Информационная безопасность вредит вашей компании

Перевод статьи Stephan Schwab «How information security can harm your company»

Моя цель в этой статье — предоставить пищу для размышлений. У меня нет намерения давать инструкции, я не претендую на роль эксперта в области защиты компьютерных сетей или информационной безопасности.

Как практикующий коуч я часто вижу, что доступ в интернет у сотрудников крупных компаний либо закрыт полностью, либо ограничен. Сначала считали, что это помогает сотрудникам не отвлекаться на личные дела в рабочее время, после — боялись утечки данных и атак. Не менялось только одно убеждение: сотрудникам не требуются ресурсы интернета для выполнения своей работы, поэтому ограничение выглядело целесообразным. Однако для разработчиков нового ПО такое ограничение становится настоящей проблемой.

Обычно ко мне обращаются за внедрением новых практик в области разработки ПО, поэтому я рассказываю о множестве новых средств, которых нет у штатных сотрудников моего клиента. Сегодня значительная часть этого инструментария доступна в виде FOSS (свободного и открытого программного обеспечения), и я часто рассказываю сотрудникам компании, откуда можно скачать инструмент или библиотеку, и… доступ к ним оказывается закрыт. Мы хотим использовать средство для совместной работы онлайн и снова получаем отказ.

Информационная безопасность лишает разработчиков ПО даже самого простого инструментария

Это может быть нечто совсем безобидное, как, например, установка Ruby и выполнение gem install cucumber, чтобы создать быструю демонстрацию принципа разработки через приемочное тестирование (ATDD). В теории на скачивание, установку и использование такого инструмента должно уходить около часа, но в реальности на это уходит несколько дней.

Другая проблема — отсутствие прав у разработчиков на установку ПО или управление конфигурацией компьютера, на котором они работают. Из-за этого ОС Windows, которую используют большинство разработчиков, не дает установить скачанное.

Прокси-серверы не решают проблему информационной безопасности

Во многих компаниях придерживаются единого подхода: доступ в интернет следует ограничить, а внутреннюю сеть необходимо защитить от интернета. После этого внутреннюю сеть считают достаточно безопасной и защищенной, конфиденциальную информацию не шифруют, и любой сотрудник имеет или может иметь к ней неограниченный доступ. Похоже на бронированную парадную дверь и незапертый черный ход.

Самое распространенное средство ограничения доступа в интернет — прокси-сервер. У этого способа есть несколько проблем.

  1. Конфигурация для использования прокси-сервера настраивается автоматически только для веб-браузеров. Для других средств, которые нужны разработчикам, необходимо установить переменную среды http_proxy и указать имя хоста и порт прокси-сервера. Здесь нарушаются основополагающие правила информационной безопасности: прокси-сервер требует аутентификации и сотрудники указывают свое имя и пароль открытым текстом. Например, так:
    http_proxy=http://username:password@10.203.0.1:5187/
  2. Настоящий кошмар начинается, когда средства разработки конфликтуют между собой или просто нет способа задать верную конфигурацию прокси-сервера на виртуальной машине. Распространенный обходной прием — использование так называемой технической учетной записи, но это всего лишь полумера, которая позволяет чуть дольше не отказываться от плохого решения.

Прокси-серверы, в принципе, были созданы для кэширования, а не для обеспечения безопасности и тем более не для фильтрации контента. В те годы канал подключения к интернету со скоростью 64 кбит/с на всю компанию уже считался неплохим, поэтому было целесообразно кэшировать контент с часто посещаемых веб-сайтов и повышать скорость доступа в интернет.

Если бы единственной необходимостью был просмотр сайтов в интернете, прокси мог бы решить проблему. Однако времена такого использования интернета давно прошли

Разработка ПО предполагает активную совместную работу и не ограничивается только штатными сотрудниками компании. Обмен информацией — это норма, а не редкий случай, который можно отслеживать и контролировать.

Возможно, нам следует обратить внимание на то, что мы действительно хотим защитить, и выработать подход для конкретного случая вместо того, чтобы искать универсальное решение с побочными эффектами. Важно защитить:

  • данные, которые принадлежат клиентам,
  • конфиденциальную информацию компании,
  • системы от вредоносного ПО и сетевых атак.

