Спеціальна аналітична служба

Захист інформаційних мереж

Захист інформаційних мереж

Нові загрози породжують нові погляди на захист інформаційних мереж.

Джек Данахі (Jack Danahy), директор Інституту передових технологій безпеки, підрозділ систем безпеки IBM і д-р Матіас Кайзерсверт (Matthias Kaiserswerth), віце-президент і директор Дослідницької лабораторії IBM в Цюріху, в своїх роботах висловили нові погляди на проблеми інформаційної безпеки і можливого подолання старих поглядів і підходів в реалізації процесів захисту інформації.

Протягом десятиліть для сфери інформаційної безпеки були характерні підходи, засновані на мовчазному визнанні того, що системи та мережі побудовані непрофесійно і уразливі, що захист потрібен в зв’язку зі зростаючою кількістю підключених пристроїв, а не в зв’язку з вразливістю архітектури самих пристроїв. Сучасні інциденти, пов’язані з несанкціонованим проникненням в системи, впровадження шкідливого коду, а також публічно визнані випадки компрометації даних і сервісів є постійним нагадуванням: незважаючи на величезні інвестиції, традиційні моделі забезпечення інформаційної безпеки сьогодні вже є недостатніми (якщо вони взагалі були колись достатні).

Руйнування периметра

Загальноприйняті заходи щодо забезпечення безпеки дуже часто засновані на періметрізаціі інформаційної інфраструктури. Будь то поділ внутрішніх мереж із зовнішніми або ізольованим виконанням файлів на загальній системі – концепція можливості забезпечення захищеного периметра безпеки перетворилася в заспокійливу ілюзію після появи багатокористувацьких систем і базової міжмережевої взаємодії. Тривожні сигнали про недостатність цього захисту виникали завжди: починаючи з виявлення здатності вірусних програм і «черв’яків» легко долати уявні кордони і закінчуючи постійними попередженнями про те, що інсайдери є значною загрозою. На ці попередження не звертали уваги, оскільки розподіл мереж за принципом «внутрішні / зовнішні», «захищені / незахищені» створювало помилкове враження безпеки корпоративних і приватних мереж. Через концентрацію уваги на забезпеченні сильного захисту по периметру самі внутрішні системи залишалися досить слабкими і недостатньо захищеними, а відповідальність за інформаційну безпеку перейшла з розробників систем на операторів середовищ. За останні п’ять років широке впровадження пристроїв, що використовують мобільні і «хмарні» технології, і розширення доступу до корпоративних ресурсів завдяки розвитку соціальних мереж назавжди знищили навіть саму ілюзію цього захищеного периметра. Все більше даних зберігається і переробляється за межами внутрішньої мережі, і до роботи з ними залучається все більша кількість невідомих і не завжди перевірених організацій.

Приходячи до розуміння ситуації

Зникнення периметра безумовно підвищило схильність бізнес-структур IT-ризиків. А якщо додати сюди обмеженість ресурсів і необхідність забезпечення відповідності міжнародним стандартам ІБ, то ми побачимо, що питання інформаційної безпеки стали не тільки долею вузьких фахівців, а й предметом турботи керівництва компаній. Нові обличчя, від генеральних директорів до юристів, від програмістів початкового рівня до членів рад директорів, залучаються і беруть участь у виконанні тих завдань, які раніше були суто технічними та вузькоспеціальними предметами забезпечення безпеки. Фінансове здоров’я і добробут компаній тепер все більше залежить від того, як вони стежать за своєю безпекою, тому зобов’язання і рішення в галузі забезпечення безпеки набувають все більш яскраво виражений стратегічний характер.Успіх чекає на тих лідерів в сфері виробництва засобів безпеки, які зможуть пояснити ринку необхідність реальних змін на мові, зрозумілій не тільки фахівцям. За даними останнього аналітичного звіту Центру прикладних досліджень IBM (Center for Applied Insights), приблизно 25% директорів по IT-безпеці і лідерів індустрії безпеки вже зіткнулися з описаною ситуацією, визнавши необхідність стратегічних консультацій і дій відповідно до напрямів і пріоритетів, погоджених з керівництвом бізнес-структур.

Труднощі, що породжуються складною реальністю

Системи стали занадто складними і дуже унікальними, щоб застосовувати до них традиційні технології операційного тестування. Кожен день будуються і удосконалюються системи, які просто не можуть бути протестовані для всіх практичних цілей, для яких вони призначені. Існує потреба нового підходу при створенні систем, в рамках якого буде визнаватися важливість безпеки. Цей підхід повинен включати в себе нові ініціативи для традиційно незайманих областей, таких як збір вимог безпеки, тестування компонентів систем, забезпечення ланцюжка поставок і безпечна архітектура програмного забезпечення.В основі цих змін лежить повторний огляд принципів, на які спирається безпечна інфраструктура. Рівень забезпечення безпеки повинен перейти з кількості в якість, коли системи будуть будуватися і впроваджуватися таким чином, що вимоги безпеки будуть прийматися в розрахунок нарівні з вимогами до продуктивності і функціональності. В результаті система, яка не може бути протестована на відповідність вимогам безпеки, не зможе бути і впроваджена. Архітектура, яка створює функціональність на шкоду практичній оцінці, повинна підлягати перегляду, щоб збалансувати забезпечення кожною тематичною архітектурою цінність з тими ризиками, які вона може створювати. Проблема неперевірених і / або тих, що не підлягають перевірці загроз наростає практично щодня, з кожною новою функцією, кожною новою системою і кожним новим користувачем, особливо на тлі зростання використання співробітниками комунікаційних пристроїв в бізнесі (концепція Bring Your Own Device, BYOD – «Принеси на роботу свій пристрій »).

BYOD і безпечний робочий стіл

На тлі зростання числа споживчих IT-пристроїв і появи особистих пристроїв на робочих місцях співробітники організації змушені шукати шляхи вирішення нових проблем безпеки на підприємстві. Крім цього, проведене IBM дослідження серед IT-директорів показало, що два з трьох директорів будують плани по включенню мобільних рішень в інформаційну інфраструктуру і віртуалізації бізнесу, щоб зберегти конкурентоспроможність.

Щоб відповісти на ці виклики, фахівці IBM в Цюріху, відомі також завдяки створенню ними безпечної операційної системи JCOP, використовуваної зараз на мільйонах смарт-карт, розробили «Безпечний робочий стіл» для організацій, що практикують концепцію BYOD. Пристрій, підключений до USB-порту будь-якого комп’ютера з 64-бітної системою Windows або Linux, завантажує основні елементи ПЗ для робочого столу свого користувача з корпоративної «хмари» за допомогою потокової технології ОС на основі віртуальної машини, також відомої як «гіпервізор». Після запуску інноваційного потокового гіпервізора звичне середовище Windows або Linux запускається з «хмари», емулюючи комп’ютер користувача, включаючи додатки та файли. Будь-які зміни на хост-комп’ютері тут же безпечно резервуються. Навіть якщо жорсткий диск основного хост-комп’ютера заражений шкідливими програмами, тісна інтеграція клієнтського обладнання і гіпервізора виключить проникнення будь-якого шкідливого ПЗ, роблячи його марним.

Це один із прикладів тих змін, які можуть бути зроблені зараз, щоб отримати можливість згодом знизити ризики безпеки.

Що робити сьогодні?

Будь-які зміни такого роду займуть деякий час. Так само як і становлення будь-якої критично важливої системи, оновлення всіх систем або практик безпеки є процесом поступовим. Тим часом, поки у бізнес-структур будуть визрівати відповідні бажання і можливості, необхідні інвестиції для управління і балансування ризиків, характерних для існуючого сьогодні вельми уразливого стану систем. І тут нові можливості аналітики даних, щоб забезпечити аналіз відхилень і трендів, створюють можливості для узгодженості дій і швидкого реагування.

Незалежно від того, чи буде концепція поліпшення цих середовищ в майбутньому ґрунтуватися на зниженні ризиків існуючих небезпечних середовищ або на зборі даних, ці аналітичні платформи стануть стратегічними наріжними каменями виявлення та запобігання ризикам у наступні 15-20 років цього процесу.

Що робити директорам з інформаційної безпеки?

