Продолжим изучение основ информационной безопасности и поговорим про подходы к изучению
информационной безопасности. Сегодня мы будем рассматривать развитие систем информационной безопасности. Что же на самом деле с ними происходит?
Ранее мы составили модель нарушителя, модель угроз, определили системы защиты, которые мы будем внедрять в реализации системы безопасности внутри нашей организации, определились, что необходимо защищать.
Но жизнь не стоит на месте. Появляются новые тренды. Развиваются сами информационные
системы. В результате того, что работают исследователи, появляются новые протоколы, мы устанавливаем обновление операционных систем. Появляются новые сервисы. Наша информационная система обрастает новыми функциями. Таким образом, та информационная система, которая у нас есть сегодня, может значительно отличаться от того, что было вчера. А если в организации и у нас, как у пользователей ресурсов сети Интернет, нет процесса документирования и управления не только информационной безопасностью, но и управлением даже своими IT-активами, то потенциально риск компрометации наших активов и систем возрастает с каждым днем.
Что же делают организации, чтобы эффективно справляться с эволюцией своих информационных
систем и, соответственно, с эволюцией угроз?
Здесь есть два направления развития. Причем не конкурирующие, а дополняющие друг друга.
1. Управлением рисками
Есть так называемый PDCA-цикл. Его суть заключается в том, что процесс цикличен и при реализации какой-либо функции мы ее внедряем, потом контролируем корректность внедрения. Далее отслеживаем ее работоспособность, получаем обратную связь и на основании обратной связи принимаем решение либо о модернизации, внесении изменений в этот процесс, либо оставляем все как есть, если обратная связь нас устраивает и процесс функционирует должным образом.
Т. е. в случае с информационной безопасностью мы должны внедрить у себя в организации
процедуру управления рисками, когда риски пересматриваются. Это можно делать раз в квартал, раз в полгода, раз в год. Общая практика такая, что два раза в год на специальном комитете утверждается модель управления рисками в организации и пересматриваются риски и принимается решение относительно модернизации внедрения систем безопасности внутри этой организации.
Управление рисками – это больше работа на перспективу, стратегия, которой придерживается
организация в плане обеспечения информационной безопасности на заданном уровне. Тот уровень, который приемлем для нее в плане затрат на реализацию этого уровня информационной
1 безопасности. Все риски мы не перекроем, но мы принимаем какой-то уровень риска, перечень угроз, которые наиболее вероятны по отношению к нашей организации и приносит наиболее высокий ущерб. Мы задаем этот уровень и должны его поддерживать.
2. Управление инцидентами
Управление инцидентами – это такой же процесс управления в организации, который позволяет
нам в случае реализации какой-либо угрозы оперативно на нее отреагировать. Этот процесс документируется. Мы должны понимать, что нужно делать, если дойдет до реализации какой-либо угрозы. Невозможно написать планы на все возможные угрозы, сценарии, но можно сделать типовые.
Это важный процесс, обеспечивающий непрерывность функционирования системы
информационной безопасности в организации. Цикл, связанный с управлением рисками, пересмотром новых рисков, принятием новых рисков, исключением тех рисков, которые больше не актуальны. Пересмотром и утверждением, а может быть реализацией дополнительных мер защиты и управления инцидентами. Стратегическая и операционная деятельность.
Важно понимать, что будет происходить в организации, если реализовался какой-либо инцидент информационной безопасности. И почему нам нужно его расследовать и довести до конца, проследить, что действительно никаких вирусов, червей, каких-либо других вредоносных программ, следа злоумышленника не осталось внутри нашего периметра.
Есть такое понятие, которое называется kill chain – сценарий реализации атаки. Как реализуется атака? Тут выделяют несколько описанных структурированных этапов.
1. Подготовка
На этом этапе злоумышленник определяет цель. Злоумышленник в случае, когда компьютер,
напрямую подключенный к Интернету, может в автоматическом режиме сканировать сеть на предмет появления новых IP-адресов, новых устройств, подключенных к сети.
Вот злоумышленники обнаружили новое устройство. Дальше они производят более детальное расследование, что это за устройство, тип устройства, получают о нем больше информации. Это тоже этап подготовки. Дальше определяют наиболее вероятные векторы компрометации данного сервиса или ресурса и готовят специальный набор вредоносного программного обеспечения.
После подготовки такого комплекта, которым будет компрометироваться ресурс, злоумышленнику
необходимо доставить этот комплект внутрь защищенного периметра, проникнуть через систему безопасности. Здесь есть разные механизмы. Могут использоваться уязвимости социальной инженерии, прямое проникновение, DOS-атака, скоординированная атака со многих устройств.
2. Доставка
Происходит эксплуатация уязвимости внутри какого-либо ресурса. Если это вирус, то он шифрует файлы, взламывает систему на компьютере для того, чтобы следующие этапы атаки могли тоже добиться успеха.
3. Инсталляция
Следующий этап атаки – это инсталляция, внедрение вредоносного кода внутрь системы. Злоумышленнику важно максимально использовать затраченные ресурсы. Он старается
2 установить свой объект на этом компьютере и закрепиться там, сделать этот компьютер частью своей большой сети, сети управления.
По статистике, организации обнаруживают факт компрометации своих ресурсов иногда спустя
месяцы после того, как эта компрометация произошла. Это говорит о том, что важно расследовать инциденты, обращать внимание на маленькие факты, указывающие на то, что какая-то компрометация могла произойти. И важно исследовать инцидент до конца. Триггер сработал, надо разобраться, что не произошло ничего вредоносного. Ниже указано, с какими документами можно ознакомиться, чтобы разобраться, каким образом средства системы защиты реализуются. • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России, 2008 год • Проект методики определения угроз безопасности информации в ИС, ФСТЭК, 2015 • Меры защиты информации в государственных информационных системах, 11 февраля 2014 • БДУ ФСТЭК
Можно начать с простого процесса – защиты домашней сети: прописать, какие активы используются, составить модель нарушителя, модель угроз, используя базу данных уязвимости ФСТЭК. Тогда вы будете понимать, каким образом строятся системы защиты и что обычно делают организации, чтобы обеспечить безопасность своих систем.
Но безопасность не сводится только к реализации технических мер. Это комплексный поход. Туда входят и организационные мероприятия, которые связаны с документированием, проектированием. Самое основное – это то, что любая система безопасности должна быть многорубежной. Мы не ограничиваемся одним периметром в сложной информационной системе. Компрометация любого сегмента информационной системы не должна приводить к тому, что компания сразу тонет. Необходимо изолировать отсек, расследовать инцидент и обезопасить его, тогда основная система продолжает функционировать. И на таком основании могут строиться достаточно сложные системы информационной безопасности.
