InfScr42021

Page 1

Издание компании

15–17

2022

Спецпроект

Электронная подпись

АктуАльные вопросы МоДелировАния угроз безопАсности объектов кии Zero TrusT Для безопАсности уДАленного персонАлА систеМы зАщиты виртуАльных инфрАструктур контроль ДоступА привилегировАнных пользовАтелей к бАзАМ ДАнных стрАховАние киберрисков: МоДный тренД или острАя необхоДиМость? блокчейн кАк бАзис Для безопАсной ит-инфрАструктуры Agile не противоречит безопАсности: Мифы и реАльность особенности и инструМенты зАщиты контейнеров ЭлектроннАя цифровАя поДпись: прАвилА зАщиты

Мария Дордий

Эффективное управление цифровыми сертификатами – оЧереДноЙ вызов Для службы иб

www.itsec.ru

№ 4, сентябрь 2021


Реклама


www.itsec.ru

Налог на информационную опасность С определенной точки зрения бухгалтеры лишь формально работают в коммерческих организациях. Ведь основный их работодатель – министерство финансов, которое всецело регламентирует, как, когда и в каком объеме работать бухгалтерам. Затраты на бухгалтерию – это своеобразный налог на жизнь в развитом государстве.

Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”

Бизнес-функционал в информационных системах имеет естественный приоритет над сопутствующими возможностями, ведь только ради него и создаются системы. И информационную безопасность в первом приближении также можно рассматривать как налог – на отсутствие безопасности в виртуальном мире. Впрочем, не стоит забывать важное действующее лицо, разработчиков. Причем речь не только о разработке самих информационных систем, но и всего стека используемых технологий: операционных систем, браузеров, драйверов, роутеров, процессоров, чипсетов, IoT-устройств. Именно ошибки разработчиков формально порождают уязвимости, которые дальше эксплуатируются злоумышленниками и из-за которых возникают прямые и косвенные затраты на информационную безопасность. Но почему эти ошибки возникают? Помните, когда-то протоантивирус, работавший еще в диалап-сетях, гонялся за одним-единственным хулиганским протовирусом и контроль такой обстановки был несложным. Но дело в том, что инженерная сложность современных систем уже превысила технологические возможности для полноценного контроля и управления. Максимальный фокус разработки сосредотачивается на основной функциональности, а на боковые ветви недокументированного использования априорно не хватает ресурсов . Так что во втором приближении информационная безопасность – это налог на сложность, порождаемую бурным развитием информационных технологий. Есть ли на горизонте решение, которое поможет изменить ситуацию? В 2017 году компания DeepMind представила шахматную нейросеть AlphaZero, которая, за 24 часа обучившись игре с нуля, стала с огромным запасом громить как живых шахматистов, так и все остальные компьютерные шахматные программы. Дело в том, что за счет своей архитектуры AlphaZero, детально рассматривая только те варианты, которые не кажутся бессмысленными, выигрывала ценные вычислительные ресурсы. Однажды искусственный интеллект будет способен не только просчитывать шахматные стратегии, но и разрабатывать информационные системы, полностью контролируя их сложность, априорно избавляя от любых уязвимостей. И в этот момент информационная безопасность станет не нужна.

• 1


СОДЕРЖАНИЕ ПРАВО И НОРМАТИВЫ Анастасия Заведенская Обзор изменения в законодательстве. Июль, август – 2021 . . . . . .4

В ФОКУСЕ

стр.

10

КИИ Константин Саматов Актуальные вопросы моделирования угроз безопасности объектов КИИ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 ПЕРСОНЫ Мария Дордий Эффективное управление цифровыми сертификатами – очередной̆ вызов для службы ИБ . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 стр.

СПЕцПРОЕКТ

20

ЭлЕКтРОННАя ПОдПИСь Андрей Игнатов Мобильная электронная подпись и управление аутентификацией в крупной компании . . . . . . . . . . . . . . . . . . . . . . .14 Станислав Жураковский Электронная цифровая подпись: правила защиты . . . . . . . . . . . . .16

УПРАВлЕНИЕ Мурад Мустафаев Основные виды атак на инфраструктуру и концепция защиты от них . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

стр.

14

Илья Четвертнев Принцип ненулевого доверия как ключ к построению системы защиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 Владимир Новиков Страхование киберрисков: модный тренд или острая необходимость? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

ТЕХНОлОГИИ КОНтРОль дОСтуПА Дмитрий Ларин увидеть то, что скрыто, или Контроль доступа привилегированных пользователей к базам данных . . . . . . . . . . .24 2 •

стр.

24


СОДЕРЖАНИЕ Надежда Мозолина Системы защиты виртуальных инфраструктур . . . . . . . . . . . . . . . .26 Алексей Аверин Поймай меня, если сможешь: кража данных с помощью программ-вымогателей . . . . . . . . . . . . .28

Электронная почта требует лучшей защиты, чем просто антиспам, антивирус и песочница . . . . . . . . . . . . . . . . .30

Журнал "Information Security/Информационная безопасность" № 4, 2021 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г. Учредитель и издатель компания "ГРОТЕК" Генеральный директор ООО "ГРОТЕК" Андрей Мирошкин Издатель Владимир Вараксин Выпускающий редактор Амир Хафизов

Раджабали Гаджиев Антифрод для финансовых организаций:

Редактор Светлана Хафизова

что это, как работает, как защитить данные . . . . . . . . . . . . . . . . . .32 Корректор Галина Воронина

ЗАщитА Сетей Антон Тихонов Почему технология Zero Trust важна для безопасности и производительности удаленного персонала? . . . . . . . . . . . . . . .33 Артур Салахутдинов MSSP: UserGate как услуга . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

КриПтогрАфия Олег Ховайко Блокчейн как базис для безопасной ит-инфраструктуры . . . . . .36 Александр Подобных Блокчейн проникает в экономику . . . . . . . . . . . . . . . . . . . . . . . . . . . .38

БеЗоПАСНАя рАЗрАБотКА Андрей Акинин, Василий Окулесский Agile не противоречит безопасности. Мифы и реальность . . . . . .40 Надежда Мозолина, Наталия Иванова особенности и инструменты защиты контейнеров . . . . . . . . . . . .44

НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

Дизайнер-верстальщик Ольга Пирадова Юрисконсульт Кирилл Сухов, lawyer@groteck.ru Департамент продажи рекламы Зинаида Горелова, Ольга Терехова Рекламная служба Тел.: +7 (495) 647-0442, gorelova@groteck.ru Отпечатано в типографии ООО “"Линтекст", Москва, ул. Зорге, 15 Тираж 10 000. Цена свободная Оформление подписки тел.: +7 (495) 647-0442, www.itsec.ru Департамент по распространению Тел.: +7 (495) 647-0442 Для почты 123007, Москва, а/я 26 E-mail: is@groteck.ru Web: www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет Мнения авторов не всегда отражают точку зрения редакции © "ГРОТЕК", 2021

• 3


ПРАВО И НОРМАТИВЫ

Обзор изменений в законодательстве Устанавливаются новые правила маркирования СрЗИ, информирования ФСБ России о компьютерных инцидентах, использования информационной системы Роскомнадзора Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

Июль-2021

В Изменения в правилах категорирования объектов КИИ Проект постановления Правительства Российской Федерации "О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127"1 (далее – проект постановления) опубликован 22 июля 2021 г. Проектом постановления предлагается: l наделение государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и/или нормативно-правовому регулированию в установленной сфере деятельности, полномочиями по осуществлению ведомственного и/или отраслевого мониторинга состояния работ по категорированию объектов критической информационной инфраструктур (далее – КИИ); l установление требований о направлении во ФСТЭК России скорректиро-

июле 2021 г. ФСТЭК России выступила с законодательными инициативами изменений нормативных требований в части категорирования объектов КИИ, а также ведения реестра значимых объектов КИИ. Была опубликована информация об изменении порядка маркирования сертифицированных средств защиты информации, а также о применении сертифицированных средств в автоматизированных системах управления. Для регламентации в нормативно-правовых актах было предложено определение, какие информационные системы являются государственными и как их нужно классифицировать. Об этом и других изменениях читайте в июльском обзоре изменений законодательства по информационной безопасности за 2021 г.

ванных сведений о значимом объекте КИИ в случае их изменения в течение 10 рабочих дней со дня внесения изменений; l внести уточнение, что за непредставление или нарушение сроков представления сведений субъекты КИИ несут административную ответственность.

Изменения в порядке ведения реестра значимых объектов КИИ Следом, 29 июля 2021 г., ФСТЭК России опубликовала проект приказа "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227"2 (далее – проект приказа). Проектом приказа предлагаются следующие изменения: l разделение сфер энергетики и топливно-энергетического комплекса при обозначении для значимого объекта КИИ сферы (области) деятельности, в которой он функционирует;

l введение аналогичной проекту постановления нормы по направлению сведений субъектами КИИ во ФСТЭК России об изменениях в значимом объекте КИИ; l дополнение случаев предоставления информации из реестра значимых объектов КИИ государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и/или нормативноправовому регулированию в сфере функционирования значимого объекта КИИ.

Порядок маркирования сертифицированных средств защиты информации Информационным сообщением "О порядке маркирования сертифицированных средств защиты информации в системе сертификации ФСТЭК России" от 22 июля 2021 г. N 240/24/34873 ФСТЭК России сообщает о подготовке проекта изменений в Положение о системе сертификации средств защиты информации (далее – СрЗИ), утвержденное приказом ФСТЭК России от 3 апреля 2018 г. № 55,

https://regulation.gov.ru/Projects/List#npa=118306 https://regulation.gov.ru/Projects/List#npa=118599 3 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2258-informatsionnoe-soobshchenie-fstek-rossii-ot22-iyulya-2021-g-n-240-24-3487 1 2

4 •


Zavedenskaya 9/29/21 4:09 PM Page 5

www.itsec.ru

Реклама

ПРАВО И НОРМАТИВЫ

предусматривающим в том числе изменение порядка маркирования сертифицированных СрЗИ. Сообщение поясняет новый порядок маркирования СрЗИ идентификатором, состоящим из прописных букв и групп цифр. Описанный порядок маркирования должен применяться с момента опубликования информационного сообщения. Специальные защитные знаки для маркирования сертифицированных средств СрЗИ больше выдаваться не будут. Организации, имеющие запас специальных защитных знаков, могут продолжить маркирование производимых ими сертифицированных СрЗИ специальными защитными знаками до израсходования имеющихся знаков. При этом изготовители СрЗИ должны вести журнал, в котором будут регистрироваться промаркированные образцы СрЗИ с указанием идентификаторов, а также ежегодно, не позднее 1 февраля, представлять в ФСТЭК России отчет о количестве произведенных СрЗИ за год.

Защита информации в АСУ Приказ ФСТЭК России от 15.03.2021 № 46 "О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России 14 марта 2014 г. № 31"4, опубликован 1 июля 2021 г. Изменения направлены на нормализацию требований по использованию сертифицированных СрЗИ в автоматизированных системах управления (далее – АСУ) действующей системы сертификации ФСТЭК России. То есть 4 5 6 7 8

регламентировано использование СрЗИ, соответствующих тому или иному уровню доверия, в зависимости от класса защищенности АСУ.

Государственные информационные системы Проект федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "О техническом регулировании"5 (далее – проект ФЗ) опубликован 26 июля 2021 г. Проектом ФЗ предлагается наконец регламентировать дефиницию государственной информационной системы (далее – ГИС), а также жизненный цикл информационной системы. В классификации информационных систем вводится деление на федеральные ГИС, региональные ГИС, муниципальные и иные информационные системы.

Лицензирование отдельных видов деятельности Проект постановления Правительства Российской Федерации "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности"6 был опубликован 27 июля 2021 г. Основное предлагаемое изменение – запрет на осуществление лицензируемой деятельности иностранными юридическими лицами в области разработки криптографических СрЗИ и средств негласного получения информации. Предполагается вступление изменений в силу с 1 марта 2022 г.

Лицензирование деятельности по технической защите конфиденциальной информации Проект постановления Правительства Российской Федерации "О внесении

изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79"7 опубликован 14 июля 2021 г. Основные предлагаемые для внесения изменения: l нельзя вести лицензируемый вид деятельности иностранным юридическим лицам; l местом осуществления лицензируемого вида деятельности не могут являться помещения, здания, сооружения жилого назначения; l соискатель лицензии может отозвать заявление о предоставлении лицензии до принятия лицензирующим органом решения о предоставлении лицензии или об отказе в ее предоставлении.

Государственный контроль в сфере электронной подписи Постановление Правительства Российской Федерации от 29.06.2021 г. № 1044 "Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере электронной подписи"8 официально опубликовано и вступило в силу 1 июля 2021 г. Государственный контроль (надзор) осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. Государственный контроль (надзор) осуществляется без проведения плановых контрольных (надзорных) мероприятий, только посредством проведения внеплановых мероприятий, таких как инспекционный визит, документарная проверка, выездная проверка.

Стандарт Банка России Принят и введен в действие приказом Банка России от 23 июля 2021 г. № ОД1536 стандарт Банка России "Безопас-

http://publication.pravo.gov.ru/Document/View/0001202107010126 https://regulation.gov.ru/projects#npa=118396 https://regulation.gov.ru/Projects/List#npa=118454 https://regulation.gov.ru/projects#npa=117985 http://publication.pravo.gov.ru/Document/View/0001202107010003

• 5


ПРАВО И НОРМАТИВЫ ность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования" СТО БР ФАПИ.ПАОК-1.0-20219 (далее – стандарт). Стандарт рекомендован для использования при создании и оценке соответствия программных средств, предназначенных для безопасного обмена финансовыми сообщениями в среде открытых банковских интерфейсов. Стандарт носит рекомендательный характер и предназначен для:

l участников получения информации о банковском счете (банки и их клиенты, а также сторонние поставщики); l участников перевода денежных средств (банки и их клиенты, а также сторонние поставщики); l разработчиков информационного и программного обеспечения, информационных систем.

Проекты ГОСТов В июле 2021 г. ФСТЭК России представила сведения о национальных стандартах, разработанных в результате деятельности технического комитета по стандартизации "Защита информации"

(ТК 362), а именно проекты трех ГОСТов: l проект национального стандарта ГОСТ Р. Управление инцидентами, связанными с безопасностью информации. Принципы менеджмента инцидентов10; l проект национального стандарта ГОСТ Р. Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты11; l проект национального стандарта ГОСТ Р. Управление инцидентами, связанными с безопасностью информации. Руководство по реагированию на инциденты в сфере информационных и компьютерных технологий12.

Август-2021

В

обзоре изменений нормативно-правовых актов в области ИБ за август 2021 г. поговорим об изменениях от ФСТЭК России в порядке аттестации, об уточнении порядка информирования ФСБ России о компьютерных инцидентах, о потенциальных изменениях в перечне государств, обеспечивающих адекватную защиту ПДн, и об информационной системе Роскомнадзора, предназначенной для обеспечения получения оператором согласия на обработку ПДн, разрешенных субъектом ПДн для распространения.

Порядок организации и проведения работ по аттестации объектов информатизации Приказ ФСТЭК Росси от 29.04.2021 г. № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну"13 (далее – приказ ФСТЭК России № 77) официально опубликован 10 августа 2021 г. Приказ ФСТЭК России № 77 вступил в силу 1 сентября 2021 г. Порядок, установленный приказом ФСТЭК России № 77, распространяется на аттестацию следующих объектов информатизации: l государственных и муниципальных информационных систем, в том числе государственных, муниципальных ИС персональных данных; l ИС управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением; l защищаемых помещений; l значимых объектов КИИ; l ИСПДн; l автоматизированных систем управления производственными и технологическими процессами на критически важ-

ных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта РФ, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации может проводиться структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при выполнении требований, установленных приказом ФСТЭК России № 77 для проведения работ по аттестации. Приказом ФСТЭК России № 77 определен минимальный состав аттестационной комиссии – руководитель комиссии и не менее двух экспертов, установлен максимальный срок проведения работ по аттестации – 4 месяца. При этом не допускается назначение экспертов органов по аттестации из числа работников, участвующих в разработке и/или внедрении системы защиты информации объекта информатизации. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия должен представить во ФСТЭК России (территориальный орган

ФСТЭК России) в электронном виде копии следующих документов: l аттестата соответствия объекта информатизации; l технического паспорта на объект информатизации; l акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта КИИ; l программы и методик аттестационных испытаний объекта информатизации; l заключения и протоколов. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации. При этом владелец аттестованного объекта информатизации должен проводить периодический контроль уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте. Протоколы контроля защиты информации не реже одного раза в два года должны представляться владельцем объекта информатизации во ФСТЭК России (территориальный орган ФСТЭК России). Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет во ФСТЭК России сведения об аттестованных им объектах информатизации. В случае развития (модернизации) объекта информатизации, приводящей

https://www.cbr.ru/StaticHtml/File/117620/standart_16082021.pdf https://fstec.ru/tk-362/standarty-tk362/303-proekty/2248-proekt-natsionalnogo-standarta-gost-r-13 11 https://fstec.ru/tk-362/standarty-tk362/303-proekty/2249-proekt-natsionalnogo-standarta-gost-r-14 12 https://fstec.ru/tk-362/standarty-tk362/303-proekty/2250-proekt-natsionalnogo-standarta-gost-r-15 13 http://publication.pravo.gov.ru/Document/View/0001202108100027 9

10

6 •


www.itsec.ru

ПРАВО И НОРМАТИВЫ

к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и/или к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация. В случае развития (модернизации) объекта информатизации, не приводящей к указанным выше изменениям, проводятся дополнительные аттестационные испытания. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.

Изменение порядка информирования ФСБ России о компьютерных инцидентах ФСБ России 26 августа 2021 г. был опубликован проект приказа "О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации", утвержденный приказом ФСБ России от 19 июня 2019 г. № 28214. Предлагаемые изменения: l разработанный план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак утверждается руководством субъекта КИИ; l копия утвержденного плана в срок до 7 календарных дней направляется в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ); l проект плана реагирования, содержащий положения о привлечении подразделений и должностных лиц ФСБ России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак, должен разрабатываться при методическом обеспечении НКЦКИ до его утверждения.

Защита информации, обладателями которой являются государственные органы ФСТЭК России 4 августа 2021 г. опубликовала проект федерального закона "О внесении изменений в статью 16 Федерального закона "Об информации, 14 15 16 17

информационных технологиях и о защите информации"15 (далее – проект ФЗ). Проект ФЗ предлагает явно закрепить применение единых требований о защите информации, обладателями которой являются государственные органы, любыми операторами ИС, независимо от отраслевой и ведомственной принадлежности, обрабатывающими такую информацию.

Изменения в перечне государств, обеспечивающих адекватную защиту ПДн Роскомнадзор представил проект приказа "О внесении изменений в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274"16 19 августа 2021 г. Из перечня предлагается исключить: Аргентинскую Республику, Королевство Марокко, Республику Чили, Тунисскую Республику. Включить предлагается Народную Республику Бангладеш, Республику Беларусь, Республику Замбию, Республику Нигер, Новую Зеландию, Республику Таджикистан, Республику Узбекистан, Республику Чад, Социалистическую Республику Вьетнам, Тоголезскую Республику, Федеративную Республику Бразилию, Федеративную Республику Нигерию.

Правила использования информационной системы Роскомнадзора Приказ Роскомнадзора от 21.06.2021 г. № 106 "Об утверждении Правил использования информационной системы

https://regulation.gov.ru/Projects/List#npa=119676 https://regulation.gov.ru/projects#npa=118865 https://regulation.gov.ru/Projects/List#npa=119448 http://publication.pravo.gov.ru/Document/View/0001202108110028

Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором"17 (далее – приказ Роскомнадзора № 106) официально опубликован 11 августа 2021 г. Приказ Роскомнадзора № 106 утверждает правила использования информационной системы Роскомнадзора, предназначенной для обеспечения получения оператором согласия на обработку ПДн, разрешенных субъектом ПДн для распространения (далее – согласие). Приказ Роскомнадзора № 106 вступит в силу с 1 марта 2022 г. и будет действовать до 1 марта 2028 г. В соответствии с приказом Роскомнадзора № 106 согласие предоставляется и отзывается субъектом ПДн на информационном ресурсе оператора в соответствии с порядком, установленным для Единой системы идентификации и аутентификации (ЕСИА) постановлением Правительства Российской Федерации от 28 ноября 2011 г. № 977. Подписание субъектом ПДн согласия осуществляется с использованием электронной подписи. После подписания субъектом ПДн согласия с использованием информационной системы Роскомнадзора обеспечивается получение следующей обезличенной информации: l о факте предоставления согласия; l о цели (целях) обработки ПДн; l об информационных ресурсах оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПДн субъекта ПДн; l о категориях и перечне ПДн, на обработку которых дается согласие; l о категориях и перечне ПДн, для обработки которых субъектом ПДн установлены условия и запреты; l перечень устанавливаемых в отношении ПДн условий и запретов. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 7


В ФОКУСЕ

Актуальные вопросы моделирования угроз безопасности объектов Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

В Одним из важных и непростых вопросов, стоящих на сегодняшний день перед специалистами по информационной безопасности, является моделирование угроз. Длительный период, с начала 2018 г. по февраль 2021 г., отсутствовала утвержденная методика моделирования угроз безопасности для объектов КИИ. При этом разрешенная для использования1 методика моделирования угроз и базовая модель угроз безопасности в ключевых системах информационной инфраструктуры не отражали требования действующего законодательства, в том числе и в части требований к содержанию модели угроз для значимых объектов КИИ (установлены п. 11.1 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 г. № 2392), поэтому ее использование, несмотря на рекомендации, было стратегически неверно. Утвержденный ФСТЭК России 5 февраля 2021 г. методический документ "Методика оценки угроз безопасности информации" скорректировал ранее существовавшие подходы. Но из-за отсутствия практики применения документ вызывает у специалистов некоторые вопросы, ответы на некоторые из них (ввиду ограниченности объема статьи) я попытаюсь раскрыть далее.

Какой нормативно-методической базой необходимо пользоваться при моделировании угроз? Основным документом, определяющим требования и подходы, которыми 1 2 3

этой статье рассмотрим актуальные вопросы, связанные с моделированием угроз безопасности объектов критической информационной инфраструктуры (далее – КИИ), с учетом относительно нового методического документа, утвержденного ФСТЭК России 5 февраля 2021 г.

необходимо руководствоваться при моделировании угроз безопасности значимых объектов КИИ, являются Требования, в п.11.1 которых указано, что модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта. В свою очередь, описание каждой угрозы безопасности информации должно включать в себя: l источник угрозы безопасности информации; l уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) угрозы безопасности информации; l возможные способы (сценарии) реализации угрозы безопасности информации; l возможные последствия от реализации (возникновения) угрозы безопасности информации. В этом же пункте указаны следующие два важных момента: 1. Модель угроз безопасности информации может разрабатываться для нескольких значимых объектов, имеющих одинаковые цели создания и архитектуру, а также типовые угрозы безопасности информации. 2. Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России. Таким образом, следующим документом, который необходимо использовать при моделировании угроз, является Методика оценки угроз безопасности информации (далее по тексту – Методика). Следует отметить, что для объектов КИИ, не имеющих категории значимости, положения п. 11.1 Требований и Методики являются необязательными, но

Информационное сообщение ФСТЭК России от 4 мая 2018 г. № 240/22/2339. Далее по тексту – Требования. По состоянию на 21.08.2021 г. является действующим документом.

8 •

могут применяться при принятии соответствующего решения субъектом КИИ. При этом, согласно п. 1.4. Методики, в ней не рассматриваются методические подходы к оценке угроз безопасности информации, связанных с нарушением безопасности шифровальных (криптографических) средств защиты информации, а также угроз, связанных с техническими каналами утечки информации. Таким образом, для объектов КИИ (в данном случае неважно, значимых или нет), являющихся информационными системами персональных данных, актуальными для применения являются Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при их обработке в информационных системах ПДн, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8-го Центра ФСБ России 31 марта 2015 г. № 149/7/2/6-432. Помимо методических документов, определяющих ход моделирования угроз, существуют методические документы, которые могут быть использованы в качестве исходных данных для оценки угроз безопасности информации (п. 2.3. Методики): 1. Базовая модель угроз безопасности информации интеллектуальной системы учета электрической энергии (письмо Министерства энергетики РФ от 29 июня 2021 г. № НШ-7491/07 "О базовой модели угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности)"). 2. Приказ Министерства энергетики РФ от 6 ноября 2018 г. № 1015 "Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования"3.


www.itsec.ru

КИИ

3. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России 15 февраля 2008 г. 4. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г. Документы (1 и 2) относятся исключительно к субъектам КИИ, функционирующим в сфере энергетики и владеющим, соответственно, интеллектуальными системами учета электрической энергии или системами удаленного мониторинга и диагностики энергетического оборудования. Применяются для моделирования угроз в отношении указанных видов объектов КИИ независимо от того, имеют они категорию значимости или нет. В части документов (3 и 4) хотелось бы подробнее остановиться на основаниях и условиях их применения. Согласно п. 2.3. Методики исходными данными для оценки угроз безопасности информации в том числе являются модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подп. 4 п. 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных полностью соответствует этому требованию и поэтому может быть использована в качестве источника исходных данных для объектов КИИ, являющихся информационными системами персональных данных независимо от наличия (отсутствия) у них категории значимости. Что касается Базовой модели угроз безопасности информации в ключевых системах информационной инфраструктуры, то в связи с внесением изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, и определением ФСТЭК России федеральным органом исполнительной власти, уполномоченным в области безопасности критической информационной инфраструктуры, с 1 января 2018 г. ФСТЭК России утратила полномочия в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры4, таким образом формально Базовая модель не соответствует требованиям, указанным в п. 2.3. Методики. 4

При этом, согласно информационному сообщению ФСТЭК России от 4 мая 2018 г. № 240/22/2339, Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г., может применяться субъектами КИИ для моделирования угроз безопасности информации на ЗОКИИ до тех пор, пока ФСТЭК России не утвержден аналогичный методический документ по безопасности объектов КИИ.

Каков типовой алгоритм определения угроз и что изменилось? Типовой алгоритм моделирования угроз представлен на рисунке. Как видно на схеме, общая логика моделирования угроз не изменилась по отношению к существовавшей ранее. Произошла лишь смена акцента с определения вероятности реализации угроз на оценку вреда и возможности реализации угроз безопасности информации.

На каком этапе проводить моделирование угроз, до категорирования или после? Как известно, Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденные приказом ФСТЭК России от 22.12.2017 г. № 236, содержат два раздела, 6 и 7, в которые должны быть включены сведения об актуальных для объекта КИИ угрозах, категориях нарушителей и возможных негативных последствиях, а требования о наличии модели угроз предъявляются только к значимым объектам КИИ. В этой связи на практике возникает вопрос: когда же осуществлять разработку модели угроз, на этапе категорирования или после внесения объекта(ов) в реестр значимых? Если подходить к вопросу формально, то разработку моделей угроз необходимо проводить после завершения категорирования, а на этапе категорирования – определить и составить перечень угроз безопасности информации. Однако, с учетом того, что, во-первых, информационные ресурсы необходимо защищать, а сделать это без знания, от чего защищать (определения актуальных угроз), невозможно и, во-вторых, процедура категорирования предполагает анализ комиссией возможных действий нарушителей и иных угроз безопасности объектов КИИ, наиболее рационально, по моему мнению, осуществлять моделирование угроз в процессе категорирования, после определения перечня объектов КИИ, подлежащих категорированию, для всех входящих в него объектов. При таком подходе исключается необходимость повторного проведения анализа

Информационное сообщение ФСТЭК России от 4 мая 2018 г. № 240/22/2339.

Рисунок. Типовой алгоритм моделирования угроз угроз (дополнительных издержек в случае привлечения внешнего подрядчика) и на выходе имеются модели угроз для всех объектов КИИ, позволяющие обоснованно выстраивать систему их защиты.

Как часто осуществлять пересмотр моделей угроз и как это делать? Методика (п. 2.4.) предписывает владельцам значимых объектов КИИ проводить оценку угроз безопасности на систематической основе: на этапе создания, в ходе эксплуатации, при развитии (модернизации). Таким образом, очевидно, что произошла смена подхода к моделированию угроз от существовавшего ранее "статичного", когда делали модель угроз и пересматривали ее раз в несколько лет, на "проактивный", когда анализ угроз и изменение модели происходит относительно постоянно. В этой связи на текущий момент для реализации данного требования необходимо рассматривать моделирование угроз не как мероприятие, а как некий деловой процесс, требующий налаживания в рамках функционирования иных деловых процессов организации, связанных с обеспечением безопасности информации. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 9


В ФОКУСЕ

Эффективное управление цифровыми сертификатами – очередной вызов для ИБ Мария Дордий, начальник отдела ИБ, розничная сеть “Магнит”

М

Закончив институт, поняла, что хочу работать в крупнейшем российском ритейлере.

Нам постоянно приходилось искать и внедрять новые решения.

Благодаря совместным усилиям с нашим участием в некоторых продуктах появился функционал управления доступом, журналирование событий, удобная разблокировка пользователей и СКЗИ.

10 •

ария Дордий, начальник отдела ИБ,ГК “Магнит”, рассказала корреспонденту журнала “Информационная безопасность” о том, как повысить эффективность обеспечения безопасности крупного ритейла.

– Мария, расскажите, пожалуйста, о себе. – Я закончила университет в Краснодаре по направлению "Информационные технологии в экономике". Уже на третьем курсе у меня было огромное желание осваивать профессию на практике: я начала работать и программировать, проба пера была на Delphi. Закончив институт, поняла, что хочу работать в крупнейшем российском ритейлере. Меня, как магнитом, притягивала возможность работы в современной, перспективной компании, использующей эффективные инновации. – Почему выбрали ИБ для развития карьеры? – Все сложилось очень неожиданно. На собеседовании в "Магните" мне предложили попробовать силы в направлении ИБ – и 12 лет в компании пронеслись как одно мгновение. Я окунулась в очень динамичную сферу электронного документооборота и использования электронной подписи (ЭП). Появилось множество абсолютно новых и интересных задач. У меня была возможность с нуля создать в компании свод организационных и технических правил использования и аудита электронной подписи. Нам постоянно приходилось искать и внедрять новые решения, например, для использования ЭП в виртуальной среде, адаптировать процессы компании под изменения в законодательстве, принимать активное участие в миграции с бумажного

документооборота на электронный. Иногда нам удавалось взаимодействовать с разработчиками систем электронного документооборота, банками для развития их продуктов. Благодаря совместным усилиям с нашим участием в некоторых продуктах появился функционал управления доступом, журналирование событий, удобная разблокировка пользователей и СКЗИ. – Какова специфика организации информационной безопасности в ритейле? – Все мы понимаем, что в любой организации всегда на первом месте стоит достижение бизнес-целей. В случае с коммерческими организациями это рост доходов, масштабирование, опережение конкурентов, предложение покупателям новых сервисов. Задачи ИТ и ИБ как раз и направлены на достижение этих целей за счет автоматизации и оптимизации затрат на бизнес-процессы. В нашей отрасли сильно востребованы средства базовых уровней ИБ (управление доступом и сертификатами как раз относится к ним), которые не только повышают уровень защиты, но и оптимизируют затраты рабочего времени на управление теми или иными операциями. Учитывая масштабы, количество филиалов и сотрудников, даже небольшая экономия на одного пользователя позволяет сэкономить значительную сумму в рамках всей компании. По этим причинам мы делаем больший упор на средства авто-

матизации физической защиты, – в разрезе всей компании это позволяет нам не только сэкономить значительные средства, но и предотвратить воровство товаров. – Используете преимущественно облачные технологии или собственную инфраструктуру? – Здесь приходится балансировать. Для повышения операционной эффективности, оптимизации затрат и гибкости масштабирования ИТ-сервисов, конечно же, мы используем облачные решения. Одно из таких решений – Microsoft Azure. Платформа позволяет развертывать и тестировать сервисы быстрее, чем расширение инфраструктуры в локальных центрах обработки данных, при этом обеспечивается соблюдение строгих правил безопасности. Ранее я упоминала сервис облачной ЭП. Этот сервис позволяет снижать затраты на обслуживание токенов (СКЗИ), нивелировать компрометацию физических токенов, повысить уровень безопасности за счет журналирования всех действий администраторов и пользователей сервиса, а также повысить отказоустойчивость благодаря имеющемуся горячему резервированию. – Известно, что, к примеру, банковская сфера сильно зарегулирована в отношении информационной безопасности, но нельзя сказать то же самое о ритейле. Как вы считаете, необходимо ли более пристальное внима-


www.itsec.ru

ПЕРСОНЫ

ние законодателей и регуляторов к этой сфере? – В последние годы к ритейлу не менее пристальное внимание со стороны регуляторов. Примерами тому служат такие законодательные проекты, как ЕГАИС – контроль оборота алкогольной продукции, маркировка товаров, Меркурий – контроль учета ветеринарных свидетельств, реформа 63-ФЗ "Об электронной подписи" и т.д. Это очень масштабные проекты, заставившие перестроить большинство процессов компаний. – Как вы думаете, к чему может привести усиление законодательства в сфере ИБ в отношении ритейла? – Все зависит от позиции регулятора. Совместными силами и экспериментами можно создавать качественные решения, если, конечно, регулятор открыт для взаимодействия с бизнесом. На самом деле я думаю, что ритейл самостоятельно должен выбирать, стоит ли ему экономить на ИБ, где это допустимо, где является необходимой мерой. Риски доступа к сети компании, хакерские атаки, утечка конфиденциальной информации или персональных данных могут повлечь серьезные убытки, поставить под угрозу репутацию и положение на рынке, потерю покупателей. – Почему вашей организации потребовалась автоматизация управления жизненным циклом цифровых сертификатов? Что послужило толчком к поиску решения и реализации проекта? – В нашей компании около 20 тыс. цифровых сертификатов, перевыпускаемых ежегодно. Такие объемы – это серьезный вызов для внутренней службы ИТ. А когда речь заходит об управлении ключами электронной подписи, выданными внешним аккредитованным удостоверяющим центром, сложность существенно возрастает. Особенно остро мы прочувствовали проблему при старте ЕГАИС, когда за несколько месяцев нам нужно было выпустить порядка 12 тыс. цифровых сертификатов для торговых объектов, подключенных к ЕГАИС. Сотрудникам приходилось работать круглосуточно,

их ошибки при вводе ПИН-кода приводили к блокировке токенов, как следствие затягивались сроки подключения торговых объектов к ЕГАИС, поэтому возникала необходимость поставки новых устройств. Не будем забывать и об обязательных требованиях со стороны ФСБ в части эксплуатации ключей квалифицированной электронной подписи и их носителей. Особую сложность вызывают требования по ведению соответствующих журналов учета СКЗИ. Поэтому мы искали решение, которое не только оптимизирует операции с сертификатами и их учет, но и позволит мониторить весь объем и сроки действия сертификатов, выданных удостоверяющим центром. – Внедрена ли такая система в розничной сети "Магнит"? По каким ключевым критериям осуществляли поиск решения? – Да, мы приобрели и внедрили такое решение в 2018 г. В первую очередь нам требовалось автоматизировать управление несколькими десятками тысяч токенов и цифровых сертификатов, поддержка работы с самыми распространенными в нашей стране моделями токенов (SafeNet eToken, JaCarta, Rutoken и т.д.) и компонентами ИТ-инфраструктуры (Active Directory, КриптоПРО УЦ, Windows CA и т.п.), мы внимательно изучали функциональные возможности различных решений, представленных на рынке. Вторым ключевым критерием была возможность доработки решения под наши требования. За время эксплуатации мы активно участвовали в развитии решения, важнейшей доработкой для нас были журналы учета средств криптографической защиты и цифровых сертификатов, управление различными параметрами СКЗИ на уровне политик, разработка дашборда. Если говорить о дополнительных опциях, нам было интересно подобрать решения, делающие упор не только на задачи администраторов и операторов PKI, но и упрощающие типовые задачи рядовых пользователей. Как я упоминала ранее, у нас в обороте находится около 20 тыс. сертификатов, чрезвы-

чайно сложно следить за ними даже при наличии специализированных и эффективных средств мониторинга. Очевидно, что мониторинг собственных сертификатов отвечает интересам рядовых сотрудников. Соответственно, наличие полноценного и качественного пользовательского интерфейса (для отслеживания тех же сроков действия сертификатов) отвечает интересам всей компании.

В последние годы к ритейлу не менее

– Как проходило внедрение системы? – Для начала мы провели пилотное тестирование всех рассматриваемых решений. В рамках тестирования мы не только проверяли возможности автоматизации и оптимизации рутинных операций по обслуживанию PKI, нам важно было убедиться в готовности решения работать со спецификой "Магнита": например, не все точки были в домене, у одного пользователя мог быть "зоопарк" токенов и сертификатов, которые нужно было взять под управление. По итогам тестирования при содействии вендоров мы оценили результаты и смогли принять взвешенное решение и выбрать продукт, обладающий наилучшим соотношением "цена/качество", разумеется, с нашей точки зрения потенциального потребителя. Весь процесс внедрения и масштабирования решения, учитывая опыт, полученный при тестировании и поддержке вендора, занял несколько месяцев. Хочется отдельно отметить важность этапа пилотного тестирования. Мы смогли намного лучше понять возможности всех продуктов и особенности их функционирования, что значительно упростило промышленное внедрение. Более того, как раз на этапе пилотного тестирования были выявлены все подводные камни построения процесса централизованного управления и мониторинга ключей электронной подписи, а также их носителей. Разумеется, к этапу внедрения все эти подводные камни были благополучно нейтрализованы.

пристальное внимание со стороны регуляторов. Примерами тому служат такие законодательные проекты, как ЕГАИС.

Я думаю, что ритейл самостоятельно должен выбирать, стоит ли ему экономить на ИБ.

Особенно остро мы прочувствовали проблему при старте ЕГАИС, когда за несколько месяцев нам нужно было выпустить порядка 12 тыс. цифровых сертификатов для торговых объектов, подключенных к ЕГАИС.

– Как оцениваете результаты внедрения? – Признаюсь, система централизованного управления и мониторинга ключей электронной подписи, а также их носи-

• 11


В ФОКУСЕ

Облачные технологии –

телей существенно увеличила эффективность ряда наших бизнес-процессов. Решение снизило нагрузку на ИТ-подразделения, повысило уровень информационной безопасности, улучшило степень мониторинга процесса эксплуатации СКЗИ и выпуска цифровых сертификатов.

это тоже определенный вызов. С одной стороны, они позволяют существенно сэкономить на поддержке и обслуживании ИТ-инфра-

структуры, а с другой – возникает ряд вопросов в сфере информационной безопасности.

Я думаю, в ближайшие пять лет мы столкнемся с целой волной поглощений небольших организаций сферы облачных технологий более крупными игроками.

Прошлогодний массовый переход на удаленную работу мы как специалисты ИБ ожидали не ранее чем через пять лет.

– А как именно изменились рабочие процессы и как они повлияли на работу сотрудников? Позволила ли система сократить издержки компаний на рутинные операции обслуживания инфраструктуры PKI? – Из наиболее существенных изменений: количество операций, время настройки СКЗИ сократились в несколько раз, ошибки типа "человеческий фактор" и блокировка СКЗИ сведены к минимуму. У сотрудников появился сервис самообслуживания: они самостоятельно меняют ПИНкод к токену, минуя внутреннюю систему обработки заявок (Service Desk), автоматизированный мониторинг сроков действий сертификатов своевременно уведомляет пользователей и операторов о необходимости обновления сертификатов. Теперь пользователь сам может принять меры для обновления сертификата, не дожидаясь напоминания от оператора или руководителя. В свою очередь, функционал ИТ с операциями инициализации токенов, формирования ПИН-кода пользователя и администратора, а также заполнение параметров для сертификата, формирование закрытого ключа и запроса на сертификат, установка сертификата пользователю полностью автоматизированы. Система позволяет централизованно управлять и отслеживать состояние любого цифрового сертификата или носителя у любого сотрудника компании. Вся эта информация отображается в соответствующей карточке пользователя. – Каким образом система позволила повысить уровень информационной безопасности компании? – Одним из ключевых преимуществ данной системы я могу назвать широкие возможности мониторинга действий с

12 •

сертификатами и их носителями. Действительно, все операции фиксируются в журнале аудита, есть удобная специализированная панель мониторинга (дашборд), позволяющая в реальном времени наблюдать за состоянием СКЗИ, сертификатов, реагировать на инциденты с блокировкой СКЗИ, проблемы с агентами. Более того, в карточке каждого пользователя можно посмотреть не только присвоенные ему сертификаты и носители, но и все события, связанные с действиями этого пользователя. В руках подразделения ИБ появился инструмент управления политиками настройки СКЗИ и выпуска сертификатов, аудита действий сотрудников, журналирование и отчетность по СКЗИ и цифровым сертификатам. В случае возникновения инцидента или наличия риска компрометации сертификата (или носителя) есть возможность оперативно заблокировать работу токена. А еще удобные сервисы самообслуживания, которые также повышают общий уровень информационной безопасности. Казалось бы, какая связь между ними? Однако, как показывает практика, если человеку неудобно пользоваться каким-то инструментом, то он старается его обойти и самостоятельно упростить свою работу. Из-за этого возможны частые сбои и прочие инциденты, что негативно сказывается как на уровне ИБ, так и на загрузке соответствующего персонала. Наглядный пример – ситуация с паролями во многих компаниях по всему миру: пользователи порой откровенно саботируют выдвигаемые требования к безопасности паролей, часто забывают их. Это и негативно сказывается на уровне ИБ компании, и генерирует лишнюю нагрузку на персонал отделов ИТ и ИБ. – К каким изменениям функционирования корпоративной ИТ-инфраструктуры в перспективе 3–5 лет нужно готовиться АО "Тандер"? – Новые реалии, перевод сотрудников на удаленную работу, в том числе и в сфере электронного взаимодействия, задают курс на облачные технологии Облачные технологии – это

тоже определенный вызов. С одной стороны, они позволяют существенно сэкономить на поддержке и обслуживании ИТ-инфраструктуры, а с другой – возникает ряд вопросов в сфере информационной безопасности. На мой взгляд, к операторам облачных сервисов должны предъявляться повышенные требования по защите информации, в том числе по защите коммерческой тайны. Ведь фактически мы и другие коммерческие организации доверяем им самое ценное. Увы, облачные технологии являются относительно новым явлением, чтобы можно было составить достоверную, качественную статистику и выявить ключевых доверенных игроков. Я думаю, в ближайшие пять лет мы столкнемся с целой волной поглощений небольших организаций сферы облачных технологий более крупными игроками, в первую очередь потому, что они не только будут предоставлять более качественный сервис, но и станут обладать куда большими возможностями по защите информации внутри облачной инфраструктуры. Отмечу, что прошлогодний массовый переход на удаленную работу мы как специалисты ИБ ожидали не ранее чем через пять лет. Увы, пандемия катализировала этот процесс. Далеко не все оказались к нему готовы. Также в полный рост встала проблема бесконтактных способов взаимодействия с нашими покупателями. В остальном мы стараемся шагать в ногу со временем и изменениями в законодательстве. В этом году мы взяли курс на облачную электронную подпись для комфортной дистанционной работы наших сотрудников, это неизбежный шаг. Ближайшая перспектива – интеграция внедренной системы централизованного управления и мониторинга PKI с облачными решениями для сертификатов. Уже совсем скоро, в рамках пилота, часть наших сотрудников смогут поближе познакомиться с этой технологией. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru



СПЕЦПРОЕКТ

Мобильная электронная подпись и управление аутентификацией в крупной компании Андрей Игнатов, эксперт Компании “Актив”

П Сегодня удаленная работа уже не является экзотикой. Это реальность, причем не только для малочисленных стартапов, но и для крупного бизнеса. И теперь взаимодействие с ИТ-ресурсами организации или применение электронной подписи требуют дополнительной защиты. Разумеется, работая на рынке аутентификации и электронной подписи, Компания "Актив" не могла остаться в стороне от трендов мобильности и восприняла требования рынка как сигнал к решительным действиям по разработке новых продуктов и решений.

Мобильная подпись в любой ситуации Еще недавно бренд Рутокен ассоциировался у пользователей исключительно со смарт-картами и токенами, применяемыми для хранения ключей электронной подписи и подписания документов. В нашей стране хорошо известны ключевые носители Рутокен, в частности криптографические ключевые носители линейки Рутокен ЭЦП 2.0. Но время идет, продуктовая линейка активно развивается, и мы помогаем нашим клиентам – а среди них все больше крупных корпоративных заказчиков – решать новые задачи, связанные с информационной безопасностью и электронной подписью. Мир становится более мобильным, и если вчера большинство документов подписывалось на офисном или домашнем компьютере, то сейчас все чаще для подписания используется мобильное устройство – смартфон или планшет. Курьеры и экспедиторы, врачи, полицейские и спасатели – всем им требуются средства для безопасной работы с документами без

14 •

ару лет назад работодатели искренне полагали, что все сотрудники должны постоянно работать в офисе. Исключения предусматривались только для тех, кто находился в командировке или работал из дома по случаю болезни. Поэтому в защищенном офисном периметре считалось надежным использовать пароли для аутентификации и хранить ключи электронной подписи в файловой системе компьютера. Но 2020 год все изменил.

каких бы то ни было ограничений места и времени. Компания "Актив" предлагает целый ряд продуктов, поддерживающих работу на мобильных устройствах, оснащенных ОС iOS, Android и российской мобильной ОС "Аврора": l во-первых, это линейка Рутокен ЭЦП 2.0 2100 и 3000 с интерфейсом USB Type-C; l во-вторых, обновленный Рутокен Bluetooth с интерфейсом BLE, который не требует предварительного включения и всегда готов к подписанию документов электронной подписью. Главные новинки Компании "Актив" – дуальные токены и смарт-карты флагманской линейки Рутокен ЭЦП 3.0 NFC. Для взаимодействия с ПК или мобильным устройством эти продукты снабжены двумя интерфейсами: традиционным контактным и бесконтактным с использованием канала NFC. Это позволяет подписывать документы электронной подписью на смартфонах и планшетах, просто прикладывая смарт-карту или токен к считывателю NFC на мобильном устройстве. Таким образом, электронная подпись становится по-настоящему мобильной: для подписания можно использовать любой смартфон или компьютер, оснащенный NFC, личный либо корпоративный. При этом такая мобильная подпись еще и надежна, ведь ключи электронной подписи хранятся не в облаке, вдали от своего владельца, и не на смартфоне, который не защищен от взлома. Ключи находятся на токене или смарт-карте, а карта – в бумажнике или кармане своего владельца.

Умная ключница Рутокен KeyBox Еще одной ощутимой тенденцией последних полутора лет на рынке ИБ стало повышение требований по защите доступа к ресурсам сети и рабочим станциям организации, информацион-

ным системам, веб- и классическим приложениям. С усилением тренда удаленной работы ненадежность парольной аутентификации стала еще очевиднее. В связи с этим Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в своих рекомендациях по обеспечению безопасной удаленной работы рекомендовал выполнять удаленный доступ в сеть организации строго с использованием двухфакторной аутентификации. Рекомендации логичны: злоумышленник может перехватить или подсмотреть пароль, а затем бесконтрольно получать доступ к ИТ-ресурсам предприятия. Причем если во время работы в офисе возможно отследить, кто работает за компьютером, то при удаленной работе подключиться к сети организации может любой злоумышленник. Наилучшей защитой от кражи пароля является использование двухфакторной аутентификации (2ФА), где первым фактором выступает владение токеном или смарт-картой, а вторым – знание ПИН-кода устройства. Для реализации 2ФА на компьютерах под управлением Microsoft Windows, входящих в домен Active Directory, Компания "Актив" предлагает токены линейки Рутокен ЭЦП 2.0 и информационный продукт Рутокен для Windows, содержащий инструкции по настройке серверной инфраструктуры Windows. Однако сложность реализации 2ФА в организации заключается в том, что для каждого сотрудника необходимо вести учет выданных токенов, создавать ключи на токене и сертификат в удостоверяющем центре организации. Кроме того, сертификатами нужно управлять, например отзывать в случае утери токена. Для выполнения таких операций высококвалифицированному специалисту ИТ-отдела потребуется ежедневно


ЭЛЕКТРОННАЯ ПОДПИСЬ

тратить немалую часть своего рабочего времени. Эта проблема решается с помощью программного обеспечения Рутокен KeyBox, разработанного для управления ключевыми носителями – токенами и смарткартами Рутокен (предусмотрена поддержка устройств и других производителей), учета СКЗИ, создания ключей и сертификатов электронной подписи, ведения журнала учета действий с ключевыми носителями. Рутокен KeyBox не подменяет собой удостоверяющий центр и службу каталогов, а дополняет их, позволяя упростить выполнение рутинных операций, таких как выдача токена с ключами и сертификатом для нового сотрудника, увольнение сотрудника с возвратом токена на склад и отзывом сертификата, замена токена при утере или временная замена, когда сотрудник забыл ключевой носитель дома. Рутокен KeyBox будет вести автоматизированный учет СКЗИ в соответствии с нормативными документами. Он позволит управлять политиками присвоения ПИН-кодов устройств, лишая пользователей возможности установить слишком простой ПИН-код (например, короткий или состоящий из одинаковых цифр), который может быть легко подсмотрен злоумышленником. И наконец, Рутокен KeyBox реализует пользовательский интерфейс самообслуживания, который поможет сотрудникам самостоятельно выполнять целый ряд операций, не расходуя время специалистов ИТ-отдела. Рутокен KeyBox также может быть использован для хранения сертификатов усиленной квалифицированной электронной подписи, выданной сторонним аккредитованным удостоверяющим центром. Например, он будет предупреждать администратора о скором устаревании сертификата и предлагать обратиться в УЦ за новым.

Рутокен Authentication Manager – укрощение аутентификации Но вернемся к двухфакторной аутентификации. И напомним, что помимо доступа к ПК и сети организации необходимо защищать доступ к корпоративным и SAAS-приложениям, информационным системам и подключение к VPN. Конечно, теоретически можно попробовать настроить для использования двухфакторной аутентификации каждый компонент ИТ-инфраструктуры по отдельности, но на практике это не всегда возможно реализовать. Разные приложения и системы используют различные способы беспарольной аутентификации. В одном случае в качестве второго фактора может выступать OTP-токен, в другом – Рутокен ЭЦП 2.0. Кроме того, одни системы поддерживают протокол аутентификации OAuth, другие OpenID, третьи – RADIUS. И наконец, устаревшие программы требуют вводить логин и пароль.

www.itsec.ru

тельные факторы аутентификации, Помимо прочего, сложность работы с например географическое местополоэтим "ИТ-зоопарком" заключается еще жение пользователя. Далее уже и в том, что для каждого сервиса или сам Рутокен AM выполняет аутентиприложения требуется отдельный фикацию в тех программах и сервисах, пароль. к которым пользователям необходим В масштабе крупного бизнеса, будь доступ. Для этого Рутокен AM испольто банк или промышленная корпорация, зует различные протоколы и способы задача представляется сложной и ресураутентификации, в зависимости от того, соемкой. К тому же при использовании различных паролей их необходимо будет с чем умеет работать конкретное записывать, и тут как раз злоумышленприложение: RADIUS, ADFS, SAML, ник и сможет получить доступ к этим OpenID Connect, OAuth 2.0 и Kerberos. записям. А сделав все пароли одинакоЕсли же приложение не поддерживает выми, вы упрощаете работу взломщику: ни один из протоколов, то с помощью достаточно будет один раз перехватить агента Enterprise Single Sign-On логин пароль и доступ ко всем сервисам обеси пароль пользователя могут быть автопечен. матически введены в соответствующие Гораздо удобнее аутентифицироваться поля формы аутентификации. однократно, а дальше автоматически Все операции аутентификации польподключаться к необходимым ресурсам, зователей и доступа к приложениям используя различные протоколы и метосохраняются в журнале и могут быть ды аутентификации. К тому же хорошо использованы впоследствии для расбы контролировать, кто и когда входил следования инцидентов информационв определенные сервисы. Подобный ной безопасности. аудит может помочь при разборе конТаким образом, на базе программных фликтных ситуаций и расследований продуктов Рутокен Authentication Manaв случае инцидентов в сфере информаger, Рутокен KeyBox, токенов и смартционной безопасности. карт Рутокен можно построить систему Для решения этих проблем преднааутентификации и работы с электронзначен новый продукт для крупных ной подписью для организации пракорганизаций, который Компания "Актив" тически любого масштаба. Рутокен готова представить рынку, – Рутокен Authentication Manager позволяет Authentication Manager (Рутокен AM). использовать самые разнообразные Принцип его работы прост: пользовамеханизмы и средства аутентификатель однократно аутентифицируется ции, а новые модели токенов и смартв Рутокен AM с использованием разкарт Рутокен с поддержкой NFC помоличных механизмов аутентификации, гают безопасно работать на мобильных таких как смарт-карты и криптографирабочих местах. l ческие токены Рутокен, OTP-токены, мобильные приложения на смартфонах пользоваРеклама NM телей, бесконтактные АДРЕСА И ТЕЛЕФОНЫ карты для СКУД и биоКОМПАНИИ "АКТИВ" метрия. При этом могут см. стр. 48 использоваться дополни-

• 15


СПЕЦПРОЕКТ

Электронная цифровая подпись: правила защиты Станислав Жураковский, обозреватель ESET

С

Подходящие защищенные носители по цене от 1 до 2 тыс. руб. продаются в аккредитованных центрах, список которых есть на сайте налоговой службы.

С 1 января 2022 г. можно будет использовать и подписи физического лица для подписания документов от имени юридического лица.

16 •

1 июля 2021 г. для ИП и ООО можно оформить квалифицированную электронную подпись, чтобы пользоваться всеми порталами, включая Госуслуги, сайт налоговой службы и др. Обозреватель международного разработчика программ безопасности ESET Станислав Жураковский на личном опыте изучил процесс выдачи токена и подготовил регламент ИБ при работе с ЭЦП для предпринимателей.

Для того чтобы получить ЭЦП, вам понадобятся: l паспорт; l СНИЛС (оригинал или распечатка скан-копии); l номер ИНН; l защищенный носитель; l лицензия на программу CryptoPro. Если с документами все понятно, то с защищенным носителем необходимо разобраться. Он выглядит как обычная флешка и нужен для того, чтобы никто не смог скопировать файл ЭЦП. Но из соображений безопасности система не может передать электронную подпись на вашу личную флешку или персональный ноутбук. Подходящие защищенные носители по цене от 1 до 2 тыс. руб. продаются в аккредитованных центрах, список которых есть на сайте налоговой службы. После покупки необходимо в обязательном порядке заменить стандартный пароль изделия на собственный – длинный и сложный. При выборе криптографического токена следует быть особенно осмотрительным. Рядом с налоговыми инспекциями, как, например, в той, где я оформлял ЭЦП, работают многочисленные фирмы, оказывающие вспомогательные услуги: распечатку и копирование документов, консультирование и пр. Предлагаемые ими USB-ключи для электронной подписи могут оказаться небезопасными. Есть риск, что вместо гарантии сохранности они станут источником утечки данных ЭЦП к злоумышленникам.

Следующий требующий внимания пункт – лицензия на CryptoPro CSP. Это программное обеспечение, криптоконтейнер, который позволяет хранить файл ЭЦП, проверять ее подлинность, настраивать защищенный туннель до сервера и т.д. Без этой программы ничего работать не будет. Для оформления нужно зарегистрироваться на сайте cryptopro.ru и загрузить актуальную сертифицированную версию продукта для своей операционной системы. Пользователи macOS, обратите внимание, что если у вас 11-я версия операционной системы (Big Sur), то вам подходит только CryptoPro CSP версии 5! Стоимость колеблется от 1350 руб. за годовую лицензию на человека до 2700 руб. за бессрочную лицензию. Техническая поддержка платная: от 800 до 4000 руб. в год, в зависимости от сложности оборудования. Неожиданный сюрприз при регистрации ЭЦП может преподнести несовместимость браузера. Например, на сайте налоговой службы невозможно работать с последней версии Safari. Я рекомендую использовать Mozilla Firefox и установить его специально и исключительно для работы с электронной подписью. Это снизит риск утечки данных через какое-либо несертифицированное дополнение для браузера, сканирующее ваш трафик. На сегодняшний день оформить ЭЦП могут индивидуальные предприниматели, нотариусы и ООО (в этом случае выдается одна подпись на

генерального директора). Однако с 1 января 2022 г. можно будет использовать и подписи физического лица для подписания документов от имени юридического лица. То есть сотрудники компании станут подписывать корпоративные документы собственной квалифицированной ЭЦП, она будет подтверждаться электронной (машиночитаемой) доверенностью. Такая практика покажется удобной большому количеству малых и средних предприятий, поэтому лучше подготовиться к внедрению ЭЦП заранее.

Регламенты безопасности Правило 1. Никому не отдавайте свою ЭЦП Вообще никому. Это не просто ключ, а доступ к вашему бизнесу. Токен должен быть у вас всегда при себе – вместе с телефоном, ключами, кошельком. Но что делать, если постоянно носить его с собой не хочется? Тогда поставьте дома или в офисе сервер для хранения данных (NAS) с источниками бесперебойного питания или отдельный ноутбук, на котором настроен защищенный удаленный доступ. Однако если отключится Интернет или зависнет компьютер, подписать документы не получится.

Правило 2. Регулярно меняйте пароли Не реже чем раз в квартал меняйте коды доступа, желательно абсолютно на всех аккаунтах.


eset 9/29/21 4:10 PM Page 17

www.itsec.ru

Реклама

ЭЛЕКТРОННАЯ ПОДПИСЬ

Правило 3. Не прописывайте ключ в реестр

Правило 5. Защищайте все компьютеры в организации

В Windows и macOS есть возможность для сохранения ключей с токена прямо на компьютер. На первый взгляд, удобно: не придется носить с собой токен. Но так делать определенно не стоит, ведь вредоносных программ, которые ищут подобные ключи в реестре, очень много. Более безопасная практика – работать с токеном и ЭЦП только по необходимости и разово, а не круглосуточно.

Допустим, у руководителя все устройства должным образом защищены, но если компьютеры других сотрудников не оснащены программами ИБ и их никто не обслуживает, то эта огромная дыра в безопасности принесет множество проблем. Достаточно любому из коллег зайти на вредоносный ресурс, чтобы вирусы, трояны, вымогатели, программы для кражи электронных ключей и прочие зловреды начали расползаться по внутренней сети компании. Надежной защитой станут продукты ESET для бизнеса. Почему удобнее пользоваться именно бизнес-версией, а не приобретать антивирусы отдельно? Во-первых, это дешевле. А при переходе с других решений предоставляется скидка 40%. У пользователей таких продуктов, как ESET Small Office Pack или NOD32 Smart Security Business Edition, есть консоль централизованного управления: видны версии ПО на всех компьютерах, статус защиты, состояние всех типов устройств на Windows, macOS, Linux, Android или iOS. Централизованная защита не будет влиять на производительность

Правило 4. Сделайте отдельные ЭЦП для бухгалтера и сотрудников в 2022 году Сейчас некоторые предприниматели передают токен с квалифицированной подписью бухгалтеру или другим коллегам для удобства и быстроты работы, но делать так небезопасно. Бухгалтера могут взломать, сотрудник может случайно потерять токен, и главное – подобная практика запрещена законодательством. Поэтому лучше дождаться 2022 г., когда можно будет оформить квалифицированную электронную подпись на каждое физлицо в компании и даже сделать общую подпись организации. Это, кроме прочего, поможет выполнить первое правило безопасности.

ESET Small Office Pack Специальное антивирусное решение для безопасности малого бизнеса и стартапа. Включает продукты для расширенной защиты рабочих станций, мобильных устройств и файловых серверов. l Расширенная защита рабочих станций на Windows и macOS, мобильных устройств на Android и файловых серверов l Оптимальные для небольшой компании комплекты на 3, 5, 10, 15 или 20 рабочих станций по выгодной цене l Простая установка и использование без штатного системного администратора l Специальные условия расширения лицензии и перехода на старшее решение l Бесплатная техническая поддержка 24/7

компьютеров, поэтому минимальных системных требований достаточно для продуктивной работы без дополнительных затрат на антивирусы, файрволы и другие программы. Бизнес-версии ESET усилены алгоритмами машинного обучения и классификацией угроз: подозрительная активность между компьютерами в сети не останется незамеченной, а механизмы песочницы позволят проверить потенциальные угрозы в безопасном пространстве. l Ваше мнение и вопросы присылайте по адресу

Безопасная практика – работать с токеном и ЭЦП только по необходимости и разово, а не круглосуточно.

Бизнес-версии ESET усилены алгоритмами машинного обучения и классификацией угроз: подозрительная активность между компьютерами в сети не останется незамеченной,

is@groteck.ru

• 17


УПРАВЛЕНИЕ

Основные виды атак на инфраструктуру и концепция защиты от них Мурад Мустафаев, руководитель службы информационной безопасности компании “Онланта” (входит в группу ЛАНИТ)

Н Современные кибератаки максимально автоматизированы, что позволяет злоумышленникам ускорять их проведение и использовать искусственный интеллект для повышения успеха их реализации. Используемые сегодня средства защиты эффективно выполняют свою задачу по обеспечению безопасности – блокируют типовые атаки, однако они пока несовершенны в отношении точечных, мануальных угроз.

Основные типы и виды кибератак на инфраструктуру Как правило, не имеет значения, какую инфраструктуру вы используете, локальную или облачную. Если данные, которые вы передаете, имеют ценность, то ктото захочет их заполучить. Атаки злоумышленников можно разделить на два основных вида: распределенные и целевые. Распределенные кибератаки представляют собой использование бот-сети и направлены одновременно на большое количество пользователей и ресурсов компании. Как правило, в таких атаках используются утекшие базы данных организаций и пользователей. Целевыми атаками (APT) называют заранее спланированное "нападение" на конкретную компанию или инфраструктуру. При таких инцидентах злоумышленник не только получает доступ к внутренним ресурсам, но и остается в сети компании, пока его не обнаружат, – это могут быть дни, месяцы и даже годы. Целевые атаки реализуются хакерами с высокими техническими компетенциями. Они используют автоматизированные

а сегодняшний день наибольшее количество кибератак является успешным по нескольким причинам, а именно: они не зависят от местоположения киберпреступника и удаленности от него потенциальной жертвы, а также временных рамок и часовых поясов. Взломанная ИТ-среда может повлечь за собой критические для бизнеса последствия – нанести репутационный ущерб, снизив уровень доверия со стороны клиентов. Взлом инфраструктуры сопряжен и с финансовыми рисками: вследствие оттока заказчиков и потери уникальных инновационных разработок организации ее конкурентоспособность может значительно пострадать. Ситуация усложняется тем, что методы и тактики злоумышленников постоянно эволюционируют. Хакеры непрерывно адаптируют свои атаки к новым реалиям и технологиям.

инструменты, самостоятельно определяют векторы атаки, эксплуатируют 0-day-уязвимости и некоторые особенности системы, опираясь на свой опыт. Кибератаки представляют опасность как для обычных пользователей, так и для бизнеса. В обоих случаях последствия могут быть не просто неприятными, но и критическими. Согласно статистике за 2020 г., представленной компанией Acronis 1 , DDoS-атаки, фишинг и атаки на видеоконференции возглавили список киберугроз. Однако и другие типы атак приносят массу проблем как бизнесу, так и обычным пользователям. Злоумышленники шантажируют пользователей мессенджеров с помощью ботов, влезают в сеть через QR-коды и используют уязвимости в настройках или шифровании легальной сети, а также прибегают к классике жанра – атакам "грубой силы". Для того чтобы лучше понимать действия злоумышленников, необходимо знать, какие существуют типы атак на инфраструктуру и их ключевые особенности.

Фишинг

DDoS-атаки

Боты

Распределенные атаки типа "отказ в обслуживании" реализуются за счет использования нескольких скомпрометированных компьютерных систем в качестве источников атакующего трафика. Эти атаки забивают системы большим количеством запросов, в результате чего пропускная способность снижается и системы становятся перегруженными и недоступными. По сути, DDoS-атака похожа на неожиданную пробку, забивающую шоссе.

Это программный робот, который имитирует или заменяет поведение человека и выполняет простые задачи со скоростью, которая превышает пользовательскую активность. Некоторые боты бывают полезными, и их действия направлены на поддержку пользователей, однако существуют и вредоносные. К примеру, они используются для автоматического сканирования веб-сайтов и поиска уязвимостей, а также выполнения простых кибератак.

В основе фишинговых атак лежит использование электронных писем, которые могут быть замаскированы под легитимные сообщения от различных компаний. В таком фейковом сообщении злоумышленники предлагают перейти по ссылке, скачать зараженный файл или просят передать конфиденциальные данные пользователя – логины, пароли и номера счетов банковских карт.

Brute-force Атаки "грубой силой" являются довольно простым методом проникновения в инфраструктуру и представляют собой "угадывание" учетных записей пользователя. Некоторые злоумышленники используют приложения и скрипты в качестве инструментов перебора, которые пробуют множество комбинаций паролей, чтобы обойти процессы аутентификации. Если пароль слабый, то злоумышленникам понадобится всего пара секунд, поэтому бизнес должен применять строгую политику паролей.

1 https://dl.acronis.com/u/rc/WP_Acronis_Cyber_Readiness_Report_EN-US_200908.pdf

18 •


www.itsec.ru

УПРАВЛЕНИЕ

Атака через посредника (MITM) При данном типе атаки киберпреступник становится "третьим лишним" и пропускает весь веб-трафик через себя. В этот момент потенциальная жертва ни о чем не подозревает, что приводит к тому, что все учетные данные для входа в системы оказываются у злоумышленника. После полученная информация может быть использована для кражи корпоративных данных или несанкционированных переводов средств.

Как обезопасить бизнес? Грамотный выбор инструментов обеспечения безопасности ИТ-ландшафта – залог сохранения конфиденциальности и сохранности корпоративных данных. Меры по обеспечению ИБ можно разделить на три ключевых вида: технические средства, организационные меры и профилактические проверки уровня защищенности.

Технические средства 1. WAF-комплекс – межсетевой экран для веб-приложений, основными функциями которого являются выявление и блокировка атак. С помощью WAF-комплекса можно не только выявлять вредоносный трафик, но также и определять, какие атаки были направлены на бизнес-критичные системы. Внедрение этого инструмента позволяет бизнесу защититься от атак на бизнес-логику приложений. 2. Межсетевые экраны (FW) являются цифровым защитным барьером вокруг ИТ-инфраструктуры, который защищает сеть и предотвращает несанкционированный доступ. Они обеспечивают безопасность сети путем фильтрации входящего и исходящего сетевого трафика на основе набора правил. В целом задача межсетевых экранов состоит в том, чтобы уменьшить или исключить возникновение нежелательных сетевых подключений, позволяя при этом свободно протекать всем законным коммуникациям. 3. Антивирус – программа, которая обнаруживает заражение и выполняет действия по его устранению (лечит или удаляет зараженные файлы). Антивирусное ПО работает и как профилактическое средство: оно не только борется, но и предотвращает заражение компьютера в будущем. Антивирусное ПО позволяет бизнесу защититься от шпионского и вредоносного ПО, фишинговых атак, спам-атак и других киберугроз. 4. DLP – набор инструментов и процессов, которые применяются для предотвращения потери и нелегитимного использования конфиденциальных данных. DLP-система отслеживает весь трафик в защищенной корпоративной сети и позволяет выявлять нарушение политик, несанкционированный доступ к данным со стороны неавторизованных поль-

Объекты атак (доля атак) Источник: исследование Positive Technologies "Актуальные киберугрозы: II квартал 2021 года" зователей и блокировать попытки несанкционированной передачи критически важных корпоративных данных. 5. Почтовая защита – основная линия защиты корпоративной почты, безопасный шлюз. Он фильтрует вредоносные сообщения и отправляет их в карантин. Безопасный шлюз электронной почты может блокировать до 99,99% спама, обнаруживать и удалять письма, содержащие вредоносные ссылки или вложения. 6. SIEM-системы собирают и объединяют данные со всей ИТ-инфраструктуры, от хост-систем и приложений до устройств безопасности, после чего происходит классификация и анализ инцидентов и событий. SIEM-системы на основе правил корреляции получаемых событий выявляют потенциальные инциденты ИБ и уведомляют об этом администратора безопасности.

Организационные меры 1. Повышение осведомленности. Регулярные внутрикорпоративные вебинары и обучение основам ИБ жизненно необходимы для каждой компании. Это позволяет повысить осведомленность сотрудников и убедиться, что они обладают навыками, необходимыми для обнаружения и противодействия атакам. 2. Разграничение прав и ролей сотрудников. Полный доступ каждого сотрудника ко всем данным компании имеет свои риски: утечка клиентских баз, инсайдерская торговля и раскрытие информации об инновационной деятельности. Компаниям необходимо четко разграничивать права доступа пользователей к корпоративным системам, файлам и оборудованию.

Регулярная проверка защищенности: пентест + аудит Аудит информационной безопасности ИТ-инфраструктуры – это независимая оценка уровня защищенности компании на соответствие признанным практикам в области обеспечения ИБ, а также

законодательным требованиям: международному стандарту ISO/IEC 27001, ФЗ152 "О персональных данных" и ФЗ-187 "О безопасности критической информационной инфраструктуры". В аудит входит оценка эффективности и надежности существующих методов защиты, анализ слабых мест и уязвимостей, а также оценка их критичности и разработка рекомендаций по их устранению. Аудит ИБ – важнейшая мера при разработке концепции защиты ИТ-ландшафта. Однако по-настоящему она эффективна только в том случае, если осуществляется с определенной периодичностью, а не как разовая инициатива. Помимо аудита, стоит обратить внимание и на тестирование на проникновение – пентест. Это имитация реальной атаки с применением техник и методов, которые используют злоумышленники с целью выявления уязвимых точек в ИТинфраструктуре компании. Проведение пентестпозволяет бизнесу получить реальную оценку и полноценную картину уровня защищенности инфраструктуры и всех информационных систем, а также сформировать список действий и мероприятий, необходимых для повышения уровня безопасности.

В заключение Обеспечение информационной безопасности является одной из ключевых задач бизнеса. Безопасность должна быть как на техническом уровне, в который входят все необходимые инструменты защиты инфраструктуры, так и на организационном: сотрудники компании всегда должны быть в курсе последних новостей в сфере ИБ и актуальных техник киберпреступников. Только комплексный и проактивный подход к обеспечению ИБ позволит добиться высокого уровня безопасности и сохранить конфиденциальные данные внутри организации. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 19


УПРАВЛЕНИЕ

Принцип ненулевого доверия как ключ к построению системы защиты Илья Четвертнев, технический директор группы компаний Angara

Б

изнес-функциональность любой создаваемой системы всегда имеет первый приоритет. Для поддержания непрерывной деятельности в реальных условиях в каждом проекте присутствуют элементы обеспечения информационной безопасности. Востребованность ИБ очень высока при любой экономической ситуации, но возникает комплекс вопросов относительно ее организации, совершенствования и контроля. В этой статье представлен взгляд опытного интегратора на особенности проектов в области информационной безопасности.

Кто должен строить систему ИБ?

Главный критерий выбора интегратора – доверие заказчика к нему.

Важную роль играет квалификация наших сотрудников на этапе поддержки, ведь от четкости и согласованности зависит качество работы построенной системы защиты.

В идеальном мире заказчик знает все про свои информационные системы, но в реальной жизни обычно бывает наоборот. У больших заказчиков они весьма масштабны и разрознены, а у внутренних служб, как правило, нет времени и ресурсов, чтобы полностью контролировать изменяющийся технологический ландшафт даже внутри организации. Это легко объяснить, ведь основная задача заказчика – это все-таки вести свой бизнес, внутренние подразделения прежде всего нацелены на реализацию и поддержку бизнесфункций, и на совершенствование информационной безопасности они смотрят лишь во вторую очередь. К тому же практика показывает, что квалификация персонала, специализирующегося на информационной безопасности, у среднестатистического заказчика ниже, чем, например, у сотрудников ИТ-службы в своей области. Поэтому для построения или совершенствования системы информационной безопасности в большинстве случаев целесообразно подключать профильного интегратора, который поможет объективно определить и оценить специализированные риски там, где сам заказчик с этим не справится.

Как выбрать интегратора Главный критерий выбора интегратора – доверие заказчика к нему. Доверие в части качества выполняемых работ, соблюдения сроков, в части

20 •

того, что интегратор доведет проект до конца, как ни парадоксально звучит. И это доверие интегратор нарабатывает годами. Несложно заметить, что важнейший критерий – доверие к квалификации и профессионализму интегратора – носит весьма субъективный характер. Есть и объективные признаки, из которых складывается итоговое доверие: например, квалификацию компании и сотрудников заказчик может оценить по сертификатам, по информации о выполненных проектах. Технические специалисты составляют две трети персонала нашей компании. Наличие высококвалифицированных сотрудников в штате – один из существенных факторов надлежащего выполнения проекта в срок и обеспечения последующей преемственности работ над ним. Качество инвестирования интегратора в собственное развитие и в обучение сотрудников определяет результативность внедрения решений для бизнеса заказчика и эффективность реализации проекта. Уровень сервисного обслуживания зависит и от грамотного выбора технологии проверенных поставщиков. Их репутация является дополнительной гарантией успешного воплощения решений. Любопытно, что наиболее эффективным каналом для передачи доверия от одного заказчика к другому было и остается "сарафанное радио". Именно поэтому для хорошего интегратора очень важны отношения с каждым заказчиком. И то, что после выполненного проекта заказчик не только

сохраняет желание снова к нам обратиться, но и готов порекомендовать нас своим партнерам и коллегам, критически важно.

Союзники Главными и зачастую единственными верными союзниками интегратора в проектах остаются службы ИБ, с которыми и происходит прямое взаимодействие. Но мы, например, стараемся расширять область доверия вокруг ведущегося проекта, чтобы союзниками стали и ИТподразделения, ведь именно они в первую очередь являются владельцами защищаемых информационных систем. Очевидно, что дополнительная сложность, которую мы привносим в целях ИБ, часто вызывает недопонимание и сопротивление с их стороны. Поэтому мы терпеливо доносим до ИТ-служб ту задачу, которую призваны решить в рамках каждого конкретного проекта, ее важность для сохранения вверенных им ИТ-процессов защищенными, целостными и доступными. Это легко делать, отталкиваясь от оценки рисков. Ведь зачастую ИТ-службы поддерживают SLA для своих бизнес-систем, не обладая полнотой информации о существующих рисках, а интегратор эти риски может объективно оценить. Ярким примером является онлайн-магазин, для которого простой по причине банальной DDоS-атаки однозначно приведет к большим финансовым потерям. Понимание такого риска со стороны ИТ-подразделения делает его нашим союзником в конкретном вопросе построения защиты от DDоSатак.


www.itsec.ru

УПРАВЛЕНИЕ

Кроме того, важную роль играет квалификация наших сотрудников на этапе поддержки, ведь от четкости и согласованности зависит качество работы построенной системы защиты. А для этого необходимо досконально знать сопровождаемую систему. Если система сделана силами наших архитекторов, то к сопровождению мы приступаем незамедлительно, поскольку точно понимаем все свойства системы и особенности ее функционирования. Однако нередки случаи, когда сопровождается система, разработанная не нами. В этом случае мы сначала вникаем в тонкости ее работы, общаемся с вендором, а дальше приступаем к сопровождению. Еще одним важным моментом является проактивное согласование плана действий в случае тех или иных инцидентов, это позволяет выиграть время в кризисных ситуациях и снизить негативный эффект. Все это необходимо для поддержания высокого качества услуг по сопровождению информационных систем: мы заявляем и на деле обеспечиваем SLA на уровне 99,96%. Таким образом, заказчику предоставляются сервисы с гарантированной доступностью, включая постоянный анализ событий квалифицированными специалистами.

Пресейл Пресейловая активность – важнейший момент, когда можно показать заказчику, на что мы способны. Есть много компаний, готовых создать вауэффект, но этого мало, ведь нужно за короткое время показать именно то, что заказчик хочет в своей конкретной ситуации. С учетом его специфики, предвосхищая ожидания, мы готовим техническое задание и выдаем предложение исходя из того, что ему может требоваться, какая система, какая функциональность для него сейчас наиболее актуальны. Пресейл выполняют наши инженеры и архитекторы, которые определяют конкретные задачи, согласовывают их с заказчиком, а потом реализуют либо на инфраструктуре заказчика, что чаще, либо на нашем стенде. Кроме того, на этой стадии не только прорабатываются имеющиеся потребности, но и закладываются долгосрочные цели,

Angara Technologies Group защитила РГС Банк от направленных атак Задача: создание дополнительного эшелона защиты почтового и сетевого трафика РГС Банка от направленных атак, в том числе программ-вымогателей Особенности реализации: работа в ограниченных условиях, вызванных пандемией COVID-19. Взаимодействие с заказчиком и внедрение систем в удаленном формате Результаты: Angara Technologies Group повысила защищенность РГС Банка и его клиентов от направленных атак с помощью высокоинтеллектуальных продуктов Trend Micro, которые позволяют обнаруживать угрозы, не детектируемые классическими средствами ИБ. С опережением сроков команда интегратора внедрила систему для защиты электронной почты Deep Discovery Email Inspector (DDEI) и систему мониторинга сетевого трафика Deep Discovery Inspector (DDI). Надежные и отказоустойчивые решения охватили всю почтовую инфраструктуру и часть сегмента сети банка, в котором работают 2,5 тыс. сотрудников. В результате проведенных работ РГС Банк обеспечил дополнительный уровень безопасности финансовых и цифровых активов своих клиентов по всей России

включая общее направление развития ИТ в компании. Пресейл не будет успешен без стремления решить насущную проблему заказчика. Много лет назад, когда я еще только начинал работать в информационной безопасности, можно было просто показать функциональность продукта, и заказчик сам додумывал, как его использовать у себя. Сейчас же именно интегратор должен придумать, как можно решить проблему заказчика с учетом его инфраструктуры, его персонала, текущих средств защиты и, конечно же, бюджетов.

Избежать несогласованности Несогласованность может похоронить абсолютно любой проект, в первую очередь несогласованность в определениях целей проекта или действиях на проекте, которые с течением времени приводят к несогласованности в оценке и результатов проекта. И ответом на этот риск тоже является доверие. Мы ценим, что нам доверяют самое важное – свои информационные системы, и мы это доверие всегда оправдываем и доводим проекты до конца с тем качеством и с тем результатом, который ожидает заказчик. Мы понимаем важность защиты цепочки поставок для наших заказчиков, поэтому у нас хорошо поставлен процесс поддержания уровня нашей собственной информационной безопасности, это один из важнейших приоритетов в нашей работе. У нас есть свой центр кибер-

устойчивости, занимающийся мониторингом не только в интересах заказчиков, но и для контроля нашей собственной инфраструктуры, которую сотрудники отдела анализа защищенности регулярно тестируют на проникновение внутренних и внешних нарушителей. Пентест позволяет выявить возможные уязвимости, оценить последствия их эксплуатации, эффективность существующих мер защиты и с учетом этого корректировать стратегию устранения выявленных проблем и повышения уровня безопасности. Эти знания наши специалисты затем используют при построении или совершенствовании информационных систем заказчиков.

Заказчику предоставляются сервисы с гарантированной доступностью, включая постоянный анализ событий квалифицированными специалистами.

Пресейл не будет успешен без стремления решить насущную проблему заказчика.

У нас есть свой центр киберустойчивости, занимающийся мониторингом не только в интересах заказчиков, но и для контроля нашей собственной инфраструктуры.

Заключение В работе мы в первую очередь гордимся своей командой, без которой не было бы ни реализованных проектов, ни воплощения гениальных идей, ни открытия новых направлений. Важный результат работы – это формализованные практики, которые позволяют нам становиться более опытными с каждым проектом и заслужить доверие заказчиков. Ну и конечно, мы гордимся проектами, которые мы выполняем для наших заказчиков, и самое главное – их результатом. l

NM

Важный результат работы – это формализованные практики, которые позволяют нам становиться более опытными с каждым проектом.

Реклама

АДРЕСА И ТЕЛЕФОНЫ ANGARA (ГРУППА КОМПАНИЙ) см. стр. 48

• 21


УПРАВЛЕНИЕ

Страхование киберрисков: модный тренд или острая необходимость? Владимир Новиков, директор по рискам СберСтрахования

П

о данным обзора Всемирного экономического форума (The Global Risks Report, 2021), киберугрозы являются одними из наиболее опасных рисков следующего десятилетия. В этой статье рассмотрим особенности страхования от киберрисков, а также ожидания от этой сферы в ближайшем будущем.

Законы и опасности цифрового мира для бизнеса

В США и Европе киберстрахование – практически обязательный инструмент, который вместе с системой цифровой безопасности обеспечивает комплексную защиту предприятия. Но в России рынок киберстрахования находится на старте своего развития.

Чаще всего программами страхования киберрисков пользуются предприятия, прибыль которых полностью зависит от онлайн-работы.

22 •

Киберпространство уже давно стало полноценной частью глобального бизнеса: бухучет ведется не в бухгалтерских книгах, а в 1C или Эльбе, а данные хранятся на собственных серверах или в облачных сервисах. Чем сильнее организация рабочего процесса и доход компании зависят от цифровых решений, тем больше становится вероятность рисков различной степени ущерба. В 2017 г. цифровой мир буквально был повергнут в хаос из-за компьютерного вируса WannaCry (в переводе с англ. "хочу плакать"). Вредоносная программа внедрялась в систему через уязвимость в операционной системе Windows и шифровала все файлы на компьютере. Если в течение недели владелец не платил выкуп, все файлы уничтожались. Для простого пользователя подобный инцидент мог быть небольшой неприятностью, но только представьте, чем грозит крупной компании потеря всех данных, особенно если владелец не поверил угрозе и решил

не поддаваться требованиям злоумышленников. Всего в мире шифровальщиком было заражено более полумиллиона компьютеров, в том числе принадлежащих международным корпорациям и даже правительственным организациям. Концерн Renault был вынужден остановить работу нескольких своих заводов. Кроме него атаке подверглись FedEx, Nissan, Hitachi и Honda – всего свыше 40 крупных компаний по всему миру, а также сотни мелких и средних. По оценке американского разработчика решений в области кибербезопасности KnowBe4, совокупный ущерб от вирусной атаки составил больше $1 млрд. Согласно исследованию TAdviser и Microsoft, в 2019 г. 76% отечественных компаний малого и среднего бизнеса столкнулись с инцидентами, связанными с кибербезопасностью. При этом 39% заявили, что подверглись целенаправленным киберакам. По оценке разработчика антивируса Avast, в 2021 г. вероятность того, что бизнес столкнется с киберугрозами, выросла во всем мире почти на 3 п.п. – с 11,25% до 13,9%. На фоне громких инцидентов бизнес все сильнее осознает необходимость киберзащиты. Крупные компании инвестируют значительные средства в системы кибербезопасности. Однако даже самые лучшие команды на рынке не смогут создать идеальную защиту, которую невозможно взломать. В частности, систему Пентагона взламывали несколько раз, хотя она считается одной из самых мощных в мире. Думая о возможных атаках извне, нельзя забывать и о внутренних уязвимостях.

Сотрудники зачастую пренебрегают требованиями безопасности, устанавливают простые пароли на конфиденциальные папки и скачивают небезопасные файлы из Интернета на рабочие компьютеры. Например, по данным исследования компании "РостелекомСолар", 80% сотрудников российских компаний не соблюдают требований безопасности для паролей – используют слишком простые или хранят их на общедоступных ресурсах, при этом взлом учетных записей работников может привести к полной компрометации внутренней сети. Системы кибербезопасности и внутренние регламенты поведения очень важны. Но для комплексной защиты предприятия нужно задуматься и о плане Б – страховой защите от киберрисков.

Что такое страхование киберрисков и почему оно необходимо бизнесу? Страхование киберрисков работает по тем же принципам, что и классическая защита бизнеса или имущества. При наступлении страхового случая компания получает полное или частичное возмещение ущерба. Чаще всего страховка покрывает риски воровства или уничтожения данных, потерю цифровых активов или финансовых средств, простоя компании, включает компенсацию расходов на экспертизы и восстановление цифровой инфраструктуры. Компании малого и среднего бизнеса могут воспользоваться коробочными продуктами, в них, как правило, учтены все основные моменты. Для крупных корпораций ситуация иная:


www.itsec.ru

УПРАВЛЕНИЕ

из-за сложности анализа защиты каждой конкретной компании и разветвленности цифровых угроз каждый договор оформляется индивидуально, чтобы учесть все необходимые моменты. В США и Европе киберстрахование – практически обязательный инструмент, который вместе с системой цифровой безопасности обеспечивает комплексную защиту предприятия. Но в России рынок киберстрахования находится на старте своего развития. Даже с учетом крупнейших предприятий объем рынка составляет всего 200–250 млн рублей. Чаще всего программами страхования киберрисков пользуются предприятия, прибыль которых полностью зависит от онлайн-работы. Они в обязательном порядке работают с риск-менеджментом и стараются минимизировать потери даже при самых негативных исходах, к примеру в случае воровства финансовых активов или платежных данных клиентов. Однако автоматизация и цифровизация экономики уязвимыми сделала и компании традиционных отраслей. Все больше производств используют роботизированные системы, в этом случае человекоператор лишь контролирует процесс. Несанкционированное вмешательство в алгоритм производства может привести к порче сырья или дорогостоящего оборудования. Страховая компания Coalition столкнулась именно с таким случаем. Хакер захватил удаленный контроль над производственной линией, из-за чего компании был нанесен существенный ущерб: действия злоумышленника повредили оборудование и конвейер. Но Coalition была застрахована от киберрисков, поэтому страховщик перекрыл стоимость починки оборудования и помог предприятию защитить внутреннюю сеть от проникновения, чтобы исключить подобные ситуации в будущем. У малого и среднего бизнеса совершенно другая специфика. В их штате зачастую нет специалистов по кибербезопасности, отсутствует система защиты, но хакерам они не менее интересны. Атаки на них случаются или из-за невнимательности сотрудников, которые

скачивают на рабочий компьютер вредоносную программу, или когда хакер взламывает систему предприятия ради самого процесса, а не финансовой выгоды. У СберСтрахования есть программа именно для таких компаний. Объем страхового покрытия составляет до 10 млн, а получить защиту могут даже индивидуальные предприниматели. Продукт пользуется популярностью: спрос на него за первое полугодие 2021 г. вырос в 3,5 раза. Это направление дополняет экспертизу страховщика в построении индивидуальных программ страхования киберрисков. Еще один плюс киберстрахования: предприятию не нужно нанимать дорогостоящих специалистов по интернет-безопасности. Страховая компания привлекает их сама, они разбираются с последствиями и восстанавливают полную работоспособность системы. Страхование от киберугроз в России является крупным рынком, который только начинает развитие. Американский опыт говорит, что цифровая страховка занимает примерно 1% объемов от имущественной. Ранее СберСтрахование оценивало рынок страхования киберрисков до 10 млрд рублей. В Правительстве РФ уже обсуждали инициативу сделать киберстраховку обязательной для всех предприятий в стратегически важных отраслях бизнеса. В рамках нацпроекта "Цифровая экономика" в 2017 г. разрабатывался проект закона, согласно которому обязательную страховку от цифровых угроз нужно оформлять компаниям банковской сферы, металлургии, машино- и авиастроения. Но законом проект так и не стал. На данный момент отечественные компании воспринимают страхование от киберугроз скорее как тренд, а не как реальную возможность защититься от рисков, хотя убытки при неблагоприятном стечении обстоятельств могут быть огромными. Проникновение хакеров в систему безопасности любой компании более чем неприятно. Для крупнейших корпораций это может грозить простоем и многими миллионами упущенной прибыли, а для средних

Комментарий эксперта Страхование киберрисков в России будет становиться все более популярным, поскольку вопросы кибербезопасности очевидно выходят на первый план для современного бизнеса. Возможности хакеров постоянно совершенствуются, растет число кибератак. Однако далеко не все организации в России могут обеспечить необходимый уровень информационной безопасности, и от кибератак Роман страдают не только представитеПустарнаков, ли крупного и среднего бизнеса, директор но и предприятия микробизнеса. департамента Многие руководители компаний хорошо осознают необхоорганизации димость развития собственной работ системы защиты информации и с заказчиками инвестируют средства в ее компании построение. Страхование кибер“Газинформсервис” рисков – разумное дополнение к этой системе. Именно поэтому мы наблюдаем повышение спроса на услугу страхования киберрисков, и данное направление, согласно нашим прогнозам, будет активно развиваться в среднесрочной перспективе. Но в то же время не стоит рассчитывать на страховку как на основной элемент системы защиты, ведь она позволяет лишь минимизировать ущерб, но не исключить его полностью.

и крупных вовсе может стать фатальным, так как у большинства предприятий сегмента нет финансовой подушки безопасности. Развитие сферы киберстрахования в России сильно тормозит низкий уровень цифровой грамотности и ИТ-безопасности даже на крупных предприятиях. Тем не менее пандемия кардинально изменила отношение владельцев бизнеса к кибербезопасности, не только из-за массового перехода в онлайн, но и из-за огромного количества разорившихся по разным причинам в период карантина предприятий. Теперь владельцы бизнеса готовы потратить много усилий, чтобы защитить свое дело со всех сторон. В дальнейшем популяризации киберстрахования будет способствовать рост цифровизации. Можно спрогнозировать, что в течение 7–10 лет рынок полностью преобразится и такие страховые полисы станут обыденным явлением. l

В Правительстве РФ уже обсуждали инициативу сделать киберстраховку обязательной для всех предприятий в стратегически важных отраслях бизнеса.

На данный момент отечественные компании воспринимают страхование от киберугроз скорее как тренд, а не как реальную возможность защититься от рисков.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 23


ТЕХНОЛОГИИ

Увидеть то, что скрыто, или Контроль доступа привилегированных пользователей к базам данных Дмитрий Ларин, директор по разработке продукта “Гарда Технологии”

Н Не всегда запросы администраторов и разработчиков можно контролировать на сетевом уровне.

Сложность контроля действий привилегированных пользователей заключается в том, что они не оперируют интерфейсом бизнессистем, а обладают доступом непосредственно к сырым данным, находящимся в базах.

24 •

аиболее опасные случаи утечек данных в крупных холдингах – это последствия выгрузок из корпоративных баз данных, совершаемых привилегированными пользователями.

В компаниях, оперирующих критичной информацией (например, данными клиентов), есть два подхода к распределению ролей пользователей: в первом случае права доступа к системе имеют все пользователи, а во втором – есть четкое разграничение прав по отдельным категориям данных и управляемый перечень пользователей, имеющих доступ как к данным, так и к функциональным возможностям той или иной бизнессистемы. Например, информация из CRM (Customer Relationship Management – управление отношениями с клиентами) может быть видна одним сотрудникам и не видна другим. Но ни одна информационная система и, что важно, СУБД, входящая в ее состав, не обходится без учетных записей привилегированных пользователей, как правило, администраторов и разработчиков. Учитывая максимально широкие

права доступа этой группы лиц, крайне важен непрерывный мониторинг их действий. Не всегда запросы данных пользователей можно контролировать на сетевом уровне как по причине возможности локального подключения к серверам баз данных, при наличии физического доступа в ЦОД и серверные помещения, так и в случае подключения по протоколам удаленного доступа (RDP, SSH и т.д.). Именно для таких пользователей и типичных для них способов подключения используются агентские решения контроля доступа к базам данных.

Сложность контроля привилегированных пользователей Классическая система класса DAM/DBF (Database Firewall и Data Access Management – система аудита и блокировки сетевого доступа к базам данных) работает по принципу пассивного мониторинга обращений пользователей к базам дан-

ных. Контроль на сетевом уровне дает сотруднику информационной безопасности возможность понять, кто сделал тот или иной запрос, когда он был сделан, что собой представлял (чтение, удаление, изменение), а также какую информацию получил пользователь из защищаемой системы. Сложность контроля действий привилегированных пользователей заключается в том, что они не оперируют интерфейсом бизнес-систем, а обладают доступом непосредственно к сырым данным, находящимся в базах. В большинстве случаев такие пользователи хорошо представляют себе их структуру и понимают, в какие таблицы, колонки следует сделать запросы, чтобы получить нужную информацию в обход приложения.

Возможности контроля привилегированных пользователей через агенты Применение агентского ПО отличается от пассивных решений, потому что ставится непосредственно на оборудование заказчика и позволяет непрерывно мониторить все подключения к серверу баз данных. У пользователей бывают опасения, что агентское ПО будет потреблять значительное количество ресурсов, но это мнение устарело: как правило, агентское ПО предварительно обкатывается на тестовых базах и настраивается под пороговые значения ресурсов клиента. При превышении пороговых значений агент посылает сигнал администратору и переходит в режим мониторинга.


www.itsec.ru

КОНТРОЛЬ ДОСТУПА

Частый вопрос служб безопасности: как скрыть работу агентского ПО? Технически подкованный специалист может найти любой дополнительный модуль, внедренный на сервер базы данных. Более того, часто в установке агентских решений задействованы именно администраторы БД. Другой вопрос в том, что в момент, когда что-то происходит с агентским решением (остановка или удаление сервиса), в службу безопасности поступает мгновенное оповещение как через электронную почту, так и через SIEM-систему (Security Information and Event Management). Таким образом, можно оперативно отреагировать на отключение агента и выяснить причину произошедшего.

Автоматическая персонализация доступа привилегированных пользователей В крупных организациях, как правило, большое число администраторов имеет привилегированный доступ к базам данных или операционной системе, на которую установлена СУБД. И проблема в том, что, подключившись к системе по ssh, администратор может обратиться к базе с правами sysdba, а администратор ОС – сменить пользователя на общий аккаунт root или любой другой аккаунт в системе. При совершении какого-либо обращения к базе данных в отчете фиксируется, что обращение к данным произвел sysdba или root – некий привилегированный пользователь, имеющий права администратора. Ранее расследование такого инцидента, после получения оповещения, приходилось производить путем прямого выявления нарушителя через проверку каждого администратора баз данных. Нашим специалистам удалось автоматизировать отслеживание всей цепочки смены пользователей для выявления конкретного привилегированного пользователя, совершившего неправомерные действия с базами данных. Разработан механизм автоматического поиска логина пользователя и IP-адреса хоста, откуда он подключился. Система защиты баз данных и веб-приложений с функциями

Поимка настоящего мошенника вместо подставного лица Ситуация Один из ведущих менеджеров банка при увольнении решил прихватить с собой данные VIP- клиентов. У человека были привилегированные права доступа ко всем базам данных, и он постепенно, в течение 2 месяцев, выкачивал информацию из баз данных разных отделов. Такие расширенные права ему предоставил администратор баз данных.

Действия службы ИБ Служба ИБ переконфигурировала правила контроля обращений к БД АБС в "Гарде БД". Оказалось, что сотрудник использовал написанный скрипт, выполняющий PL-/SQLзапрос и использующий служебный (отладочный) функционал для доступа АБС, который пробегался по различным таблицам (минуя ролевую модель приложения) и на выходе формировал excel файл с большим количеством полей.

Решение В "Гарда БД" были настроены политики для оперативного реагирования на такие события, а к нарушителю применили дисциплинарные меры в соответствии с корпоративной политикой.

определения IP привилегированных пользователей – полнофункциональное решение, позволяющее контролировать как локальные, так и сетевые подключения ко всем популярным СУБД, установленным на серверы под управлением ОС семейства Linux (Red Hat Enterprise Linux, CentOS, Oracle Linux, AstraLinux, Ubuntu Server, SUSE Linux Enterprise Server и т.д.), Solaris, Windows Server, а также AIX. Решение позволяет контролировать действия пользователей на всех сегментах, формируя полноценную базу для ретроспективных расследований.

Практика применения системы защиты баз данных для предотвращения похищения ПДн клиентов организации Рассмотрим ситуацию, в которой системный администратор, имеющий локальный доступ к базам с персональными данными клиентов банка, открыл интерактивную сессию на сервере БД, а затем сменил пользователя на административную учетную запись root, с полномочиями которой обратился к базе данных. При этом для базы он являлся пользователем root. Путем редактирования файла wtmp, хранящего записи о входах, администратор скрыл следы своего пребывания в системе. Выгруженные базы с телефонами и паспортными данными клиентов продавались на черном рынке. Внедрение аппаратно-программного комплекса защиты баз данных с использованием агентов и функцией определе-

Контроль повышения привилегий доступа к данным Ситуация Наличие большого количества бизнес-систем и интерфейсов доступа к данным не позволяет максимально качественно мониторить модель доступа в них всех, особенно когда речь идет о крупных банках. Несмотря на установленные права для сотрудников в штатном интерфейсе АБС или ДБО, службе ИБ необходимо четко понимать, к каким данным на самом деле осуществляется доступ в БД.

Действия службы ИБ Службой ИБ неоднократно фиксировались попытки доступа в БД с использованием технологических, административных и подозрительных учетных записей к чувствительной информации. Кроме того, замечались попытки несанкционированного повышения привилегий. Для таких действий не использовались штатные интерфейсы бизнессистем.

Решение Для исключения подобных злоупотреблений в "Гарда БД" были настроены политики мониторинга изменений привилегий учетных записей. Кроме того, для отдельных учетных записей была кардинально пересмотрена матрица доступа, а некоторые (технологические и непонятного происхождения) и вовсе заблокированы. Выяснилось, что несанкционированный доступ осуществлялся посредством выполнения скриптов или прямого доступа к БД на сервере СУБД в обход штатных интерфейсов бизнес-систем.

ния IP привилегированных пользователей позволило не только выявить нарушителя среди администраторов, но и заблокировать ему доступ к таблицам с персональными данными, тем самым предотвратив хищения. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 25


ТЕХНОЛОГИИ

Системы защиты виртуальных инфраструктур Надежда Мозолина, руководитель отдела программирования ОКБ САПР

Е Появление и распространение новых продуктов на рынке серверной виртуализации влечет за собой развитие смежных систем, например систем хранения, аппаратных платформ, систем защиты информации.

"Аккорд-KVM" позволяет не только создать полноценную защиту виртуальной инфраструктуры (ВИ), построенной на базе гипервизора KVM, но и привести эту систему в соответствие с требованиями регуляторов.

ще в середине 2010-х гг. выбор гипервизора KVM как основы для построения виртуальной инфраструктуры не был чем-то экзотическим, но все же назвать решения на его основе такими же распространенными и популярными, как решения от “гигантов виртуализации” VMware или Microsoft, было нельзя.

Согласно исследованию Gartner 2016 г.1, ни одна платформа виртуализации на базе гипервизора KVM не входила в число лидеров рынка. Конечно, и на сегодняшний день говорить о том, что VMware или Microsoft испытывают значительную конкуренцию со стороны других разработчиков серверной виртуализации, рано, хотя в последние годы совершенно очевидна тенденция увеличения доли рынка KVM-виртуализации2. Стоит уточнить, что речь при этом идет не только о связке QEMU/KVM в чистом виде (о свободном программном обеспечении), но и о коммерческих решениях, базирующихся, так или иначе, на этом гипервизоре, например Red Hat Virtualization3. На отечественном рынке, пожалуй, тенденция использования решений на базе KVM проявляется еще более ярко, чем в мире. Такое изменение предпочтений среди российских компаний связано не только с общемировыми трендами, но и с развитием и реализацией программы импортозамещения информационных технологий в России4. Так, в последние

годы появилось несколько набирающих популярность российских платформ, например среда виртуализации "РЕД Виртуализация"5, программный комплекс "Средства виртуализации "Брест"6, вычислительный комплекс "AERODISK vAIR"7. Появление и распространение новых продуктов на рынке серверной виртуализации влечет за собой развитие смежных систем, например систем хранения, аппаратных платформ, систем защиты информации. И если для виртуальных инфраструктур, основанных на решениях VMware vSphere или Microsoft Hyper-V, создано немало средств защиты8–9, то для гипервизора KVM и платформ на его основе такие решения немногочисленны. Одним из них является разработанное ОКБ САПР специальное программное обеспечение (СПО) "Аккорд-KVM"10, которое позволяет не только создать полноценную защиту виртуальной инфраструктуры (ВИ), построенной на базе гипервизора KVM, но и привести эту систему в соответствие с требованиями регуляторов. СПО "Аккорд-KVM" может применяться в информационных системах, использующих библиотеку управления

виртуализацией libvirt версии не ниже 0.9.13 и библиотеку libguestfs версии не ниже 1.36.3, а также комплексы защиты "Аккорд-Х" или "Аккорд-Х К" на каждом сервере, выполняющем роль гипервизора. Основными функциями "Аккорд-KVM" являются контроль запуска виртуальной машины (ВМ) на гипервизоре, а также контроль целостности файлов и оборудования ВМ. Контроль запуска обеспечивается за счет явной настройки разрешения или запрета включения для каждой защищаемой виртуальной машины, а контроль целостности – за счет сохранения в базе данных "Аккорд-KVM" информации об эталонном состоянии виртуального оборудования и о списке контролируемых файлов с их контрольными суммами для ВМ. "Аккорд-KVM" также выполняет регистрацию всех произведенных собственных настроек, проверок целостности и наиболее важных событий ВИ в журнале безопасности. Вследствие выполнения названных функций СПО "Аккорд-KVM" реализует следующие меры обеспечения безопасности в виртуальной инфраструктуре11–13:

1 T. J. Bittman, P. Dawson, M. Warrilow. Magic Quadrant for x86 Server Virtualization Infrastructure [Электронный ресурс]. URL: https://learnvmware.online/wp-content/uploads/2018/01/gartner-reprint_x86-virtualization.pdf (дата обращения 20.08.2021). 2 The 2020 State of Virtualization Technology [Электронный ресурс]. URL: https://www.spiceworks.com/marketing/reports/stateof-virtualization/ (дата обращения 22.08.2021). 3 Сайт компании Red Hat. VIRTUALIZATION PLATFORMS. Red Hat Virtualization [Электронный ресурс]. URL: https://www.redhat.com/en/technologies/virtualization/enterprise-virtualization (дата обращения 20.08.2021). 4 Носов Н.В. Российский рынок серверной виртуализации: тенденции и игроки [Электронный ресурс]. URL: https://www.iksmedia.ru/articles/5542238-Rossijskij-rynok-servernoj-virtuali.html (дата обращения 20.08.2021). 5 Сайт компании РЕД СОФТ. РЕД Виртуализация [Электронный ресурс]. URL: https://www.red-soft.ru/ru/content/rv (дата обращения 20.08.2021). 6 Сайт компании AstraLinux. Программный комплекс “Тест" [Электронный ресурс]. URL: https://astralinux.ru/products/pkbrest/ (дата обращения 20.08.2021). 7 Сайт компании AERODISK. [Электронный ресурс]. URL: https://aerodisk.ru/vair/ (дата обращения 20.08.2021). 8 Шамардина (Чепанова) Е.Г. Формирование критериев сравнения модулей доверенной загрузки // Вопросы защиты информации: Научно-практический журнал/ФГУП “ВИМИ". 2014. Вып. 4 (107). С. 60–63. 9 Ледовский В. Обзор средств защиты виртуальных сред VMware vSphere [Электронный ресурс]. URL: https://www.antimalware.ru/analytics/Virtualization_Security (дата обращения 20.08.2021). 10 Сайт компании ОКБ САПР. Аккорд-KVM [Электронный ресурс]. URL: https://www.okbsapr.ru/products/virtsys/accordkvm/ (дата обращения 20.08.2021). 11 Приказ № 17 ФСТЭК России от 11 февраля 2013 г. “Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

26 •


www.itsec.ru

ТЕХНОЛОГИИ

l регистрация событий безопасности в виртуальной инфраструктуре (ЗСВ.3); l управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных (ЗСВ.6); l контроль целостности виртуальной инфраструктуры и ее конфигураций (ЗСВ.7)14. Но для обеспечения безопасности информационной системы, построенной с использованием технологии виртуализации, должны быть выполнены не только специфические для гипервизоров и виртуальных машин меры защиты, но и общие для систем заданного класса защиты. Так, меры групп "Идентификация и аутентификация субъектов и объектов доступа (ИАФ)" и "Управление доступом субъектов доступа к объектам доступа (УПД)" в ИСПДн и ГИС могут быть выполнены за счет совместного использования с "Аккорд-Х" ("Аккорд-Х К"), а меры по "Регистрации событий безопасности (РСБ)" – за счет непосредственной реализации в СПО "Аккорд-KVM". Рассматриваемые средства защиты также обеспечивают выполнение некоторых функций "Контроля (анализа) защищенности персональных данных (АНЗ)", "Обеспечения целостности информационной системы и персональных данных (ОЦЛ)" и "Защиты информационной системы, ее средств, систем связи и передачи данных (ЗИС)". Итак, применение СПО "Аккорд-KVM" в информацион-

ной системе персональных данных выполняет следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы: ИАФ.1, ИАФ.5; УПД.4, УПД.5; РСБ.1, РСБ.2, РСБ.3, РСБ.5, РСБ.7; АНЗ.2, АНЗ.4; ОЦЛ.1; ЗСВ.1, ЗСВ.3, ЗСВ.6, ЗСВ.7; ЗИС.1, ЗИС.15, а также дополнительные (не включенные в базовый набор) ИАФ: 7 и РСБ.815. Заметим, "Аккорд-KVM" относится к категории так называемых наложенных средств защиты: он устанавливается "поверх" виртуальной инфраструктуры на этапе ее ввода в эксплуатацию или уже даже в процессе работы. Вообще необходимость применения дополнительных средств защиты при использовании отечественных платформ виртуализации может быть неочевидна, ведь, по заявлениям производителей, эти системы изначально спроектированы таким образом, что обеспечивают безопасность информации, в ней обрабатываемой. Также многие из этих платформ сертифицированы и могут использоваться в государственных информационных системах, системах субъектов КИИ или системах обработки персональных данных высоких классов, а использование встроенных механизмов исключает необходимость покупки дополнительных средств защиты информации (СЗИ), а потому может выглядеть более при-

12 Приказ № 21 ФСТЭК России от 18 февраля 2013 г. “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". 13 Приказ № 31 ФСТЭК России от 14 марта 2014 г. “Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды". 14 ТУ 501410-073-37222406-2018 Специальное программное обеспечение “Аккорд-KVM". Технические условия. 15 Сайт компании ОКБ САПР. Меры приказов ФСТЭК России. “Аккорд-KVM" [Электронный ресурс]. URL: https://www.okbsapr.ru/about/license/certificates/certifikaty-na-spoakkord-kvm/mery-prikazov-fstek-akkord-kvm/ (дата обращения 28.08.2021). 16 Сайт компании ОКБ САПР. Совместимость с “СПО АккордKVM" [Электронный ресурс]. URL: https://www.okbsapr.ru/support/compatible/sovmestimost-s-spo-akkord-kvm/ (дата обращения 28.08.2021).

Разработанное ОКБ САПР специальное программное обеспечение "Аккорд-KVM" позволяет построить полноценную защиту виртуальной инфраструктуры, а также привести систему в соответствие с требованиями регуляторов.

влекательно (на первый взгляд) с экономической точки зрения по сравнению с использованием наложенных. С другой стороны, встроенные механизмы защиты привносят существенные ограничения на конфигурацию таких платформ виртуализации: используемая аппаратная платформа, гостевые операционные системы, системы управления виртуальной инфраструктурой определяются зачастую жестко и не могут быть изменены ввиду узких границ действия сертификата. Другим минусом использования исключительно встроенных средств защиты является низкая скорость обновления таких систем, ведь для новых версий программного обеспечения должны быть проведены особые процедуры контроля и сертификации, нередко с участием испытательных лабораторий. Стоит отметить, что разработка и выпуск новых версий "Аккорд-KVM" также сопряжены с сертификацией или инспекционным контролем программного обеспечения, но ввиду небольшого объема исходных кодов "Аккорд-KVM" контрольные процедуры выполняются в значительно более короткий срок. Разработанное ОКБ САПР специальное программное обеспечение "Аккорд-KVM" позволяет построить полноценную защиту виртуальной инфраструктуры, а также привести систему в соответствие с требованиями регуляторов. Являясь наложенным средством защиты, "Аккорд-KVM" обеспечивает выполнение защитных механизмов, не накладывая ограничения на функциональные возможности ВИ, а также может быть применен для широкого спектра виртуальных инфраструктур, использующих гипервизор KVM, в том числе и для отечественных16. l

"Аккорд-KVM" относится к категории так называемых наложенных средств защиты: он устанавливается "поверх" виртуальной инфраструктуры на этапе ее ввода в эксплуатацию или уже даже в процессе работы.

Встроенные механизмы защиты привносят существенные ограничения на конфигурацию платформ виртуализации.

Минусом использования исключительно встроенных средств защиты является низкая скорость обновления таких систем

NM

Реклама

АДРЕСА И ТЕЛЕФОНЫ "ОКБ САПР" см. стр. 48

• 27


ТЕХНОЛОГИИ

"Поймай меня, если сможешь!" Кража данных с помощью программ-вымогателей Алексей Аверин, Systems Engineer lead, Russia, Pure Storage

В

1800-х г. Бутч Кэссиди терроризировал Дикий Запад, прославившись ограблениями банков и поездов. Самым знаковым для него стало ограбление поезда компании Union Pacific. Кэссиди обнаружил уязвимость, позволяющую использовать поддельные железнодорожные сигналы, чтобы остановить транспортное средство посреди пустыни. Это дало ему и его банде достаточно времени, чтобы забраться в вагон и украсть находящиеся в нем ценности. Безусловно, с течением времени технологии значительно продвинулись вперед, не изменилось только одно – мышление преступников: они хотят получить максимум при минимальном риске быть пойманными. При этом наибольшую ценность в наши дни представляют не наличные деньги, как в случае с Бутчем, а данные, которые могут быть собраны с помощью программ-вымогателей.

Подобно Кэссиди, современные киберпреступники пытаются найти слабые и уязвимые места в системах безопасности организаций для дальнейшего использования при краже наиФакты говорят о том, что число атак с использованием программ-вымогателей растет небывалыми темпами, любая компания может стать мишенью киберпреступников.

Киберпреступники тщательно планируют свою атаку, порой проводя в сети, которую планируют атаковать, более 200 дней.

Существуют даже хакерские инструменты, разработанные специально для атак на службы каталогов с целью получения учетных данных. Получив нужные учетные данные, злоумышленники могут делать практически все.

28 •

более ценных активов, применяя методы социальной инженерии и фишинговые атаки. Главной целью для них (будь то банковское хранилище или же вагон поезда) являются данные – чрезвычайно ценные и трудновосстановимые, утечка которых может привести к серьезному ущербу для корпораций и даже их верной гибели. При этом ключевым инструментом киберпреступников остаются программы-вымогатели.

Бум программвымогателей По данным группы кибербезопасности Emsisoft, в 2020 г. программы-вымогатели нанесли экономический ущерб на сотни миллиардов долларов по всему миру. Проблемы, возникшие в связи с пандемией COVID-19 и последующим массовым переходом на удаленную работу, усугубились еще ростом

числа кибератак. Увеличился средний размер суммы выкупа за данные, он вырос более чем на 80% – в результате этого преступники смогли получить $18 млрд при средней выплате $150 тыс. Целый год многие организации находятся находятся в замешательстве, а для киберпреступников это лучшая пора. Факты говорят о том, что число атак с использованием программ-вымогателей растет небывалыми темпами, любая компания может стать мишенью киберпреступников, поэтому для организаций важно обращать пристальное внимание на свою систему безопасности. Необходимо убедиться, что у компании есть надежная и прочная стратегия защиты данных, чтобы в случае неблагоприятного развития событий, после кибератаки они могли восстановить данные из бэкапов. Безусловно, использование бэкапов играет важную роль, но, к сожалению, киберпреступники тоже умеют приспосабливаться.

Хакеры атакуют бэкапы Злоумышленники понимают, что бэкапы – это последняя линия обороны компаний, и если у пострадавшей стороны будет решение по резервному

копированию и восстановлению данных, то она не станет платить выкуп. Поэтому киберпреступники тщательно планируют свою атаку, порой проводя в сети, которую планируют атаковать, более 200 дней, прежде чем перейти к активным действиям (пытаясь получить доступ к максимальному количеству систем, включая бэкапы, до того, как сделать свой ход). Как правило, первая атака совершается для того, чтобы проникнуть в сеть незамеченным. Попав внутрь, хакер тратит много времени на попытки получить доступ к компрометирующим учетным данным. Это главный ключ к предстоящей масштабной атаке. Существуют даже хакерские инструменты, разработанные специально для атак на службы каталогов с целью получения учетных данных. Получив нужные учетные данные, злоумышленники могут делать практически все.

Трехсторонняя стратегия защиты Организациям необходима трехсторонняя стратегия защиты, которая позволит им подготовиться к потенциальной атаке, минимизировать ее последствия и восстановить данные после нее. Рассмотрим каждую из этих трех составляющих:


www.itsec.ru

ТЕХНОЛОГИИ

1. Целостный подход к безопасности: средства обеспечения безопасности и поддержание их в актуальном состоянии, а также использование комплексных передовых методов помогают защитить данные и ускорить обнаружение кибератаки. Основные рекомендации здесь сводятся к обновлению программного обеспечения и операционных систем актуальными патчами безопасности, обучению сотрудников внимательному отношению к ссылкам и вложениям в электронных письмах, особенно нежелательным, а также регулярным бэкапам и их хранению на отдельных от продуктивных данных устройствах ("воздушные зазоры"). Особое внимание стоит уделять тому, чтобы бэкапы всегда были защищены и неизменяемы, благодаря этому в случае получения доступа хакеры будут ограничены в своих действиях. 2. Следующим этапом является понимание того, как должна функционировать инфраструктура организации, чтобы любое отклонение от нормальной работы было замечено в короткий срок. Ведь иногда может пройти несколько недель, прежде чем кто-то из сотрудников компании обратит внимание на не соответствующее норме функционирование системы и появится сигнал о том, что данные или системы могут быть скомпрометированы. 3. Ключом к обеспечению быстрого восстановления после кибератаки являются бэкапы. Здесь при выборе поставщиков ИТ-руководителям следует обращать особое внимание на соглашения об уровне обслуживания (SLA) по восстановлению данных, а также их бэкапу.

Не забывайте об изоляции Пристальное внимание стоит уделить и "воздушным зазорам". Они служат средством разделения производственных и резервных сетей. Целью "воздушного зазора" является изоляция критически важных данных от локальных сетей и производственных областей, которые более уязвимы для атак. Благодаря доступу к данным в продуктивной сети бэкапы регулярно обновляются, при этом обе стороны необязательно связаны друг с другом. В связи с этим могут возникать проблемы, которые следу-

Количество атак с использованием программ-вымогателей Источник: исследование Positive Technologies "Актуальные киберугрозы: II квартал 2021 года" ет учитывать при использовании "воздушных зазоров": l они не на 100% защищены от атак; l они могут быть дорогими в реализации и эксплуатации, а также сложными в управлении и обслуживании; l их масштабируемость ограниченна, а вместе с тем и скорость восстановления больших объемов данных может быть медленной; l они не решают проблему внутренних угроз или компрометации учетных данных администраторов систем хранения данных или бэкапов; l восстановление больших объемов файлов занимает слишком много времени изза необходимости соблюдения строгих RPO, а классификация данных для многоуровневого восстановления требует времени и усилий. Стратегии безопасности с использованием "воздушных зазоров" также не могут полностью решить проблемы надежности и скорости – двух наиболее важных факторов для успешного восстановления данных.

Предупрежден – значит вооружен: быстрое восстановление данных Даже при наличии снэпшотов и "воздушных зазоров" организации будут ограничены в скорости восстановления данных. Если крупное предприятие приостановит работу хотя бы на один час, это может стоить ему миллионы и нанести непоправимый ущерб доверию и лояльности клиентов. Может случится и так, что компании придется восстанавливать все файлы или

несколько баз данных, что занимает от нескольких часов до нескольких дней. Теперь представьте, что нужно восстановить 50 или 100 баз данных, и станет ясно, насколько важна скорость восстановления, после атаки. Поэтому при оценке поставщиков систем хранения данных и резервного копирования очень важно помнить про необходимость установки SLA и выбор правильного решения для бэкапа, которое сможет обеспечить максимальную скорость восстановления данных – до сотни терабайт в час, если все сложится наихудшим образом.

Стратегии безопасности с использованием "воздушных зазоров" также не могут полностью решить проблемы надежности и скорости.

Особое внимание стоит уделять тому, чтобы бэкапы всегда были защищены и неизменяемы, благодаря этому в случае получения доступа хакеры будут ограничены в своих действиях.

Организациям необходима стратегия, которая будет сочетать в себе надлежащие превентивные меры, регулярное создание снэпшотов и решение для быстрого восстановления, позволяющее в скором времени вернуться к работе. До тех пор пока восстановление данных не станет достаточно быстрым, чтобы избежать серьезных организационных, репутационных и финансовых последствий, вся проделанная работа по защите этих данных будет бесполезной. Независимо от платформы или базовой технологии организации нуждаются в первую очередь в скорости восстановления данных, ведь бизнес не стоит на месте и не будет вас ждать. l

Даже при наличии снэпшотов и "воздушных зазоров" организации будут ограничены в скорости восстановления данных.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 29


ТЕХНОЛОГИИ

Электронная почта требует лучшей защиты, чем просто антиспам, антивирус и песочница

Ч

то объединяет канадского производителя самолетов “Бомбардье", крупнейшего бразильского производителя мяса JBS и компанию Garmin, выпускающую устройства спутниковой навигации для гражданских и военных целей? Будет проще ответить, если добавить к списку газонефтепровод американской компании Colonial Pipeline, попавший не так давно во все новостные ленты. Да, все эти компании стали жертвами программ-вымогателей, причем основным вектором атаки шифровальщиков оказалась электронная почта.

Какие угрозы приходят через e-mail

Еще одна плохая новость: Россия перестает быть островком спокойствия, который не трогают шифровальщики. По данным Group-IB, количество атак на компании и организации на территории России в 2021 г. увеличилось более чем на 200%. Cредний выплаченный выкуп в 2021 г. составил порядка 3 млн руб., а время простоя атакованной компании – 18 суток. Недавно издание The Bell совместно с экспертами Group-IB провели онлайнисследование среди российских предпринимателей: больше половины опрошенных (50,9%) считают угрозу программ-вымогателей актуальной и опасной и примерно столько же (51,9%) убеждены, что их компания скорее не защищена от атак шифровальщиков. Любопытно, что 77,4% опрошенных The Bell представителей российского малого и среднего бизнеса совершенно не готовы платить киберпреступникам за расшифровку данных в случае, если их атакует программа-вымогатель. При этом 33% предпринимателей заявили, что остановка всего на несколько часов уже критична для их бизнеса, еще для 30% критичным является простой в один день. Парадоксальная ситуация: о том, что электронная почта в 40–60% случаев является точкой проникновения в сеть шифровальщиков, знают 50% опрошенных The Bell российских предпринимателей. При этом столько же не используют допол-

30 •

нительных технологий защиты почты, ограничиваясь встроенными возможностями. Около 16% вообще не думают о том, что почту нужно как-то защищать. Технологии электронной почты уже около полувека, столько же эволюционирует и защита электронной почты. Но антивирусы и антиспам оказываются абсолютно небоеспособны перед настоящими целевыми атаками. Это создает без преувеличения колоссальные риски для каждой компании. Гигантская проблема с ущербом в миллионы долларов очень часто начинается с вредоносного ПО, которое находилось "на борту" электронной почты, не было заблокировано антивирусом и было пропущено антиспамом или даже более продвинутой технологией, например песочницей, которая открывает и проверяет подозрительные файлы в безопасной среде. Зараженное письмо попадает к сотруднику, который переходит по ссылке или открывает подозрительное вложение, и это становится первичной точкой проникновения хакеров в инфраструктуру организации. Довольно быстро, за несколько дней или недель, они получают полный контроль над информационной системой организацией. Компания Verizon в отчете Data Breach Investigation Report сообщает, что 90% успешных целевых атак все еще начинается с сообщения через электронную почту.

Известны четыре большие группы киберугроз, использующие корпоративную почту: l доставка вредоносного ПО; l целевой фишинг; l Business Email Compromise (BEC, компрометация корпоративной почты); l спам. Проблема спама, как и некоторые угрозы, связанные с простейшими способами доставки вредоносного ПО, достаточно давно и успешно решается. Но как только речь заходит о более сложных, часто целенаправленных атаках на компанию, ситуация в корне меняется. Конечная цель атакующих в этом случае может быть разной: от вывода средств со счетов компании (например, в ходе BEC-атаки), получения доступа к данным конкретного сотрудника (например, фишинг с хищением учетных данных) до корпоративного шпионажа, продажи доступа в инфраструктуру компании или шифрования систем с последующим требованием выкупа. При этом письмо, которое привело к заражению или получению доступа внутрь сети компании, может выглядеть совершенно безобидно и даже не иметь вложения в привычном понимании, а содержать ссылку на облако или на файлообменник. Злоумышленники показывают довольно высокий уровень изобретательности и за последние годы научились противостоять в том числе относительно продвинутым технологиям, в частности песочницам. Ключевые функциональные направления, при помощи которых атакующие достаточно успешно обходят широко распространенные решения по защите электронной почты: 1. Ссылки на легитимные файловые хранилища с вредоносным файлом. Злоумышленники могут использовать в своих целях разные облачные сервисы: OneDrive, DropBox, Google Drive, Ya.Disk и др. Кроме того, могут использоваться малораспространенные файлообменники, а получить вредоносный файл можно только через ряд дополнительных шагов, например ввода пароля или нескольких


www.itsec.ru

ТЕХНОЛОГИИ

лишних кликов. Большинство стандартных решений класса Sandbox можно ловко обойти такими приемами. 2. Ссылки, которые становятся опасными спустя некоторое время после доставки. Например, письмо, отправленное в четыре утра, содержит абсолютно безобидную с точки зрения системы защиты ссылку. К моменту, когда сотрудник доберется до работы, она уже будет ждать его во входящих и содержать вредоносную нагрузку. Сюда можно добавить такие техники, как ссылки в документах разных форматов, множественный редирект, сервисы сокращения ссылок и т.п. 3. Пароли к архивам, спрятанные, например, в теле письма, названии или содержании другого вложения, в соседнем письме, другом архиве и т.п. Человеку сразу становится понятно, как получить доступ, а вот для обычных систем защиты подобный подход проблематичен. 4. Игры со временем. Сюда относятся вредоносные нагрузки с отложенным временем запуска, проверка и ожидание наступления определенного момента в системном времени, привязка запуска к действиям пользователя, растянутым во времени, и т.п. 5. Проверка окружения на реальность. Тут у атакующих целый арсенал возможных проверок: в нашей практике они смотрели на наличие недавних файлов в MS Word, проверяли историю браузера, смотрели на количество и качество файлов на рабочем столе и многое другое, не говоря уже о стандартных проверках разрешения экрана, системных параметров и т.д. 6. Проверка пользовательской активности. Вредоносное ПО из писем часто ожидает определенных действий пользователя, например движений мышки, переключений между окнами, ввода с клавиатуры. Иногда атакующие просят совершить конкретные действия, нажать в конкретное место экрана.

На правах рекламы

Как защититься? Компания Group-IB разработала два технологических решения. 1. Полностью автоматизированный и бесплатный тест Trebuchet1 для проверки текущей защищенности почтовой системы организации от более 40 различных технических векторов доставки вредоносного кода, используемых злоумышленниками. Тест разработан на основе изучения многочисленных угроз и техник In-the-Wild, исследованных специалистами Group-IB в рамках более чем 70 тыс. часов реагирования на реальные атаки клиентов по всему миру. 2. Продукт Atmosphere1 – инновационная защита электронной почты от серьезных целевых атак, в том числе от первичных атак преступных групп, которые 1 2

Ключевые выводы отчета Group-IB “Программы-вымогатели 2020/2021” На сегодняшний день операторов программ-вымогателей гораздо больше интересует размер организации, чем то, к какой индустрии она относится. Атаки на крупные корпоративные сети позволяют получать максимально возможный выкуп. Это означает, что крупные компании, как, например, Garmin, Canon, Campari, Capcom и Foxconn (которые были успешно атакованы в 2020 г.), теперь постоянно будут находиться в зоне риска. Успешное получение выплат побуждает злоумышленников выдвигать все более высокие требования. Выкуп в размере сотен тысяч долларов уже стал обыденным явлением, однако, похоже новой реальностью становится требование миллионов долларов. Эксперты Group-IB установили, что среди всех операторов шифровальщиков наиболее крупные выкупы требовали группы Maze, DoppelPaymer и RagnarLocker, запрашивавшие суммы от $1 млн до $2 млн.

занимаются шифрованием и выкупом. Функциональность Atmosphere основана на собственной разработке GroupIB – системе Polygon. Важным отличием этой технологии является полномасштабная детонация каждого вложения. Каждый файл максимально полно отрабатывается в виртуальной среде, при этом моделируется, как атака будет складываться внутри зараженного компьютера. Atmosphere анализирует текст, ссылки, вложения, зашифрованные объекты и эффективно противостоит актуальным техникам обхода детектирования. В случае выявления атаки собирается глубокая аналитика, выполняется атрибуция, выявляются действительно сложные целевые атаки, а не только веерные рассылки. Стоит отметить, что большинство облачных песочниц на сегодняшний день используют одинаковые для всех клиентов шаблоны виртуальных машин, свойства которых выглядят абсолютно ненатурально для атакующих. Хакеры не новички в своем деле! Если они хотят заразить российскую компанию, офис которой находится в Ростове или Москве, они, несомненно, проверят геолокацию IP-адреса, установленные языковые настройки, настроенное соединение с известным доменом и даже названия хостов и учетных записей на достоверность. Atmosphere на данный момент единственное решение, которое дает возможность подстраивать все перечисленные свойства, позволяя сделать виртуальную среду неотличимой от реального корпоративного окружения. И именно поэтому технология Atmosphere работает эффективно, исключая возможность обхода защиты. Помимо работы в реальном времени, Atmosphere выполняет постоянный ретроспективный анализ, повторно скачивая ранее недоступные или предварительно помеченные безопасными ссылки, перепроверяя таким образом контент для обнаружения скрытых угроз.

Внедрение Облачная инфраструктура Atmosphere автоматически масштабируется и готова

https://www.group-ib.ru/atmosphere.html https://trebuchet.gibthf.com/

принимать новых клиентов практически в реальном времени. Внедряется Atmosphere очень просто, и защитить почтовую систему можно в течение считанных минут: облачная инфраструктура разворачивается автоматически, а настройка производится через простой пошаговый диалог за четыре клика. Интеграция выполняется по схеме изменения MX-записей доменного имени. Решение Atmosphere включено в реестр российского ПО и полностью соответствует требованиям регуляторов в части локализации хранения данных: обработка и хранение информации осуществляются исключительно в сертифицированных ЦОД на территории Российской Федерации. Для еще более эффективного реагирования на выявленные угрозы Atmosphere интегрируется с API популярных облачных платформ, что позволяет автоматически удалять вредоносные письма, выявленные ретроспективным анализом.

Заключение Возможно, вы считаете, что почта и так хорошо защищена и никакой дополнительной функциональности для этого не требуется. Но пересмотрите еще раз статистику ущерба от шифровальщиков, а потом пройдите бесплатный тест защищенности2 вашей электронной почты. Тесты построены на реальных кейсах: попытках хищения денежных средств, доступа к конфиденциальной информации, остановки бизнес-процессов и вымогательства – тест повторяет первичный вектор реальных атак, начавшихся с электронной почты. И если вам придет хотя бы одно письмо с неизменным вложением или ссылкой из нашей автоматизированной системы, значит, существует реальный вектор атаки на вашу электронную почту. Конечно, зная о тесте, вы сами не откроете это письмо, не перейдете по подозрительной ссылке и не запустите сомнительное вложение. Но можете ли вы поручиться, что так же сознательно поступит условный секретарь или другой сотрудник? l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 31


ТЕХНОЛОГИИ

Антифрод для финансовых организаций: что это, как работает, как защитить данные Раджабали Гаджиев, руководитель группы по технической защите чувствительной информации Cross Technologies

Е Финансовые организации соблюдают требования ИБ и применяют антифродсистемы, чтобы обезопасить работников, клиентов и бизнес-процессы.

Технологии машинного обучения позволяют анализировать данные в динамике и строить поведенческие профили, учитывая историю транзакций для каждого пользователя.

жегодно финансовые организации по всему миру теряют огромные суммы из-за мошеннических действий преступников. В апреле 2021 г. Банк России сообщил о росте ущерба россиян от кибермошенников на 52% в 2020 г. по сравнению с 2019 г., что в общей сложности составляет порядка 9,77 млрд рублей.

Для противодействия мошенническим операциям чаще всего используются аппаратные и программные ключи, ЭЦП, антивирусное ПО, СМСоповещения и т.д. Но этого недостаточно. Вдобавок к таким средствам необходимо использовать антифродсистемы – программные комплексы, позволяющие оценить вероятность того, что банковские или интернет-транзакции являются мошенническими (фродовыми). Финансовые организации соблюдают требования ИБ и применяют антифрод-системы, чтобы обезопасить работников, клиентов и бизнес-процессы, например для защиты от внутреннего фрода (мошенничества, совершаемого сотрудником финансовой организации), отмывания денег, кражи личных данных, аферы с кредитованием и т.д. Поступая в систему, каждая транзакция проходит проверку на соответствие условиям безопасности, а именно: l установление максимальной суммы одного перевода или платежа за один раз; l изменение геолокации пользователя;

l ограничение количества переводов и платежей за единицу времени. После прохождения всех проверок выставляется определенный уровень критичности или метка о том, является ли данная транзакция фродовой. В перечень анализируемых системой параметров входит информация об отправителе и получателе транзакции, об их рабочем месте, банке, реквизитах и параметрах платежа, информация о сессии пользователей, в том числе их геоданные, ipи mac-адреса. Технологии машинного обучения позволяют анализировать данные в динамике и строить поведенческие профили, учитывая историю транзакций для каждого пользователя. Они используются в продвинутых антифрод-системах для определения нетривиальных случаев мошенничества. Если пользователь обычно совершает переводы с определенного устройства в дневное время, но в какой-то момент переводит нетипичную сумму с другого устройства в ночное время, то данное поведение можно считать отклонением от нормы.

Количество операций без согласия клиентов (ед.), доля социальной инженерии (%) Источник: Банк России

32 •

Администраторы безопасности будут оповещены о такой транзакции и примут соответствующие меры. Машинное обучение позволяет улучшить существующие правила и уменьшить количество ложных срабатываний – главного показателя успешности внедренной антифродсистемы. Другой весьма распространенный метод мошенничества среди злоумышленников – телефонный. Преступники притворяются сотрудниками банка и, имея на руках персональную информацию о жертвах, вводят их в заблуждение, а затем располагают к раскрытию личных данных. Для противодействия подобным операциям банки и операторы мобильной связи объединяют усилия и обмениваются доступной информацией. Это позволяет снизить ущерб финансовых организаций и потребителей их услуг. Есть несколько критериев, на которые стоит обратить внимание компаниям при выборе антифрод-решения: l количество успешных внедрений на российском рынке; l применяемый стек технологий; l сопровождение системы и готовность вендора оперативно улучшать и модифицировать систему; l стоимость системы. При правильном выборе антифрод-системы организации удастся значительно снизить риски, связанные с мошенническими действиями и хищением денежных средств. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


www.itsec.ru

ЗАЩИТА СЕТЕЙ

Почему технология Zero Trust важна для безопасности и производительности удаленного персонала? Антон Тихонов, технический менеджер решений McAfee Enterprise

В

современных условиях трансформации бизнеса и роста числа удаленных сотрудников, которым требуется доступ к корпоративным ресурсам, в целях обеспечения безопасности организации необходимо следовать принципу нулевого доверия.

Границы осуществления деятельности современной организации размываются, персонал становится все более распределенным. На фоне роста числа приложений, а также перемещения рабочих нагрузок и данных в облако специалисты по безопасности должны обеспечивать непрерывность бизнес-процессов, решая при этом целый ряд разнообразных задач и сложных вопросов. В последнее десятилетие использование облачных приложений по модели "ПО как услуга" (SaaS) стало практически повсеместным, однако большинство организаций по-прежнему выполняют основной объем задач с помощью частных приложений, размещенных в ЦОД или средах IaaS ("инфраструктура как услуга"). Сегодня в качестве простого и быстрого решения для доступа удаленных пользователей к конфиденциальным внутренним программам и данным используются виртуальные частные сети (Virtual Private Networks, VPN). Однако, поскольку удаленная работа становится новой нормой, а организации переходят на преимущественно облачные развертывания, сети VPN с трудом справляются с задачей обеспечения надежных подключений внутри инфраструктур, для которых изначально они не были предназначены. В результате возникают проблемы с пропускной способностью, производительностью и масштабированием. Сети VPN также создают риск чрезмерной уязвимости данных, потому что любой удаленный пользователь с действительными логином и паролем может получить полный доступ к внутренней корпоративной сети и пользоваться всеми ее ресурсами. Новое решение перечисленных выше задач – сетевой доступ с нулевым доверием (Zero Trust Network Access, ZTNA1). ZTNA запрещает доступ к частным приложениям без подтверждения личности пользователя, который может действовать как внутри корпоративного периметра, так и за его пределами. Кроме того, в отличие от подхода с чрезмерным "безусловным" уровнем доверия сетей VPN, решения ZTNA 1

предоставляют прямой доступ к конкретным приложениям с минимальными привилегиями на основе данных авторизации пользователя.

Прямые подключения к приложениям Решение ZTNA поддерживает простой доступ к частным приложениям в облаке или ЦОД. Этот подход исключает перенаправление трафика на корпоративные серверы, тем самым снижая сетевые задержки, улучшая пользовательский опыт и производительность сотрудников.

Четко обозначенные политики на основе данных идентификации ZTNA дает возможность применить детальные политики доступа к частным приложениям, учитывающие личность пользователя и контекст обращения. Исключая безусловное доверие на основе нескольких факторов, таких как пользователи, устройства и сетевое расположение, решение ZTNA надежно защищает организации от внутренних и внешних угроз.

Доступ с минимальными привилегиями Система ZTNA выполняет микросегментацию сетей для построения программно-определяемых периметров и предоставляет доступ с минимальными привилегиями не ко всей сети, а к конкретным приложениям. Это исключает чрезмерную доступность сервисов и несанкционированное обращение к данным. Микросегментация также значительно уменьшает площадь кибератак и предотвращает их горизонтальное распространение в случае взлома сети.

Маскировка приложений ZTNA "прячет" частные приложения за защищенными шлюзами так, что для доступа к ним не придется открывать входящие порты брандмауэра. В результате создается виртуальная "теневая" сеть: ее приложения нельзя найти в публичном Интернете, поэтому они будут защищены от хищения данных, вредоносного ПО и DDoS-атак.

https://www.mcafee.com/enterprise/en-us/security-awareness/cloud/what-is-ztna.html

Достаточно ли защитить только доступ? А что насчет защиты данных? Хотя решения ZTNA часто представляют как замену VPN, у большинства из них есть тот же недостаток, что и у виртуальных частных сетей, – отсутствие контроля данных и учета рисков. Системы ZTNA первого поколения были полностью сосредоточены на решении задачи доступа, а средства защиты данных и предотвращения угроз в них не предусматривались. Поскольку повсеместный контроль данных и оценка рисков являются ключевыми характеристиками фреймворка SASE, этот недостаток очень существенен, особенно если учесть объемы трафика, которым обмениваются пользователи и частные приложения. Кроме того, поскольку сотрудники все чаще используют для работы персональные устройства с подключением через небезопасные удаленные сети, значительно увеличивается поверхность угроз – риск уязвимости и утечки конфиденциальных данных – из-за отсутствия инструментов защиты конечных устройств, облака и сети. Для устранения этих проблем необходимо усовершенствовать решения ZTNA, усилив возможности доступа с нулевым доверием функциями централизованного мониторинга и оценки безопасности устройств, а также интегрированными средствами защиты данных и предотвращения угроз. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 33


ТЕХНОЛОГИИ

MSSP: UserGate как услуга Артур Салахутдинов, менеджер по развитию направления MSSP

О Государственные органы власти (ФОИВ, РОИВ) и компании традиционно являются площадками для расширения кругозора начинающих ИТ-специалистов.

Компании с госучастием и отраслевые синдикаты активно переходят к созданию своей облачной инфраструктуры и отраслевых центров компетенции.

Предприятия среднего размера, ритейл, банки и прочие – традиционно пионеры использования сторонних сервисов.

34 •

сознаем ли мы это или нет, но уже вполне определенно можно говорить, что отечественные ИТ перешли красную черту в использовании централизованных, или, по западной терминологии, облачных, вычислений. Как развлекательный контент, в том числе с “высокой социальной ответственностью", в 80-х гг. прошлого столетия создал новую индустрию – видеопрокат, в 2000-х – положил начало эре широкополосного доступа, так и эпидемиологическая ситуация последних лет в России стала спусковым крючком и сильно способствовала пониманию эффективности и переходу к облачным сервисам, несмотря на сопутствующие риски.

При использовании сторонних сервисов в модель угроз добавляется как минимум две дополнительные точки отказа: канал, который может быть "проложен" по недосмотру или в результате целенаправленной атаки, как это, кстати, и происходило недавно при организации сентябрьского электронного голосования, а также сама доверенная или не очень платформа, с которой осуществляется доступ. Многие компании, которые уже продолжительное время занимаются организацией работы мобильных "командировочных" сотрудников, смогли быстро тиражировать доступ для остальных сотрудников, вынужденно работавших из дома, а некоторые – даже повысить прибыль и снизить расходы на офисную инфраструктуру и не возвращаться к прошлому опыту. В таких условиях выяснилось, что корпоративная инфраструктура была не всегда готова к возросшей нагрузке, и волей-неволей рынок вспомнил про ЦОД, построенные еще в 2010-х гг. и до недавнего времени вяло используемые. Вопросы доверия к инфраструктуре IaaS и обрабатываемым там данным решались и решаются пока традиционным образом: доступ к арендуемым стойкам серверов с критической информацией ограничивается физически – запором и/или амбарными замками, и здесь, вероятно, есть вызов для российского законодательства о разграничении ответственности сервис-провайдера и пользователей. Однако речь не о том, давайте взглянем, как российские субъекты экономической деятельности осваивают новую отрасль:

1. Небольшие предприятия, как правило, с далекими от ИТ видами деятельности: хорошо, если владелец знает про антивирус и что он может и не может на стационарных и мобильных платформах. Документооборот обычно ведется "на коленке", "до первого случая". После происходит обращение к сторонним сервисам и миграция на них – это почта, хранение данных, налоговая отчетность и т.д. Благо цены здесь принимают "человеческое лицо", а обеспечение безопасности и непрерывности ложится на профессиональные плечи провайдеров. 2. Государственные органы власти (ФОИВ, РОИВ) и компании традиционно являются площадками для расширения кругозора начинающих ИТ-специалистов, за что даже платится заработная плата. Но, как правило, такие начинающие ориентируются быстро и продолжают свою специализацию на других рабочих местах, о чем я, собственно, скажу в следующем пункте. Проблема дефицита специалистов тут остра уже несколько десятков лет, и скоро она сдвинется с мертвой точки: появится решение в виде государственной единой облачной платформы, которая возьмет на себя заботы о бюджетировании, проектировании и обслуживании ИТ-инфраструктуры, а также освободит пользователей от работы с разношерстными и порой санкционными инструментами и ПО. 3. Компании с госучастием и отраслевые синдикаты активно переходят к созданию своей облачной инфраструктуры и отраслевых центров компетенции. Тут также наблюдается

"дефицит и очереди", но уже за компонентами облаков, в том числе и за счет искусственно созданной ситуации с производством и поставками процессоров западными партнерами. Такие центры высасывают специалистов с мест (см п. 2 выше), но при этом вынуждены искать счастье в форме публичных сервисов, учитывая инерцию локальной корпоративной инфраструктуры (см п. 1 выше). Рынок прибегает к помощи таких провайдеров в организации несложных типовых сервисов, тестовой инфраструктуры и иных процессов, которые трудно развернуть внутри корпоративного периметра в силу отягощения забюрократизированной политикой безопасности, способной довольно быстро убить творческий порыв и не дать той скорости проектирования/изменения, которую требует современный электронный бизнес. 4. Предприятия среднего размера, ритейл, банки и прочие – традиционно пионеры использования сторонних сервисов. Они редко заинтересованы в активах на своем балансе, если это не приводит к повышению рыночной стоимости компании. OPEX – вот их главный лозунг. Довольно давно эксплуатируют зарубежные облака, а с изменением политической ситуации – успешно мигрируют к отечественным поставщикам IaaS, и тут даже наблюдается ожесточенная конкурентная борьба и ценовые войны сервис-провайдеров за пользователей. В таких условиях традиционная форма поставки решений box-moving с долгим обоснованием, функциональным и нагрузочным тестированием, конкурс-


www.itsec.ru

ЗАЩИТА СЕТЕЙ

ными процедурами все еще актуальна. Но если зарубежные СЗИ и ИБ-решения уже давно продаются по схеме SWaaS, SECaaS и MSSP, то для отечественных производителей это поле деятельности все еще вызов. Сейчас таким образом поставляется в основном защита публичных сервисов, предотвращение DDoSатак, консалтинг ИБ. Отечественных разработчиков высокопроизводительных NGFW или прокси, по сути, в России нет, а те производители, которые стремятся попасть в нишу сетевых шлюзов безопасности, поставляют свои решения по старинке.

На правах рекламы

Модель MSSP от UserGate В основе решений UserGate – собственная (proprietary) операционная система UGOS. Мы знаем, как функционирует каждый компонент системы и можем оптимизировать ее использование на любой платформе, не только х86. Таким образом, решение может быть развернуто на фирменной аппаратной или виртуальной платформе и показывать высокую производительность. При этом сертифицированная регулятором и коммерческая версии не различаются архитектурно или функционально, чем грешат зарубежные аналоги. К примеру, виртуальный апплайнс на 32 ядра способен поддерживать обслуживание примерно 6–8 тыс. одновременных пользователей. Поддерживается вертикальная и горизонтальная кластеризация с балансировкой нагрузки. Для целей MSSP генерируются временные лицензии. Такая подписочная модель учитывает количество актуальных пользователей или используемых ядер под текущую нагрузку и удачно реализует концепцию Pay-asYou-Go. Аппаратные устройства UserGate на сегодняшний день не включены в схему MSSP и предлагаются дистрибуторами либо только в рамках традиционной "коробочной" модели продаж или в лизинг. В рамках MSSP UserGate предусмотрены несколько опций. 1. Контентная фильтрация – востребована операторами для обеспечения запрета доступа к интернет-сайтам в рамках требований Роскомнадзора и "детских законов" (соответствие требованиям ФЗ-436 "О защите детей", ФЗ-139 "О черных спис-

ках" и методическим рекомендациям Министерства образования и науки Российской Федерации), а также исключения вредоносного трафика в интересах своих абонентов – частных лиц или небольших компаний. 2. Классический межсетевой экран с IPS/IDS (СОВ) на локальной инфраструктуре или в облачном сегменте, в том числе требующими аттестации. 3. Третий пакет – п. 2 + DPI (L7 приоритизация трафика). 4. Полнофункциональная версия UserGate (МЭ СОВ, удаленный доступ и защищенное соединение, прокси, реверс-прокси, DPI, собственный потоковый антивирус и антиспам), а также расширенная статистика, централизованное управление парком устройств UserGate с обеспечением концепции Multitenant. Доступна расширенная техническая поддержка партнеров UserGate в рамках реализации программы профессиональных сервисов. Возможно несколько схем реализации MSSP. 1. "Оператор", при которой разворачивается шлюз безопасности UserGate "в разрыв канала": весь трафик в обслуживаемом канале проходит обработку на седьмом уровне OSI. Является базой для анализа и перенаправления отдельных видов трафика на специализированные средства ИБ (AV, DLP, Sandbox и пр.). UserGate предоставляет партнерам API, полностью дублирующий управление устройством через графический интерфейс. API может быть опубликован в личном кабинете подписчика и использоваться им для специфического конфигурирования часто востребованного функционала. 2. Выделенное, локальное виртуальное устройство предназначается для тех подписчиков, которые в силу каких-либо причин не могут использовать сторонние облачные ресурсы и вынуждены реализовать свои информационные системы частным образом. Причем не так важно, где будет размещено устройство, действительно в локальной инфраструктуре либо в IaaS. 3. Третья схема применима, когда сервис-провайдер набирает определенный пул корпоративных заказчиков и для каждого из них на своем сегменте разворачивается отдельное устройство. В рамках этой схемы

UserGate уже реализовал интересные возможности для работы в облаках: технология Cloud-Init – в рамках защищенной сессии в личном кабинете заказчику выдается интернет-страница для предварительного конфигурирования устройства, ролевой доступ к своему разделу консоли управления UserGate и, в случае, если заказчику вдруг понадобится долговременная статистика для ретроспективного анализа, – Log Analyzer, который уже в 2022 г. будет трансформирован в SOAR/SIEM и подключен к ГосСОПКА. Актуальный вопрос с 2021 г. – сертификация по новым уровням доверия. Можно продолжать эксплуатировать ранее аттестованные ЦОД или сегменты со старыми сертификатами, полученными до 2021 г., но в рамках действующей технической поддержки соответствующего вендора СЗИ, сертификат которого участвовал в прошлой аттестации. При создании же нового ЦОД либо при внесении изменений в ранее защищаемый сегмент уже необходимо использовать СЗИ, сертифицированные по так называемым уровням доверия. Профессиональные сервисы также решают проблему отсутствия специалистов у организации-клиента – реализацию политики ИБ и техническую поддержку инфраструктуры. И в данном контексте UserGate с радостью делегирует своим партнерам первую и вторую линии технической поддержки. Что мы ожидаем от партнеров? По сути, ничего. С момента начала использования сервиса и роста потока услуг резонно повысить количество своих технических специалистов, оказывающих услуги поддержки и эксплуатации, а также их компетенцию и квалификацию. Достигается это учебой в нашем сертифицированном учебном центре и поддержкой лабораторного стенда, на котором отрабатываются типовые ошибки пользователя и методы их разрешения. Мы приглашаем партнеров к сотрудничеству и со своей стороны обещаем, что все наши новые решения и продукты будут распространяться по модели MSSP. l

Но если зарубежные СЗИ и ИБ-решения уже давно продаются по схеме SWaaS, SECaaS и MSSP, то для отечественных производителей это поле деятельности все еще вызов.

Отечественных разработчиков высокопроизводительных NGFW или прокси, по сути, в России нет, а те производители, которые стремятся попасть в нишу сетевых шлюзов безопасности, поставляют свои решения по старинке.

Подписочная модель учитывает количество актуальных пользователей или используемых ядер под текущую нагрузку и удачно реализует концепцию Payas-You-Go.

Выделенное, локальное виртуальное устройство предназначается для тех подписчиков, которые в силу каких-либо причин не могут использовать сторонние облачные ресурсы и вынуждены реализовать свои информационные системы частным образом.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 35


ТЕХНОЛОГИИ

Блокчейн как базис для безопасной ИТ-инфраструктуры Олег Ховайко, CTO Emercoin

П

оявление и распространение биткойна, электронной децентрализованной платежной системы, привлекло широкое внимание к блокчейну (цепочка блоков, распределенный реестр) – структуре данных, которая является технологической платформой как самого биткойна, так и прочих криптовалют. На сегоднящний день большинство действий вокруг блокчейнов носят популистский характер, далекий от их профессионального использования, но у специалистов систем безопасности есть много поводов обратить внимание на этот развивающийся сегмент цифровой инженерии.

висы на блокчейне, предназначенные для решения задач реального бизнеса – ваших задач. Уникальные свойства блокчейна, например достоверная копия содержимого на каждом узле сети, подтвержденная консенсусом независимых участников, создающих новые блоки публичной цепочки (майнеров и минтеров), открывают возможность создания на его основе всемирной децентрализованной сети доверия, которая станет базовой инфраструктурной платформой для подсистем, обслуживающих сетевую инфраструктуру. Такие подсистемы не имеют единой точки отказа (SPOF), а также обладают высочайшей скоростью обработки запросов, надежностью и анонимностью, ибо каждый узел пиринговой сети имеет локальную достоверную копию всей информации, когдалибо внесенной в блокчейн, и все поисковые запросы обрабатываются в локальной базе данных, не покидая локальный компьютер, или в некоторых случаях – доверенную локальную сеть. Одним из пионеров "блокчейна для инженеров" стал Emer1 – открытая публичная платоформа для таких подсистем. Платформа бесплатная и доступна, как продукт с открытым исходным кодом (Open Source), на github2. Платформа Emer построена на базе ядра Bitcoin, куда были добавлены как собственные многочисленные наработки, так и компоненты из других криптовалютных проектов – Namecoin, Unobtanium, Peercoin. И пока защитники криптовалют вовсю заняты токенами и трейдингом, а также сбором денег под обещания разной степени выполнимости, практически рядом разрабатываются и вводятся в эксплуатацию подчеркнуто немонетарные сер1 2 3 4

В чем отличие Emer от Bitcoin Ключевым отличием Emer от Bitcoin является встроенная в него подсистема NVS – Name-Value Storage. Ее можно рассматривать как одноранговую файловую систему, где каждый файл имеет владельца, и только владелец может изменять содержимое или передавать файл другому, остальным участникам доступен только режим чтения. Расчетные единицы Emercoin являются лицензионными единицами сети, которые надо "сжечь", чтобы внести файл в блокчейн или создать новую версию. Это защищает блокчейн от злонамеренных участников, которые в противном случае могли бы "раздувать" его неограниченно, безнаказанно внося бесполезные гигабайты. В настоящее время цена внесения записей составляет меньше копейки (в прямом смысле слова), что делает платформу по карману любому добросовестному пользователю. На основе технологии блокчейн были разработаны три децентрализованные подсистемы для поддержки надежной и защищенной ИТ-инфраструктуры, которые в данный момент находятся в промышленной эксплуатации. Рассмотрим их далее.

emerDNS Инфраструктура DNS современного Интернета не отличается высокой надежностью, и уязвимости в ней обнаруживаются регулярно. Вбейте в поисковик "уязвимости DNS", чтобы увидеть постоянно обновляющийся список. И, хотя каждая уязвимость уникальна по-своему, все они имеют общее начало – управле-

https://emercoin.com https://github.com/emercoin/ https://habr.com/ru/company/emercoin/blog/334304/ http://sites.emercoin.com/

36 •

ние доменным именем и его разрешение при посещении сайтов требуют делегирования доверия внешним сервисам. Структура доверия, на которой зиждется современный классический DNS, не позволяет сделать эту подсистему надежной и защищенной в высокой степени. По-настоящему надежная подсистема DNS должна быть построена без делегирования доверия, то есть на основе принципа "верю только себе". Таковой является emerDNS3. Запись о домене создается и управляется в локальном кошельке-узле сети, и именно вы являетесь владельцем доменной записи, не делегируя ее внешнему регистратору. А так как запись вносится в публичный блокчейн (подсистему Emer NVS), все остальные пользователи сети могут ее использовать для доступа к вашему сайту. Причем эти пользователи не отправляют запросы во внешние сервисы, а разрешают доменное имя, посылая запрос в локальный узел сети Emer. Это обеспечивает высочайшую скорость обработки запроса и анонимность (DNSзапросы не покидают компьютер пользователя), а также делают невозможной атаку на инфраструктуру DNS, приводящую к сбоям и отказам в обслуживании. За время существования, с 2014 г., emerDNS продемонстрировал высокую стабильность и надежность, вследствие чего его охотно используют торренттрекеры для неблокируемых зеркал своих сайтов, а также ряд других сайтов4, которым требуется надежная работа и защита от блокировок. Для вашей компании emerDNS может быть полезен как для зеркалирования основного сайта, так и для разворачивания ведомственных сетей, где требуется высочайшая отказоустойчивость и производительность.


www.itsec.ru

КРИПТОГРАФИЯ

Так как emerDNS не поддерживается сетью ICANN, штатное разрешение запросов к соответствующим доменам невозможно. Для доступов к доменным зонам emerDNS требуется установить собственный DNS Resolver, являющийся "точкой сопряжения" между классическим DNS от ICANN и emerDNS. Но так как любой узел сети Emer может выступать в качестве DNS-сервера стандарта rfc1035, то настроить точку сопряжения несложно с помощью любой программы кеширования DNS5.

emerSSL Еще одна острая проблема современного Интернета – безопасная аутентификация. Системы на базе паролей весьма уязвимы, и мы постоянно наблюдаем базы паролей, украденные у сайтов-разгильдяев, а также взлом учетных записей методом подбора паролей. Попытки заставить людей придумывать сложные пароли приводят к тому, что приходится такие пароли записывать на бумагу. Этот способ хранения паролей высмеивали7 еще в 90-е, но он в настоящее время оказывается одним из наилучших. И не потому, что он стал лучше, а потому, что альтернативные способы становятся хуже. И менеджеры паролей тоже не особо помогают, так как в них постоянно обнаруживают уязвимости6. Системы 2FA в текущем исполнении не повышают, а драматически снижают безопасность, так как делегируют безопасность учетной записи слабо защищенной недоверенной телефонной сети. В этом случае злоумышленнику достаточно методами социальной инженерии или атакой на SS7 перехватить SMS, и он может "восстановить забытый пароль", тем самым похитив доступ к учетной записи жертвы. И снова видим тот же корень проблем – делегирование доверия во внешнюю сеть или менеджерам паролей. EmerSSL8 также построен на принципе "верю только себе", то есть не делегирует доверие сторонним агентам. Здесь пользователь локально генерирует SSL-сертификат и размещает его хеш в NVS, откуда его могут извлечь сайты при аутентификации (снова отправив запросу в свою локальную копию). Так как, в отличие от пароля, SSL-сертификат не является секретом, его хищение бесполезно, а секретный ключ от сертификата никогда не покидает устройство пользователя. В качестве уникального "имени файла" NVS для сертификата используется его Serial. Уникальность гарантируется консенсусом блокчейна, и "файл" с соответствующим Serial может быть только один на всю сеть, а права

на изменения принадлежат только хозяину "файла". В случае компрометации SSL-сертификата пользователь также может быстро сгенерировать новый на замену и в локальном кошельке обновить хеш сертификата в NVS, при этом вся сеть начнет принимать новый сертификат вместо старого. Таким образом, вместо горы паролей пользователь получает универсальный сертификат-вездеход, которым он может авторизоваться на любом числе серверов сети без снижения безопасности. Для компании emerSSL является прекрасной альтернативой SSO, где вместо SSO выступает публичный блокчейн Emer. Очень упрощается и привлечение новых пользователей. Ведь не секрет, что создание новой учетной записи на вашем сайте – это пусть и небольшие, но трудозатраты пользователя (придумать пароль, подтвердить e-mail, телефон), колеблющиеся потенциальные пользователи просто уходят. А если учетка создается по сертификату, нажатием одной кнопки – пользователи более охотно будут регистрироваться, и впоследствии им намного удобнее будет авторизоваться нажатием одной кнопки на сайте, когда всю работу сделает emerSSL. Более того, если emerSSL сравнивать с SSO, то можно заметить, что SSO – это система уровня корпорации, и именно корпорация несет расходы на обслуживание, тогда как emerSSL – децентрализованный аналог SSO всемирного масштаба и отдельного обслуживания этой системы не требуется. Таким образом, кроме повышения безопасности и удобства, снижается цена обслуживания ИТ-инфраструктуры компании.

emerSSH Третья проблема безопасного управления сетями – поддержка списков контроля доступа (ACL) в актуальном состоянии. В сети большой корпорации нередки случаи, когда доступ к учетной записи блокировался по ошибке или же после увольнения человека оставался открытым, чем пользовался расстроенный бывший работник, совершая неблаговидные действия в отношении "обидевшего" его работодателя. В настоящее время компании применяют централизованные системы управления доступом, такие как LDAP или Puppet. Эти системы масштаба предприятия хорошо работают на своем уровне (уровне предприятия), но уже плохо применимы в современном мире, где какие-то элементы ИТ-инфраструктуры делегируются внешним компаниям (облачные хранилища, бухгалтерия,

аудит и т.п.). Проблема таких систем – присутствие в них "админа в режиме бога", то есть главного администратора, который управляет списками контроля доступа. Предполагается, что этот админ полностью лоялен компании и никогда не будет вредить, ошибаться или банально задерживать распоряжения администрации по обновлению ACL. Кроме того, системы уровня предприятия не могут использовать другие ACL из сторонних систем подобного назначения. Таким образом, весьма сложно обслуживать ситуацию, когда вы разрешаете доступ к некоему ресурсу на основе ACL, управляемому внешней компанией. А ведь в современном мире, когда на аутсорс отдается все больше и больше ИТ-деятельности, такая ситуация становится типичной. Например, если поддержка сайта передается сторонней компании, то было бы неплохо, чтобы именно та сторонняя компания управляла списком своих сотрудников, входящих в группу, имеющую к вам доступ. Система emerSSH9 как раз и решает эту проблему. EmerSSH представляет собою децентрализованную систему ACL, где все списки хранятся в NVS и могут ссылаться друг на друга. Так как система NVS всемирная, то вы в свой список можете включить ссылку на любой другой ACL, который находится в NVS. Применение такой системы приводит к "локализации ответственности". Иными словами, участники-пользователи вносят в NVS свои актуальные публичные ключи ssh (или другие якоря аутентификации, например Serial от emerSSL). При необходимости участник может сгенерировать новый ключ или сертификат, а также обновить свою NVS-запись в emerSSH. Его начальник поддерживает ACLзапись, которая перечисляет участников данной группы. И наконец, внешняя организация может включить ACL этой группы в свой ACL для доступа к своему сайту. В случае компрометации ключа участника он просто генерирует новый ключ, публикует его в NVS и уже по новому ключу получает доступ туда, куда имел и ранее, причем ему не надо уведомлять своего начальника или админа компании-клиента. Все обновления происходят автоматически. При этом каждый участник управляет своим локальным ключом или ACL, а блокчейн объединяет это в инфраструктуру публичных ключей (PKI) всемирного масштаба. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

https://emercoin.com/en/documentation/blockchain-services/emerdns/emerdns-introduction/ https://xakep.ru/2014/09/08/password-manager-pentest/ 7 https://ru.wikipedia.org/wiki/Хакеры_(фильм) 8 https://habr.com/ru/post/257605/https://testnet.emercoin.com/block/c23c682d15ea0bf8eef0767084a4c66988c658e203f378c38e07eaf8e6c3ae39 9 https://cryptor.net/kriptovalyuty/pod-kapotom-emercoin-chast-3-emcssh-infrastruktura-publichnyh-klyuchey-vsemirnogo 5 6

• 37


ТЕХНОЛОГИИ

Блокчейн проникает в экономику Александр Подобных, член правления АРСИБ, независимый эксперт по ИБ в КОСАтка (SICP)

Н Все алгоритмы консенсусов имеют свои преимущества и недостатки, начиная с необходимости специализированного оборудования и заканчивая высоким энергопотреблением.

