Специальная аналитическая служба

СПЕЦИАЛЬНАЯ АНАЛИТИЧЕСКАЯ СЛУЖБА

КОМПЛЕКСНЫЕ УСЛУГИ БЕЗОПАСНОСТИ

Защита информационных сетей

Защита информационных сетей

Новые угрозы порождают новые взгляды на защиту информационных сетей.

Джек Данахи (Jack Danahy), директор Института передовых технологий безопасности, подразделение систем безопасности IBM и д-р Матиас Кайзерсверт (Matthias Kaiserswerth), вице-президент и директор Исследовательской лаборатории IBM в Цюрихе, в своих работах высказали новые взгляды на проблемы информационной безопасности и возможного преодоления старых взглядов и подходов в реализации процессов защиты информации.

На протяжении десятилетий для сферы информационной безопасности были характерны подходы, основанные на молчаливом признании того, что системы и сети построены непрофессионально и уязвимы, что защита требуется в связи с растущим количеством подключенных устройств, а не в связи с уязвимостью архитектуры самих устройств. Современные инциденты, связанные с несанкционированным проникновением в системы, внедрением вредоносного кода, а также публично признанные случаи компрометации данных и сервисов являются постоянным напоминанием: несмотря на огромные инвестиции, традиционные модели обеспечения информационной безопасности сегодня уже недостаточны (если они вообще были когда-то достаточны).

Разрушение периметра

Общепринятые меры по обеспечению безопасности очень часто основаны на периметризации информационной инфраструктуры. Будь то разделение внутренних сетей с внешними или изолированное исполнение файлов на общей системе – концепция возможности обеспечения защищенного периметра безопасности превратилась в успокаивающую иллюзию после появления многопользовательских систем и базового межсетевого взаимодействия. Тревожные сигналы о недостаточности этой защиты возникали всегда: начиная с выявления способности вирусных программ и «червей» легко преодолевать воображаемые границы и заканчивая постоянными предупреждениями о том, что инсайдеры представляют собой значительную угрозу. На эти предупреждения не обращали внимания, поскольку деление сетей по принципу «внутренние/внешние», «защищенные/незащищенные» создавало ложное впечатление безопасности корпоративных и частных сетей. Из-за концентрации внимания на обеспечении сильной защиты по периметру сами внутренние системы оставались весьма слабыми и недостаточно защищенными, а ответственность за информационную безопасность перешла с разработчиков систем на операторов сред.

За последние пять лет широкое внедрение устройств, использующих мобильные и «облачные» технологии, и расширение доступа к корпоративным ресурсам благодаря развитию социальных сетей навсегда уничтожили даже саму иллюзию этого защищаемого периметра. Все больше данных хранится и перерабатывается за пределами внутренней сети, и к работе с ними привлекается все большее количество неизвестных и не всегда проверенных организаций.

Приходя к пониманию ситуации

Исчезновение периметра определенно повысило подверженность бизнес-структур IT-рискам. А если добавить сюда ограниченность ресурсов и необходимость обеспечения соответствия международным стандартам ИБ, то мы увидим, что вопросы информационной безопасности стали не только уделом узких специалистов, но и предметом заботы руководства компаний. Новые лица, от генеральных директоров до юристов, от программистов начального уровня до членов советов директоров, привлекаются и участвуют в выполнении тех задач, которые раньше были сугубо техническими и узкоспециальными предметами обеспечения безопасности. Финансовое здоровье и благосостояние компаний теперь все больше зависит от того, как они следят за своей безопасностью, поэтому обязательства и решения в области обеспечения безопасности приобретают все более ярко выраженный стратегический характер.

Успех ждет тех лидеров в сфере производства средств безопасности, которые смогут объяснить рынку необходимость реальных изменений на языке, понятном не только специалистам. По данным последнего аналитического отчета Центра прикладных исследований IBM (Center for Applied Insights), примерно 25% директоров по IT-безопасности и лидеров индустрии безопасности уже столкнулись с описанной ситуацией, признав необходимость стратегических консультаций и действий в соответствии с направлениями и приоритетами, согласованными с руководством бизнес-структур.

Трудности, порождаемые сложной реальностью

Системы стали слишком сложными и слишком уникальными, чтобы применять к ним традиционные технологии операционного тестирования. Каждый день строятся и совершенствуются системы, которые просто не могут быть протестированы для всех практических целей, для которых они предназначены. Существует потребность нового подхода при создании систем, в рамках которого будет признаваться важность безопасности. Этот подход должен включать в себя новые инициативы для традиционно нетронутых областей, таких как сбор требований безопасности, тестируемость компонентов систем, обеспечение цепочки поставок и безопасная архитектура программного обеспечения.

В основе этих изменений лежит перепроверка принципов, на которые опирается безопасная инфраструктура. Уровень обеспечения безопасности должен перейти из количества в качество, когда системы будут строиться и внедряться таким образом, что требования безопасности будут приниматься в расчет наравне с требованиями к производительности и функциональности. В результате система, которая не может быть протестирована на соответствие требованиям безопасности, не сможет быть и внедрена. Архитектура, которая создает функциональность в ущерб практической оценке, должна подлежать пересмотру, чтобы сбалансировать обеспечиваемую каждой контентной архитектурой ценность с теми рисками, которые она может создавать. Проблема непроверенных и/или не подлежащих проверке угроз нарастает практически ежедневно, с каждой новой функцией, каждой новой системой и каждым новым пользователем, особенно на фоне роста использования принадлежащих сотрудникам коммуникационных устройств в бизнесе (концепция Bring Your Own Device, BYOD – «Принеси на работу свое устройство»).

BYOD и безопасный рабочий стол

На фоне роста числа потребительских IT-устройств и появления личных устройств на рабочих местах сотрудников организации вынуждены искать пути решения новых проблем безопасности на предприятии. Кроме этого, проведенное IBM исследование среди IT-директоров показало, что два из трех директоров строят планы по включению мобильных решений в информационную инфраструктуру и виртуализации бизнеса, чтобы сохранить конкурентоспособность.

Чтобы ответить на эти вызовы, специалисты IBM в Цюрихе, известные также благодаря созданию ими безопасной операционной системы JCOP, используемой сейчас на миллионах смарт-карт, разработали «Безопасный рабочий стол» для организаций, практикующих концепцию BYOD. Устройство, подключенное к USB-порту любого компьютера с 64-битной системой Windows или Linux, загружает основные элементы ПО для рабочего стола своего пользователя из корпоративного «облака» с помощью потоковой технологии ОС на основе виртуальной машины, также известной как «гипервизор». После запуска инновационного потокового гипервизора обычная среда Windows или Linux запускается из «облака», эмулируя пользовательский компьютер, включая приложения и файлы. Любые изменения на хост-компьютере тут же безопасно резервируются. Даже если жесткий диск основного хост-компьютера заражен вредоносными программами, тесная интеграция клиентского оборудования и гипервизора исключит проникновение любого вредоносного ПО, делая его бесполезным.

Это один из примеров тех изменений, которые могут быть произведены сейчас, чтобы получить возможность со временем снизить риски безопасности.

Что делать сегодня?

Любые изменения такого рода займут некоторое время. Так же как и становление любой критически важной системы, обновление всех систем или практик безопасности является процессом постепенным. Между тем, пока у бизнес-структур будут вызревать соответствующие желания и возможности, необходимы инвестиции для управления и балансирования рисков, характерных для существующего сегодня весьма уязвимого состояния систем. И здесь новые возможности аналитики данных, обеспечивающие анализ отклонений и трендов, создают возможности для согласованности действий и быстрого реагирования.

Независимо от того, будет ли концепция улучшения этих сред в будущем основываться на снижении рисков существующих небезопасных сред или на сборе данных, эти аналитические платформы станут стратегическими краеугольными камнями выявления и предотвращения рисков в последующие 15–20 лет этого процесса.

Что делать директорам по информационной безопасности?

Маловероятно, что многие из них быстро поменяют свою точку зрения, но на фоне критичности изменений и скорости, с которой организации продолжают ставить под угрозу свою безопасность, определенно существуют некоторые меры, которые IT-директора должны принять как можно скорее.

Прежде всего, необходимо определить свою подверженность риску. Всего лишь 15 лет назад было неожиданностью узнать, что многие организации имели «слепые зоны» в своей внутренней структуре: недостаточно документированные или плохо понимаемые компоненты корпоративной инфраструктуры, такие как области сетевого взаимодействия, оказание услуг или хранение данных и доступ к ним, что не было в то время настолько привычным, как сейчас. Стремительное внедрение новых технологий в последнее десятилетие практически сделало аксиомой то, что довольно крупный процент рисков возникает из-за систем, которые остаются институционально независимыми и не подчиняются какой-либо системе управления или контроля.

В первый же день, когда организация приступает к реализации более серьезного и, наконец-то, целостного подхода к своей безопасности, она должна исследовать и понять полную картину сред, которую намеревается защищать. Обычно это инструменты контроля сети и обнаружения приложений, а также мониторинг связи через сеть для определения конечных точек. После того, как будут выявлены неожиданные компоненты, важно распределить ответственность среди их собственников и операторов. В средах, где наблюдается дисбаланс между сложностью внедрения и ресурсами обнаружения или отказ от принятия ответственности, некоторые организации даже отключают или блокируют системы и ждут входящих звонков от заинтересованных сторон для начала конструктивного диалога.

Проводя такую проверку, а также своевременно и строго следя за регулярностью ее проведения, можно как минимум иметь представление обо всем множестве оборудования, за которым нужно следить на предмет рисков и которое нужно защищать, в то время как организация должна принимать решения о том, как его укрепить, модернизировать или заменить.

Недальновидный и определенно нетворческий подход к решению проблем в новой концепции безопасности заключается в постоянном допущении того, что уязвимую систему нужно либо изолировать, либо модернизировать, чтобы сохранить ее функциональность и снизить уязвимость. Посудите сами – после того, как организация представит весь набор проблем в области безопасности, эта фрагментарная стратегия будет выглядеть как чистка ковров в доме, предназначенном к сносу. Системный взгляд на совокупную угрозу, в котором осознание необходимости безопасности должно вести к более широкой переоценке и переосмыслению всех характеристик риска, может вполне указывать на то, что более эффективными и логичными являются другие варианты.

После инвентаризации и оценки рисков появляется множество вариантов для совершенствования обеспечения безопасности в более широком аспекте. В некоторых случаях первым правильным шагом будет удаление того или иного уязвимого приложения или замена крупных секторов, чувствительных к угрозам функциональности. Иногда переход на новую платформу доставки данных, например, хостинговые или облачные сервисы, может стать вариантом полного ухода от использования уязвимого оборудования.

Если выделить временные ресурсы и применить стратегический подход при выборе правильной стратегии снижения рисков, то усилия, ошибки и повторные исправления можно свести к минимуму. Такой подход также может вовлечь в дискуссию партнеров более высокого ранга и не столь узко специализирующихся в технической области, что в перспективе повысит осведомленность о проблемах и снизит вероятность их возникновения в будущем.

Понять ответственность

Темы доходности организации, инвестиционного риска и проблем исполнительской работы в большинстве организаций обычно рассматриваются на самом высоком уровне руководства. Эти же руководители, по мере того, как проблемы безопасности заставляют вносить изменения, должны принимать участие в сбалансированном распределении ответственности. Фактически же некоторые старшие руководители отстранились сегодня от процессов проверки систем и людей, которые будут взаимодействовать с уязвимыми или конфиденциальными данными. Как следствие, они идеально подходят для поддержки внедрения нового видения проблемы обеспечения безопасности.

Самая эффективная стратегия ответственности – это та, которая предусматривает поручение персоналу, наделенному самыми мощными средствами контроля и наибольшими возможностям для коммерческого обоснования и планирования изменений. Каждый новый источник данных, каждая новая сеть, каждое новое приложение должны создаваться, проверяться, внедряться и эксплуатироваться в соответствии с потребностями организации в зависимости от того, как эти потребности определены ее собственником. Лицо, отвечающее за тот или иной компонент, также должно быть вовлечено в этот процесс, так же как и лицо, ответственное за инициативу, которую поддерживает этот компонент. Каждое из этих лиц отвечает за часть плана решения, и именно через их сосредоточенные совместные усилия можно понять и принять необходимы меры.

Перемены грядут

Влияние рассмотренной нами миграции ответственности найдет свое отражение в продуктах, в стратегиях бизнес-структур, в их ожиданиях и результатах. Структуры, понимающие эту внутреннюю потребность безопасности, будут развивать новые отношения, новый общий язык безопасности, что в итоге приведет к их процветанию. Организации, которые применяют вчерашние решения, надеясь похоронить под ними новую реальность, столкнутся с растущими затратами, а их безопасность будет оставаться под угрозой.

Статья написана по материалам журнала «ПЛАС»
https://www.plusworld.ru/journal/section_1168/section_153900/art153876/