Кибер-безопасность – это кибер-здоровье


Главное – это здоровье. Будет здоровье – будет всё.

Украинский тост

information security assessment is like health diagnostics

Кибер-здоровье и информационная безопасность систем и организаций аналогичны человеческому здоровью и медицине. Отчего «болеют» компьютерные системы организаций? У информационных систем (приложений, веб-сайтов, сетей и т. п.) можно выделить такие же стадии и факторы болезней, как у человеческого организма:

  • «Плохая наследственность». Программное обеспечение или конфигурации могут включать в себя или использовать ненадёжные и устаревшие компоненты. Это пример технической уязвимости безопасности. Под уязвимостью понимается внутренняя слабость или недостаток программного продукта, информационной системы или всей организации. В отличие от уязвимости, угроза – это внешний по отношению к системе фактор, например, компьютерные вирусы, хакеры, обиженные сотрудники, конкуренты или скачок напряжения в сети, который может уничтожить информацию.
  • «Отсутствие прививок (вакцин)». Разработчики ПО и системные администраторы, как правило, имеют некоторый опыт работы с техническими уязвимостями, угрозами безопасности и кибер-атаками, но этот опыт может не охватывать многие специфические уязвимости и угрозы. Отсутствие правильной профилактики этих специфических негативных факторов является предпосылкой «заболевания» – инцидента безопасности.
  • «Несбалансированное питание». Здесь в качестве аналогии можно представить недостаточную организационную безопасность: беспорядок с документацией, ответственностью, инвентаризацией, управлением изменениями и т. д. С другой стороны, излишняя бюрократизация, документирование, санкционирование и т. п. вредны для бизнеса. Поэтому здесь так же важен оптимальный баланс, как и при питании. «Вредное питание» – это применение ненадёжных методов защиты.
  • «Ослабление организма из-за тяжёлых условий работы». Персонал настолько загружен основной работой, что жертвует активностью, направленной на безопасность. Эта активность, как и здоровый образ жизни, обычно не приносит быстрого осязаемого результата, поэтому часто недооценивается.
  • «Несоблюдение гигиены», «беспорядочные половые связи» и т. п. приводят к заражению. Точно так же, беспорядочное использование ненадёжных веб-сайтов, программных продуктов, компонентов, технологий, может привести к инфицированию или созданию «дыры» в безопасности.
  • «Инфицирование». Так же, как внутри организма постоянно существуют тысячи различных микробов: бактерий и вирусов, не причиняя вреда человеку, в системах всегда присутствуют технические уязвимости, которые не приводят к инцидентам безопасности до поры. При сочетании нескольких внешних (среда) и внутренних (иммунитет) условий инфекция начинает развиваться. Аналогично, при сочетании внешних и внутренних обстоятельств (определённый набор угроз безопасности сочетается с определённым набором уязвимостей безопасности) происходит инцидент безопасности, который наносит определённый ущерб. Так же, как человек может умереть от болезни, организация может прекратить своё существование в результате, например, утечки или кражи критически важной информации.
  • «Хроническая и острая патология». Инциденты безопасности, как и болезни, могут протекать долго и незаметно или быстро и болезненно. Ущерб от инцидентов может быть незаметен, но при этом аккумулироваться со временем, подрывая общее здоровье системы или организации. Уязвимости и мелкие инциденты могут накапливаться, чтобы прорваться в самый неподходящий момент или в самом тонком месте.

Подобная систематизация позволяет взглянуть на проблемы кибер-безопасности с новой точки зрения и переосмыслить приоритеты предпосылок угроз и инцидентов безопасности в организациях.

* * *

start diagnostics Как организации понять, что она нуждается в диагностике? Какие симптомы должна она иметь? Снова пользуясь принятой аналогией и вышеперечисленными «факторами болезней», можно отметить следующие ситуации, требующие диагностики безопасности:

  • «Беременные». Авторам идей, архитекторам и разработчикам ПО не следует ждать, пока они станут «беременными» планами разработки своих продуктов, а следует закладывать в них безопасность ещё до их «зачатия». Провести техническую оценку безопасности продукта на этапе PoC (Proof of Concept), MVP (Minimum Viable Product) и beta-version – это то же самое, что УЗИ плода на 13-й, 22-й и 33-й неделях беременности. Must have.
  • «Новорождённые и дети». Низкая безопасность вашего детища может подорвать его успех так же, как плохое здоровье ребёнка может испортить ему жизнь или даже отнять её. Насколько часто водить дитя на диагностику, в основном, каждый родитель решает для себя, в меру своей компетентности, тревожности или беспечности. Но есть и внешние требования, без выполнения которых не получится отдать ребёнка в детский сад, школу, бассейн, летний лагерь. И об этом отдельный пункт.
  • «Внешние требования». Точно так же, как в некоторых случаях (поступление в образовательное учреждение, на работу, регулярные осмотры) от нас требуют ту или иную медицинскую справку (например, о флюорографии), существуют требования государственных органов, регуляторов и партнёров, предписывающие проходить регулярные аудиты безопасности, в том числе, техническую оценку и тестирование на проникновение. В развитых странах (США, ЕС) и индустриях (платёжные системы, всё то же здравоохранение) эти требования закреплены нормативно или даже законодательно.
  • «Эпидемия». Так же, как в случае вирусной эпидемии в определённой местности, в некоторых географических, отраслевых или прикладных областях, существуют повышенные угрозы определённых видов кибер-атак. Например, практически все современные государственные конфликты (Израиль и Палестина, Северная Корея и США, Китай и США, США и Россия, Великобритания и Россия, Украина и Россия) не обходятся без кибер-войн. Если ваши пользователи находятся в одной из этих стран и ваш продукт некоторым образом связан с такими конфликтами, существует повышенная опасность вашего вовлечения в кибер-войну. В отличие от традиционных войн, кибер-войны происходят незаметно, но при этом стороны наносят друг другу миллиардный ущерб. Похожие войны, хотя и в меньшем масштабе, происходят в высококонкурентных коммерческих средах.
  • «Рецидивы». Если вы болеете какой-то лёгкой болезнью часто или хотя бы один раз болели тяжело, вы будете уделять внимание диагностике именно этого заболевания. Точно так же, если вы ранее сталкивались с инцидентами безопасности, вызванными определёнными уязвимостями (слабые пароли, отсутствие резервирования и т. п.) или угрозами (взлом веб-сайта, взлом учётной записи социальной сети, кража ноутбука и т. п.), вы будете уделять внимание и отслеживать именно эти негативные факторы. Хотя есть и общее правило «нельзя вступить в одну воду дважды», поэт-сатирик добавляет, что при этом вполне можно вступать «в одно дерьмо многократно». И об этом следующий пункт.
  • «Профилактика». Так же, как полезно наблюдать, чем болели ваши родители, чем болеют друзья, знакомые и окружение, и принимать меры предосторожности, полезно отслеживать, с какими проблемами безопасности сталкиваются другие организации. Всегда выгодно учиться на чужих ошибках, а не на своих. Так же, как образованный и мудрый человек проходит регулярные медицинские обследования, глотает витамины зимой или делает прививки перед поездкой в Африку, нужно принимать меры безопасности и диагностировать технические уязвимости в нужные моменты. Например, когда создаётся проект новой системы, когда накапливаются мелкие проблемы безопасности, до того, как они перерастают в крупные, когда намечается выпуск новой версии программного продукта, или когда планируется IPO или слияние и поглощение компаний.
* * *

Для профилактики кибер-заражений и кибер-травм очень важно соблюдать кибер-гигиену: пользоваться легальным программным обеспечением, скачивать его из надёжных источников, не переходить по ненадёжным ссылкам, создавать длинные сложные пароли и так далее. Чем больше этих правил, тем тяжелее их выполнять, и они снижают удобство работы. В помощь приходят системы безопасности.

Современные именитые антивирусы Norton Symantec, McAfee, Kaspersky и т. д. – это как бы набор витаминов, антибиотиков, шприцов, тонометров и ватно-марлевых повязок. Набор довольно широкий, но не универсальный. Пользуясь аналогией, существуют ещё производители «МРТ», «УЗИ» и «рентгеновских аппаратов». Это сегмент специализированной глубокой диагностики. В этом сегменте работаем мы и такие компании как Qualys, IBM, Acunetix, Tenable и т. д.

deep diagnostics Проблема в том, что даже самое хорошее оборудование в руках непрофессионалов – это груда железа. Мы – профессионалы по диагностике и определению способов «лечения» систем. Кроме того, мы – профессионалы по «здоровому образу жизни» систем и организаций. Мы не только определяем наличие «болезней и слабостей» в системах до того, как они будут фактически инфицированы или атакованы, но и ликвидируем самые ранние предпосылки возникновения таких недостатков и слабостей. Дело в том, что безопасность строится на этапах разработки, выбора, покупки, внедрения систем, заключения договоров с партнёрами, найма сотрудников, выбора офисов и прочих ситуаций, которые могут ослабить систему, инфраструктуру или организацию в целом.

Кроме сервиса диагностики, мы также производим «диагностическое оборудование», которое предоставляем нашим пользователям бесплатно. Задача наших решений – привлечь внимание «пациентов», чтобы показать сложность проблем безопасности и развенчать миф, что существует некая панацея от всех проблем безопасности. К сожалению, люди часто более склонны искать простую и универсальную автоматическую диагностику и такую же универсальную «пилюлю», чем обращаться к профессионалам за точным диагнозом, и тем более, чем вести здоровый образ жизни. Это справедливо по отношению к здоровью как систем, так и людей.

Обращайтесь к нам за профессиональной диагностикой и «лечением» ваших систем, сетей и организаций.



Подпишитесь на нас в социальных сетях:


Кто мы, что делаем и что предлагаем.

О тестах на проникновение.