26/08/2021

Эссе об оптимистах, пессимистах, доверии, «удалёнке» и безопасности информации.

 

«Зри в корень!»

Козьма Прутков

 

Конечно, в условиях пандемии мир меняется. И очень сильно изменились наши коммуникации и отношение к рабочему месту. Уютные домашние тапочки, мягкий диван, подмосковная дача вместо душного офиса – это уже норма. Хорошо! Но на реверсе этой благодушной картины вырисовывается большая головная боль администратора информационной безопасности. Как в этих комфортных для пользователя условиях обеспечить безопасное и надёжное взаимодействие этого самого пользователя с информационной сетью организации? Вот и получается, новые производственные отношения возникли, а проблемы безопасности информации остались старые.

 

ОПТИМИСТЫ И ПЕССИМИСТЫ

В принципе, здесь нет ничего нового. Это модная в последнее время парадигма «нулевого доверия» – Zero Trust, идея, получившая второе дыхание во время пандемии. Считается, что она была придумана в 2010 году аналитиком Forrester, но на самом деле в России парадигма «доверенной среды» появилась лет на 20 раньше (как говорится, нет пророка в своём отечестве). Правда, есть и некоторые отличия.

Давайте всё-таки вспомним старый анекдот про полупустой (или полуполный?) стакан. Оптимист считает, что стакан наполовину полон, а пессимист – что наполовину пуст. В данном случае пессимистическая точка зрения присуща именно «нулевому доверию». Главный тезис: полное отсутствие доверия кому-либо – даже пользователям внутри периметра. Это значит, что каждый раз, когда пользователю надо достучаться до какого-нибудь ресурса в сети, он должен подтверждать свои полномочия. Идея проста и состоит из следующих основных компонент:

  • недоверие к сети (весь трафик, независимо от местоположения, является вредоносным, пока не будет доказано, что он авторизован, проверен и защищён);
  • сегментация на уровне сети (минимум привилегий и строгий контроль доступа только к ресурсам, которые необходимы для выполнения работы пользователем);
  • сетевой мониторинг и аналитика (постоянная проверка и регистрация всего трафика на предмет вредоносных действий);
  • контроль пользователя (аутентификация пользователей и постоянный мониторинг и управление их доступом и привилегиями);
  • контроль приложений (контроль всех приложений, особенно соединений между контейнерами или гипервизорами в облаке);
  • контроль данных (защита и управление данными, шифрование данных как при хранении, так и при передаче).

Но здесь и кроется проблема. Реализовать полную модель «нулевого доверия» не так просто. Положим, удалённый пользователь прошёл все установленные процедуры идентификации – аутентификации – авторизации и у администратора безопасности нет, кажется, оснований не допустить пользователя в закрытую сеть или к нужному ресурсу. А теперь ответьте на вопрос: по результатам успешного прохождения процедуры идентификации – аутентификации – авторизации удалённого пользователя администратор безопасности защищённой сети может быть уверен в безопасности сети? Ведь сама по себе процедура идентификации не ответит на, может быть, главный вопрос: а можно ли доверять тому компьютеру, с которого обращается пользователь? Ведь этот компьютер находится на чужой территории, неподконтрольной администратору безопасности. И в этой неоднозначной ситуации, когда исчезает само понятие «периметр», администратор безопасности сервера стоит перед выбором: либо довериться «голосу» как бы доверенного пользователя и разрешить непроверенному компьютеру доступ в защищённую сеть, либо не пускать пользователя в закрытую сеть и нарушить все бизнес-процессы. А компьютер пользователя может быть заражён каким-нибудь вредоносом, или на нём установлен ботнет или TeamViewer, обеспечивающий обмен файлами между управляющей и управляемой машинами. Получается, что администратор безопасности, который должен стоять на страже своей сети, своими руками сделал «дыру» в сети и пустил козла в огород. Я уже как-то писал об этой проблеме.

