Когато защитите паднат
Рано или късно, някой ще придобие достъп до вътрешната ви мрежа. Дали чрез social engineering, или чрез браузър експлоит, чрез пробив в уязвим сървър, приложение или просто като постъпи на ниска позиция в компанията за да открадне данни – това ще се случи
Александър Свердлов
Това твърдение се базира на солиден опит и много, много случаи в които съм виждал компрометирани защити. Нека разгледаме най-добрия възможен вариант на добре защитена компания.
Имаме изградени процедури по създаване, проверка, одобрение и изпълнение на всяка възможна промяна в бизнес системите, имаме най-добрите корпоративни защитни стени и антивирусни системи, имаме IDS и IPS системи пред и зад защитната стена, включително и на всеки клиентски компютър. Обаче… в един момент тези системи се обръщат срещу нас. Имаме сървъри, на които работят критични за бизнеса приложения. Един ден разбираме, че е налице уязвимост в сървърната операционна система, но не можем да си позволим да приложим кръпката – има опасност за бизнес процесите ако сървъра престане да работи, и просто приемаме риска. “Кой ще атакува точно нас, точно сега, с точно тази уязвимост? Едва ли. Затова, приемаме риска”.
Никой няма да се цели точно в нашата компания
Да… реално, никой няма да атакува точно сега, срещу точно тази уязвимост, точно вас. Защото наистина, едва ли на някой ще му се занимава да следи точно вашата компания и да чака да се появи уязвимост (освен ако не сте “на прицел” – ще се спра и на това) и причината е проста. Когато е налице публично експлоатирана уязвимост, т.нар. 0-day, изключително бързо на сцената излизат роботи, програмирани да сканират цели мрежови сегменти за тези уязвимости и да се възползват от тях. Никой няма да се занимава да ви атакува, да търси уязвимости, да рискува безопасността си с опасни действия – просто ще се случи автоматично. Естествено, не говорим за частни експлоити, които се търгуват на черния пазар и излизат наяве чак след като някой независим изследовател намери същата уязвимост и я публикува – тези частни експлоити се използват, когато сте под таргетирана атака.
Когато сте на прицел
Ако разполагате с информация, която може да е търсена на черния пазар – лични и банкови данни, уникален и скъп софтуер, медицински тайни, патентовани непубликувани технологии – и някъде по света някой е готов да плати за тях, има голяма вероятност също така някъде, някой по света да иска да вземе парите и да открадне информацията от вас. И ако този някой е опитна група от специалисти, … не съм чувал за случай, в който такава група да не постигне целта си и да не успее да проникне в целевата организация. Може да има такива случаи, но аз не знам за такива. Когато чуя “таргетирана компания”, чувам всъщност “компания в чиято мрежа има нарушител”.
Следователно е време да смените начина си на мислене – от “какви защити имаме” е време да минете на “как пазим информацията” – а ако информацията ви е от особена стойност просто приемете, че във всеки момент от време, в мрежата ви има нарушител(и). Дори не е нужно те да имат връзка помежду си – чувал съм за това как някой прониква в дадена компания, и открива следи от предишни прониквания. И ето една интересна мисъл: ако компанията знаеше за предишните, мислите ли че нямаше да изчисти тези следи? Имайки предвид това, въпросът който трябва да си задавате в момента е: “Ако в мрежата ни има нарушител, как ще предпазим данните си?”
Този начин на мислене може да ви предпази много по-добре, отколкото оглеждането за най-добрата защита на пазара. Просто няма такава – има най-добре продавана защита, но не най-добра сама по себе си.
Враг в крепостта
И така, имаме нарушител (не “потенциален,”, реален). Ако е в мрежата, той вече има достъп до потребителското име и парола на поне един служител в най-добрия случай, в най-лошия има достъп до домейн контролер като администратор и може да получи достъп до всяка точка в мрежата, която се контролира от този домейн контролер. Може би е придобил права да чете и модифицира информация в база данни, достъпна отвън, може би има възможност да променя корпоративния уеб-сайт и да компрометира информацията на вашите клиенти, дори да ги заразява със зловреден код… вариантите за проникване са много, фактът е един. Някой е зад “стената” от погрешната страна, и вече търси това, което ще му донесе пари или слава. Опираме до принцип, известен от десетилетия, но все още, по неизвестни никому причини, не прилаган почти никъде.
Defense in Depth
Нека поспрем за момент. Аз съм човек, който мрази сложните термини, като intrusion detection, intrusion prevention, firewalls, honeypots, и т.н. Добри маркетинг инструменти са за тези които ги продават, важното е – какво са те за вас? Дали са амулети с магична сила, които по някакъв начин ще направят информацията с която работите, неценна за потенциалните нападатели? Защото освен ако не е ценна, те ще продължат да идват, да търсят, да атакуват, докато не я получат. И никой не ви гарантира, че след като го направят, ще ви информират за постъпката си. Ако не ви информират, защо сте толкова сигурни че “се пазите”, а не, че “вече е късно”?
Ако сте чели руски приказки като деца, има една много интересна история с иглата, която нашият приятел Иван тръгва да търси. Тя е скрита в яйце, яйцето – в патица, патицата – в заек, заекът – е в шок… Но не в това е въпроса. Къде е уязвимостта? Историята ни показва, че моделът на защита на иглата е повреден – защитата е стъпаловидна, също като защитите (като пример) в някои информационни системи на важни български ведомства. Какъв е проблемът със стъпаловидните защити? Последното стъпало, преди самата информация. В случая с иглата – това е яйцето, и по-точно крехката му черупка.
Непробиваемата черупка
Използвайки горния пример с приказката. Смъртта на главния зъл герой е възможна, само ако някой се добере до иглата, скрита в яйцето. Възможно ли е същото да важи за смъртта на една компания? Възможно ли е дадена компания да бъде буквално изтрита от лицето на земята, ако най-големите и тайни бъдат откраднати? Отговорът е да, вие сигурно го знаете по-добре от мен.
Многостепенните защити ще забавят потенциалния враг, но няма да го спрат. Важното е какво правите с “иглата”, с информацията си. Каква е последната степен на защита, кое е нещото, с което пазите Вашата информация, това, след преодоляването на което някой може просто да я вземе и да я изнесе?
Криптирайте информацията си. Пазете ключа към криптираната информация която е критична за вашия бизнес в сейф, който не може да бъде отключен от един човек (или поне такъв с два механизъма за защита, и поне двама души трябва да имат достъп до всеки един, но никой – и до двата). Добрите стари методи на физическа защита не са отживелица. Няколкото минути които ще бъдат загубени за достъп са нищо, сравнени с потенциална тотална вреда за бизнеса.
Когато говорим за информация, която се съхранява на потребителски компютри и сървъри от ниско ниво без особено значение – и ако тази информация може да бъде продадена, или може да причини вреда на бизнеса ако бъде изгубена или публикувана – криптирайте и нея. Има много добри, безплатни програми за целта като TrueCrypt. Криптирането на една флаш памет отнема няколко минути, обучението на служителите да работят с програмата отнема няколко минути, колко трудно е да го въведете като практика?
Да, дори MI-6 не го правят – постоянно четем новини за изгубени топ секретни лаптопи и флаш памети, чиято информация не е криптирана… Е, добре, след като те не го правят, трябва ли да следваме техния пример? Или можем да се справим по-добре? Друг метод: ако всеки служител имащ достъп до конфиденциална информация, може да я достъпи само с помощта на смарт-карта с чип, върху който се пази криптографският ключ – това вече е защита, която изключително трудно се преодолява отдалечено, без физически достъп до мрежата или до вещите на служителите и искрено ви я препоръчвам.