Кібер-безпека – це кібер-здоров’я

Стадії, чинники та симптоми кібер-хвороб

Головне – це здоров’я. Буде здоров’я – буде все.

Банальний тост

Частина 1. Сім стадій і чинників кібер-хвороб

Кібер-здоров’я та інформаційна безпека систем і організацій аналогічні людському здоров’ю та медицині. Чому «хворіють» комп’ютерні системи організацій? В інформаційних системах (застосунках, веб-сайтах, мережах і організаціях у цілому) можна виділити такі ж стадії та чинники хвороб, як у людському організмі:

1. «Погана спадковість». Програмне забезпечення або конфігурації можуть охоплювати або використовувати ненадійні застарілі компоненти. Це приклад технічної вразливості безпеки.
   
   Під уразливістю розуміється внутрішній недолік програмного продукту, інформаційної системи або всієї організації. Найрізноманітніші уразливості періодично виявляються у різноманітних системах – від iOS, Android та Chrome до програмного забезпечення роутерів, електромобілів і навіть промислового обладнання. У багатьох випадках, особливо коли активовано автоматичне оновлення систем, уразливості швидко усуваються. Але іноді з різних причин зловмисникам вдається скористатися ними та проникати в системи.
   
   Одними з найбільш серйозних вразливостей останнім часом стали уразливості Meltdown та Spectre, виявлені майже у всіх сучасних мікропроцесорах: від телевізорів і смартфонів до серверів і робочих станцій. При цьому після випуску виправлень цих вразливостей проблеми не закінчилися, тому що дані виправлення знизили продуктивність комп’ютерів та інших пристроїв. Уявіть шкоду сучасній економіці, що змушена миритися з уповільненням всіх цифрових пристроїв у світі на величину від 5 до 50%!
   
   Ми зустрічали компанії, для яких таке зниження продуктивності їхніх серверів виявилося настільки критичним, що загрожувало виживанню цих компаній через уповільнення технологічних операцій. І ці компанії відмовлялися від виправлення вразливостей, знаходячи різні альтернативні обхідні шляхи й компенсуючі заходи, щоб не опинитися зламаними хакерами.
   
   Говорячи про вразливість, потрібно також згадати поняття загрози. На відміну від уразливості, загроза – це зовнішній по відношенню до системи чинник. Наприклад, комп’ютерні віруси, хакери, скривджені співробітники, конкуренти або стрибок напруги, який може знищити інформацію. Для кожної індустрії існує свій набір типових загроз, хоча їхня величина оцінюється індивідуально для кожної організації.
2. «Недотримання гігієни», «безладні статеві зв’язки» тощо призводять до зараження. Так само, недотримання кібергігієни – безладне використання ненадійних веб-сайтів, програмних продуктів, компонентів, технологій, може призвести до інфікування або створення «дірки» в безпеці.
   
   Досить поширені випадки, коли бухгалтер підприємства використовує робочий комп’ютер для особистих цілей, переходить на заражений веб-сайт, і шкідливе програмне забезпечення через відкрите вікно клієнт-банку переводить гроші з рахунку підприємства на рахунок зловмисника. Повернути назад ці гроші практично неможливо, тому що операції здійснюються з використанням цифрового підпису підприємства.
   
   Втім, подібні інциденти відбуваються з рахунками не тільки підприємств, а й фізичних осіб. Власне, зараження комп’ютерів і проникнення в них ми розглянемо в нашому наступному пункті переліку аналогій кібер-здоров’я та фізичного здоров’я.
3. «Інфікування та проникнення». Так само як всередині організму постійно існують тисячі різних мікробів: бактерій та вірусів, не завдаючи шкоди людині, в системах завжди присутні технічні уразливості, які не призводять до інцидентів безпеки до певного часу. При поєднанні декількох зовнішніх (середовище) і внутрішніх (імунітет) умов інфекція починає розвиватися.
   
