процедуры, требуют регулярного пересмотра, который должен быть оформлен в виде процесса.

Для адекватного управления трафиком вам нужно настроить адекватное логирование, благо инструментов для этого достаточно.

Кроме того, в сеть пускать кого попало не стоит. Коммутаторы с поддержкой 802.1x стоят уже совсем недорого.

А вот на приличный network access protection придётся потратится достаточно прилично, если говорить о Cisco NAC.

В качестве дешёвой альтернативы можно рассмотреть Microsoft NAP.

Сети

Я уже говорил о том как составить карту “зелёного трафика”, но теперь подробнее поговорим о сетях.

В отдельный домен широковещания разумно выносить устройства с равным уровнем доступа.

Например, в отдельные подсети можно вынести принтеры, мобильные устройства, компьютеры отдела/проекта и т.п.

С серверами несколько сложнее, и в больших инсталляциях могут выделятся отдельные подсети под каждый крупный сервис (Exchange, SharePoint, Dynamics).

Говоря о сетях, нужно сказать и о VPN. Чаще всего, VPN используется для того чтобы пользователи с личных (читай – недоверенных) компьютеров могли получать доступ к одному или нескольким корпоративным приложениям.

Так вот, если пользователю нужен доступ к ERP, то доступ ему нужно дать к ERP, а не ко всей сети.

Для публикации приложений отлично подойдёт Microsoft Remote App, а для публикации сайтов Microsoft Reverse proxy.

Что же касается шифрования, то IPv6 нативно поддерживает IPSec, и это еще одно “за” переход на IPv6.

Но и в IPv4 IPSec будет разумно использовать хотя бы на наиболее важных участках.

Компьютеры

Начать, в большинстве случаев, стоит с минимизации прав.

Но перед тем как начинать техническую реализацию, нужно создать и согласовать список кому какие права нужны (разумно привлечь руководителей отделов).

В любом случае, перед технической реализацией, нужно согласовать адекватный список прав и донести до сотрудников зачем это нужно, и что будет в случае нарушения.

Этот список должен редактироваться когда у сотрудников меняются должностные обязанности, что, в свою очередь, может быть вызвано многими причинами.

Значит адекватная минимизация прав требует наличия обкатанного процесса внесения изменений, и я слабо представляю его без с-мы управления процессами предприятия.

Несмотря на то что минимизация прав на компьютерах обычно всем понятна, на этом этапе затыкаются чаще всего, как раз из-за отсутствия процесса на предприятии.

Технически реализуется с помощью, например, Microsoft App Locker.

Что касается аутентификации, стоимость двухфакторной достаточно адекватна, и на общем фоне обойдётся в копейки.

Особенно актуальна двухфакторная аутентификация будет для сервисов которые доступны через Интернет, компьютерах-киосках, компьютерах на которых выполняются особо важные операции.

 Помните, что хранения информации на обычных компьютерах лучше максимально избегать.

А вот обновления для операционных систем важно устанавливать быстро, но после предварительного тестирования т.к. Их качество заметно снижается.

Процесс тестирования обновлений описан в patch management и вполне прост.

Все вышесказанное справедливо не только для рабочих станций, но и для серверов, хотя для серверов тестирование обновлений будет несколько сложнее и дольше.

Приложения

Для предотвращения выполнения нежелательных  (опасных) приложений, а также с целью защиты работы нужных приложений обычно ограничиваются антивирусом.

Из-за разнообразия приложений и сценариев использования в этой статье я также ограничусь рекомендацией антивируса и установки патчей для приложений, по аналогии с патчами для ОС.

Разумеется, антивирус должен получать обновления оперативно, управляться централизованно, и работать незаметно для пользователя.

Отсюда очевидно что это должен быть продукт от Kaspersky,а не от Microsoft :)

А вообще, есть понятие  Application hardening, и если у вас корпоративные приложения дорабатываются, применять hardening безусловно стоит.

Данные

Возможно вы заметили  что я отделяю данные от информации, и это действительно так.

Получить из данных информацию действительно отдельная, не всегда решаемая задача.

Но говоря о данных, обычно начинают почему-то с шифрования.

Ок, шифровать можно и нужно, тем более BitLocker сильно удобнее чем EFS.

Перед шифрованием “продакшена” обязательно составьте и проверьте план дешифрования, иначе забавно может получится.

Предположим что данные – это файлы, а раз так, то значит для контроля доступа можно использовать возможности ACL.

Только вот ситуация с ACL ровно такая же как и с AppLocker – нужно составить таблицу доступа в соответствии с должностными обязанностями и обеспечить работу процесса внесения изменений.

С доступом к данным не в виде файлов, а в виде объектов ERP/CRM/другой с-мы ситуация немного сложнее.

Также не забывайте что в информационную безопасность входит доступность данных, а значит у вас не только резервные копии должны быть, но и рабочий план аварийного восстановления (DRP).

Для обеспечения шифрования и неотрицания данных можно использовать Microsoft RMS.

Вместо заключения

“Информационную безопасность” хотят почти все, некоторые даже готовы что-то делать, например купить антивирус и нанять админа который включит BitLocker на компьютерах бухгалтерии и топ-менеджмента.

Современные Windows и Windows Server предоставляют достаточно инструментов которые можно последовательно включать и раз в полгода подавать отчёт о том, как ит занимается безопасностью.

И этого для большинства будет достаточно, т.к. Их данные фактически никому не нужны, а если таки словят вирус или соседский школьник подберёт пароль то всегда можно сослаться на кривую-винду-раз-в-год-нужно-переустанавливать-полюбому или восстановится из бэкапа потеряв несколько данные за часов или дней.

Но если перед вами стоит задача построить адекватную защиту от вероятных рисков, то это возможно, и даже не очень дорого учитывая сколько всего входит в состав Windows.

Со стороны бизнеса вам нужны будут средства, полномочия, оргструктура, служебные обязанности, наличие процессов внесения изменений и механизмы, обеспечивающие работу этих процессов.

С технической стороны вам нужны будут стандартные средства и стороннее ПО, а главное система управления и аудита, таких вроде как и много – а полноценных среди них за вменяемые деньги не встречал.