Основы информационной безопасности⁠⁠

О понятии "информационная безопасность" (ИБ) каждый из нас много слышал, но для большинства эти слова остаются пустым звуком. Для подавляющего большинства их тех кто имеет представление об информационной безопасности её базовые принципы являются тайной за семью печатями и только единицы профессионалов могут рассказать что такое информационная безопасность. Специалисты-практики ничего нового не узнают, а вот "обывателям" будет полезно.

В свое время (в том числе и недавно) я лопатил горы информации в поисках основ информационной безопасности и получил... Горы бесполезной информации. Почему бесполезной? Потому что нет скоординированного подхода к проблеме. В зависимости от автора, целей и задач существует море подходов, классификаций и теорий в ИБ, но вот единой системы нет. Поэтому текст ниже - краткое обобщение практики собранной за 14 лет.

Во-первых уничтожим несколько штампов, во-вторых разберемся что такое практическая информационная безопасность и в-третьих будут накопленные за 14 лет практические советы.

Штампы:

1. Хакеры - взломщики. Это вообще не так, это специалисты экстра-класса. Слово произошло от глагола to hack - "топорная работа", так называли (и называют) специалистов способных выжать 120 % (и более) из софта и железа и знающие системы лучше их создателей. Хакеры не "злобные взломщики" (хотя одно другого не исключает), это именно специалисты экстра-класса независимо от того чем они занимаются.

2. Антивирусное ПО защищает компьютер. Не защищает и в принципе не может защитить компьютер от всех угроз, предел возможностей антивирусов - отсеивание отработавшей своё, но не вычищенной шушеры.

3. Есть единая система по которой можно настроить и забыть про угрозы ИБ. Не существует и не может существовать в природе.

4. Производители ПО заботятся об информационной безопасности. Поиск угроз ИБ в программных продуктах - дело требующее высокой квалификации и огромных затрат времени, а это - во-первых увеличение бюджета разработки в разы (а иногда - десятки раз), а во-вторых потребность в специалистах, коих на рынке буквально считанные единицы.

5. Можно защитится от угроз ИБ (как вариант компьютер в офф-лайн). Нельзя, не только существуют, но и активно применяются методы взлома и офф-лайн машин.

Практическая информационная безопасность:

Взломщики (те кто ломают софт, сервера и пишут вирусы) делятся на 2 категории:

1. За деньги. Это те кто осуществляют атаки за деньги.

2. За идею. Те кто ломают во-первых чтобы посмотреть как оно работает (по аналогии со вскрытием лабораторных животных), во-вторых получить заслуженное уважение от коллег, в-третьих достичь каких-то личных целей.

Самая опасна для ИБ именно вторая категория. Если взломщик-идеалист заинтересуется Вашей системой, то вопрос взлома - это вопрос времени.

Поэтому первой аксиомой практической ИБ является расчет на то, что Вас уже взломали.

Давайте пойдем дальше и ответим на ключевые вопросы (которыми 99% людей даже не задается): что такое взлом и как собственно он происходит?

Взлом - несанкционированное (не разрешенное) вмешательство в работу информационной инфраструктуры, которое нарушает информацию в виде:

1. Создания информации - загрузка на атакуемые ЭВМ новой информации или программного обеспечения.

2. Изменения информации - изменение данных и программного обеспечения.

3. Копирования информации - копирование на информационные носители данных с ЭВМ жертвы.

4. Удаления информации - уничтожение информации на ЭВМ жертвы.

5. Отказа в обслуживании - произведение действий в результате которых ЭВМ жертвы не сможет выполнять возложенных задач.

Как происходит взлом (обобщение прочитанных "мемуаров" взломщиков):

Первым делом взломщик собирает информацию об атакуемой системе. Тема о том сколько всего можно узнать исследуя сетевой трафик от жертвы даже не на пост - на целую серию постов. Но в итоге у взломщика есть информация о том что именно он атакует.

Вторая стадия - создание копии атакуемой системе в виртуальной или реальной среде. Эта стадия нужна для отработки механизма атаки, хотя при некоторых условиях эта стадия отсутствует.

Третья стадия - создание инструмента взлома (или использование готового).

Четвертая стадия - тестирование инструмента на средствах антивирусной защиты. Вирус который распознается "на раз" никому не нужен, поэтому качественно подготовленный для использования в атаке инструмент спокойно пройдет любую антивирусную защиту.

Пятая стадия - подготовка атаки. На этой стадии разрабатываются способы обхода внешних защит информационной инфраструктуры и решаются проблемы доступа.

Шестая стадия - взлом. Это именно то, что показывают в фильмах - готовые инструменты используются в готовых каналах для атаки.

Седьмая стадия - использование результатов атаки.

Советы:

0. Делайте копии важной информации. Копий рабочих данных должно быть не менее 2-х, критических данных - не менее 4-х, при этом копии должны размещаться так, чтобы не быть поврежденными/уничтоженными при атаке или при каком-либо происшествии.

