ENG
Рассмотрим самый типичный сценарий: компании выделяют немалые бюджеты на кибербезопасность, а потом приходит «юный хакер» и без особого труда получает доступ внутрь, казалось бы, защищенной инфраструктуры. Зачастую для этого даже не требуется ничего взламывать — нужно лишь воспользоваться любезно оставленными сотрудниками ИТ-департамента лазейками, вроде роутеров с паролями по умолчанию у административных учётных записей. После очередной публикации о найденных в сети солидной организации базовых уязвимостях возникает небольшая медийная шумиха (как произошло недавно с видеонаблюдением РЖД), а потом все возвращается на круги своя. Попробуем разобраться, насколько серьезна эта проблема и как уберечь компанию от портящих её репутацию публикаций.
Собираем анамнез
Наш опыт показывает, что болезнями роста в той или иной степени поражены сети большинства крупных российских компаний и организаций, притом особенно сильно — в государственных и окологосударственных структурах. Где-то дело ограничивается незащищенными аппаратными принт-серверами внутри периметра, но чаще встречаются более серьезные проблемы. Серверы доступа к сети компании по VPN со слабой защитой; плохая изоляция подсетей с разной степенью доверия, зачастую — полное отсутствие сегментации и разделение доступа в лучшем случае с использованием vlan; системы видеонаблюдения, а также умные устройства и роутеры с паролями по умолчанию для административных учетных записей; «древние» прошивки устройств; уязвимые сети Wi-Fi… Всего не перечислить. Кроме того, огромное количество проблем безопасности возникает с кассовым и торговым оборудованием в розничных сетях, а в последние годы список потенциальных уязвимостей активно пополняется за счет внедрения технологий интернета вещей.
Казалось бы, несложно закрыть уязвимости, которые и уязвимостями назвать нельзя — скорее это элементарные ошибки в конфигурировании устройств и систем. Почему этого не происходит? В крупных компаниях зачастую правая рука не знает, что творит левая. Разные решения в рамках даже одного проекта могут внедряться различными внешними поставщиками, которых не интересует комплексная безопасность; затем результаты проектов эксплуатируются слабо связанными между собой подразделениями. У занимающихся пуско-наладочными работами на удаленных объектах сетевых инженеров как подрядчиков, так и самой компании, часто отсутствует понимание необходимости соблюдения хотя бы базовых принципов ИБ, а контроль результатов их работы фактически не ведется. Нет регламентных инструкций, наконец, по базовым операциям, включающим в себя и действия по обеспечению требований ИБ, благодаря которым сотрудникам не пришлось бы думать о безопасности самостоятельно, а просто выполнить написанное.
В результате несогласованности ИТ-ландшафт крупной российской компании напоминает лоскутное одеяло. Это именно классическая «детская» болезнь роста: по мере усложнения инфраструктуры требуется более грамотное управление ИТ-системами и прочими решениями со встроенными технологиями сетевого доступа. Одной из причин невозможности такого управления является комплексная проблема: текущая нагрузка сотрудников, уровень их квалификации, а также отсутствие расширения штатного расписания и роста ФОТ — всё это не даёт возможности выполнять операции в соответствии с лучшими практиками.
В итоге ИБ спешно «тушит» возникающие «пожары», а комплексное решение проблемы оставляют отделам ИТ на потом. Часто у них нет времени и ресурсов на проведение качественной приёмки проектов, поэтому внедренные решения проверяются формально и сразу запускаются в эксплуатацию. При этом непосредственно работающие с продуктом специалисты не горят желанием разбираться в вопросах безопасности и информировать ИБ об использовании, например, тех же базовых паролей, а службы ИБ не имеют детального представления о корпоративном ИТ-ландшафте.
Ставим диагноз
Хуже всего, что в компаниях, похоже, не считают проблему серьезной. После очередного «громкого разоблачения» подразделение связей с общественностью выпускает необходимый в такой ситуации пресс-релиз, специалисты ИТ по заявке от ИБ латают конкретную найденную дыру, а всё затихает до следующей внештатной ситуации: в другом месте, но с точно теми же уязвимостями. В приведённом выше примере серьезный ущерб от свободного доступа к системам видеонаблюдения отрицают. Хорошо, если все действительно так, но на самом деле нанесенный урон неизвестен даже специалистам внутри компании, поскольку он мог эксплуатироваться кем угодно длительное время и использоваться для обхода мер физической безопасности, слежки за конкретными лицами и т.д. Помимо пишущих статьи исследователей, существуют гораздо более прагматичные хакеры, которые публично о своих успехах не докладывают.
Количество целевых атак на корпоративные ИТ-инфраструктуры постоянно растёт, при этом злоумышленники незаметно хозяйничают в скомпрометированных сетях месяцами, а потом могут проводить и массированные акции. С бессистемным подходом к безопасности любая утечка может оставаться незамеченной годами. Бизнес же будет терять деньги, ничего не зная о причинах ущерба и как легко таких ситуаций можно было бы избежать.
Приступаем к лечению
Для решения проблемы сначала необходимо признать ее существование на уровне, где возможно принятие решения, осознаваемого как полезная трата рабочего времени и одобряемого вышестоящим руководством, — практика показывает, что уже на этапе принятия возникает множество сложностей. Чтобы понять, насколько все плохо до принятия такого решения, придется провести комплексный аудит безопасности. Притом настоящий, а не «бумажный» — в этом случае вопросы о целесообразности принятия незамедлительных мер отпадут в подавляющем большинстве случаев. Или же начать можно с написания кратких основных инструкций по выполнению базовых операций по конфигурированию нового устанавливаемого оборудования, предоставлению доступа и т.д. При наличии таких инструкций зачастую и выполнение внешнего аудита будет уже вторым шагом после выполнения проверки собственными силами, согласно описанным в них пунктам. В таком случае аудит будет нужен, чтобы подтвердить качество выполнения процедур, а также найти выпавшие из рассмотрения объекты инфраструктуры. Однако следует помнить о причинах, не дававших всё предыдущее время реализовать эти же самые действия. Вероятно, аудит всё же — единственный выбор, позволяющий не потратить годы на проверку, а то и вовсе никогда её не закончить.
Наши специалисты при проведении аудитов систем, покрываемых платформой, а также при реагировании на инциденты во время эксплуатации часто обнаруживают не только уязвимости, которые только ждут своего часа для использования, но и следы длительного пребывания злоумышленников в корпоративных сетях. Это зачастую мотивирует высшее руководство компании к выделению бюджетов на следование рекомендациям по скорейшему устранению выявленных векторов атак.
Если в корпоративной инфраструктуре на время проведения проверки всё более или менее хорошо, необходима развитая культура управления изменениями. Для этого также потребуются определённые организационные и технические меры, включая согласованные с департаментом ИБ строгие списки действий: с ними придется сверять фактически выполняемые линейным персоналом операции — некий аналог активности ОТК. Что касается фактических уязвимостей, необходимо следовать широко известному у нас в стране процессу управления уязвимостями. Для предотвращения атак или минимизации их последствий, кроме всего вышеописанного, нужно вести наблюдение за активностью пользователей как в сети, так и на платформах, где хранятся и обрабатываются данные, вкупе с поведенческим анализом.
Только пройдя весь этот путь, можно избавиться от болезней роста и не бояться эксплуатации легко реализуемых угроз со стороны внешних злоумышленников и внутренних инсайдеров. При этом стоит понимать, что комплексное обеспечение информационной безопасности — непрерывный процесс, а не конечный результат. Поэтому потребуется сначала «вырасти» и затем вести себя «по-взрослому» постоянно.