   Аналогічно, при поєднанні зовнішніх і внутрішніх обставин (певні набори загроз і вразливостей безпеки) відбувається інцидент безпеки, який завдає певний збиток. Так само як людина може померти від хвороби, організація може припинити своє існування в результаті, наприклад, витоку або крадіжки критично важливої ​​інформації.
   
   Тут хочеться навести яскраві приклади, що показують, наскільки близько пов’язана кібербезпека з фізичною безпекою.
   
   За останні 5 років було кілька випадків хакерських атак на лікарні в США та Великобританії з метою відключення свідків злочинів від апаратів життєзабезпечення, підключених до комп’ютерних мереж. Деякі з цих атак досягли своєї мети, і злочинці позбулися небажаних свідків, які посилено охоронялися фізично, але недостатньо – у віртуальному світі.
   
   У 2017 році була здійснена хакерська атака на нафтопереробне підприємство в Саудівській Аравії. Зловмисники змогли модифікувати роботу промислового обладнання, викликали витік і займання нафтопродуктів. У результаті цього інциденту загинули люди.
4. «Відсутність щеплень (вакцин)». Розробники ПЗ, системні адміністратори та фахівці з інформаційної безпеки, як правило, мають деякий досвід роботи з технічними вразливостями, загрозами безпеці та кібератаками, але цей досвід може не охоплювати багато специфічних уразливостей і загроз. Відсутність правильної профілактики цих специфічних негативних чинників є передумовою «захворювання» – інциденту безпеки.
   
   Усунення технічних вразливостей – не завжди тривіальна задача. Як було згадано вище, іноді оновлення та виправлення приносять більше проблем, ніж усувають. Наприклад, одна з компаній, яка розробляє медичне програмне забезпечення, замовила в нас тестування на проникнення для своєї системи. Ми знайшли ряд критичних вразливостей і написали звіт про них. Розробники їх виправили та направили систему на повторне тестування. Ми виявили, що при виправленні старих уразливостей розробники додали досить багато нових.
   
   Ми зрозуміли, що такими темпами програмне забезпечення ніколи не буде безпечним, і зайнялися навчанням розробників безпечному кодуванню та перевіркою змін, які вони роблять, перед випуском нових версій. Тільки так вийшло забезпечити безпеку цього соціально важливого програмного продукту.
5. «Незбалансоване харчування». «Травлення» будь-якої організації – це її бізнес-процеси та технологічні процеси. Тому тут за аналогію можна уявити недостатню організаційну безпеку: безлад із документацією, відповідальністю, інвентаризацією, управлінням змінами тощо. Це призводить до всіляких втрат та інцидентів безпеки.
   
   З іншого боку, зайва бюрократизація, документування, санкціонування шкідливі для бізнесу, тому що гальмують його. Тому тут так само важливий оптимальний баланс, як і при харчуванні. «Шкідливе харчування» – це погана організація процесів.
   
   Майже будь-якій компанії дуже складно отримати внутрішню мотивацію виконувати збалансоване управління бізнес-процесами. Абсолютно аналогічно, людині часто складно дотримуватися правильного харчування. Тут набирають чинності зовнішні стимули. У випадку з людиною – рекомендації лікарів, тренерів і близьких. У випадку з організаціями – вимоги регуляторів і закони.
   
   Прикладів чимало. Як відомо, сучасний автомобіль перестав бути тільки засобом пересування. Тепер це скоріше комп’ютер на колесах.
   
   Як і багато інших галузей, європейська автомобільна промисловість прагне скоротити витрати на ІТ, і делегує розробку програмного забезпечення у Східну Європу, де зарплати розробників нижче, ніж в Європі, а якість продуктів вище. Однак разом із таким делегуванням зростають ризики інформаційної безпеки. Тому автовиробники розробили набір вимог VDA ISA і механізм сертифікації ENX TISAX, які допомагають досягти правильного й збалансованого управління процесами інформаційної безпеки в організації.
   
   Кілька східноєвропейських ІТ-компаній з нашою допомогою впровадили дані вимоги, отримали офіційні сертифікати європейського автопрому і нові великі замовлення в Європі. Виходить, що компанія в хорошій формі настільки ж приваблива на ринку послуг, наскільки й людина в хорошій формі користується успіхом протилежної статі.
6. «Ослаблення організму через важкі умови праці». Персонал організації настільки завантажений повсякденною рутиною, що жертвує активністю, спрямованою на безпеку. Ця активність, як і здоровий спосіб життя, зазвичай не приносить швидкого відчутного результату, тому часто недооцінюється.
   
   Пам’ятаєте фільм “Як вкрасти мільйон” з Одрі Хепберн? Герої фільму, для того, щоб вкрасти з музею свою сімейну реліквію, скористалися найпростішим бумерангом, який “задовбав” охоронців музею спрацюванням сигналізації, змусив їх подумати, що вона вийшла з ладу, і змусив відключити її, щоб вона не будила їх.
   
   Приблизно такі ж прийоми використовують хакери для проникнення у системи організацій. Відволікаючий маневр виконується зовсім не там, де планується реальна атака.
   
   Однак фахівці з безпеки теж не “ликом шиті”. Вони користуються такими самими стратегіями та створюють ханіпоти та ханінети (honeypots and honeynets) – штучні “пастки”, що імітують реальні системи, але є просто марними віртуальними хостами, що відволікають хакерів і витрачають їхній час і ресурси. Існує цілий клас програмного забезпечення класу Deception – обманки.
   
   Сучасні війни ведуться непомітно, у віртуальному світі. При цьому мистецтво ведення бойових дій мало змінилося за 2,5 тисячі років, коли Сунь Цзи написав свій знаменитий трактат “Мистецтво війни”, який до цього часу є настільною книгою американських спецслужб.
7. «Хронічна та гостра патологія». Інциденти безпеки, як і хвороби, можуть протікати довго та приховано, або швидко та болісно. Збиток від інцидентів може бути непомітний, але при цьому акумулюватися згодом, підриваючи загальне здоров’я системи або організації. Уразливості та дрібні інциденти можуть накопичуватися, щоб прорватися в найтоншому місці, в найбільш невідповідний момент.
   
   Тут було б доречно навести приклад класичної атаки “скибочка салямі”. Успішно проникнувши у фінансову систему, зловмисник може здійснити разову велику крадіжку та швидко демаскувати себе, а може налаштувати автоматичне регулярне списання невеликої малопомітної суми. За місяці та роки роботи такої “закладки”, збиток власника рахунку та дохід хакера може накапати до вельми великих розмірів.
   
   Приблизно так само хронічні захворювання організму довго та непомітно підривають загальне здоров’я людини.

* * *

Подібні аналогії дозволяють поглянути на проблеми кібербезпеки з нової точки зору, по-новому систематизувати негативні чинники інформаційної безпеки, щоб нічого не упустити та переосмислити пріоритети захисту.

Варто також відзначити, що описані вище стадії та чинники хвороб застосовні не тільки до технічних компонентів інформаційних систем, а й до людських. Якщо грубо розглядати співробітника організації як компонент її інформаційної системи, то необхідно також оцінювати психологічні уразливості (недбалість, балакучість, хвастощі, страх, схильність до впливу тощо). Ці людські уразливості також часто стають причинами інцидентів безпеки.

Соціотехнічна безпека – це окремий всесвіт. Про соціальну інженерію, тобто, проникнення в організацію або крадіжку її секретів за допомогою психологічного впливу на її співробітників, написано багато захоплюючих книг.

Частина 2. Сім симптомів кібер-хвороб та діагностичних ситуацій

Як вам зрозуміти, що ваша організація або стартап потребують діагностики? Як не втратити потрібні моменти? Як розпізнати початкові симптоми? Знову користуючись прийнятою аналогією та перерахованими вище чинниками, можна відзначити наступні ситуації, що вимагають кібердіагностіку:

1. «Вагітні». Авторам ідей, архітекторам і розробникам ПЗ не слід чекати, поки вони стануть «вагітними» планами розробки своїх продуктів, а слід закладати в них безпеку ще до їх «зачаття». Провести технічну оцінку безпеки продукту на етапі PoC (Proof of Concept), MVP (Minimum Viable Product) та beta-version – це те ж саме, що УЗД плоду на 13-й, 22-й і 33-й тижнях вагітності. Must have.
   
2. «Новонароджені та діти». Низька безпека вашого продукту може підірвати його успіх, так само як погане здоров’я дитини може зіпсувати йому життя або навіть забрати його. Наскільки часто водити дитину на діагностику, в основному, кожен батько вирішує для себе, в міру своєї компетентності, тривожності або безтурботності. Але є й зовнішні вимоги, без виконання яких не вийде віддати дитину в дитячий сад, школу, басейн або літній табір. І про це окремий пункт.
   
3. «Зовнішні вимоги». Так само, як в деяких випадках (залучення до освітньої установи, робота, регулярні огляди) від нас вимагають ту чи іншу медичну довідку (наприклад, про флюорографію), існують вимоги державних органів, регуляторів і партнерів, які змушують проходити регулярні аудити безпеки. В тому числі технічну оцінку та тестування на проникнення. У розвинених країнах (США, ЄС) для важливих галузей (енергетика, платіжні системи, та ж сама охорона здоров’я) ці вимоги закріплені законодавчо.
   
4. «Епідемія». Так само як у випадку вірусної епідемії у певній місцевості, у певних індустріях або типах організацій, існують підвищені загрози певних видів кібератак. Наприклад, практично всі сучасні державні конфлікти, суперечки та суперництва (Ізраїль і Палестина, Північна Корея і США, Китай і США, США та Росія, Великобританія та Росія, Україна та Росія тощо) не обходяться без кібер-війн. Якщо ваші користувачі знаходяться в одній із цих країн, або ваш продукт певним чином пов’язаний із такими конфліктами, існує підвищена небезпека вашого залучення у кібер-війну. На відміну від традиційних війн, кібер-війни відбуваються непомітно, але при цьому сторони наносять один одному мільярдних збитків. Схожі війни, хоча й в меншому масштабі, відбуваються у висококонкурентних комерційних середовищах.
   
5. «Рецидиви». Якщо ви часто хворіли якоюсь легкою хворобою або хоча б один раз важкою, ви будете приділяти увагу діагностиці саме цих захворювань. Так само, якщо ви раніше стикалися з інцидентами безпеки, викликаними певними уразливими (слабкі паролі, відсутність резервування тощо) або загрозами (злом веб-сайту, злом облікового запису соціальної мережі, крадіжка ноутбука тощо), ви будете приділяти увагу та відстежувати саме ці негативні чинники. Хоча і є загальне правило «не можна увійти в одну річку двічі», поет-сатирик додає, що при цьому цілком можна вступати «в одне лайно багаторазово». І про це наступний пункт.
   
6. «Профілактика». Так само як корисно спостерігати, чим хворіли ваші батьки, друзі, знайомі та оточення, і вживати заходів обережності, корисно відстежувати, з якими проблемами безпеки стикаються інші організації. Завжди вигідніше вчитися на чужих помилках, ніж на своїх. Так само як досвідчена й мудра людина проходить регулярні медичні обстеження, ковтає вітаміни взимку або робить щеплення перед подорожжю в Африку, потрібно вживати заходів безпеки та діагностувати технічні уразливості в потрібні моменти. Наприклад, коли створюється проект нової системи; коли планується велика зміна в мережевій інфраструктурі; коли звільняється співробітник, який мав доступ адміністратора; коли ви розумієте, що недбалість персоналу підвищилася; коли накопичуються дрібні проблеми безпеки (до того, як вони переростають у великі); коли планується IPO, ICO, злиття та поглинання компаній. Для безпеки вкрай важливо не випустити подібні моменти. В інформаційній безпеці є вдалий термін “security hardening” (кібер-загартування), який добре відображає ідею профілактики.
   
7. «Психологічна допомога». Зрештою, безпека, як і здоров’я, – це не тільки стан, а й відчуття. Іншими словами, крім об’єктивної безпеки, існує її суб’єктивна складова. Цілком природно, коли ви не впевнені у своєму фізичному або емоційному здоров’ї, ви проходите медичну діагностику або йдете до психолога. Так само, коли ви не впевнені у ваших системах або персоналі, ви проводите аудит або тестування на проникнення з метою виявлення технічних і соціотехнічних вразливостей.

Частина 3. Кібер-гігієна та діагностика

Для профілактики кібер-заражень і кібер-травм дуже важливо дотримуватися кібергігієни: користуватися легальним програмним забезпеченням, завантажувати його з надійних джерел, не переходити по ненадійним посиланням, створювати довгі складні паролі тощо. Чим більше цих правил, тим важче їх виконувати, і вони знижують зручність роботи. На допомогу приходять системи безпеки.

Сучасні імениті антивіруси Norton Symantec, McAfee, Kaspersky тощо – це начебто набір вітамінів, антибіотиків, шприців, тонометрів та ватно-марлевих пов’язок. Набір досить широкий, але не універсальний. Особливо коли мова йде про безпеку розробки програмного забезпечення. Користуючись аналогією, існують ще «виробники обладнання МРТ, УЗД і рентгенівських апаратів». Це сегмент спеціалізованої глибокої діагностики. У цьому сегменті працюємо ми та такі компанії як Qualys, Acunetix, Tenable, Rapid7, IBM, Veracode тощо.

Навіть найкраще обладнання в руках непрофесіоналів – це купа заліза. Ми – професіонали з діагностики та визначення способів «лікування» систем, а також зі «здорового способу життя» систем та організацій:

• Щоб знайти найбільш важливі ділянки вашої безпеки, які вимагають поліпшення, ми моделюємо дії хакерів та інших зловмисників. Дізнайтеся більше про тестування на проникнення та отримайте безкоштовну консультацію.
  
• «Розумна» безпека будується вже на найранніших стадіях створення інформаційних систем і організацій: на етапах розробки, вибору, покупки та впровадження систем, укладення договорів із партнерами, найму співробітників, вибору офісів, опису операцій та інших ситуацій, помилки в яких можуть послабити систему, інфраструктуру або організацію в цілому. Тому ми не тільки визначаємо наявність «хвороб і слабкостей» у системах до того, як вони будуть фактично інфіковані або атаковані, але й ліквідуємо найранніші передумови виникнення таких недоліків і слабкостей. Така завчасна профілактика досягається за допомогою впровадження систем управління інформаційною безпекою та їх сертифікації на відповідність ISO 27001, PCI DSS та іншим стандартам, а також за допомогою безпеки життєвого циклу програм (SDLC).

Крім сервісу діагностики, ми також виготовляємо «діагностичні системи», які надаємо нашим користувачам безкоштовно. На жаль, люди часто більш схильні шукати просту й універсальну автоматичну діагностику, і таку ж універсальну «пігулку від усіх хвороб», ніж звертатися до професіоналів за точним діагнозом, і тим більше ніж вести здоровий спосіб життя. Це справедливо щодо здоров’я як систем, так і людей. Тому завдання наших безкоштовних сервісів – привернути увагу «пацієнтів», щоб показати складність проблем безпеки та розвінчати міф, що існує якась проста панацея від усіх проблем безпеки.

Зверніться до нас за професійною діагностикою та «лікуванням» ваших систем, мереж, персоналу та організації в цілому. Займіться цим сьогодні, адже неприємний сюрприз може трапитися в будь-який момент.