1. Используйте антивирусы. Очень мало случаев, когда атака производилась чисто на одну информационную инфраструктуру. В основном атакуется некоторый сегмент в который входит атакуемый объект. При этом атака удается, а спустя некоторое время (от суток до нескольких лет) вирусы используемые при атаке попадают к антивирусным компаниям и они обновляют свои базы. Антивирус просто отсеет летающие по сети ошметки давно прошедших взломов и позволит сосредоточиться на текущих угрозах ИБ.

2. Используйте файерволы (как минимум на шлюзах). Очень рекомендуется их использовать в ручном режиме и на каждом устройстве. Рекомендуемая настройка на рабочих станциях - запрет всех входящих подключений, разрешены исходящие подключения. Рекомендуемая настройка на серверах - разрешение на конкретные порты конкретным клиентам.

3. Разграничивайте сети и закройте доступ к общим папкам. Достаточно многие вирусы могут атаковать через сеть и через общедоступные ресурсы.

4. Используйте по максимуму виртуализацию. Виртуальная машина проигрывает по производительности реальной, но является обычным файлом, который легко скопировать и при необходимости скопировать обратно. Таким образом восстановление работоспособности занимает минимальное время и снижает убытки.

5. На компьютерах должно быть установлено минимальное количество ПО. Неуязвимого ПО нет, а в погоне за клиентом все дружно забили на ИБ, поэтому каждая программа - набор дырок в ИБ и чем меньше софта, тем меньше потенциальных проблем. Такая же позиция должна быть занята и по отношению к службам запущенных на компьютерах - только необходимые для работы.

6. Используйте сканеры файловой системы. Любая атака любым вирусом затронет файловую систему. Сканеры ФС хранят таблицу файлов и хешей и отслуживают обращения к файлам, если пошли необычные манипуляции с ФС - вы атакованы.

7. Не используйте "типовые" решения. На типовые решения есть типовые пути обхода этих решений. Думайте и фантазируйте как направить атаку с реальных машин в какую-нибудь "выгребную яму" (или в приготовленную DMZ). Позаботьтесь о достоверности "выгребной ямы", данные в ней должны быть во-первых бесполезны для взломщика, а во-вторых быть правдоподобными иначе он поймет что его наеобманули и будет менять вектор атаки.

8. Защита начинается с установки. Еще на стадии установки ОС можно обезопасить себя от очень многих типовых угроз. Во-первых готовый к эксплуатации образ ОС нужно скопировать на отдельный раздел (в случае заражения достаточно будет восстановить ОС из образа), во-вторых средствами ОС или сторонним софтом прописать "белые" исполняемые файлы и запретить исполнение всех остальных, в-третьих отключить автозагрузку всех устройств, в четвертых минимизировать используемое ПО поставляемое с ОС.

9. Документируйте все. Никто и ничто не вечно, а память несовершенна. Грамотно составленная документация позволяет во-первых иметь четкое понимание ситуации, во-вторых иметь представление о возможных угрозах, а в-третьих спланировать устранение последствий взлома.  

A. Полюбите бумагу, а не файлы. Файлы легко могут быть скопированы, а вот с бумагой проделать такое гораздо сложнее. Все критически важные пароли ни в коем случае не должны сохраняться или храниться в файлах. Пароли "второго уровня" должны храниться только в локальных менеджерах паролей, а вот пароли от "спамерских" учеток можно выписать в блокнот на рабочем столе.

B. Не доверяй никому и ничему. За единичными исключениями все что мы видим на мониторе - плод работы программ которые могут уже быть заражены. Повторить интерфейс чего-либо задача очень простая, поэтому при угрозе

C. Самая большая угроза ИБ сидит перед монитором. Самый легкий взлом - через пользователя ЭВМ, поэтому пользователь должен быть максимально ограничен в возможностях на компьютере. Есть одна папка с документами и доступ к программам используемым в работе, остальное - запрещено. Проводить разъяснения и учения по ИБ.  

D. Профилактика уменьшает глубину жопы. В моей практики были случай когда два месяца напряженной работы сисадмина привели к тому, что атака инициированная поддельным письмом из ПФР для бухгалтера провалилась (при детектировании изменений файлов вырубили комп) и работоспособность была восстановлена примерно за 30 минут.

E. Считайте что Вас уже взломали. Гораздо больше времени уделяйте не защите, а способам во-первых затруднить доступ к критически важным данным и во-вторых максимально быстро восстановить работоспособность системы. Чем сложнее организован несанкционированный доступ к данным, тем больше взломщики будут в сети и тем выше шанс обнаружения вторжения, а значит выше шанс детектирования и начала противодействия. Чем быстрее можно восстановить работоспособность системы тем меньше будет простой организации и соответственно убытков. Тут есть океаны способов, которые перепробовать жизни не хватит.

F. Взломайте себя сами. Если знаешь как взломать, то соответственно будешь знать как себя защитить.

И напоследок (самое главное) - аудит. Введите себе в привычку проверять что твориться в компьютере загрузившись с "живого" образа ОС (желательно с диска восстановления антивируса) и посмотрите - все ли в порядке?

Информационная безопасность, это не единичное действие и не набор действий, а постоянный и не прерываемый процесс.

Спасибо за внимание и удачи!