Корпоративная кибербезопасность меняет парадигму: вместо попыток полностью предотвратить атаки компании учатся жить с неизбежными взломами, фокусируясь на защите критических данных. В условиях устаревших цифровых систем и растущих угроз на первый план выходит управление видимостью информации — от шифрования до динамического маскирования. Почему именно данные становятся новой линией обороны бизнеса — в разборе IT-World.
Корпоративная кибербезопасность потихоньку сдает свои позиции. От «защиты» (превентивной безопасности и блокировок действий злоумышленников) 90-х и нулевых, через «мониторинг и реагирование» десятых мы пришли к «недопустимым событиям» текущего времени, то есть допускаем не только присутствие злоумышленников в нашей сети, но и их вредоносную активность, главное, чтобы не реализовались критические угрозы.
Недавнее выступление одного из руководителей безопасности на конференции, в котором он рассказывал о том, как его команда обнаружила и вычистила из своей инфраструктуры преступную кибергруппировку, вызвало двоякое ощущение — с одной стороны, они безусловно молодцы, в том числе и своей открытостью, но еще 10 лет назад за то, что во вверенной инфраструктуре три дня резвились киберпреступники, не хвалили, а увольняли. Сегодня не увольняют даже за серьезные инциденты — русский фольклор имеет на этот случай достаточно пословиц: про курс битых к небитым, про сор из избы и т. п.
Внутренняя информационная безопасность — обзор решений и практик для бизнеса
Причины такого изменения риторики кибезащитников тоже понятны: эксплуатируемые сегодня цифровые системы проектировались в совсем других геополитических реалиях, в которых не было открытой кибервойны, закладок в опенсорсе, тысяч хактивистов и политически мотивированных инсайдеров, готовых из чувства протеста или за возможность уехать ткнуть во вредоносную ссылку или загрузить опасное программное обеспечение. Операции цифровых систем реализованы в сотнях приложений, которые ежедневно меняются, как и их инфраструктура, поэтому любое вмешательство в процесс может остановить полезную для бизнеса функцию. Неудивительно, что безопасники перешли в пассивный режим и предпочитают наблюдать и реагировать только тогда, когда вредоносная активность уже очевидна. Сегодня иногда даже проще не сопротивляться атаке, а просто уничтожить зараженную инфраструктуру самому и быстро восстановиться.
Пока создадутся и будут введены в эксплуатацию новые цифровые системы на новых принципах нулевого доверия (zero trust), встроенной безопасности/безопасности по умолчанию (security by design/security by default), политики как код (Policy-as-a-Code), где архитектурно будут усвоены уроки последних лет, пройдет еще десяток лет. Как жить с продолжающимися эксплуатироваться цифровыми системами сегодня, когда их принципиальная взламываемость очевидна?
Пока мы ждем новой, безопасной цифровой среды, многие компании озаботились защитой данных как той ценности, за которой часто охотятся злоумышленники. Защита данных, часто именуемых топливом цифровой экономики, — очень контекстная задача. То есть нужно их защищать в зависимости от того, кто, когда, из какого приложения за ними обратился, и если продолжить аналогию с топливом, вам нужно фильтровать его, не останавливая подачу в двигатель. В идеале, чтобы похититель не смог его задействовать, хорошо бы само топливо было негорючим и только в момент использования превращалось бы в «источник энергии». Оказывается, есть подходы, которые могут помочь приблизиться к идеалу.
Управление видимостью данных — довольно молодая комплексная дисциплина, характеризующая гибкий инструмент управления доступом, состоящая из определения мест хранения данных, процессов и смыслов их использования, а также фильтрации при любой выдаче — от запроса оператора до выгрузки части базы для обучения нейросетей.
За то, чтобы защитники знали, где и зачем лежат защищаемые данные, обычно отвечает ИТ или специализированное подразделение управления данными (CDO — Chief Data Officer). У них свои инструменты аудита и анализа, с помощью которых удается поддерживать актуальное понимание того, где какие данные находятся — в современном бизнесе накопление данных происходит практически в онлайне.
За то, какие данные какому сотруднику достаточны для выполнения поставленных задач, а без каких вполне можно обойтись, в бизнесе отвечают владельцы цифровых процессов. Например, при просмотре профиля клиента банка оператору необязательно видеть весь номер карты клиента, а лишь последние несколько цифр.
Сведя вместе эту информацию, можно построить модель доступа к данным, которая из-за того, что она определяет, кто, когда, какие данные, в каком виде может видеть, мы и будем в этой статье называть управлением видимостью данных.
Какие инструменты для управления видимостью данных можно использовать уже сейчас? Точные определения и детали легко найти в Сети, поэтому в рамках статьи сосредоточимся только на пользовательских сценариях.
Шифрование
Полностью обратимая замена данных на нечитаемые последовательности символов. Можно шифровать данные при хранении (чтобы их не украли вместе с носителем), можно шифровать при передаче — чтобы перехват данных не привел к их раскрытию. Плюсы очевидны: данные всегда надежно защищены. Минусов немного больше. Во-первых, шифрование данных — лицензируемая деятельность, инструмент сертифицированных под такую лицензию продуктов довольно ограничен, вы не можете выбирать алгоритм шифрования, вы будете обязаны выдавать шрифты шифрования по запросу компетентных органов и иметь для этого процесса соответствующую бюрократическую структуру.
Обзор российских решений для комплексной защиты бизнеса от киберугроз
Во-вторых, шифрование данных довольно ресурсоемкая задача, серьезно влияющая на работоспособность всей цифровой системы. Вроде бы удобно хранить данные зашифрованными и расшифровывать их при каждом обращении, но на нагруженных базах решение такой задачи выливается практически в удвоение вычислительной мощи.
В-третьих, количество бизнес-сценариев работы с зашифрованными данными довольно ограничено, разве что тестирование нагрузки. Бессмысленный набор символов, в который превращаются бизнес-данные при шифровании, нельзя анализировать, нельзя использовать в обработке, на них нельзя обучать нейросети. Поэтому шифрование используется в основном для хранения и передачи данных, но не при их обработке.
Токенизация
Часто для задач, решаемых шифрованием, можно использовать токенизацию — замену значащих данных на некую метку, «токен». Токен может быть бессмысленным набором символов, а может быть и осмысленным — например, персональные данные сотрудника в кадровых системах можно заменить на его штатный номер. Если в зашифрованном сообщении содержится вся информация (она просто скрыта по некоторому алгоритму), то в самом токене нет никакой информации, его утечка несущественна, связь его с реальными данными — хорошо защищенный справочник соответствия токенов реальным данным. Но пользовательских удобств по анализу, обработке и обучению он не добавляет, так как не несет в себе смысла и признаков данных.
Статическое маскирование
В бизнесе часто возникает необходимость обработать данные с помощью подрядчика с сохранением их смысла, но без раскрытия чувствительной информации: розыгрыш лотереи в системе лояльности ретейлера, расследование мошенничества в банке, обучение нейросетей, обогащение новыми данными операций клиентов партнерских компаний и т. п. Для этого при выгрузке данные «портят», но они остаются читаемыми человеком и их ключевые параметры сохраняются — фамилия остается не просто фамилией, а сохраняет национальную принадлежность (например, Хайретдинов - > Батретдинов), номер телефона заменяется несуществующим, но региональный код сохраняется и т. п.
С этими нереальными данными уже можно работать как с реальными без опасения нарушить конфиденциальность. При статическом маскировании в зависимости от бизнес-сценария администратор может выбирать, делать преобразование необратимым (например, для передачи на тестирование) или оставить возможность демаскирования конкретной записи (например, если выигравшему в лотерею надо будет вручить приз).
Динамическое маскирование
В отличие от статического маскирования, активного только при выгрузке данных, динамическое маскирование действует при каждом обращении к данным. Самое простое динамическое маскирование каждый из нас видит при входе в банковское приложение — большинство цифр на номерах карт и счетов забиты (замаскированы) звездочками или символами «х». Продвинутые системы динамического маскирования могут подменять данные на полностью читаемые, но несуществующие. Задача обратимости в динамическом маскировании обычно не стоит, основная его функция — дать пользователю минимальную видимость данных при возможности осуществлять целевую функцию.
Для задач аналитики обычно достаточно еще более грубого маскирования — вместо даты рождения, например, показывать не фейковую дату рождения, а возрастную категорию, типа 40–45 лет, вместо адреса показывать регион и тип населенного пункта — город, поселок, село и т. п. Обезличенные данные обычно интересны для сбора статистики — городские службы закупают такие данные у сервисов такси и сотовых операторов без привязки к персоналиям, это позволяет анализировать и прогнозировать транспортные потоки, проходимость точек общепита и решать другие задачи благоустройства городской среды.
К сожалению, сегодня на рынке нет единой платформы по управлению видимостью данных — технологически приходится собирать решения из отдельных продуктов и функций ИТ-продуктов, какие-то задачи решаются на уровне СУБД, какие-то на уровне приложений, какие-то на промежуточном уровне при передаче данных из СУБД в приложение.
Сегодня многие компании только в самом начале этого увлекательного пути в мир защиты данных — к этому подталкивают и реальные случаи атак с утечками, и регуляторы. Продвинутые системы, которые неминуемо будут построены, станут управлять видимостью данных, контролировать права доступа, мониторить активность пользователей и администраторов, управлять публикациям данных на внешних ресурсах, контролировать передачу ИИ-агентам и даже создавать фейковые массивы данных по типу сетевых ловушек. Также за пределами статьи остались модные сегодня за рубежом data security posture — управление видимостью опубликованных данных и много других интересных процессов и инструментов корпоративной безопасности уровня данных.
Какие из этих функций будут реализованы настройками новых цифровых систем, какие наложенными мерами, а какие платформами защиты данных, которые нам обещают аналитики и производители к 2030 году, каждый владелец цифровой системы будет решать сам. Увернуться от этой задачи, похоже, уже не удастся.