Малоймовірно, що багато хто з них швидко поміняє свою точку зору, але на тлі критичності змін і швидкості, з якою організації продовжують ставити під загрозу свою безпеку, безумовно існують деякі заходи, які IT-директори повинні прийняти якомога швидше.Перш за все, необхідно визначити свою схильність до ризику. Всього лише 15 років тому було несподіванкою дізнатися, що багато організацій мали «сліпі зони» в своїй структурі: недостатньо документовані або погано зрозумілі компоненти корпоративної інфраструктури, такі як області мережевої взаємодії, надання послуг або зберігання даних і доступ до них, що не було в той час настільки звичним, як зараз. Стрімке впровадження нових технологій в останнє десятиліття практично зробило аксіомою те, що досить великий відсоток ризиків виникає через систем, які залишаються інституційно незалежними і не підкоряються будь-якій системі управління або контролю.У перший же день, коли організація приступає до реалізації більш серйозного і, нарешті, цілісного підходу до своєї безпеки, вона повинна досліджувати і зрозуміти повну картину середовищ, яку має намір захищати. Зазвичай це інструменти контролю мережі і виявлення додатків, а також моніторинг зв’язку через мережу для визначення кінцевих точок. Після того, як будуть виявлені несподівані компоненти, важливо розподілити відповідальність серед їх власників і операторів. У середовищах, де спостерігається дисбаланс між складністю впровадження і ресурсами виявлення або відмова від прийняття відповідальності, деякі організації навіть відключають або блокують системи і чекають вхідних дзвінків від зацікавлених сторін для початку конструктивного діалогу.Проводячи таку перевірку, а також своєчасно і строго стежачи за регулярністю її проведення, можна як мінімум мати уявлення про все обладнання, за яким потрібно стежити на предмет ризиків і яке потрібно захищати, в той час як організація повинна приймати рішення про те, як його зміцнити, модернізувати або замінити.Недалекоглядний і виразно нетворчий підхід до вирішення проблем в новій концепції безпеки полягає в постійному допущенні того, що вразливу систему потрібно або ізолювати, або модернізувати, щоб зберегти її функціональність і знизити вразливість. Посудіть самі – після того, як організація представить весь набір проблем в області безпеки, ця фрагментарна стратегія буде виглядати як чищення килимів в будинку, що підлягає знесенню. Системний погляд на сукупну загрозу, в якому усвідомлення необхідності безпеки повинно вести до більш широкої переоцінки і переосмислення всіх характеристик ризику, може цілком вказувати на те, що більш ефективними і логічними є інші варіанти.Після інвентаризації та оцінки ризиків з’являється безліч варіантів для вдосконалення забезпечення безпеки в ширшому аспекті. У деяких випадках першим правильним кроком буде видалення того чи іншого уразливого додатку або заміна великих секторів, чутливих до погроз функціональності. Іноді перехід на нову платформу доставки даних, наприклад, хостингові або хмарні сервіси, може стати варіантом повного відходу від використання уразливого обладнання.Якщо виділити тимчасові ресурси і застосувати стратегічний підхід при виборі правильної стратегії зниження ризиків, то зусилля, помилки і повторні виправлення можна звести до мінімуму. Такий підхід також може залучити до дискусії партнерів більш високого рангу і не настільки вузько спеціалізованих в технічній галузі, що в перспективі підвищить поінформованість про проблеми і знизить ймовірність їх виникнення в майбутньому.

Зрозуміти відповідальність

Теми прибутковості організації, інвестиційного ризику і проблем виконавської роботи в більшості організацій зазвичай розглядаються на найвищому рівні керівництва. Ці самі керівники, у міру того, як проблеми безпеки змушують вносити зміни, повинні брати участь в збалансованому розподілі відповідальності. Фактично ж деякі старші керівники відсторонилися сьогодні від процесів перевірки систем і людей, які будуть взаємодіяти з уразливими або конфіденційними даними. Як наслідок, вони ідеально підходять для підтримки впровадження нового бачення проблеми забезпечення безпеки.Найефективніша стратегія відповідальності – це та, яка передбачає доручення персоналу, наділеному найпотужнішими засобами контролю і найбільшими можливостями для комерційного обґрунтування і планування змін. Кожне нове джерело даних, кожна нова мережа, кожен новий додаток повинні створюватися, перевірятися, впроваджуватися і експлуатуватися відповідно до потреб організації в залежності від того, як ці потреби визначені її власником. Особа, що відповідає за той чи інший компонент, також має бути залучена до цього процесу, так само як і особа, відповідальна за ініціативу, яка підтримує цей компонент. Кожна з цих осіб відповідає за частину плану рішення, і саме через їх зосереджені спільні зусилля можна зрозуміти і прийняти необхідні заходи.

Зміни грядуть

Вплив розглянутої нами міграції відповідальності знайде своє відображення в продуктах, в стратегіях бізнес-структур, в їх очікуваннях і результатах. Структури, які розуміють цю внутрішню потребу безпеки, розвиватимуть нові відносини, нова спільна мова безпеки, що в підсумку призведе до їх процвітання. Організації, які застосовують вчорашні рішення, сподіваючись поховати під ними нову реальність, зіткнуться зі зростаючими витратами, а їх безпеку буде залишатися під загрозою.

Стаття написана за матеріалами журналу «ПЛАС»
https://www.plusworld.ru/journal/section_1168/section_153900/art153876/