ENDEUA

Кибер-безопасность – это кибер-здоровье


Главное – это здоровье. Будет здоровье – будет всё.

Банальный тост

Часть 1. Семь стадий и факторов кибер-болезней
оценка информационной безопасности похожа на диагностику здоровья

Кибер-здоровье и информационная безопасность систем и организаций аналогичны человеческому здоровью и медицине. Отчего «болеют» компьютерные системы организаций? У информационных систем (приложений, веб-сайтов, сетей и организаций в целом) можно выделить такие же стадии и факторы болезней, как у человеческого организма:

  1. «Плохая наследственность». Программное обеспечение или конфигурации могут включать в себя или использовать ненадёжные устаревшие компоненты. Это пример технической уязвимости безопасности. Под уязвимостью понимается внутренний недостаток программного продукта, информационной системы или всей организации. В отличие от уязвимости, угроза – это внешний по отношению к системе фактор. Например, компьютерные вирусы, хакеры, обиженные сотрудники, конкуренты или скачок напряжения, который может уничтожить информацию.
  2. «Несоблюдение гигиены», «беспорядочные половые связи» и т. п. приводят к заражению. Точно так же, беспорядочное использование ненадёжных веб-сайтов, программных продуктов, компонентов, технологий, может привести к инфицированию или созданию «дыры» в безопасности.
  3. «Инфицирование». Так же, как внутри организма постоянно существуют тысячи различных микробов: бактерий и вирусов, не причиняя вреда человеку, в системах всегда присутствуют технические уязвимости, которые не приводят к инцидентам безопасности до поры. При сочетании нескольких внешних (среда) и внутренних (иммунитет) условий инфекция начинает развиваться. Аналогично, при сочетании внешних и внутренних обстоятельств (определённые наборы угроз и уязвимостей безопасности) происходит инцидент безопасности, который наносит определённый ущерб. Так же, как человек может умереть от болезни, организация может прекратить своё существование в результате, например, утечки или кражи критически важной информации.
  4. «Отсутствие прививок (вакцин)». Разработчики ПО, системные администраторы и специалисты по информационной безопасности, как правило, имеют некоторый опыт работы с техническими уязвимостями, угрозами безопасности и кибер-атаками, но этот опыт может не охватывать многие специфические уязвимости и угрозы. Отсутствие правильной профилактики этих специфических негативных факторов является предпосылкой «заболевания» – инцидента безопасности.
  5. «Несбалансированное питание». «Пищеварение» любой организации – это её бизнес-процессы и технологические процессы. Поэтому здесь в качестве аналогии можно представить недостаточную организационную безопасность: беспорядок с документацией, ответственностью, инвентаризацией, управлением изменениями и т. д. Это приводит к всевозможным потерям и инцидентам безопасности. С другой стороны, излишняя бюрократизация, документирование, санкционирование вредны для бизнеса, потому что тормозят его. Поэтому здесь так же важен оптимальный баланс, как и при питании. «Вредное питание» – это плохая организация процессов.
  6. «Ослабление организма из-за тяжёлых условий работы». Персонал организации настолько загружен повседневной рутиной, что жертвует активностью, направленной на безопасность. Эта активность, как и здоровый образ жизни, обычно не приносит быстрого осязаемого результата, поэтому часто недооценивается.
  7. «Хроническая и острая патология». Инциденты безопасности, как и болезни, могут протекать долго и скрытно, либо быстро и болезненно. Ущерб от инцидентов может быть незаметен, но при этом аккумулироваться со временем, подрывая общее здоровье системы или организации. Уязвимости и мелкие инциденты могут накапливаться, чтобы прорваться в самом тонком месте, в самый неподходящий момент.

Подобные аналогии позволяют взглянуть на проблемы кибер-безопасности с новой точки зрения, по-новому систематизировать негативные факторы информационной безопасности, чтобы ничего не упустить и переосмыслить приоритеты защиты.

Стоит также отметить, что описанные выше стадии и факторы болезней применимы не только к техническим компонентам информационных систем, но и к человеческим. Если утрированно рассматривать сотрудника организации как компонент её информационной системы, то необходимо также оценивать психологические уязвимости (халатность, болтливость, хвастовство, страх, подверженность влиянию и т. д.). Эти человеческие уязвимости также часто становятся причинами инцидентов безопасности. Социотехническая безопасность – это отдельная вселенная. О социальной инженерии, то есть, проникновении в организацию или краже её секретов с помощью психологического воздействия на её сотрудников, написано много увлекательных книг.

Часть 2. Семь симптомов кибер-болезней и диагностических ситуаций

начать диагностику Как вам понять, что ваша организация или стартап нуждаются в диагностике? Как не упустить нужные моменты? Как распознать самые ранние симптомы? Снова пользуясь принятой аналогией и вышеперечисленными факторами, можно отметить следующие ситуации, требующие диагностики безопасности:

