IT-инфраструктура: не доверяй и проверяй

С чего начинается информационная безопасность каждой компании

Основой киберзащиты любой организаций является сохранение и закрытость всех данных. В том числе от сотрудников. О том насколько эффективна концепция «нулевого доверия» для защиты IT-инфраструктуры, стоит ли фокусироваться исключительно на усилении безопасности сетей и борьбе с вредоносами, читателям RSpectr рассказал ведущий системный инженер Varonis Systems Александр Ветколь.


СИГНАЛ ОТ СНОУДЕНА

Утечка данных может значительно подпортить репутацию. Если компания публичная, а ее акции торгуются на бирже, пагубное влияние кибератаки негативно скажется еще и на капитализации.

То, что именно информация должна быть самым защищенным активом, наглядно продемонстрировала история с Эдвардом Сноуденом и Агентством национальной безопасности (АНБ) США, произошедшая в 2013 году. Утечка сотен тысяч секретных документов надолго стала главным информационным поводом мировых СМИ. А ведь сотрудник АНБ действовал в рамках своих сетевых привилегий, обращаясь лишь к внутренним ресурсам, к которым имел легитимный доступ.

Те события заставили задуматься многих. В том числе и большинство ответственных руководителей компаний, которые вынуждены были пересмотреть используемые меры информационной безопасности (ИБ). Очень кстати пришлась и появившаяся несколькими годами ранее концепция «нулевого доверия» Zero Trust Architecture (ZTA). Разработанная Стивеном Полом Маршем из университета Стерлинга и популяризованная аналитиком агентства Forrester Research Джоном Киндервагом схема, предназначалась для выстраивания новых подходов к безопасности.

Ее принципы основаны на том, что

в вычислительной инфраструктуре не должно быть заслуживающих доверия пользователей или устройств

Любые взаимодействия между ними, даже внутри защищенного периметра, могут осуществляться лишь после проверки подлинности и взаимной аутентификации.

Как это часто бывает, развитие хорошей идеи сопровождалось некоторыми перегибами. Обладая, пожалуй, самыми громкими голосами в индустрии, термин ZTA почти монополизировали поставщики сетевых решений.

В том числе из России. Появившийся несколько лет назад термин Zero Trust Network Architecture, ZTNA (сетевая архитектура нулевого доверия) практически превратился в синоним ZTA. И в этом кроется определенная опасность.

Конечно, нет ничего плохого в применении принципов «нулевого доверия» при проектировании и эксплуатации корпоративных сетей. Однако, выходя на первый план, этот локальный подход вытесняет в умах специалистов тот факт, что помимо сетей, ZTA необходимо применять и на всех прочих уровнях. В первую очередь там, где речь идет о непосредственной защите чувствительных для компании данных.


БЕЗ ПРАВА ДОСТУПА

И сетевая безопасность, и антивирусная защита должны служить высшему приоритету – обеспечению сохранности и конфиденциальности информации, которой владеет компания. Кроме того, эти принципы должны поддерживаться и на самом базовом для информации уровне – хранение данных. Решать эту задачу надо последовательно, начиная с анализа и заканчивая настройками отдельных параметров.

Для организации такой защиты первым делом необходимо проведение полного аудита файловых активов

В том числе хранилищ документов СЭДО, ERP и других. Отдельно следует рассмотреть доступ к критически важной информации как для всей организации, так и для отдельных ее подразделений.

Такие данные стоит выявлять не только в обычных форматах «офисных» файлов, но и в графических:

  • цифровых копиях (сканах) документов;
  • чертежах систем автоматизированного проектирования;
  • картах;
  • выгрузках из баз данных приложений, используемых в организации.

 
Доступ к информации анализируется по разным критериям – ключевым индикаторам риска, которые позволяют оценить общую опасность. Затем решить, – на устранение какого из них следует направить силы в первую очередь. После чего нужно проанализировать активность всех пользователей, которые работают с данными. Уже на этом этапе можно обнаружить много интересного. Например, выявить обращения, или их попытки к категориям информации, которые не подразумеваются должностными обязанностями сотрудника. Подобное открытие может стать основой для более подробного расследования.

Под постоянный контроль необходимо поставить не только прямые операции с файлами, но и обращения к данным со стороны ПО и сервисов

Следующим шагом внедрения принципов ZTA для защиты информации должна стать настройка политик безопасности. Она позволяет разбить устройства, приложения и пользователей на небольшие группы – микропериметры, где разрешения строго прописаны. В одних случая окажется достаточным открыть доступ только для чтения, а в других потребуется и запись. Главный принцип известен со времен зарождения ИБ – никаких избыточных привилегий.


РОЛЕВЫЕ ИГРЫ

Для большего удобства управление правами может осуществляться на основе ролевого управления доступами Role Based Access Control (RBAC). Применив эти инструменты, можно управлять доступами внутри конкретного приложения.

При этом исходить из роли сотрудника в организации, ответив на ряд вопросов:

  •  является ли он обычным бухгалтером отдела учета основных средств, или же руководителем отдела продаж, а может, младшим сотрудником административно-хозяйственного отдела (АХО)?
  •  вправе ли он изменять информацию, к которой имеет доступ, или для выполнения его обязанностей достаточно ознакомиться с ней?
  •  должен ли иметь возможность управлять доступом других пользователей?

Ответ на подобные вопросы должен быть получен приложениями в автоматическом режиме, на основе членства пользователя в соответствующих группах безопасности службы каталогов.

Полноценное внедрение в компании принципов ZTA невозможно без налаживания процессов управления заявками на автоматизированное предоставление доступа. Очевидно, что решать эту задачу в ручном режиме весьма трудоемко. В отдельных случаях на нее тратится до 60% рабочего времени персонала. Соответственно, для более эффективного использования времени сотрудников потребуется специальный инструмент автоматизации. Он должен поддерживать цепочки согласований. Его применение снимало бы с IТ-отдела ответственность за принятие решения, управление процессами согласования каждой заявки и усилия по предоставлению доступа.

В зависимости от роли сотрудника, его заявка должна пройти утверждение ИБ-службой в самом базовом варианте. А также одобрение владельцами данных или сервиса. На основании их решений доступ может быть предоставлен как в полной мере, так и с определенными ограничениями. Либо вовсе запрещен.


НА ПОВЕДЕНЧЕСКОМ УЧЕТЕ

Однажды выданные права вовсе не означают, что их владелец отныне сможет пользоваться ими безгранично. В рамках ZTA следует реализовать более разумный подход, подразумевающий действие на протяжении определенного периода. Например, права на доступ к данным могут выдаваться на время выполнения конкретного проекта. Или автоматически отзываться, в случае отсутствия активности на протяжении длительного времени. Это, помимо прочего, поможет защититься от угроз, исходящих от так называемых «фантомных пользователей», – неактивных аккаунтов, которые забыли удалить. Они часто используются хакерами для получения привилегий в атакуемой инфраструктуре.

Также нужно отметить еще один случай прекращения доступа к учетным записям (УЗ) пользователя – подозрительная деятельность. В случае компрометации УЗ сотрудника или его злонамеренных действий, файловые операции, и действия в службе каталогов (AD) сразу выходят за рамки повседневной активности. Этот факт можно обнаружить при помощи поведенческого анализа (ПА).

Решения класса ПА не только оповещают администратора о нетипичных для определенного аккаунта действий, но и своевременно реагируют на такие события. Например, они могут запретить учетной записи доступ к данным до завершения рассмотрения инцидента ИБ-специалистами. Либо заблокировать УЗ в службе каталогов, чтобы избежать попыток аутентификации на устройствах сети и в других внутренних сервисах. Или, как минимум, требовать повторно проходить ту же мультифакторную аутентификацию для каждого последующего доступа к новым ресурсам внутри сети. Это довольно быстро заставит нерадивого пользователя обратиться в IТ-отдел с жалобой, в случае заражения вредоносной программой или случайного предоставления скрытого удаленного доступа хакерам. Таким образом, эта реакция в полной мере отразит подход ZTA к каждой последующей попытке проникновения, при утрате ранее полученного доверия.

Защитная функция, выполняемая инструментами автоматизированного поведенческого анализа, важна, но в некоторых случаях может оказаться недостаточной

Для ее поддержки в рамках эксплуатируемой инфраструктуры можно параллельно использовать так называемую охоту за угрозами – Threat Hunting, если компания достигла хорошего уровня ИБ-зрелости. «Охота за угрозами» является проактивным процессом, поэтому обычно выполняется специалистами по ИБ в ручном режиме с использованием профильного инструментария. По мере выявления новых угроз часть проверок может быть автоматизирована для обнаружения признаков компрометации, которые им соответствуют. Потребуется только выявить первопричину возникновения риска, а не сам факт его наличия.

В защищаемой инфраструктуре отслеживать необходимо не только неактивные аккаунты, но и пассивные данные. Практически в любой компании можно найти документы, к которым последнее обращение имело место годы назад. При этом они все еще могут содержать весьма чувствительную информацию. С точки зрения безопасности нет смысла держать такие данные в «горячем» доступе. Давно не используемую информацию следует автоматически выявлять и отправлять на архивное хранение. Тем самым можно не только минимизировать площадь потенциальной кибератаки, но и сэкономить дисковое пространство, уменьшив совокупную стоимость владения системой хранения данных (СХД). Для этого потребуется получать информацию об активности пользователей на наблюдаемых платформах, превышении порогов хранения данных в их профилях и почтовых ящиках.

Как мы видим,

принципы Zero Trust могут и должны использоваться не только на уровне сетевой инфраструктуры, но и для непосредственной защиты главного актива компании – ее данных

Восстановить работу сети после вызванного кибератакой сбоя можно довольно быстро. Также, сравнительно оперативно, при корректно реализованных процедурах восстановления, можно снова запустить вычислительные нагрузки, восстановить системы из резервных копий. Несколько часов простоя, скорее всего, не приведут к катастрофическим последствиям для бизнеса. А вот информационная утечка или программа-шифровальщик, затронувшая недавно созданные или измененные данные, могут повлиять вполне значительно. 

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Кибервойны: угрозы нового типа
Российские IT-эксперты раскрыли серию атак на государственные структуры