А теперь оптимистическая точка зрения. Главный тезис концепции «доверенной среды»: если мы сможем быть уверенными в надёжности (лояльности, доверенности) каждого элемента, нам не обязательно изолировать их в замкнутой среде. В силу принципа декомпозиции каждый элемент защищаемой информационной системы сам по себе может быть защищён, и в этом случае соединение их в единую информационную систему с помощью защищённых каналов позволит создать вокруг информации надёжную оболочку. «Доверенная среда» предполагает, что должно быть доверие:

  • к окружению системы (доверенная территория, жизнеобеспечение);
  • к субъектам отношений (счётность субъектов и объектов);
  • к правилам и процедурам (доверенность конфигураций и настроек);
  • к аппаратной и программной платформе (целостность всех элементов);
  • к выполняемым операциям (подконтрольность и документированность);
  • к каналам передачи информации (доверенность каналов).

Обе точки зрения, в принципе, говорят о похожих сущностях. Но дьявол кроется в нюансах. С точки зрения «нулевого доверия» прежде всего требуется постоянный мониторинг и управление доступом и привилегиями пользователей, а также мониторинг всего трафика на предмет вредоносных действий. И здесь остаётся открытым вопрос доверия к конечному оборудованию пользователя. С точки зрения «доверенной среды» – постоянный мониторинг конфигураций и настроек и целостности рабочих мест, то есть прежде всего формирования доверия к компьютеру конкретного пользователя. Ну а процедура идентификации – аутентификации – авторизации в обоих случаях является обязательной. Вот и получается, что без разницы, стакан наполовину полон или наполовину пуст, главное, что в нём есть то, что можно пить.

 

КОРЕНЬ ДОВЕРИЯ

А теперь ответьте, что проще: постоянно контролировать права доступа или конфигурации и настройки компьютера? Например, использование Active Directory для аутентификации и контроля полномочий пользователя – распространённое явление. Система известная, и поэтому в Интернете описывается множество атак на неё.

Простейшее. Слабые или украденные учётные записи являются мощным оружием хакеров, используемым в 95% всех атак. На каждом компьютере в сети должна быть встроенная учётная запись администратора, защищённая паролем, который должен регулярно меняться. Но частенько, особенно когда много «удалёнщиков», к которым не всегда доберёшься, системные администраторы используют возможности самого Active Directory (групповые политики) для быстрой замены такого пароля. Одна незадача: на всех компьютерах пароль локального админа будет одинаковый. Из этого следует, что получение учётных данных администратора на одной из машин сделает злоумышленника админом сразу на всех. Особенно это актуально для удалённого компьютера, когда злоумышленник во благо времени имеет возможность использовать любые инструменты. Вот и получается: то, что хорошо работает в замкнутой среде, может не сработать в среде «без периметра». Очень важно не только контролировать полномочия пользователей, но и следить, чтобы на удалённом компьютере не было чего-нибудь лишнего.

Решение, кажется, на поверхности. Надо провести инвентаризацию удалённого компьютера, создать некий его профиль и в дальнейшем с периодичностью отслеживать его состояние, настройки, конфигурацию, целостность. Проще говоря, надо в режиме реального времени проводить мониторинг:

  • ГДЕ находится компьютер;
  • КАК подключается компьютер;
  • ЧТО установлено на компьютере;
  • ЧТО запущено на компьютере;
  • ЧТО делает сотрудник/фрилансер.

При этом средство мониторинга должно как минимум уметь контролировать:

  • геолокацию компьютера и структуру информационной сети;
  • состав программного и аппаратного обеспечения;
  • параметры настройки операционной системы, версионность, обновления;
  • установку, настройку, актуальность программного обеспечения;
  • наличие, актуальность и настройки средств защиты информации;
  • тип и состав подключённых USB-устройств;
  • запущенные в операционной системе процессы;
  • Log on/log off пользователей.

Сведения обо всех этих параметрах как раз и будут составлять профиль рабочего места. Но пассивное наблюдение вряд ли даст положительный эффект. Необходимо не только контролировать, но и иметь возможность управлять рабочим местом: уведомлять администратора безопасности об отклонениях, блокировать доступ в критических ситуациях или переводить компьютер в карантин.

