Верить никому нельзя. Как Zero trust и другие подходы могут уберечь бизнес от киберугроз?

Данные — новый актив бизнеса и лакомый кусок для злоумышленников. Практически все сферы так или иначе соприкасаются с онлайном. Диджитализация проникает даже в государственные процессы, становится частью повседневности для миллионов украинцев. Это облегчает жизнь и открывает широкие возможности. Как на пути к новым горизонтам уберечь данные от злоумышленников, а репутацию бизнеса — от фиаско, я расскажу в этом материале.

Меня зовут Виталий Балашов, я руковожу подразделением инженеров по кибербезопасности в компании ЕРАМ. До карьеры в IT я был судебным экспертом и управлял лабораторией цифровой криминалистики в Харьковском НИИ судебных экспертиз им. Засл. Проф. Н.С. Бокариуса. Прошлый и нынешний опыт позволяют мне утверждать: фраза Натана Ротшильда "кто владеет информацией — владеет миром" применима не только к играм на бирже.

Моя задача в этом материале — немного систематизировать ваши знания и опыт, а также рассказать о современных тенденциях в сфере кибербезопасности.

Для начала — капля теории

Базовая триада информационной безопасности состоит из таких факторов:

• конфиденциальность информации: ваша система конфиденциальна, если к информации в ней может получить доступ только тот человек, который наделен этим правом;
• целостность информации: ваша система целостна, если вы предотвратили способы ее модификации, которые могут остаться незамеченными;
• доступность информации: ваша система доступна, если те пользователи, которые имеют соответствующие права, могут получить необходимую информацию.

Соблюдение этих норм настолько важно, что даже обозначено в Уголовном кодексе Украины. Статья 361 предусматривает ответственность за действия, которые привели к утечке, потере, подделке, блокированию охраняемой информации. Иными словами, закон на страже конфиденциальности, целостности и доступности данных.

Согласно классическому подходу именно эти три компонента необходимо обеспечить, чтобы данные были в безопасности. Однако мир меняется, а угрозы становятся изощреннее. Потому важно понимать: в плане безопасности нельзя выполнить определенный объем задач и забыть об этом направлении надолго. Стоимость взлома вашей системы всегда должна быть выше, чем ценность информации, — тогда защита сработает.

Сегодня триаду информационной безопасности можно дополнить как минимум такими требованиями:

• невозможность отказа. Это значит, что пользователь, который совершил определенное действие, не может от него отречься, заявить, что не выполнял его. Банальный пример: электронная подпись. Если файл ею подписан, владелец подписи не может оспорить этот факт. Соответственно, не может оспорить содержание и собственное подтверждение информации в документе;
• аутентичность. Это свойство, которое гарантирует, что данные, субъект или ресурс идентичны заявленным;
• валидация кода. Она позволяет удостовериться, что средства доставки и обработки данных (актива бизнеса, как вы помните) исправны и работают верно. Это важная составляющая безопасности.

Время начинать

Я часто слышу вопрос: "На каком этапе пора озаботиться безопасностью системы?". Конечно, сейчас есть популярный класс систем — RASP (Runtime Application Self-Protection), которые можно встроить в существующее приложение, чтобы усилить его защиту. Однако я уверен: нужно закладывать множество контролей, анализировать угрозы и считать риски изначально, на самых первых этапах.

Первым делом классифицируйте свои данные. Определите, какие из них публичные, а какие конфиденциальные (это может быть база данных клиентов, результаты исследований, ваши ноу-хау, другая информация). Простая проверка — вопрос себе: "Потеря каких данных доставит нам самые существенные неприятности?". Именно эту информацию надо защищать максимально.

Чем раньше вы начнете уделять внимание безопасности — тем лучше. Неважно, о чем речь: программном обеспечении, сети предприятия, устройствах... Проектирование безопасности должно быть неотъемлемой составляющей работы над проектом: начиная с идеи — заканчивая поддержкой. Такой подход называется Secure By Design, и мы в ЕРАМ применяем его на самом раннем этапе каждого внутреннего проекта. Убеждаем в этом и своих клиентов. К слову, в последнее время заказчики сами просят нас делать проекты Secure By Design. Я считаю, что это отличная тенденция, ведь такой подход позволяет сделать все изначально устойчивее, просчитать возможные риски и минимизировать  их согласно плану. А план неразрывно связан с бюджетом. Это значит, что все возможные затраты на безопасность изначально будут просчитаны и предусмотрены, а не выльются в неприятные сюрпризы в самый неподходящий момент

Конечно, не всегда получается применить подход Secure By Design. Но не сомневайтесь: к вопросу безопасности рано или поздно придется вернуться. И чем позже — тем дороже это будет стоить.

"Все врут" (с) доктор Хаус

Чуть ли не все громкие утечки информации происходят из-за того, что кто-то халатно относился к безопасности и слишком многое принимал на веру. Именно потому модель Zero trust строго и достаточно буквально декларирует нулевое доверие: всех и всё необходимо перепроверять, никому верить нельзя. По сути, люди бизнеса уже руководствуются этим принципом: например, заключая контракт даже с самым надежным заказчиком или поставщиком, внимательно перечитывают его, чтобы избежать неприятных сюрпризов в будущем.

В плане систем работает такая же логика. Больше того: зачем полагаться на человеческий фактор там, где технологии позволяют выстраивать надежные процессы и контроль? Любое движение в отношении ваших данных, ваших активов должно быть зафиксировано, а доступ к ним должен быть строго разделен между ролями по принципу наименьших привилегий. Это значит, что никто не должен иметь прав больше, чем необходимо для выполнения отведенных обязанностей. Касается, к слову, не только сотрудников.

Приведу пример. Допустим, у вас есть система складского учета. Часть информации в нее поступает из другой вашей внутренней системы. Должен ли сервер безоговорочно обрабатывать всю полученную информацию и сразу помещать ее в базу склада? Обезопасит ли систему то, что он настроен на получение сообщений сугубо из внутренней сети или только от одного хоста?

Ответ короткий и однозначный: нет и нет. В случае компрометации второй системы злоумышленник сможет сформировать вредный набор данных и модифицировать ваш складской учет. А если бы система складского учета перепроверяла, что получает, от кого и с какой периодичностью, то могла бы обнаружить проблему довольно быстро. Что уже говорить о взаимодействии с системами, находящимися за пределами вашего периметра.

Один из самых распространенных видов атак на сегодняшний день — атака посредством цепочки поставок (Supply Chain). Программное обеспечение сейчас состоит из множества компонентов, которые зачастую разрабатывают сторонние исполнители, а не люди внутри конкретной организации. Эти компоненты имеют свойство устаревать и обзаводиться бюллетенями публично известных уязвимостей. Бизнес должен контролировать надежность тех компонентов, которые предоставили ему сторонние вендоры, перепроверять каждый, независимо от иерархии, чтобы не оставить лазейки для злоумышленников.

Качественно спроектированная по принципу Zero trust система должна распознавать, когда что-то пошло не так. Проведу аналогию с системами охранной сигнализации. У них на кнопочном пульте есть два кода: один для снятия объекта с охраны, а другой — для такого же действия с последующим выездом бригады. Второй код необходим на случай, если человека угрозами заставляют открыть помещение. Это дополнительный контроль, который позволяет быть сильнее практически любого злоумышленника.

Технологии дают нам счастье не доверять, а проверять. Почему бы им не пользоваться?

А чтобы разобраться с тем, кому стоит поручать безопасность своей системы, рекомендую прочитать мой предыдущий материал.

Виталий Балашов