а протяжении последних пяти лет технологии блокчейн активно развивались и совершенствовались с точки зрения безопасности. Все эти изменения происходили при помощи софтфорков – процедур, не подразумевающих внедрение глобальных изменений в работу системы, и хардфорков – процедур внесения серьезных модификаций, которые кардинально меняют принципы функционирования сети. Кроме того, появлялись новые форки (Bitcoin – Bitcoin Cash, Ethereum – Ethereum Classic) и новые виды консенсусов. Предлагаю рассмотреть подробнее, какие именно изменения произошли.

Блокчейн – одна их технологий распределенных реестров, предназначенных для защиты от несанкционированного доступа и создания записей, в которые невозможно внести изменения. У публичных и частных блокчейнов разнятся уровни конфиденциальности и защитные меры. Являясь критичными аспектами для понимания блокчейнов (скорость, приложения и потенциал), алгоритмы консенсуса определяют все, от сетевой безопасности и скорости подтверждения и до экологичности. Они обуславливают безопасное добавление новых блоков информации в реестр, учитывая

Один из первых консенсусов, появившийся благодаря блокчейну биткойна, называется "доказательство выполнения работы" (PoW, Proof-of-Work).

Непрерывно появляется множество алгоритмов консенсуса, каждый из которых решает уникальные проблемы того или иного примене-

нецентрализованное управление сетью. Без централизованного управления сетью пользователям, с помощью предварительно заданных правил (большинство узлов сети должно достичь консенсуса), необходимо достичь согласия по поводу того, что добавляется в реестр.

ния блокчейна.

Proof-of-Work Один из первых консенсусов, появившийся благодаря блокчейну биткойна, называется "доказательство выполнения работы" (PoW, Proof-of-Work). Он требует, чтобы каждый участвующий в подтверждении пользователь доказал выполнение им вычислительных действий – это необходимо для

38 •

защиты сети от атак в виде спама или DoS-атак. Система вознаграждений (токены за время и энергию, потраченные на поиск решения) мотивирует майнеров генерировать верное решение и обеспечивать безопасность сети.

Proof-of-Stake Следующий тип – "доказательство доли владения" (PoS, Proof-of-Stake). Он появился в Peercoin как попытка решить проблемы затрат, эффективности и уязвимости централизации, связанные с доказательством выполнения работы. Здесь каждый подтверждающий узел сети покупает монеты, используемые в той или иной блокчейн-системе. В определенные интервалы времени выбирается узел, записывающий новый блок (на вес влияет количество монет и время владения токенами). Для осуществления атаки пользователю потребуется завладеть 51% монет всей сети.

Delegated Proof-of-Stake Дальнейшее совершенствование – алгоритм "делегированное доказательство доли владения" (DpoS, Delegated Proof-of-Stake). Здесь процесс валидации выполняет группа делегатов, избранных пользователями сети и имеющих отдельные узлы для майнинга блоков. Поскольку такие делегаты считаются надежными, то это частично решает проблему злонамеренного использования майнерами нескольких блокчейнов с PoS и попыток переписать историю транзакций.

Delegated Byzantine Fault Tolerance Параллельно появился консенсус под названием "делегированная византийская отказоустойчивость" (DBFT, Delegated Byzantine Fault Tolerance), которая применяет процесс делегирования голосования для предотвращения раскола блокчейна надвое. Все алгоритмы консенсусов имеют свои преимущества и недостатки, начиная с необходимости специализированного оборудования и заканчивая высоким энергопотреблением, начиная с подверженных типовым угрозам блокчейнов – заканчивая сложными приватными с усиленным шифрованием. Для достижения баланса между децентрализацией, скоростью обработки и эффективностью используются гибридные решения. Поиск наиболее оптимального решения осуществляется для конкретных внедрений. Непрерывно появляется множество других алгоритмов консенсуса, каждый из которых решает уникальные проблемы того или иного применения блокчейна, например лидерский консенсус, Round Robin, федеративный консенсус, доказательство истекшего времени (PoET), практическая византийская отказоустойчивость (PBFT) и производные (резервированная византийская отказоустойчивость RBFT, упрощенная византийская отказоустойчивость SBFT), распределенное совпадение (N2N) и направленные ациклические графы (DAG).


Podobnyh 9/29/21 4:11 PM Page 39

www.itsec.ru

Реклама

КРИПТОГРАФИЯ

Консенсусы в безопасности С появлением новых сфер применения блокчейна одновременно развивается спектр механизмов консенсуса, что спровоцирует новаторское применение и в безопасности (не за горами квантовые блокчейны, в ЛЭТИ прорабатывается данный вопрос), а также в сервисах безопасности (сбор и хранение свидетельств, контроль конфигураций оборудования и пр.). Есть и текущие проблемы с управлением безопасностью. Техническое руководство ИСО/ТР 23244 помогает обеспечить ясность в вопросе сохранения конфиденциальности личной информации, зачастую являющейся барьером для принятия блокчейн-решений, и демонстрирует, как нужно выявлять и оценивать известные риски, связанные с конфиденциальностью, а также способы их минимизации. Оно охватывает потенциал повышения конфиденциальности блокчейнов и распределенных реестров.

Смарт-контракты Технический отчет ИСО/ТР 23455 с анализом эффективного применения смарт-контрактов (умных договоров), описывающий их суть, алгоритм работы и методы взаимодействия, доступен для ознакомления. Он концептуально определяет

область применения смартконтрактов, представляющих собой компьютерные программы, хранящиеся в распределенных реестрах и предназначенные для автоматизации транзакций, основанных на согласованных условиях, а также повышение безопасности технологии распределенных реестров. Все это нашло отражение и в международных стандартах технологии блокчейн, которые повышают уровень информированности о ней и поддерживают ее внедрение безопасным способом (чем активно занимается ИСО/ТК 307 "Блокчейн и распределенные реестры")1. Таким образом, использование блокчейнов распространилось далеко за пределы финансового сектора (ипотечные кредиты и закладные, банк Дом.рф) – от здравоохранения (управляемая пользователем конфиденциальность) до сельского хозяйства. Технология привлекательна для многих отраслей промышленности (IIoT, контроль подрядчиков) и органов власти (кадастровые реестры, Росреестр), поскольку позволяет регистрировать сделки прозрачным и безопасным способом, повышая доверие, ограничивая посредников и снижая издержки. Например, в российском "Мастерчейне" на базе блокчейна Ethereum используется

ГОСТ-шифрование с соответствующим процессом идентификации пользователей. По меньшей мере три компании в Санкт-Петербурге занимаются разработкой смарт-контрактов, а также предоставляют услуги по аудиту их логики и безопасности. Финансовая отрасль на текущий момент не основная. Больше внедрений и тестов в логистике, добыче природных ресурсов и различных сетях промышленного Интернета вещей (IIoT). Репутационные блокчейны применяются для анализа финансовых транзакций и сохранения результатов по субъектам. ИСО/ТК 307 для опубликования планируется еще ряд стандартов и документов, таких как практика применения, эталонная архитектура, рекомендации по системе управления. На сегодня наиболее совершенный математически и с точки зрения безопасности, конечно же, блокчейн первой криптовалюты. Он уже больше 10 лет справляется с атаками, оптимизируется и активно масштабируется. А наиболее слабые – децентрализованные приложения, DApps и новая технология De-Fi. l

Техническое руководство ИСО/ТР 23244 помогает обеспечить ясность в вопросе сохранения конфиденциальности личной информации, зачастую являющейся барьером для принятия блокчейн-решений.

Использование блокчейнов распространилось далеко за пределы финансового сектора – от здравоохранения до сельского хозяйства.

В российском "Мастерчейне" на базе блокчейна Ethereum используется ГОСТ-шифрование с соответствующим процессом идентификации пользовате-

Ваше мнение и вопросы присылайте по адресу

лей.

is@groteck.ru

1 На сегодня доступны: Блокчейн и распределенные реестры: терминология (ИСО 22739:2020), рассуждения по защите конфиденциальности и персональных данных (ИСО/ТР 23244:2020), обзор и взаимодействие между смарт-контрактами в блокчейнах и распределенных реестрах (ИСО/ТР 23455:2019).

• 39


ТЕХНОЛОГИИ

Мифы об Agile в разработке корпоративного программного обеспечения Василий Окулесский, эксперт по защите информации, к.т.н. Андрей Акинин, СЕО Web Control и Agile-практик

Не позволяйте шуму чужих мнений перебить ваш собственный внутренний голос. Стив Джобс

В

Agile очень активно осваивает рынок разработки программного обеспечения, и чем шире он распространяется, тем больше появляется о нем полярных мнений.

Agile ориентирован на потребителя, а точнее на создаваемую ценность, которая может быть гарантированно доставлена только при соблюдении требований к качеству процесса производства.

40 •

последнее время сотрудники службы ИБ часто сталкиваются с тем, что корпоративное программное обеспечение, разрабатываемое для нужд компании, не всегда отвечает корпоративным требованиям ИБ и регуляторов. Иногда даже предлагается выбор: делаем безопасный код или укладываемся в дедлайн. Во время одной из наших встреч возникла дискуссия, почему это происходит, и как-то само собой всплыло типовое объяснение: во всем виноват Agile. Мы решили разобраться, так ли это, и пришли к интересным выводам.

В наши дни манифест Agile стал библией для многих команд разработчиков программного обеспечения. Но, как водится в истории, каждая команда трактует его по-своему, тем более что и авторы манифеста считают себя "спустившими на воду корабль" гибкой разработки. Написав манифест Agile и основав Agile Alliance, они были "рады отпустить корабль в плавание и позволить лидерству распространиться дальше". Отсюда и мнений, "что есть истина", примерно столько же, сколько в истории было проповедников. И споры по поводу того, кто прав, возникают, потому что мы говорим об одних и тех же вещах разными словами. Давайте попробуем определиться в дефинициях, а для начала – в смыслах. Agile очень активно осваивает рынок разработки программного обеспечения, и чем шире он распространяется, тем больше появляется о нем полярных мнений. С одной стороны хор апологетов поет осанну, с другой – толпы разочарованных "потребителей" Agile придумывают все новые и новые уничижительные прозвища для этого явления. В действительности причина разочарования в "новой" методологии в большинстве случаев заключается либо в недопонимании ее основ, либо в попытке использовать в крупных компаниях при разработке сложных

систем не масштабированный, а простой командный Agile. Вот отсюда и возникают мифы о невозможности сквозного планирования, непредсказуемости конечного результата, ненужности документирования разработки, неуправляемой версионности, неспособности оценить стабильность и перспективы развития программы и, наконец, о невозможности создания безопасных и качественных продуктов. Agile-манифест – "библия разработчика" – переведен уже больше чем на полсотни языков, и с каждым переводом "истины" множатся. Перевод без учета контекста (читай без изучения причин создания и опыта создателей) порождает иногда неоднозначные конструкции и даже трансформирует смысл. Не будем углубляться в рассмотрение тонких семантических различий англоязычной и русскоязычной версий этого документа, но в качестве примера отметим, что слово over в "Ценностях" манифеста переведено как "важнее", однако при более тщательном рассмотрении скорее подходят по значению выражения "на основе" или "посредством". Для человека, имеющего опыт разработки и думающего, это не проблема, но не все, кто читает манифест, таковы. Здесь же обратим внимание на тот факт, что без глубокого понимания устоявшихся подходов и практик организации процессов разработки ПО, без оценки опыта взаимодействия всех участников бизнес-процессов

при создании новых продуктов не стоит ожидать чудес от "внедрения" "гибкой" разработки. Как минимум, для точного понимания предметной области нужен хороший список дефиниций и адекватный толковый словарь используемых терминов. Agile ориентирован на потребителя, а точнее на создаваемую ценность, которая может быть гарантированно доставлена только при соблюдении требований к качеству процесса производства. Он способен принести большую пользу бизнесу, ускоряя создание новой ценности, но для его понимания и использования требуется изменение менталитета, корпоративной культуры, а не только названий должностей. А для этого прежде всего необходимо понять, на каких столпах базируется Agile.

Основы Agile Дейв Томас, один из авторов манифеста, в своем знаменитом выступлении "Agile мертв" высказывает мысль, что непонимание идеи Agile приводит к тому, что эта методология становится не средством, а целью. Он определяет смысл понятия Agility следующим образом.

Что делать? 1. Поймите, что сейчас происходит вокруг. 2. Сделайте пусть маленький шаг, но обязательно в сторону достижения поставленной цели. 3. Затем скорректируйте текущее понимание ситуации по результатам выполнения шага.


www.itsec.ru

БЕЗОПАСНАЯ РАЗРАБОТКА

4. Повторите вышеописанные действия.

Как делать? Из всех возможных путей для создания похожей ценности выбирайте тот путь, который сделает будущие изменения проще. Вам ничего это не напоминает? Этот подход к гибкой разработке, по нашему мнению, являются изложением основных положений стандарта менеджмента качества, известного как ISO 9001 (см. рис. 1). Все принципы манифеста укладываются в этот рисунок. Слова Дейва Томаса являются просто пояснением к циклу Деминга PDCA, а двенадцать принципов – авторской интерпретацией основных положений стандарта менеджмента качества более понятными словами.

Принцип 1 Наивысшим приоритетом для нас является удовлетворение потребностей заказчика благодаря регулярной и ранней поставке ценного программного обеспечения.

Основная цель любой деятельности – удовлетворение заказчика, принцип добавляет: благодаря регулярной и ранней поставке ценного продукта. Конечно же! Только имея возможность организовать короткую обратную связь, можно скорее извлекать уроки, опережать конкурентов и выдавать быстрее, чем они, продукт, лучше удовлетворяющий заказчика. Это же утверждает стандарт управления качеством: "В центре внимания находится повышение удовлетворенности потребителей".

Принцип 2 Изменение требований приветствуется даже на поздних стадиях разработки. Agile-процессы позволяют использовать изменения для обеспечения заказчику конкурентного преимущества.

Это прямое развитие первого принципа. Он означает, что у вас должен быть такой процесс управления требованиями, чтобы могло допускаться введение любых изменений в любой момент. И здесь мы видим

Рис. 1. Структура стандарта менеджмента качества ISO 9001. Цифры в скобках указывают на раздел стандарта отсылку у стандарту ISO 9001, который говорит, что система будет эффективна тогда, когда она сможет удовлетворять изменяющимся требованиям заказчика. Этот принцип гибкой разработки описывает, каким образом можно реализовать данное требование стандарта.

Принцип 3 Работающий продукт следует выпускать как можно чаще, с периодичностью от пары недель до пары месяцев.

Частые релизы надлежащего качества – хорошая основа для того, чтобы разработчикам держаться на плаву, а заказчику успешно вести бизнес в высококонкурентной среде. Однако это требует очень высокого уровня организации и ответственности каждого участника команды и всей команды в целом. Причина частых релизов – не необходимость устранения ошибок, а добавление новых свойств продукта. Обратим внимание на то, что работающий продукт – это релиз надлежащего качества. Должна быть система, которая позволяет выпускать качественный продукт с такой периодичностью. И система управления требованиями, адекватное документирование и четкий контроль

версионности помогают реализовать этот принцип. Всего этого требует стандарт управления качеством. И конечно же, частый выпуск работающего продукта – это основа раннего обучения и, следовательно, улучшения продукта. А это опять же является одним из способов выполнить требование ISO 9001 к организации процесса улучшений: "Организация должна определять и выбирать возможности для улучшения и осуществлять необходимые действия для выполнения требований потребителей и повышения их удовлетворенности".

Только имея возможность организовать короткую обратную связь, можно скорее извлекать уроки, опережать конкурентов и выдавать быстрее, чем они, продукт, лучше удовлетворяющий заказчика.

Принцип 4 На протяжении всего проекта разработчики и представители бизнеса должны ежедневно работать вместе.

Частые релизы надлежащего качества – хорошая

Это не принцип легализации хаоса: мол, раз мы работаем вместе, нам больше не нужно определять роли, мы не должны документировать требования, нам не нужно заботиться об обязанностях – как это часто истолковывается. "Работать вместе" означает, что коммуникации всех участников разработки должны быть более органичными, должны быть

основа для того, чтобы разработчикам держаться на плаву, а заказчику успешно вести бизнес в высококонкурентной среде.

• 41


ТЕХНОЛОГИИ

При разработке сложных систем возникает необходимость в синхронизации и организации работы многочисленных команд, комплаенсе, отчетности, и широко распространено мнение, что достигнуть всего этого с помощью Agile-практик нельзя. Мировая практика доказывает обратное.

Agile распределяет деятельность по планированию (например, когда и какие конкретные функциональные возможности будут доставлены) более равномерно на протяжении всего жизненного цикла создания программы.

Разработчики Agile избегают создания функционала, который может и не понадобиться в будущем, а вместо этого запускают сборки с учетом текущих потребностей и получают обратную связь в процессе итерационной доставки ПО клиенту.

Адаптивный и итеративный характер Agile делает меньший акцент на необходимости исчерпывающей документации по сравнению с каскадным методом разработки, но это не означает, что документация не требуется.

42 •

более короткие циклы реагирования, чтобы всегда и все участники процесса были "на одной странице". А это требует четкого распределения ролей и ответственности, иначе работа рискует превратиться в хаотические дискуссии. Ежедневное общение – это возможность найти общий язык, поместить людей в общую среду, а не ежедневные совещания. При интеграции систем безопасности именно специалист по ИБ, выступающий в качестве заказчика, знает лучше всех, как устроены его системы, а разработчики – как реализованы их процессы. Общаясь в рамках одной кросс-функциональной команды, они создают коллективное знание, что и как нужно делать. Например, при разработке системы антифрода в одной из известных финансовых организаций только объединение специалистов из нескольких разрозненных подразделений в одну команду позволило значительно ускорить создание соответствующего продукта и отказаться при этом от внешних подрядчиков. Можно и дальше разбирать принцип за принципом, чтобы убедиться, что гибкая разработка – это не революция, а естественный эволюционный шаг в развитии методов программирования, отвечающий вчерашнему и сегодняшнему моменту, базирующийся при этом на принципах системы менеджмента качества. Завтра обязательно появится что-то еще, новые требования окружения будут рождать новые технологии и инструменты, будут предлагать нам новые подходы, новые "сверхгибкие" или "супергибкие" методики, но все равно будут основываться на базовых принципах, описанных в существующих на текущий момент стандартах и подходах.

Мифы Agile в корпоративной среде Хорошо, когда разработчики делают простые продукты для конечных пользователей – вебсайт, игрушку для смартфона или мобильное приложение, когда над программой трудится небольшая команда. Принципы Agile помогают ей работать слаженно и целеустремленно. Но корпоративная среда – это сложная система, включающая

в себя множество взаимосвязанных компонентов и подсистем, соответственно создание программного обеспечения для нее одной небольшой командой невозможно. При разработке сложных систем возникает необходимость в синхронизации и организации работы многочисленных команд, комплаенсе, отчетности, и широко распространено мнение, что достигнуть всего этого с помощью Agile-практик нельзя. Мировая практика доказывает обратное. Большинство успешных корпораций заявляет о том, что применение Agile позволило им лидировать в своих отраслях. Давайте разберемся. Стихийное применение Agile при создании сложных систем часто приводит к неудаче, что и формирует это мнение. Непонимание причин этой неудачи или нежелание разобраться в них порождает ряд мифов о нем.

Миф 1: Agile не требует планирования На самом деле, как и в любом другом подходе, планирование является жизненно важным аспектом, игнорирование которого значительно снизит эффективность успешного внедрения. При каскадной разработке тщательное планирование ей предшествует, в случае гибкой разработки на старте происходит только высокоуровневое планирование, которое постоянно уточняется и дорабатывается в ходе реализации по мере поступления новой информации. Agile распределяет деятельность по планированию (например, когда и какие конкретные функциональные возможности будут доставлены) более равномерно на протяжении всего жизненного цикла создания программы. Такое непрерывное планирование позволяет начинать разработку гораздо быстрее и корректировать ее в соответствии с потребностями клиентов по мере поступления новой информации.

Миф 2: Agile не требует архитектуры Agile не означает сборку ИТсистемы с отсутствующим проектированием или архитектурой. Agile подчеркивает упрощение предварительного проектирования, а не исключение

его. В манифесте говорится, что "постоянное внимание к техническому совершенству и хорошему дизайну создает основу гибкости". Многие из лучших практик направлены именно на то, чтобы качество поставляемого продукта наиболее полно соответствовало поставленной цели. Agile делает акцент на простом, предварительном проектировании, чтобы сосредоточиться на фундаменте и общей структуре программного обеспечения, оставляя максимальную гибкость для последующих изменений. Например, разработчики Agile избегают создания функционала, который может понадобиться, а может и не понадобиться, а вместо этого запускают сборки с учетом текущих потребностей и получают обратную связь в процессе итерационной доставки ПО клиенту. Однако это не означает, что для успешной работы Agileкоманд не нужна высокоуровневая архитектура. Скорее, Agile-системы стремятся сохранить свою архитектуру простой и добавляют сложность только тогда, когда это необходимо, чтобы упростить доработку в будущем.

Миф 3: Невозможность представить себе конечный результат Смотря что считать результатом – соответствие первоначальным техническим требованиям или продукт, удовлетворяющий потребности клиента. Да, мы не можем себе представить, как он будет выглядеть, но если есть планирование и архитектура, то результат предсказуем: продукт будет делать то, что нужно клиенту, и будет рабочим.

Миф 4: Agile не требует документации Адаптивный и итеративный характер Agile делает меньший акцент на необходимости исчерпывающей документации по сравнению с каскадным методом разработки, но это не означает, что документация не требуется. При каскадной разработке в конце каждой фазы составляется подробная документация, так как ожидается, что требования программы не будут сильно меняться с течением времени и ее не нужно будет изменять. Однако элементы программы постоянно


www.itsec.ru

БЕЗОПАСНАЯ РАЗРАБОТКА

развиваются по мере поступления дополнительной информации и дальнейшего определения потребностей заказчика. Поэтому в Agile-разработке необходимая документация составляется и обновляется в конце заранее определенных периодов времени в ритмической разработке Agile (например, итерация, релиз или другая важная веха, определенная программой) в объеме, достаточном для дальнейшего использования программы. Кроме того, в некоторых случаях Agile-подход может заменить более формальную документацию информацией, встроенной в программные инструменты.

Миф 5: Agile не требует контроля В рамках подхода Agile члены команды, работающие над продуктом, обладают автономией в принятии решений о том, как удовлетворить потребности заказчика. Однако в крупных организациях сложно предоставить командам полную автономию из-за требований к отчетности и подотчетности, да и команды не всегда имеют непосредственный контакт с заказчиком. В результате организациям, переходящим на Agile, могут потребоваться изменения как в своих методах управления, так и в обеспечении контроля за связностью потребностей заказчика и задач, которые решают разработчики. Это включает в себя продумывание четко определенных границ ответственности, в рамках которых команда может свободно принимать решения, и четко определенный, быстродействующий процесс управления принятием решений, которые находятся вне зоны контроля команды.

Миф 6: Agile не применим к созданию безопасных продуктов, соответствующих требованиям регуляторов Требования регулятора довольно часто меняются, причем это касается самых разных вопросов. Это значит, что и программный продукт должен меняться, иногда коренным образом и в очень сжатые сроки. Например, требование по проверке на отсутствие 1

уязвимостей и недокументированных возможностей было изменено на получение уровня доверия к процессу разработки. На первый взгляд, только Agile позволяет гибко реагировать и достраивать процесс под выполнение требований; почему же родился миф? Прежде всего, он обусловлен акцентом на Agile как на быструю разработку, зачастую в ущерб качеству, а значит и безопасности. К тому же создание безопасных продуктов предъявляет значительно большее количество требований и вносит дополнительную сложность в целевую систему. Рассмотрим пример с разработкой приложения для мобильного банкинга. По требованию регулятора процесс запуска приложения должен быть разбит на несколько этапов, каждый этап отдельно задокументирован, отдельно защищен, должны быть защищены переходы между этапами и одновременно выполнены требования уложиться в 200 мс для обеспечения достоверности авторизации клиента. Каждый этап не является отдельной функцией, а должен работать в едином потоке и не может быть разработан сам по себе. Причем разные этапы могут быть в ведении различных команд на фронте, бэке и смежных системах. Можно ли при наличии таких требований применять Agile? Можно, но это требует очень четкого документирования всех требований, процессов и процедур взаимодействия, чтобы обеспечить слаженность системы и сплошное покрытие мерами безопасности. Разработка крупных систем с широким функционалом, к которым предъявляются серьезные требования регулятора и характеризующихся четкой формализацией требований к каждому элементу, не может быть выполнена стихийной командой. Для создания подобных систем в условиях регулярно изменяющихся требований необходимо применение гибкой методологии с высоким уровнем организации процессов, одним из таких Agile-подходов является Scaled Agile Framework (SAFe), который использует 37% организаций, масштабирующих применение

15th State of Agile Report. URL: https://stateofagile.com/

Agile1. Использование фреймворков масштабирования позволяет объединить гибкость и разработку в сжатые сроки и выполнить требования регулятора. То же относится и к применению Agile в государственных структурах. В некоторых случаях

Заключение В ходе дискуссии мы пришли к выводу, что принятие Agile – это логичное развитие традиционных подходов к разработке ПО, при этом в основе Agileметодологии лежат теория менеджмента качества Деминга, бережливое производство, теория управления изменениями, системное мышление и другие проверенные долгой практикой теории и методологии управления процессами разработки ПО. Если для вас они не новость, то принятие Agile – не вопрос веры, а естественное развитие вашего опыта. Конечно же, использование Agile при создании сложных систем – это комплексный процесс масштабирования базовых принципов, некоторые из которых перестают работать в новых условиях. Однако изучение различных фреймворков масштабирования Agile позволит извлечь максимум выгоды от гибкого подхода для своей организации. А если всего этого будет недостаточно или захочется избежать типовых ошибок масштабирования, хорошей практикой будет привлечение экспертов, которым уже доводилось пройти этот путь. Бесполезно, а иногда и опасно внедрять Agile, если вы не понимаете, зачем он вам и как его применить в вашем окружении. Конечно же, это лишь короткий пересказ наших рассуждений, обзор лишь части мифов и только основной вывод, к которому мы пришли в ходе дискуссии. Но мы будем продолжать это обсуждение, будем продолжать искать оптимальный синтез скорости и качества, функциональности и безопасности, работать над тем, чтобы отечественное ПО было качественным, безопасным и не отставало от требований рынка. Предлагаем присоединиться к нам в этом деле. l

Agile-подход может заменить более формальную документацию информацией, встроенной в программные инструменты.