  1. «Беременные». Авторам идей, архитекторам и разработчикам ПО не следует ждать, пока они станут «беременными» планами разработки своих продуктов, а следует закладывать в них безопасность ещё до их «зачатия». Провести техническую оценку безопасности продукта на этапе PoC (Proof of Concept), MVP (Minimum Viable Product) и beta-version – это то же самое, что УЗИ плода на 13-й, 22-й и 33-й неделях беременности. Must have.
  2. «Новорождённые и дети». Низкая безопасность вашего детища может подорвать его успех так же, как плохое здоровье ребёнка может испортить ему жизнь или даже отнять её. Насколько часто водить дитя на диагностику, в основном, каждый родитель решает для себя, в меру своей компетентности, тревожности или беспечности. Но есть и внешние требования, без выполнения которых не получится отдать ребёнка в детский сад, школу, бассейн, летний лагерь. И об этом отдельный пункт.
  3. «Внешние требования». Точно так же, как в некоторых случаях (поступление в образовательное учреждение, на работу, регулярные осмотры) от нас требуют ту или иную медицинскую справку (например, о флюорографии), существуют требования государственных органов, регуляторов и партнёров, предписывающие проходить регулярные аудиты безопасности. В том числе, техническую оценку и тестирование на проникновение. В развитых странах (США, ЕС) для важных отраслей (энергетика, платёжные системы, то же здравоохранение) эти требования закреплены законодательно.
  4. «Эпидемия». Так же, как в случае вирусной эпидемии в определённой местности, в определённых индустриях или типах организаций, существуют повышенные угрозы определённых видов кибер-атак. Например, практически все современные государственные конфликты, споры и соперничества (Израиль и Палестина, Северная Корея и США, Китай и США, США и Россия, Великобритания и Россия, Украина и Россия, и т. д.) не обходятся без кибер-войн. Если ваши пользователи находятся в одной из этих стран, или ваш продукт некоторым образом связан с такими конфликтами, существует повышенная опасность вашего вовлечения в кибер-войну. В отличие от традиционных войн, кибер-войны происходят незаметно, но при этом стороны наносят друг другу миллиардный ущерб. Похожие войны, хотя и в меньшем масштабе, происходят в высококонкурентных коммерческих средах.
  5. «Рецидивы». Если вы часто болели какой-то лёгкой болезнью или хотя бы один раз тяжёлой, вы будете уделять внимание диагностике именно этих заболеваний. Точно так же, если вы ранее сталкивались с инцидентами безопасности, вызванными определёнными уязвимостями (слабые пароли, отсутствие резервирования и т. п.) или угрозами (взлом веб-сайта, взлом учётной записи социальной сети, кража ноутбука и т. п.), вы будете уделять внимание и отслеживать именно эти негативные факторы. Хотя и есть общее правило «нельзя вступить в одну воду дважды», поэт-сатирик добавляет, что при этом вполне можно вступать «в одно дерьмо многократно». И об этом следующий пункт.
  6. «Профилактика». Так же, как полезно наблюдать, чем болели ваши родители, друзья, знакомые и окружение, и принимать меры предосторожности, полезно отслеживать, с какими проблемами безопасности сталкиваются другие организации. Всегда выгоднее учиться на чужих ошибках, чем на своих. Так же, как образованный и мудрый человек проходит регулярные медицинские обследования, глотает витамины зимой или делает прививки перед путешествием в Африку, нужно принимать меры безопасности и диагностировать технические уязвимости в нужные моменты. Например, когда создаётся проект новой системы; когда планируется крупное изменение в сетевой инфраструктуре; когда увольняется сотрудник, который имел доступ администратора; когда вы понимаете, что халатность персонала повысилась; когда накапливаются мелкие проблемы безопасности (до того, как они перерастают в крупные); когда планируется IPO, ICO, слияние и поглощение компаний. Для безопасности крайне важно не упускать подобные моменты.
  7. «Психологическая помощь». В конце-концов, безопасность, как и здоровье, – это не только состояние, но и ощущение. Иными словами, кроме объективной безопасности, существует её субъективная составляющая. Совершенно естественно, когда вы не уверены в своём физическом или эмоциональном здоровье, вы проходите медицинскую диагностику или идёте к психологу. Точно так же, когда вы не уверены в ваших системах или персонале, вы проводите аудит или тестирование на проникновение с целью обнаружения технических и социотехнических уязвимостей.
Часть 3. Кибер-гигиена и диагностика

Для профилактики кибер-заражений и кибер-травм очень важно соблюдать кибер-гигиену: пользоваться легальным программным обеспечением, скачивать его из надёжных источников, не переходить по ненадёжным ссылкам, создавать длинные сложные пароли и так далее. Чем больше этих правил, тем тяжелее их выполнять, и они снижают удобство работы. В помощь приходят системы безопасности.

Современные именитые антивирусы Norton Symantec, McAfee, Kaspersky и т. д. – это как бы набор витаминов, антибиотиков, шприцов, тонометров и ватно-марлевых повязок. Набор довольно широкий, но не универсальный. Особенно когда речь идёт о безопасности разработки программного обеспечения. Пользуясь аналогией, существуют ещё «производители оборудования МРТ, УЗИ и рентгеновских аппаратов». Это сегмент специализированной глубокой диагностики. В этом сегменте работаем мы и такие компании как Qualys, Acunetix, Tenable, Rapid7, IBM, Veracode и т. д.

deep diagnostics Даже самое хорошее оборудование в руках непрофессионалов – это груда железа. Мы – профессионалы по диагностике и определению способов «лечения» систем, а также по «здоровому образу жизни» систем и организаций:

Кроме сервиса диагностики, мы также производим «диагностические системы», которые предоставляем нашим пользователям бесплатно. К сожалению, люди часто более склонны искать простую и универсальную автоматическую диагностику, и такую же универсальную «пилюлю от всех болезней», чем обращаться к профессионалам за точным диагнозом, и тем более, чем вести здоровый образ жизни. Это справедливо по отношению к здоровью как систем, так и людей. Поэтому задача наших бесплатных сервисов – привлечь внимание «пациентов», чтобы показать сложность проблем безопасности и развенчать миф, что существует некая простая панацея от всех проблем безопасности.

Обратитесь к нам за профессиональной диагностикой и «лечением» ваших систем, сетей, персонала и организации в целом. Займитесь этим сегодня, ведь неприятный сюрприз может случиться в любой момент. Сделайте выбор:




Подпишитесь на нас в социальных сетях:


Кто мы, что делаем и что предлагаем.

О тестах на проникновение.


Наши сертификаты:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI