Сергей Груздев
Генеральный директор
компании «Аладдин Р. Д.»
компании «Аладдин Р. Д.»
Переоценка киберугроз:
выявление и устранение точек отказа
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Прогноз на 1 год
После начала СВО на рынке активно обсуждаются проблемы, связанные с ушедшими зарубежными вендорами и необходимостью замещения их решений российскими, фиксируется рост успешных атак на наши организации, утечек персональных данных, баз данных, содержащих критическую информацию.
Мы по-прежнему движемся по инерции, боремся с «плохими парнями», пытающимися взломать наши информационные ресурсы, пытающимися эксплуатировать уязвимости, подсаживать нам вирусы-шифровальщики, улучшаем защиту периметра, каналов связи…
Мы неправильно оценивали политические риски, архитектурные уязвимости, критические (технологические) зависимости и продолжаем тратить наши бюджеты на ИБ на борьбу с навязанными нам угрозами.
“
Сейчас самое время остановиться, системно и всерьез переоценить риски и угрозы для наших IT-инфраструктур, того, что и как мы понастроили под сладкие рассказы западных вендоров, в том числе про облачные сервисы, Security as a Service и прочие модные веяния, выявить и устранить точки отказа
Ключевой и самый критичный элемент практически в каждой российской IT-инфраструктуре, от которого зависит ее работоспособность, — это корпоративный центр выпуска и обслуживания цифровых сертификатов Microsoft СА (Certificate Authority).
Центр Сертификации — это основа доверенного взаимодействия всех компонентов в корпоративной сети. Центр Сертификации выпускает и валидирует машинные сертификаты для аутентификации серверов, роутеров, маршрутизаторов, точек доступа и всего прочего оборудования в Сети, а также программные и пользовательские сертификаты доступа.
- Проблема № 1— состоит в том, что работоспособность практически любой нашей IT-инфраструктуры зависит от MS CA. Полноценной альтернативы или аналога MS CA под Linux нет, наши надежды на Open Source не оправдались от слова «совсем».
- Проблема № 2— мы вынуждены мигрировать с Windows на Linux, но в Linux’е нет полноценного (корпоративного уровня) PKI. А без него не выстроить цепочки доверия — для оборудования, для ПО, для пользователей.
Если не разворачивать корпоративный PKI, то мы будем продолжать пользоваться паролями, а значит, не сможем контролировать наши аккаунты. И будем продолжать бороться с последствиями проводимых против нас атак, а не устранять их причину.
- Проблема № 3— в Linux (как в российских, так и в м/н проектах) нет не только полноценного аналога MS CA, но и клиентской части PKI, включая поддержку строгой двухфакторной аутентификации пользователей с использованием цифровых сертификатов, как это реализовано, например, в MS Smartcard Logon.
Строгая двухфакторная аутентификация пользователей для критических и госсистем — это must have, это требование российских ГОСТов по идентификации и аутентификации. Большинство успешных атак и утечек происходит именно из-за неправильно реализованной подсистемы аутентификации пользователей или неиспользования 2ФА и корпоративной PKI.
Для устранения одной из главных причин успешных кибератак нужно отказаться от использования паролей и переходить на использование СТРОГОЙ аутентификации с использованием аппаратных PKI-токенов и цифровых сертификатов. Электронные сертификаты выдает корпоративный Центр Сертификации, он выполняет функции третьей доверенной стороны, ему доверяют все, но не доверяют друг другу.
- Проблема № 4— совместимость с разными экосистемами. Windows — это большая и устойчивая экосистема. Мы живем и работаем в ней много лет, привыкли, создали множество приложений, и теперь взять и одномоментно перейти в другую экосистему (на Linux) никто не сможет, мы обречены еще достаточно долго как-то поддерживать ее и пытаться работать сразу в двух «мирах» — Linux и Windows.
Все это требует разработки и внедрения не просто аналога MS CA и MS Smartcard Logon, а гораздо более сложного инфраструктурного ПО, умеющего работать в двух параллельных «мирах», совместимого с разными домен-контроллерами и службами каталогов — MS Active Directory, Samba DC, FreeIPA, ALD Pro, РЕД АДМ, Альт Домен.
Многим российским организациям, пришедшим к пониманию важности этих проблем, придется заниматься их решением в приоритетном порядке в ближайший год.
Прогноз на 3 года
Построение безопасной доверенной IT-инфраструктуры
Россия вошла в фазу жесткого противостояния с коллективным Западом. Риски дальнейшего использования в отечественных информационных системах решений недружественных стран очень высоки Знания, на каком оборудовании и в какой среде работает информационная система, о заложенных в ее компонентах уязвимостях и закладках, позволят быстро и эффективно парализовать ее работу и вывести из строя объект КИИ. Невоенным путем и под чужим флагом каких-то «плохих парней» — хакеров.
Арсенал имеющихся в распоряжении наших противников, точнее — врагов, средств, использован далеко не весь. С нами пока лишь играют, варят на медленном огне…
“
А раз так, то наш фокус сейчас должен быть сосредоточен на обеспечении живучести и работоспособности наших IT-инфраструктур, на устранение узких мест, способных «положить» IT-инфраструктуру
Поэтому в ближайшие два-три года нам предстоит в приоритетном порядке решать проблему обеспечения доверия и безопасности наших IT-инфраструктур. Как?
- В первую очередь — заместить единую точку отказа — Microsoft СА (Certificate Authority). Это ключевой компонент — основа доверия всей IT-инфраструктуры.
- Во вторую — полностью отказаться от использования паролей.
Почему? Потому что источник большинства проблем, связанных со взломами и утечками информации, — это неправильно реализованная подсистема идентификации и аутентификации оборудования, используемого (разрешенного к использованию) ПО пользователей.
Один раз решив эту проблему, переведя свою инфраструктуру на использование СТРОГОЙ аутентификации (с использованием PKI — инфраструктуры открытых ключей и цифровых сертификатов для доступа в систему), можно будет существенно повысить ее безопасность и забыть про проблемы подмены оборудования, работающего на неконтролируемой территории, фишинг, трояны и пр. (запретив использование неподписанного ПО цифровой подписью владельца информационной системы), кражу или подбор пользовательских паролей и пр.
Что еще важно сделать? Увы, сейчас любая организация КИИ органов госуправления стала мишенью не только для кибернападения, но и для точечного военного нападения с помощью беспилотников, с целью уничтожения ее инфраструктуры и блокирования работы.
А это означает, что у таких организаций на подобный случай (не дай бог) должен быть реализован план Б, не допускающий простоя и причинения этим недопустимого ущерба.
“
У каждого сотрудника в кармане должно быть специализированное средство для безопасной дистанционной работы с любого недоверенного компьютера, например личного
И напоследок — самое важное — про защиту самих данных. Почему грабят банки? Потому что там деньги! Почему взламывают наши системы? Потому что там данные — ценнейший информационный актив — данные из CRM, ERP, персональные данные, секреты производства, управления и пр.
Конечно же, защищать надо именно их, и в первую очередь — от внутреннего нарушителя, а не выстраивать бесконечные «заборы» вокруг них, системы мониторинга и анализа утечек и пр.
Если это персональные данные — их нужно обезличить. Если это критически важные для организации данные — обеспечить их защиту на уровне СУБД с помощью селективного шифрования. Ноутбук, вынесенный за периметр организации, может быть потерян или украден. Данные на дисках обязательно должны шифроваться (и не дай бог, с помощью MS BitLocker!), а ключи — храниться на внешнем USB-токене. Это именно то, чем многим предстоит заняться и внедрить у себя в ближайшие два-три года.
Не пытаться затыкать дыры, заменяя одни продукты ушедших из России западных вендоров другими, часто наспех собранными из Open Source, а начать с проектирования правильной и безопасной IT-инфраструктуры, без наследования родимых пятен и навязанных нам ИХ «ценностей». На этот раз надо постараться сделать все правильно и безопасно. И немного на вырост.