Организациям, переходящим на Agile, могут потребоваться изменения как в своих методах управления, так и в обеспечении контроля за связностью потребностей заказчика и задач, которые решают разработчики.

Требования регулятора довольно часто меняются, причем это касается самых разных вопросов. Это значит, что и программный продукт должен меняться, иногда коренным образом и в очень сжатые сроки.

Изучение различных фреймворков масштабирования Agile позволит извлечь максимум выгоды от гибкого подхода для своей организации.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 43


ТЕХНОЛОГИИ

Особенности и инструменты защиты контейнеров Надежда Мозолина, преподаватель кафедры защиты информации ФРКТ МФТИ Наталия Иванова, студентка 5-го курса кафедры защиты информации ФРКТ МФТИ

П

По оценкам Gartner, уже в прошлом году число организаций, использовавших контейнеризированные приложения в рабочей среде, составляло чуть менее чем 30%, а по прогнозам уже через год доля таких компаний возрастет до 75% организаций всего мира2.

очему контейнеры? Отвечая на этот вопрос, сторонники использования технологии контейнеризации применяют следующие аргументы: упрощение разработки и повышение скорости доставки приложений до конечных пользователей, легковесность контейнеров по сравнению с виртуальными машинами, кросс-платформенность, а также изоляция процессов, запущенных внутри контейнеров 1 . Указанные преимущества приводят к тому, что контейнерная виртуализация становится все популярнее.

Одновременно с процессом распространения и применения контейнеров в самых разных задачах все чаще звучит вопрос безопасности их использования. В данной статье сфокусируемся на Docker как одной из наиболее распространенных технологий контейнеризации3. Анализ около 4 млн контейнеров, находящихся в открытом хранилище DockerHub, показал, что более половины из них содержит критические уязвимости4. Зачастую именно образы из открытого доступа выступают в качестве базовых при создании новых контейнеров, которые, в свою очередь, наследуют все уязвимости родительского образа. Конечно, уязвимым контейнер может стать не только в результате использования уязвимого стороннего образа или вредоносного ПО, но и в результате ненамеренной ошибки или неточности разработчика при конфигурации образа. Использование сканеров безопасности позволяет провести анализ защищенности образа, сделав вывод о его защищенности на основании количества най-

денных уязвимостей и их уровня опасности. Существует множество инструментов анализа уязвимости Docker-контейнеров. В первом приближении они представляют собой черный ящик, в который загружается некий объект, связанный с контейнером: образ, dockerfile, участок хостовой ОС. Среди инструментальных средств анализа уязвимостей Docker-контейнеров можно выделить две группы – статические и динамические анализаторы. Они не заменяют друг друга и на практике применяются в комплексе для получения наиболее полного представления о защищенности системы. Принцип работы анализаторов заключается в определении ключевых особенностей и характеристик контейнера, образа, dockerfile и сопоставлении их с информацией из баз данных уязвимостей, рекомендаций по настройке объектов инфраструктуры Docker, правил корректного и безопасного использования функций Docker5–9. Со временем в любом ПО обнаруживаются новые уязвимости. Чтобы ком-

1 Gandhi R., Szmrecsanyi P. The Benefits of Containerization and What It Means for You [Электронный ресурс]. URL: https://www.ibm.com/cloud/blog/the-benefits-of-containerization-and-what-it-means-for-you (дата обращения: 20.08.2021). 2 Gartner Forecasts Strong Revenue Growth for Global Container Management Software and Services Through 2024 [Электронный ресурс]. URL: https://www.gartner.com/en/newsroom/press-releases/2020-06-25-gartner-forecasts-strong-revenue-growth-for-globalco (дата обращения: 20.08.2021). 3 Орлов С. Почему растет популярность контейнеризации [Электронный ресурс]. URL: https://www.cnews.ru/articles/202007-20_pochemu_rastet_populyarnost_kontejnerizatsii (дата обращения: 20.08.2021). 4 Shevchenko S. Operation “Red Kangaroo": Industry’s First Dynamic Analysis of 4M Public Docker Container Images [Электронный ресурс]. URL: https://blog.prevasio.com/2020/12/operation-red-kangaroo-industrys-first.html (дата обращения: 26.04.2021). 5 Matuz G. Testing docker CVE scanners. Part 1: false negatives and what they mean for your security [Электронный ресурс]. URL: https://medium.com/@matuzg/testing-docker-cve-scanners-part-1-false-negatives-and-what-they-mean-for-your-security-77fc4eb1b2cf 6 Berkovich S., Kam J., Wurster G., UBCIS: Ultimate Benchmark for Container Image Scanning, 13th Usenix Workshop on Cyber Security Experimentation and Test, 2020. 7 Docker Bench for Security [Электронный ресурс]. URL: https://github.com/docker/docker-bench-security 8 Bismut A. Dynamic Threat Analysis for Container Images: Uncovering Hidden Risks [Электронный ресурс]. URL: https://blog.aquasec.com/dynamic-container-analysis (дата обращения: 09.05.2021). 9 Сайт проекта Hadolint [Электронный ресурс]. URL: https://hadolint.github.io/hadolint/ (дата обращения: 30.08.2021).

44 •


БЕЗОПАСНАЯ РАЗРАБОТКА

прометация контейнера имела минимальные последствия, важно обеспечить изоляцию контейнеров друг от друга и от хостовой ОC10. Хотя изоляцию контейнеров как сред исполнения и называют одной из ключевых положительных особенностей использования контейнеризации, говорить о ней как о функции, обеспечивающей защищенность системы, использующей контейнеры, нельзя. Изоляция позволяет уменьшить влияние приложений, запущенных в разных контейнерах, друг на друга и на хостовую систему, в которой работают. Обычно запуск, остановка и даже удаление одного из контейнеров не влияет на работу других. Однако полного исключения взаимодействия между контейнерами и хостом нет. Об изоляции как об одной из наиболее острых проблем Docker было сказано еще в 2014 г.11. Множество важных подсистем ядра Linux функционирует вне контейнера, и через взаимодействие с ними пользователи или приложения при наличии прав суперпользователя в контейнере могут оказать значительное деструктивное влияние на хостовую систему. Некоторые из указанных недостатков уже устранены, и на сегодняшний день, хотя и нельзя назвать вопрос изоляции полностью решенным, в инструменте контейнерной виртуализации Docker ему уделено много внимания. Так, для обеспечения изоляции могут использоваться различные модули безопасности Linux (Linux Security Modules, LSM), контрольные группы (control groups, cgroups), пространства имен (namespaces), механизм ограничения системных вызовов seccomp (secure computing mode), а также привилегии (capabilities)10. Docker совместим c модулями безопасности Linux (LSM) AppArmor, используемыми по умолчанию, и SELinux. Стандартные настройки AppArmor запрещают переход по ссылкам на файлы, находящиеся в директориях хостовой ОС /etc, /dev, /sys и /proc, во время инициализации контейнера,

и тем самым предотвращается утечка информации, которую может спровоцировать вредоносное ПО в контейнере12. Оба модуля безопасности также могут быть настроены с учетом особенностей конкретного контейнеризированного приложения для обеспечения более высокого уровня изоляции и защиты. В приложении к Docker контрольные группы (cgroups) применяются для распределения системных ресурсов хостовой ОС между запущенными на ней контейнерами. Сgroups не обеспечивают изоляцию в смысле препятствия воздействию одного контейнера на другой, однако применение cgroups позволяет обеспечить защиту от некоторых атак типа "отказ в обслуживании" и задать ограничения для контейнеров на потребление ресурсов хостовой ОС для повышения ее отказоустойчивости13–14. Использование пространств имен (namespaces) позволяет ограничить область видимости контейнера как некоторого запущенного процесса в ресурсах хостовой ОС. По умолчанию контейнеры запускаются с правами суперпользователя, что зачастую излишне и увеличивает уязвимость системы, но за счет использования namespaces контейнер может быть помещен в собственное пространство, за пределами которого будет иметь права непривилегированного пользователя в хостовой ОС15. Системные вызовы позволяют взаимодействовать с ядром Linux, и их использование может привести к значительному влиянию на другие контейнеры и хостовую ОС, а потому важно ограничить список доступных системных вызовов для контейнеров. По умолчанию в Docker для всех контейнеров запрещены средствами Seccomp 44 системных вызова (например, монтирование файловых систем), что, конечно, ограничивает вектор атаки на систему, но и может создать ложное ощущение защищенности. В современных 64-битных Linux-системах существует более трехсот системных

www.itsec.ru

вызовов, некоторые из которых имеют известные уязвимости (например, mmap), но при этом входят в число разрешенных по умолчанию16. При использовании контейнеров, как и при работе с другими процессами, должен быть реализован принцип минимальных привилегий: субъект должен иметь только необходимые для работы права в системе, а потому по умолчанию docker-контейнеры запускаются с правами суперпользователя, для которого набор привилегий ограничен. При этом к числу разрешенных относится привилегия CAP_NET_RAW, необходимая, например, для получения и отправки ICMP-пакетов. Однако, согласно найденной уязвимости CVE2020-13401, злоумышленник, получивший контроль над контейнером с привилегией CAP_NET_RAW, способен успешно реализовать спуфинг-атаку или атаку типа "отказ в обслуживании"17. Рассмотрев применение различных механизмов обеспечения изоляции контейнеров, мы видим, что основная идея их работы заключается в ограничении прав процессов внутри контейнера, в разграничении доступа к объектам контейнеров и хостовой ОС, причем некоторые функции безопасности дублируются в различных средствах. Специально разработанные для ОС семейства Linux СЗИ от НСД также могут решать указанную задачу, причем исключая излишнее дублирование. Например, программный комплекс "Аккорд-Х К"18, установленный на хосте, может быть настроен таким образом, что обеспечит полноценное разграничение доступа процессов, запущенных внутри контейнера, к ресурсам системы. При этом применение сертифицированного продукта позволяет не только обеспечить защищенность системы, но и достичь требуемого уровня доверия механизмов защиты в ИС высоких классов. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

10 Иванова Н.В. Программные механизмы изоляции контейнеров DOCKER // Комплексная защита информации: материалы XXVI научно-практической конференции. Минск. 25–27 мая 2021 г. Минск: Издатель Владимир Сивчиков, 2021. С. 283–287. 11 Walsh D. Are Docker containers really secure? [Электронный ресурс]. URL: https://opensource.com/business/14/7/dockersecurity-selinux (дата обращения: 20.08.2021). 12 Docker contrib/apparmor/template.go [Электронный ресурс] https://raw.githubusercontent.com/docker/docker/master/contrib/apparmor/template.go. (дата обращения: 20.08.2021). 13 Docker security [Электронный ресурс]. URL: https://docs.docker.com/engine/security/ (дата обращения: 20.08.2021). 14 Runtime options with Memory, CPUs, and GPUs [Электронный ресурс]. URL: https://docs.docker.com/config/containers/resource_constraints/ (дата обращения: 20.08.2021). 15 Isolate containers with a user namespace [Электронный ресурс]. URL: https://docs.docker.com/engine/security/userns-remap/ (дата обращения: 20.08.2021). 16 Seccomp security profiles for Docker [Электронный ресурс]. URL: https://docs.docker.com/engine/security/seccomp/ (дата обращения: 20.08.2021). 17 CVE-2020-13401 [Электронный ресурс]. URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13401 (дата обращения: 20.08.2021). 18 СПО Аккорд-X К [Электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/spo-accord-x-k/ (дата обращения: 30.08.2021).

• 45


НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

НОВЫЕ ПРОДУКТЫ Дуальный токен Рутокен ЭЦП 3.0 3100 NFC

Производитель: Компания "Актив" Сертификат: сертификация ФСТЭК к концу 2021 г., ФСБ – в 2022 г. Назначение: единственный на российском рынке дуальный токен, поддерживающий работу через два интерфейса – классический USB и бесконтактный NFC. Позволяет подписывать документы электронной подписью на любом устройстве: в офисе на ПК или удаленно на планшете или смартфоне. Не требует использования считывателя Особенности: совместим с ОС для ПК (Windows, macOS, Linux), а также с мобильными ОС (iOS, Android, Аврора). Формфакторы: USB и Type-C Возможности: токен использует защищенный смарт-карточный чип, обеспечивающий время выполнения электронной подписи по ГОСТ 34.10–2012 (256) – 0,1 с и по ГОСТ 34.10–2012 (512) – 0,3 с Характеристики: поддержка широкого набора криптографических алгоритмов и механизмов: ГОСТ Р 34.12– 2015 – "Кузнечик" и "Магма"; ECDSA на кривых secp256k1 и secp256r1 Время появления на российском рынке: июль 2021 г. Подробная информация: https://www.rutoken.ru/ Фирма, предоставившая информацию: Компания "Актив" См. стр. 14

TrusT-in-Motion

Производитель: ОКБ САПР Сертификат: не подлежит сертификации, так как является АРМ. Защищен сертифицированными СЗИ, включает в свой состав сертифицированные СКЗИ Назначение: защита сетевого взаимодействия подвижных объектов КИИ

46 •

Особенности: реализован на базе специализированного микрокомпьютера Новой гарвардской архитектуры с аппаратной защитой данных m-TrusT Возможности: проводной маршрутизатор, построенный на базе защищенного микрокомпьютера m-TrusT, обеспечивающий непрерывное защищенное сетевое взаимодействие в системах с подвижными объектами в условиях интенсивных вибрационных воздействий и экстремальных показателей температур. Обеспечивает бесперебойное функционирование в условиях вибрационных воздействий и изменений температуры окружающей среды: прочный металлический корпус и крепление посредством DIN-рейки позволяет использовать TrusTinMotion на движущихся объектах в температурном режиме от -40 до +80 °С Характеристики: габаритные размеры 210 x 192 x 45 мм. На внешнем корпусе имеются два Ethernet-разъема и разъем внешнего питания от преобразователя постоянного тока 50 В на 12 В (кабель питания входит в комплект поставки) Ориентировочная цена: 37 500 руб. Время появления на российском рынке: I полугодие 2021 г. Подробная информация: готовится к размещению страница в разделе https://www.okbsapr.ru/products/newharvard/ Фирма, предоставившая информацию: ОКБ САПР См. стр. 26–27

При такой организации удаленного доступа выполняется требование УПД.17: контроль целостности программного обеспечения и аппаратных компонентов того средства вычислительной техники, на котором исполняется СКЗИ, производится с помощью СДЗ уровня BIOS "Аккорд-МКТ". За счет реализации в m-TrusT функции неизвлекаемого ключа возможно использовать ключ до трех лет. Не требуются дополнительный ключевой носитель и меры по контролю этих носителей, поскольку ключи хранятся на самом устройстве в неизвлекаемом виде Характеристики: l СДЗ уровня BIOS "Аккорд-МКТ" (сертифицированное ФСТЭК России); l российская ОС; l "Аккорд-X K" (для изоляции программной среды по требованиям ФСБ России, сертифицирован ФСТЭК России); l СКЗИ DCrypt (сертифицирован ФСБ России на платформе m-TrusT на класс КС3) Ориентировочная цена: 37 500 руб. Время появления на российском рынке: I полугодие 2021 г. Подробная информация: https://www.okbsapr.ru/products/newharvard/trust-udalyenka/ Фирма, предоставившая информацию: ОКБ САПР См. стр. 26–27

TrusT КБС

TrusT Удаленка

Производитель: ОКБ САПР Сертификат: не подлежит сертификации, так как является АРМ. Защищен сертифицированными СЗИ, включает в свой состав сертифицированные СКЗИ Назначение: организация защищенной дистанционной работы пользователей с ресурсами защищенной ИС (ГИС до 1 класса включительно, ИСПДн до 1 уровня) Особенности: реализован на базе специализированного микрокомпьютера Новой гарвардской архитектуры с аппаратной защитой данных m-TrusT Возможности: к компьютеру пользователя подключается микрокомпьютер, с которого при необходимости подключения к ГИС на компьютер пользователя загружается технологическая ОС с терминальным клиентом, и микрокомпьютер становится для компьютера пользователя терминальным сервером.

Производитель: ОКБ САПР Сертификат: не подлежит сертификации, так как является АРМ. Защищен сертифицированными СЗИ, включает в свой состав сертифицированные СКЗИ Назначение: защита банкоматов и систем электронных очередей, использующих биометрическую идентификацию Особенности: реализован на базе специализированного микрокомпьютера Новой гарвардской архитектуры с аппаратной защитой данных m-TrusT Возможности: специализированный микрокомпьютер со встроенным резидентным компонентом безопасности (РКБ), обеспечивающий доверенную среду функционирования криптографии (СФК), физический датчик случайных последовательностей, доверенную загрузку, неотчуждаемый неизвлекаемый ключ, генерацию ключей и выработку ключевых пар, управление доступом, ведение журналов аудита и все требования ФСБ и ФСТЭК, предъявляемые к техническим средствам этого класса.


НОВЫЕ ПРОДУКТЫ И УСЛУГИ

За счет реализации в m-TrusT функции неотчуждаемого неизвлекаемого ключа возможно использовать ключ до трех лет. Характеристики: размеры m-TrusT в корпусе 105 х 85 х 30 мм, имеет крепления типов DIN и VESA. Устанавливается вблизи целевого компьютера и соединяется с ним кабелем Ethernet Ориентировочная цена: 37 500 руб. Время появления на российском рынке: II полугодие 2021 г. Подробная информация: готовится к размещению страница в разделе https://www.okbsapr.ru/products/newharvard/ Фирма, предоставившая информацию: ОКБ САПР См. стр. 26–27

Atmosphere

Производитель: Group-IB Сертификат: не подлежит сертификации Назначение: облачная защита электронной почты от целевых атак, детонация полезных нагрузок и атрибуция угроз Особенности: Atmosphere позволяет настраивать ключевые свойства виртуальных машин так, чтобы они выглядели максимально похоже на ваше настоящее окружение: реальные имена пользователей и компьютеров, подключение к контроллеру домена с вашим именем Возможности: l Блокировка сложных целевых атак в электронной почте l Детонация полезных нагрузок и получение информации об атаке l Атрибуция угроз для прогнозирования последующих действий l Облачное окружение, максимально похожее на настоящее l Автоматический ретроспективный анализ и обнаружение угроз l Быстрое внедрение и простая настройка Характеристики: l Хранение данных на территории РФ l Бесплатный пробный период и быстрая интеграция l Интеграция с API популярных облачных платформ Время появления на российском рынке: 2021 г.

Подробная информация: https://www.group-ib.ru/atmosphere.html Фирма, предоставившая информацию: Group-IB См. стр. 30

КодСкоринг (CodeScoring)

Производитель: ООО "Профископ" Сертификат: изделие не подлежит сертификации Назначение: управление интеллектуальной собственностью компании через автоматическое отслеживание использования программных компонент и оценку качества кода в разрезе команды Особенности: КодСкоринг (CodeScoring) – программное обеспечение, созданное российскими разработчиками. Решение распространяется по SaaS-модели и в виде инсталляции onpremise Возможности: продукт обеспечивает функции компонентного анализа программного обеспечения (Software Composition Analysis, SCA), контроль совместимости лицензий, расширенный анализ для юристов и оценку качества исполнения в разрезе команд Характеристики: l Обнаружение и анализ зависимостей: – по исходному коду; – по файлам конфигураций (манифесты и метафайлы менеджеров пакетов); – по метаданным: по классическим и "нечетким" хешам. l Выявление и оценка совместимости лицензий – идентификация лицензионной информации, добавленной напрямую в исходный код приложений. Отслеживание наличия несовместимости по общим правилам и на основе сформированных политик l Поиск уязвимостей и формирование рекомендаций по исправлению найденных проблем, отображение классификации уязвимостей (CVSS v2, CVSS v3.1, CWE) l Управление политиками лицензий и оповещениями – КодСкоринг обладает предустановленным набором готовых политик, связанных с совместимостью лицензий, безопасностью и качеством ПО. Формирование регулярных отчетов по отслеживаемым событиям с возможностью их отправки на почту или в систему управления задачами l Поиск дубликатов, оценка качества кода – поиск с учетом направления копирования и по кодовой базе внутри

www.itsec.ru

проектов, между проектами и по известным компонентам Open Source. Анализ учитывает не только простой copy-paste, но и переименования переменных l Раскрытие авторского состава, истории, технологий, похожести авторов, в том числе с учетом выявленных характеристик качества Время появления на российском рынке: январь 2021 г. Подробная информация: codescoring.com/ru Фирма, предоставившая информацию: WEB CONTROL См. стр. 39

ESET Threat Intelligence APT Reports PREMIUM

Производитель: ESET Сертификат: не подлежит обязательной сертификации Назначение: регулярные отчеты с детальным анализом угроз и описанием актуальных вредоносных кампаний, новых инструментов и связанных объектов. Отчеты содержат YARA- и Snortправила, техники, тактики и процедуры MITRE ATT&CK®, рекомендации по защите и устранению нарушений безопасности Особенности: при описании сложных комплексных угроз предоставляются инструменты для аналитиков, в частности сценарии деобфускации и дешифровки Возможности: l Сводные отчеты об активности с описанием последних АРТ-кампаний, отслеживаемых исследователями ESET, их целей и связанных индикаторах компрометации l Сервис дает возможность получить ранний доступ к отчетам исследователей ESET. Данные позволяют своевременно подготовиться к реагированию на новые инциденты Характеристики: l Доступ к платформе для обмена информацией о вредоносном ПО – серверу ESET Malware Information Sharing Platform (MISP), который содержит индикаторы компрометации, описанные в отчетах l Специальное предупреждение об активности содержит актуальные новости, например об основных вредоносных кампаниях или уязвимостях "нулевого дня", эксплуатируемых "в дикой природе" l Каждый подписчик сервиса APT Reports PREMIUM получает доступ к

• 47


НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

Регион: РФ Описание: процессы обеспечения безопасности эксплуатации микросервисных приложений не должны влиять на качество и эффективность конвейера DevOps, но при этом должны обеспечивать высокий уровень защиты от киберугроз. Команда группы компаний Angara обладает экспертизой обеспечения защиты микросервисов, безопасной конфигурации инфраструктуры DevOps, защиты контейнеризации, интеграции хранилища секретов и выполняет работы без влияния на CI/CD Pipeline, с учетом имеющихся процессов и инструментов автоматизации Фирма, предоставившая информацию: Группа компаний Angara См. стр. 20

UserGate как услуга Managed Security Service Provider (MSSP)

ОКБ САПР 115114, Москва, 2-й Кожевнический пер., 12 Тел.: +7 (495) 994-7262 okbsapr@okbsapr.ru E-mail: www.okbsapr.ru См. cтр. 26–27

GROUP-IB 115088, Москва, ул. Шарикоподшипниковская, 1, БЦ "Прогресс Плаза" Тел.: +7 (495) 984-3364 E-mail: info@group-ib.com www.group-ib.ru См. cтр. 30–31

ГАЗИНФОРМСЕРВИС 198096, Санкт-Петербург, ул. Кронштадтская, 10, литера А Тел.: +7 (812) 677-2050 E-mail: resp@gaz-is.ru gaz-is.ru См. стр. 13

ANGARA (ГРУППА КОМПАНИЙ) 121096, Москва, ул. Василисы Кожиной, 1, корп. 1 (БЦ "Парк Победы") Тел.: +7 (495) 269-2606 E-mail: info@angaratech.ru www.angaratech.ru См. стр. 20–21

USERGATE 630090, Новосибирск, Центр Информационных Технологий, Технопарк Академгородка, ул. Николаева, 11, 6 этаж Тел.: 8 (800) 500-4032, +7 (383) 286-2913 E-mail: sales@usergate.ru usergate.ru См. cтр. 34–35

СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 5

ESET 115280, Москва, ул. Ленинская Cлобода, 26, этаж 4, пом. XXXVII, комн. 29–68 Тел.: +7 (495) 803-3616 E-mail: partner@esetnod32.ru www.esetnod32.ru См. стр. 17

WEB CONTROL 107023, Москва, ул. Электрозаводская, 24 Тел.: +7 (495) 925-7794 E-mail: info@web-control.ru www.web-control.ru См. стр. 39

аналитику ESET объемом до 4 часов в месяц Ориентировочная цена: по запросу Подробная информация: https://www.eset.com/int/business/ services/threat-intelligence/ Фирма, предоставившая информацию: ESET См. стр. 17

УСЛУГИ Безопасность эксплуатации микросервисных приложений (SecOps)

Отрасль: информационная безопасность

Отрасль: информационная безопасность Регион: РФ Описание: Security as a Service (SaaS) от UserGate позволяет организовать комплексную защиту информационных систем по подписочной модели, без закупки устройств безопасности. Информационная безопасность в виде услуги помогает интегратору расширять свое присутствие на рынке, планировать совместно с конечным пользователем развитие инфраструктуры и в разные периоды балансировать между стандартной моделью владения и MSSP в динамически изменчивой системе Фирма, предоставившая информацию: UserGate См. стр. 34–35

НЬЮС МЕЙКЕРЫ "АКТИВ" КОМПАНИЯ 115088, Москва, ул. Шарикоподшипниковская, 1, БЦ "Прогресс Плаза" Тел.: +7 (495) 925-7790 (многоканальный) www.aktiv-company.ru См. стр. 14–15

48 •


Реклама


TB_FORUM_2022 9/27/21 8:44 PM Page Cov4

Реклама

15—17

www.tbforum.ru , .


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.