Принципът „Нападението е най-добрата отбрана” – база за реална оценка на ИТ сигурността
ISO/IEC 27001 е отдавна възприет като стандарт за оценка на добре работещи процеси за ИТ сигурност в компанията. Процесът на сертифициране е много тежък, и преминава в три етапа – първоначален одит на състоянието, детайлно, задълбочено тестване на съществуващите контроли и последващ контрол след като една организация веднъж е била сертифицирана.
Имайки предвид многобройните критерии които се гледат по време на одит и сертифициране за ISO 27001 и подобни на него стандарти, много организации си поставят за цел да го придобият – отчасти заради имиджа и възможностите за бизнес които той отваря, отчасти заради усещането за постигната цел – защитена организация.
Подготовката за сертифициране преминава през пет паралелни процеса:
* Определяне и създаване на политика за ИТ сигурност
* Определяне и създаване на процедури за управление на ИТ сигурността
* Определяне на рискове и уязвимости – оценяване на риска за който е отговорно управлението на ИТ сигурността – създаване на документация
* Подход на компанията към управление на риска – Определят противодействия на откритите рискове – документиране на отговорности и отчетност
* Избор на цели и контроли за имплементиране – подготовка за сертификация
Целият процес е много тежък и скъп, но ако бизнесът ви зависи от него най-вероятно вече сте се сертифицирали или планирате да го направите.
Има компании в България които предлагат консултантски услуги по въвеждане на ISO 27001, техният опит е краткотраен и не много богат, но за сметка на това цените им понякога са много по-високи от тези на чуждестранни консултанти… избора е ваш.
Доколко обаче сертифицирането по международно признати стандарти е гарант за това че една организация е защитена? Ако погледнем зад океана, където процесите за защита на информация са възприети още преди десетилетия, можем да видим какви са са резултатите.
От една страна, една компания може да е сигурна че бизнес партньорите и имат работещи процеси по защита на информацията, с ясна отговорност и отчетност за всеки.
Бизнесът е сигурен в информацията която предава на държавните институции, защото в тях също действат правила за защита на информацията. Медицинските учреждения, държавата и частните компании знаят, че всяка медицинска информация трябва да се пази по определени стандарти, както и че ако тези стандарти не се спазват, могат да бъдат наложени много солидни глоби.
От друга страна, сме били свидетели на систематични, многобройни пробиви в сигурността както на големи корпорации, така и на държавни учреждения (пак взимам за пример САЩ) – въпреки всички тези процеси и контроли. Къде е причината?
Вероятно тя се крие в мотивацията за защита на информацията повече, отколкото в липса на контроли и процеси за защитата и. Тези, които се грижат за имплементиране на политики за сигурност, рядко знаят как дайстват чуждите разузнавания, недобросъвестните хакери и крадци на информация – получава се един затворен кръг в който специалистите по ИТ сигурност разработват все по-сложни политики, закупуват все по-сложно оборудване за все по-сложен софтуер, но въпреки това пробивите в сигурността не намаляват. Резултатът? Имплементиране на по-сложни политики и по-сложен софтуер за защита!!! Докога?
Мотивацията е тази, която трябва да се промени. Вместо да си поставяме за цел сертифициране, трябва да си поставим за цел реална защита от реални опасности. Само ако сме имали правилната мотивация, можем да имаме правилните резултати – а ако резултатите са налице, която и да е сертификация ще е резултат, а не цел, поне така би следвало да бъде.
Осъзнаването на слабостите и местата от които една ИТ инфраструктура може да бъде нападната, може да дойде само по един начин – при контролирана атака срещу тази инфраструктура. Това става или като се обособи вътрешен “tiger team”, или наемайки външен penetration testing екип. Защо penetration testing? Това е процесът в който някой ни атакува, без да се води от нашите правила. Следвайки пътя на най-слабо съпротивление, атакуващият много бързо открива слабите места.
При пробив в компютърна система, атакуващият не се спира само в един компютър или сървър. Стандартна практика е да се следва т.нар. Distributed Metastasis за да се проникне все по-дълбоко в останалите части от мрежата. Това означава, че в повечето случаи само за минути хакерът ще контролира по-голямата част от критичната ви ИТ инфраструктура и ще има достъп до конфиденциални данни. В този момент, вече сте загубили битката… но все още отговаряте на изискванията на одиторите! Или може да сте платили за евтино сканиране на сигурността и сте си осигурили негативна възвръщаемост на инвестицията (negative ROI).
Какви са загубите? Обикновено е невъзможно да се определи с точност сумата в резултат на единствен успешен пробив в сигурността (и нека не забравяме, че единствените пробиви в сигурността за които ще научите, са неуспешните пробиви в сигурността) – въпреки това, има някои области в които е лесно да се калкулират точно загубите:
* Часове работа и персонал за идентифициране на всяко компрометирано устройство
* Часове работа и персонал, нужни да се преинсталира и преконфигурира всяко устройство
* Часове работа и персонал, за да се провери сорс кода за неоторизирани промени
* Часове работа и персонал за мониторинг на мрежовия трафик за неоторизиран достъп или изтичаща информация
* Часове работа за обучение на клиенти
* Глоби
* Време в което части от ИТ инфраструктурата ще са недостъпни
* Цената на загубените клиенти
* Цената на загубената репутация
и т.н.
(загубите могат много лесно да надминат четвърт милион лева за мрежа от ~50 компютъра, в зависимост от дейността на компанията)
Когато повечето организации изграждат защитата си, това прилича на защита срещу … стереотипни, Холивудски атаки. Много рядко при дизайна на една защитна система, се мисли за нестандартни начини за преодоляване на тази защита. Един пример: при създаването на една ключалка, кой от нейните дизайнери мисли за преодоляването на нейната защита с помощта на кутийка от газирана напитка? Поставяйки камери за наблюдение, мислили ли сте за защита срещу инфрачервени и обикновени лазери насочени в камерата от недобронамерени лица? Това е и причината всички стандарти за сигурност да се провалят, когато бъдат атакувани от хора с нестандартно мислене. Още един пример: предполагам сте гледали спаринг между каратисти? Всяка атака има точно определен блок, и защитаващият се използва предварително заучени методи на защита срещу предварително заучени методи на атака. Няма ли да е смешно да наблюдаваме бой между сумист и каратист? Още един, малко по-свободен пример.. знаете ли кой ще победи, ако най-добрият каратист на света се изправи срещу Рамбо? Ами, Рамбо естествено – той е въоръжен! Аналогията със специалистите по сигурността и техните познания е ясна..
Ако наистина ви е грижа за ИТ сигурността, обучавайте служителите си в методи на атака срещу компютърни мрежи – просто няма ни най-малка логика в това да се довериш някой да защитава твоята компаниия, ако този човек никога не е преодолявал системи за сигурност. Академичните познания, сертификатите като CISSP – всички те би следвало да се придобиват след като човек е придобил познания за атакуване и преодоляване на защити, а не вместо. Именно поради тежкия синдром на “аз съм сертифициран, следователно знам” много компании постоянно страдат не само заради пробиви в сигурността, а и поради недостатъчно добре подготвени кадри.
Ако решите да имате собствен “tiger team” – погрижете участниците в него да не участват в почти нищо друго, освен постоянно атакуване на собствената си компания, постоянни атаки срещу виртуални мрежи изградени в отделена за тях лаборатория, постоянно запознаване с най-новите уязвимости и тяхното използване за преодоляване на защити. Атаката трябва да е непрекъсната, паралелна на тези които се случват отвън – не бива да позволявате на атакуващ отвън да изпревари вашия tiger team и да намери слабост в защитите ви пръв! Една грешка която допускат много организации, и да кажат на ИТ Администратора да се занимава и със сигурността. Те доверяват сигурността на жизненоважна информация за компанията на някой, който постоянно се занимава с проблеми като неработещи принтери, развалени мишки и забили сървъри! Не е ли абсурдно? Ако искате да сте защитени, погрижете се да имате човек или хора, които се занимават само с това, и с нищо друго. Не може чистачката да кара камиона и да вдига телефона, трябват ви чистачка, секретарка и професионален шофьор ако искате работата да бъде свършена добре.
Разбира се, има и друг вариант – да наемете penetration testing екип. Този вариант обаче има една много тънка подробност – повечето компании наемат екипа, той намира уязвимости, документира ги, препоръчва решение на проблемите… след което CSO-то просто си почива с мисълта че компанията вече е защитена… какво да кажем за уязвимостите, откривани в абсолютно всеки програмен продукт непрекъснато, дори в утвърдени, антични, проверени с времето мрежови протоколи като DNS? Някой беше казал… “Security is a state of mind” – немога да не се съглася.
Много внимавайте когато избирате екип за pentest. Някои псевдо-специалисти ви казват че ще проверят сигурността на компанията, а всъщност просто пускат един скенер за уеб уязвимости, един скенер от рода на Nessus (безплатен е, по-добре го пуснете сами и си спестете парите), пускат един portscan и ви дават 50 страници с резултати, плод на 20 минути реална работа – от които 10 минути са били за поставяне на собственото им лого вместо това на Nessus. След което ви дават баснословна фактура за своите безценни услуги, вие оставате с илюзията за сигурност а те – с илюзията че са свършили някаква работа…
При първоначални преговори за поемане на задачата, ги помолете да ви разкажат за методите които ще използват. Следете за social engineering, преодоляване на системи за физическа сигурност, събиране на информация подпомагаща атаката от нестандартни източници, писане на собствен exploit код, питайте ги някога откривали ли са 0-day уязвимости в софтуерен продукт (в много случаи, при липса на уязвимост в софтуера, е по-лесно да се намери такава собственоръчно, отколкото да се чака някой друг да го направи или да се търси пролука другаде). Това са някои от нещата които се използват от недобронамерени хакери и крадци на информация, най-основните, така да се каже – и ако екипа дошъл при вас не умее да ги ползва, може да им предложите да се захванат със земеделие, например… не защото това наистина ще ги накара да сменят професията си – но поне може да им помогне да сменят мотивите заради които се занимават с ИТ сигурност, а това ще им помогне да се грижат за клиентите си по-добре вбъдеще.
Агресивна сигурност – това е миналото на всяка успешна защита, настоящето, и единственото възможно бъдеще – защото пасивната защита винаги е водила до провал. Не бъдете сред губещите – защитавайте се агресивно!