Однако и этого мало. Нужно правильно построить хранилище, в котором, собственно говоря, и должен храниться тот самый профиль рабочего места, с которым будет проводиться сравнение. Это и будет корень доверия. Естественно, что такое хранилище должно быть надёжно защищено и исключать всякую возможность изменения профилей. Можно поступить по-разному: можно поместить такое хранилище непосредственно на проверяемом компьютере – это упростит процедуру контроля и сократит трафик обмена результатами, но тогда встанет проблема его защиты. Скорее всего, это можно реализовать криптографическими методами, а это, в свою очередь, обозначит проблему доставки криптоключей и их стойкости и ещё ряд проблем, связанных с возможностью взлома такого хранилища (не будем забывать, что удалённый компьютер, размещённый на «чужой» территории, позволяет злоумышленнику спокойно во благо времени изучить все уязвимости хранилища и при необходимости выработать специальные методы воздействия). А можно поступить и по-другому. Самое надёжное место для такого хранилища – закрытый сегмент информационной сети, расположенный на строго охраняемой территории. И при этом доступ к нему должен быть ограничен, он не должен быть напрямую связан с самой информационной сетью, что исключит возможность случайного (преднамеренного?) доступа к такому хранилищу. По всей видимости, это должен быть отдельный сервер.

 

ЛАЗЕРМАН ПРОТИВ ЗОЛИНГЕН

Средства защиты постоянно совершенствуются. Это прогресс, и от него никуда не денешься. И прогресс этот идёт в том числе по пути универсализации этих средств. И если раньше мы с лёгкостью могли идентифицировать то или иное средство защиты используя, например, классификацию Гартнера, то сейчас это не всегда возможно. Наверное, уже можно говорить не об отдельном средстве защите, а комплексе, который реализует функции нескольких классов средств защиты. Например, межсетевые экраны новой генерации (NGFW – Next Generation Firewall – в классификации Гартнера) не только объединяют в себе возможности традиционных межсетевых экранов, но и добавляют к этой функциональности ещё десяток новых функций, в том числе систем предотвращения вторжений IDS/IPS, управление приложениями, антивирусную защиту и прочее. Хорошо ли это? Смотря с какой точки зрения. С точки зрения ИТ-специалиста это очень хорошо: нет «зоопарка» средств, проще администрировать, поставил одно средство и решил половину проблем.

А с точки зрения ИБ-специалиста – наоборот. Давайте вспомним классику построения систем обеспечения безопасности информации в части антивирусной защиты. Основной постулат в этой части – создать трёхуровневый эшелон защиты (пограничное устройство – сервер – рабочая станция), и при этом на каждом уровне надо применять антивирусные средства разных производителей. Это нужно для того, чтобы злоумышленник, преодолев один рубеж, поняв логику и алгоритм защиты, не смог бы применить свои познания для преодоления второго и третьего рубежа. Да, антивирусы разных производителей, построенные по разным принципам и архитектурам, использующие разные алгоритмы и логику работы, создадут трудности для злоумышленника, поэтому этот тезис не такой уж и абсурдный, хотя и создаёт проблемы в обслуживании. А универсальные, многофункциональные средства защиты как-то не вписываются в такую концепцию: при нарушении одной функции автоматически создаётся угроза для всех остальных защитных функций.

И ещё, с точки зрения экономики. А все ли заявленные в универсальном средстве функции нужны в конкретной информационной системе? Не факт! Положим, хозяйка собирается на ужин подать жареное филе трески. Предложите ей для готовки на выбор два инструмента: универсальный мультитул «Лазерман» и специальный филейный нож от Золинген. Что она выберет? Конечно Золинген! И удобнее, и лучше. Часто лучше воспользоваться специализированным инструментом, чем использовать универсальный. Так и в нашем случае, учитывая особые требования к автономизации системы мониторинга рабочих мест, целесообразнее использовать специализированное средство, заточенное под такие задачи и позволяющее локализовать себя от остальных средств. При этом локализация не значит отсутствие взаимодействия. Взаимодействие важно и нужно.