Защита данных клиентов

Сегодня хорошие рекомендации по обеспечению надлежащей защиты данных клиентов можно найти в законодательстве Европейского союза по защите данных:

Общий регламент по защите данных (GDPR) определяет псевдонимизацию как процесс, необходимый при хранении данных (в качестве альтернативы другому варианту — полному обезличиванию данных) для преобразования персональных данных таким образом, чтобы данные, полученные по завершении текущего процесса, было невозможно связать с конкретным субъектом данных без использования дополнительной информации. Пример тому — шифрование, при котором исходные данные становятся нечитаемыми, а процесс является необратимым без правильного ключа расшифрования. Общий регламент по защите данных устанавливает требования, согласно которым дополнительная информация (такая, как ключ расшифрования) должна храниться отдельно от псевдонимизированных данных.
— European Union General Data Protection Regulation

Хранение данных в открытом виде не оправдано. Данные клиентов должны храниться в зашифрованном виде, а возможность расшифровать должен иметь только уполномоченный пользователь. На рисунке ниже показана соответствующая структура сети:

Информационная безопасность
Зашифрованные данные клиентов защищены от внешних и внутренних злоумышленников

Без ключа данные использовать невозможно, поэтому необходимо обеспечить надежную защиту ключей. Проблема решается с помощью механизма контроля и управления доступом: пароль дешифрует не сами данные, а только ключ, которым эти данные можно расшифровать. Так пользователь расшифровывает только ту информацию, к которой имеет доступ, а остальные данные продолжают оставаться нечитаемыми и бесполезными.

Шифрование позволяет значительно снизить риск несанкционированного доступа, утечки информации и степени тяжести последствий возможных атак.

Защита информации компании

При условии, что данные клиентов уже защищены шифрованием, остается защитить то, что можно назвать коммерческой тайной. Например, сведения о текущей разработке нового продукта либо ноу-хау.

Самое важное для обеспечения защиты корпоративной информации — лояльность всех сотрудников, работающих с такой информацией

Недовольный сотрудник может намеренно раскрыть информацию, а конкуренты — переманить сотрудников, чтобы завладеть их знаниями. Даже если сотрудники не выдадут коммерческую тайну бывшего работодателя в явном виде, они могут использовать свои знания и навыки в дальнейшей работе на конкурентов. Поэтому самый разумный способ обеспечить защиту — сохранять лояльность сотрудников.

Наиболее эффективно защитить конфиденциальную информацию можно путем ограничения круга лиц, имеющих к ней доступ. Чем меньшему числу сотрудников приходится работать с конфиденциальной информацией, тем ниже будет вероятность ее умышленного или неумышленного раскрытия.

Однако, в действительности у большей части компаний нет коммерческих тайн, требующих защиты. Если у компании действительно есть секретная информация, ей следует спроектировать безопасную рабочую среду с привлечением специалистов. На ум приходят военные стандарты информационной безопасности.

Защита систем от вредоносного ПО и сетевых атак

Перед обеспечением защиты всегда полезно сначала провести оценку риска. Важность оценки возрастает, когда заранее известно, что обеспечить защиту на 100% невозможно.

Большой опыт в данной области накопили в авиации. Как пилот, имеющий допуск к правилам полетов по приборам, могу сказать, что в сложных метеорологических условиях я ожидаю, что некоторые системы самолета могут отказать. Я не отменяю полет из-за облачности или вероятности гроз. При этом я обязательно оцениваю риск и разрабатываю планы по снижению риска. Если метеоусловия ухудшатся, я могу изменить маршрут полета или даже уйти на запасной аэродром. Если произойдет отказ одной из бортовых систем, я могу продолжить полет с использованием резервной системы или выполнить посадку из предосторожности. Именно по этой причине критически важные системы самолета дублируются. Такой принцип также называют моделью швейцарского сыра — [Swiss Cheese Model].(https://en.wikipedia.org/wiki/Swiss_cheese_model).

К компьютерным сетям и программным комплексам можно применить модель швейцарского сыра

Предположим, с внешней стороны нашей сети установлен простой межсетевой экран. Его настройки пропускают весь сетевой трафик изнутри во внешнюю сеть (это означает открытый доступ к интернету), и мы используем NAT (трансляцию сетевых адресов). Данный межсетевой экран с NAT — это наш первый рубеж обороны или первый ломтик швейцарского сыра. Да, в этом ломтике есть дырки, но нет прямого способа установить подключение к внутренней системе извне.

Информационная безопасность
Простая сеть с ДМЗ

Одна из внутренних систем может опосредованно установить соединение с внешней сетью и начать передачу данных. На этот случай потребуется еще один ломтик швейцарского сыра и необходимо позаботиться о том, чтобы дырки в ломтиках не накладывались друг на друга и не позволяли проблеме пройти насквозь.

Можно использовать операционную систему, менее уязвимую к атакам и вредоносному ПО: Linux и OS X защищены сильнее, чем Windows. Можно установить межсетевой экран напрямую в системе, которую необходимо защитить, и закрыть для этой системы многие каналы связи. Или можно создать подсеть, защищенную еще одним межсетевым экраном с более строгими правилами.

Информационная безопасность
Сеть с изолированными сегментами

Конкретные действия определяются с учетом возможностей используемых устройств и систем по противодействию атакам и с учетом угрозы, от которой необходимо защититься.

Еще одна важная сторона — потенциальный ущерб после успешной атаки или последствия отказов, вызванных заражением вредоносным ПО

Существуют примеры и из других отраслей, которые можно взять на вооружение. В подводных лодках есть независимые отсеки, позволяющие лодке остаться на плаву, даже если один затоплен. В отношении компьютерных сетей это означает, что необходимо создать подобные сегменты-отсеки, допуская, что посторонние лица могут получить несанкционированный доступ. Важно следить, чтобы критически важная информация и системы, необходимые для операционной деятельности компании, не размещались в одной и той же сети—отсеке. Так создается еще один ломтик швейцарского сыра.

Надежная защита редко бывает удобной. Надежные меры безопасности предполагают низкую степень доверия, и на их преодоление требуется много времени. Поэтому в надежную систему информационной безопасности изначально закладывается способность задержать потенциального злоумышленника, чтобы вовремя обнаружить проводимую атаку.

В физическом мире системы безопасности делают многоуровневыми для того, чтобы на прорыв каждого из уровней требовалось время. В компьютерной сети межсетевой экран может не только отклонять попытки установления соединения, но и поглощать TCP-пакеты, таким образом вызывая задержки, снижающие скорость работы средств злоумышленника.

Физическая изоляция сетей для повышения степени их защиты
Конфиденциальная информация, которая требует особой защиты, просто не должна размещаться в сети, подключаемой куда-либо. Возможно, потребуется применить настолько серьезный подход, что в нем будет учитываться даже радиоизлучение от сетевых кабелей и самой компьютерной системы.

На рисунке схематично показано, как можно обеспечить более высокий уровень безопасности:

Информационная безопасность
Передача данных при физической изоляции сетей

Вместо подключения сети с конфиденциальными данными и уязвимыми системами к другой сети применяется физическая изоляция (air gap). Для переноса данных через этот барьер можно использовать одноразовые носители: DVD-диски или USB-накопители.

Я рекомендую закупать USB-накопители случайным образом у разных компаний, которые не являются регулярным поставщиком организации. Это дает еще один уровень защиты от злоумышленников. Кроме того, я бы использовал любой носитель только один раз и только в одном направлении передачи данных.

Несомненно, применение физической изоляции сетей не подходит для любого онлайн-приложения. Но если данные настолько конфиденциальные, то им там в любом случае не место или как минимум не в открытом виде. Однако это решение подходит для защиты данных, например, учетных систем (system of record), от изменения посторонними лицами.

Физическая изоляция сетей вместе с антивирусной проверкой, проверкой достоверности данных и другими системами проверки, а также с контрольным журналом может значительно улучшить защиту.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *