Чтобы правильно оценить уровень защищенности систем, первым делом нужно определить модель угроз компании и узнать, от кого защищаться.
Не моделируя возможные угрозы информационной безопасности, невозможно построить защищенную систему. Но если описаны:
- Угрозы безопасности — это возможная реализация атак или нарушение главных принципов информации: целостности, доступности, конфиденциальности.
- Модели нарушителя — это портреты хакеров, например, внешний злоумышленник со сканерами в арсенале, хакер в составе группировки, предприимчивый школьник или внутренний нарушитель.
- Способы реализации угроз — сценарии атак.
- Возможные уязвимости — бреши в ИТ-инфраструктуре компании: сайтах, приложениях, личных кабинетах и так далее.
- Последствия от потери или компрометации информации.
То становится ясно, как именно изменить системы, процессы и средства защиты, чтобы сократить риски и учесть максимум угроз информационной безопасности.
Собрав информацию, можно переходить к диагностике проблем — оценке защищенности. Это комплекс мероприятий, начиная от интервью разработчиков и администраторов, заканчивая проведением тестирования на проникновения. Например, при таком аудите можно обнаружить, что в компании отсутствует парольная политика или патч-менеджмент, в таком случае сложно сказать, что уровень защищенности компании высокий.
Глобально уровень защищенности системы определяет:
- Выполнение рекомендаций и лучших практик по настройке систем, например, CIS Benchmark.
- Наличие в компании выстроенных процессов ИБ, например, по управлению обновлениями, управлению уязвимостями, безопасной разработке.
- Осведомленность сотрудников о рисках информационной безопасности и правилам действий при социотехнических атаках.
- Наличие средств защиты информации и их правильная эксплуатация.
Проверка защищенности
Такие процедуры, как анализ защищенности и тестирование на проникновение, помогают определить новые угрозы и риски, а также проверить, насколько эффективно работают выстроенные контроли. Но для разного уровня развития ИБ в компании подойдут разные проверки.
Для начального уровня
Если в компании не выстроены ИБ-процессы, но есть много сайтов, сервисов и приложений, то начать можно, к примеру, с автоматизированного сканирования. В автоматическом режиме сканер проанализирует сервисы компании и выдаст отчет о том, что надо исправить.
Далее, то что не обнаружили сканеры, обнаружат специалисты, делая анализ защищенности, выявляя максимальное количество уязвимостей на ИТ-периметре и в сервисах уже в ручном режиме.
Цель анализа на этом уровне — выявление всевозможных рисков, их приоритезация и дальнейшее устранение. Это обезопасит бизнес от целенаправленных атак злоумышленников, не обладающих внушительными ресурсами и временем для взлома вашей системы.
Инструменты защиты, которые применяют в этом случае — ручное тестирование, anti-DDoS решения и доступные файрволы. Они позволяют найти всевозможные уязвимости ИТ-инфраструктуры: технические, логические и все те, что могут привести к мошенническим операциям или отказу обслуживания.
Онлайн-магазин или сервис в начале своего существования не интересен «серьезным» хакерам, но, по мере накопления клиентской базы и роста оборотов — бизнес становится мишенью для атаки. Количество желающих получить доступ к системе или персональным данным клиентов постоянно увеличивается.
Для среднего уровня
Когда все «дыры» в широком понимании закрыты, можно переходить к более сложным проверкам — имитации настоящей атаки. После теста на проникновения можно оценить насколько корректно работают средства защиты, как эффективно реагируют специалисты службы безопасности компании. ИБ-отдел исправит оставшиеся обнаруженные уязвимости. Так с каждым разом компания будет становиться все неприступнее.
Существенный уровень защиты — уже весомая причина, по которой большинство злоумышленников, откажутся тратить время на взлом компании. Но в случае целенаправленных атак — к взлому подключаются настоящие профессионалы и целые группы хакеров.
Для того, чтобы преодолеть существенный уровень защиты, злоумышленники вынуждены постоянно совершенствовать или даже разрабатывать специальные инструменты проникновения. На этом уровне речь не идет об одиночной атаке — на достижение цели тратятся месяцы и годы, а методы совершенствуются после каждой попытки, отброшенной мерами обнаружения и сдерживания.
Для высокого уровня
Для того чтобы защититься от злоумышленников с высоким уровнем подготовки и мотивации — недостаточно думать только о системе защиты от одиночной атаки или серии атак. Принципиальное значение приобретают процессы. Необходимо внедрить правила предоставления и отзыва доступа для каждого сотрудника, порядок мониторинга подозрительных активностей и реагирования на инциденты и прочие меры. Например, каждый сотрудник должен точно знать, что ему делать и к кому обратиться при получении подозрительного сообщения, обнаружении незнакомых файлов или программ на своем рабочем компьютере.
Для проверки безопасности на этом уровне, компании используют сложную имитацию атак — Red Team — это комплексная услуга, в которой содержится и пентест инфраструктуры и различных средств защиты, сетевых устройств (например, Wi-Fi), тестирование методом социальной инженерии: фишинговые рассылки, звонки, физическое проникновение и многое другое.
Факторы эффективной защиты
Проводить тестирование и проверки ИТ-инфраструктуры время от времени необходимо, чтобы повысить уровень внешней защиты. В результате — новые недостатки обнаруживаются и устраняются, до того как этим воспользуется хакер. Уровень защищенности внешнего контура от проведения проверок растет и компания становится труднодоступной для взлома.
Главный недостаток таких мер — непродолжительный эффект. ИТ-инфраструктура продолжает развиваться с учетом потребностей бизнеса и уровень защищенности снова скатывается к низкому.
Мы разработали решение для этой проблемы — Continuous Vulnerability Monitoring (CVM) — непрерывный мониторинг уязвимостей. Продукт позволяет поддерживать высокий уровень защищенности на постоянной основе. CVM — это SaaS-решение, позволяющее в режиме 24/7 тестировать инфраструктуру и приложения, проводить инвентаризацию сервисов, приоритезировать риски и строить аналитику.
Что в итоге?
Информационная безопасность компании — это ни константа, ни набор средств защиты и ни отдел по борьбе со вторжениями. Это длительный и сложный процесс. Для построения эффективной защиты необходим комплекс мер:
- Внедрение средств защиты информации и антифрод-решений.
- Выстраивание процесса безопасной разработки продуктов.
- Внедрение vulnerability management — управления уязвимостями.
- Проведение анализа исходного кода.
- Проведение анализа защищенности сетевой инфраструктуры, веб и мобильных приложений.
- Проведение оценки осведомленности сотрудников в вопросах информационной безопасности.
- Следование политикам безопасности, должностным инструкциям и другим правилам.
Об авторах
Александр Герасимов
Директор по информационной безопасности и сооснователь Awillix