От правила “3-2-1" к правилу “3-2-1-0". Как расширить золотой стандарт резервного копирования с учетом типовых ошибок информационной безопасности при его проектировании.
Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
Защита информационных активов организации (баз данных, файловых хранилищ, конфигураций технологических систем, программных и аппаратных средств инфраструктуры, виртуальных машин) включает процессы резервного копирования и, в случае компрометации, восстановления их доступности. Построение надежной системы резервного копирования и восстановления является комплексной задачей и требует детальной проработки вопросов обеспечения безопасности.
Золотым стандартом надежного резервного копирования считается правило "3-2-1", которое гласит, что необходимо иметь не менее трех резервных копий всех данных, хранимых не менее чем в двух хранилищах с разными типами физических носителей, одно из которых должно находиться на удаленной площадке. Но этот принцип не учитывает угрозы, которые могут быть реализованы злоумышленником, скомпрометировавшим инфраструктуру организации, а именно – нанесение максимального ущерба и невозможность быстрого восстановления технологических и бизнес-процессов.
Сформулируем принципы, позволяющие расширить правило за счет дополнения его аспектами мер и решений в области ИБ. Рассмотрим типовые ошибки в области информационной безопасности при организации резервного копирования.
Правило "3-2-1"
Правило "1" определяет необходимость хранения резервных копий отдельно от инфраструктуры организации на удаленной площадке. Чаще всего такой площадкой выступает выделенное серверное или облачное хранилище, изолированное межсетевым экраном от основной инфраструктуры, но наличие постоянного двунаправленного канала в такое хранилище открывает дорогу злоумышленнику. В первую очередь, это связано с тем, что программные средства защиты, обеспечивающие сопряжения сетевых сегментов, могут иметь уязвимости "нулевого дня", а также ошибки в конфигурации, или допускать для атаки использование вполне легитимных протоколов. Что, в свою очередь, позволяет провести рекогносцировку сети, программных и аппаратных средств хранилища и в конечном итоге осуществить несанкционированный доступ.
Атаки, в которых злоумышленник смог дойти до системы хранения резервных копий, то есть осуществить несанкционированный доступ к ресурсам хранилища и зашифровать или уничтожить все хранящиеся в нем резервные копии, чаще всего становятся разрушительными. Такой сценарий является наиболее экстремальным и часто приводит к точке невозврата для организации, так как лишает ее возможности восстановить утраченные в результате кибератаки данные и инфраструктуру. Таким образом, недостаточно полная МУиН (модель угроз и нарушителей) и недооценка злоумышленника при построении процесса резервного копирования могут привести к непоправимым последствиям.
Безопасным и архитектурно правильным подходом будет построение удаленного хранилища, устойчивого к угрозам, связанным с несанкционированным доступом к его компонентам, сканированию состава его технических средств, топологии сети, эксплуатации двунаправленных протоколов обмена с сетью хранилища. На практике это означает построение хранилища, изолированного на аппаратном (физическом) уровне. Аппаратные решения предполагают, что использование двунаправленных протоколов должно быть невозможно именно на физическом (L1) уровне модели OSI. Решениями, которые обеспечивают такую защиту являются однонаправленные шлюзы или диоды данных. Они обеспечивают разрыв двунаправленных протоколов, которые, в том числе, используются для удаленного несанкционированного доступа, а также защиту от сканирования сети и узлов сети хранилища, что существенно сужает возможности злоумышленника.
Хранилища резервных копий, отделенные от основной инфраструктуры диодом данных, получили название "хранилища черного дня". Они являются максимально изолированными решениями, построенными на непрерывно функционирующих физически однонаправленных транспортных системах, а также используются как последний доступный инструмент восстановления данных.
Правило "2" касается вопросов проектирования хранилища резервных копий и выбора дня него технических средств и носителей информации. Оно является самодостаточным и напрямую не влияет на безопасность хранилища.
Правило "3" требует иметь не менее трех резервных копий всех данных, но не учитывает другой широко распространенный вектор атаки на хранилище резервных копий – его заражение вредоносным программным обеспечением, например шифровальщиком, или заражение самой резервной копии, которая при попытке восстановления снова скомпрометирует инфраструктуру организации. Оба сценария использования данного вектора атаки эксплуатируют недостаток многих систем резервного копирования, которые не имеют интеграции с системами антивирусного контроля или динамического анализа. Попадание зараженного файла в хранилище резервных копий является недопустимым событием.
По правилу "3" все создаваемые копии должны быть проверены на наличие вирусного заражения, причем как в момент входа – до поступления в систему резервного копирования, так и периодически – в процессе хранения данных в самом хранилище. Напрямую интегрировать систему резервного копирования и СЗИ не всегда представляется возможным. В значительной степени ответственность за безопасность передаваемых данных должна брать на себя транспортная подсистема, то есть однонаправленный шлюз или диод данных. Такие СЗИ относятся к классу междоменных решений (МДР), задачей которых является обеспечение контроля за передаваемыми потоками данных, в том числе на основании выводов о безопасности данных от профильных СЗИ, таких как антивирус, песочница, система предотвращения утечек и др.
Использование двух профильных СЗИ обусловлено их наличием в двух различных сетевых сегментах: корпоративном и сегменте хранилища черного дня. Такой подход повышает уровень защищенности за счет невозможности изменить конфигурацию СЗИ, расположенного за диодом данных. Злоумышленнику потребуется скомпрометировать оба сетевых сегмента, что существенно усложнит атаку или сделает ее невозможной, и даст дополнительное время службе информационной безопасности на ее обнаружение. В условиях получения комплексного решения с однонаправленным шлюзом такая система обладает высочайшим уровнем стойкости к внешним атакам.
Еще одной из возможных ошибок организации процесса резервного копирования, связанной с правилом "3", является отсутствие контроля за целостностью хранящихся резервных копий. Из-за различных аппаратных и системных ошибок файл резервной копии может быть поврежден, что не позволит провести процедуру восстановления. Для обеспечения контроля могут использоваться файлы контрольных сумм, которые были рассчитаны до попадания резервной копии в хранилище черного дня. Такие файлы хранятся рядом с резервными копиями и должны регулярно сверяться с текущими контрольными суммами резервных копий. В случае, если возможность формирования контрольных суммв системе резервного копирования отсутствует, эту задачу может взять на себя МДР, которое формирует контрольную сумму при передаче резервной копии в хранилище и помещает файл контрольной суммы в ту же директорию.
Правило "3-2-1-0"
Правило "3-2-1" учитывает только аспекты процесса резервного копирования, который логически неотделим от процесса восстановления, хотя каждый из них выполняется отдельно – организационно и пространственно. Поэтому острым остается вопрос организации соединений изолированных хранилищ резервных копий (как хранилища черного дня, так и любых других отделяемых хранилищ) с менее доверенной или уже скомпрометированной инфраструктурой организации. В случае, если последствия атаки не были полностью нейтрализованы или атака еще развивается, существует риск заражения, повреждения или уничтожения резервных копий из хранилища. Для гарантии безопасности сохраненных резервных копий нужно стремиться к минимизации соединений хранилища черного дня с менее доверенными сегментами, в том числе нужно минимизировать время сопряжения сегментов по двунаправленным каналам. Двунаправленные каналы могут быть использованы не только для восстановления или контроля, но и для организации атаки. Таким образом, должно быть сформулировано еще одно правило – "0", которое расширяет правило "3-2-1": хранилище черного дня не должно соединяться с другими сетями постоянным двунаправленным каналом. Необходимо использовать альтернативные инструменты, которые могут использоваться для передачи резервных копий из хранилища и для контроля состояния хранилища.
В качестве возможного технического решения может выступать диод данных, направленный из хранилища резервных копий, с помощью которого можно передавать копии в открытую инфраструктуру организации. Наличие двух разнонаправленных диодов данных не открывает возможности непосредственного использования двунаправленных сетевых протоколов и не расширяет поверхность атаки на хранилище.
Альтернативным может стать средство временной коммутации сетей (InfoRelay), которое позволяет соединять сеть организации хранилища черного дня с временным и строго регламентированным каналом. Если такой временный канал является двунаправленным, что может требоваться при проведении некоторых видов работ, то его использование требует применения дополнительных компенсирующих мер защиты и особой осторожности.
Таким образом, "золотое и безопасное" правило резервного копирования должно звучать следующем образом:
- "3": необходимо иметь не менее трех резервных копий данных, каждая из которых прошла проверку профильными СЗИ и контроль целостности.
- "2": резервные копии должны размещаться не менее чем в двух хранилищах с разными типами физических носителей.
- "1": хотя бы одно из хранилищ резервных копий должно являться хранилищем черного дня, изолированным от основной инфраструктуры диодом данных, и размещаться на удаленной площадке.
- "0": хранилище черного дня не должно соединяться с другими сетями постоянным двунаправленным каналом. Желательно исключить такие соединения даже при восстановлении информационных систем после успешной атаки.
Для реализации первых трех из вышеуказанных принципов может применяться МДР InfoDiode [1] от АМТ-ГРУП. В его основе используется однонаправленный шлюз АПК InfoDiode PRO, который гарантирует отделение сетей на физическом уровне за счет гальванической и оптической развязки сетевых сегментов. В МДР InfoDiode реализованы внутренние политики контроля передачи данных, интеграция с антивирусными системами и песочницами, а также возможность формирования контрольных сумм для резервных копий. Для реализации четвертого принципа при восстановлении инфраструктуры после успешной атаки помимо однонаправленного шлюза АПК InfoDiode PRO может использоваться АПК InfoRelay от АМТ-ГРУП, позволяющий создавать временный строго регламентированный одно- или двунаправленный канал с хранилищем резервных копий.
Реклама: АО "АМТ-ГРУП". ИНН 2SDnje7DaPB. Erid: 2SDnje7DaPB