ENDERU

Кібер-безпека – це кібер-здоров'я


Головне – це здоров'я. Буде здоров'я – буде все.

Банальний тост

Частина 1. Сім стадій та факторів кібер-хвороб
оцінка інформаційної безпеки схожа на діагностику здоров'я

Кібер-здоров'я та інформаційна безпека систем і організацій аналогічні людському здоров'ю та медицині. Чому «хворіють» комп'ютерні системи організацій? У інформаційних систем (додатків, веб-сайтів, мереж та організацій в цілому) можна виділити такі ж стадії та фактори хвороб, як у людського організму:

  1. «Погана спадковість». Програмне забезпечення або конфігурації можуть включати в себе або використовувати ненадійні застарілі компоненти. Це приклад технічної вразливості безпеки. Під вразливістю розуміється внутрішній недолік програмного продукту, інформаційної системи або всієї організації. На відміну від уразливості, загроза – це зовнішній по відношенню до системи фактор. Наприклад, комп'ютерні віруси, хакери, ображені співробітники, конкуренти або стрибок напруги, який може знищити інформацію.
  2. «Недотримання гігієни», «безладні статеві зв'язки», тощо, призводять до зараження. Так само, безладне використання ненадійних веб-сайтів, програмних продуктів, компонентів, технологій, може призвести до інфікування або створення «діри» у безпеці.
  3. «Інфікування». Так само, як усередині організму постійно існують тисячі різних мікробів: бактерій та вірусів, не завдаючи шкоди людині, в системах завжди присутні технічні вразливості, які не призводять до інцидентів безпеки до пори. При поєднанні декількох зовнішніх (середовище) та внутрішніх (імунітет) умов інфекція починає розвиватися. Аналогічно, при поєднанні зовнішніх і внутрішніх обставин (певні набори загроз і вразливостей безпеки) відбувається інцидент безпеки, який завдає певний збиток. Так само, як людина може померти від хвороби, організація може припинити своє існування в результаті, наприклад, витоку або крадіжки критично важливої ​​інформації.
  4. «Відсутність щеплень (вакцин)». Розробники ПЗ, системні адміністратори та фахівці з інформаційної безпеки, як правило, мають деякий досвід роботи з технічними уразливостями, загрозами безпеки та кібер-атаками, але цей досвід може не охоплювати багато специфічних уразливості та загроз. Відсутність правильної профілактики цих специфічних негативних чинників є передумовою «захворювання» – інциденту безпеки.
  5. «Незбалансоване харчування». «Травлення» будь-якої організації – це її бізнес-процеси та технологічні процеси. Тому тут в якості аналогії можна уявити недостатню організаційну безпеку: безлад з документацією, відповідальністю, інвентаризацією, управлінням змінами, тощо. Це призводить до всіляких втрат та інцидентів безпеки. З іншого боку, зайва бюрократизація, документування, санкціонування шкідливі для бізнесу, тому що гальмують його. Тому тут так само важливий оптимальний баланс, як і при харчуванні. «Шкідливе харчування» – це погана організація процесів.
  6. «Ослаблення організму через важкі умови праці». Персонал організації настільки завантажений повсякденною рутиною, що жертвує активністю, спрямованою на безпеку. Ця активність, як і здоровий спосіб життя, зазвичай не приносить швидкого відчутного результату, тому часто недооцінюється.
  7. «Хронічна та гостра патологія». Інциденти безпеки, як і хвороби, можуть протікати довго та приховано, або швидко та болісно. Збиток від інцидентів може бути непомітний, але при цьому акумулюватися згодом, підриваючи загальне здоров'я системи або організації. Уразливості та дрібні інциденти можуть накопичуватися, щоб прорватися у найтоншому місці, у найбільш непідходящий момент.

Подібні аналогії дозволяють поглянути на проблеми кібер-безпеки з нової точки зору, по-новому систематизувати негативні чинники інформаційної безпеки, щоб нічого не упустити та переосмислити пріоритети захисту.

Варто також відзначити, що описані вище стадії та фактори хвороб застосовні не тільки до технічних компонентів інформаційних систем, а й до людських. Якщо перебільшено розглядати співробітника організації як компонент її інформаційної системи, то необхідно також оцінювати психологічні уразливості (недбалість, балакучість, хвастощі, страх, схильність до чужого впливу, тощо). Ці людські уразливості теж дуже часто стають причинами інцидентів безпеки. Соціотехнічна безпека – це окремий всесвіт. Про соціальну інженерію, тобто, проникнення в організацію або крадіжку її секретів за допомогою психологічного впливу на її співробітників, написано багато захоплюючих книг.

Частина 2. Сім симптомів кібер-хвороб та діагностичних ситуацій

розпочати діагностику Як вам зрозуміти, що ваша організація або стартап потребує діагностики? Як не упустити потрібні моменти? Як розпізнати початкові симптоми? Знову користуючись прийнятою аналогією та факторами, наведеними вище, можна відзначити наступні ситуації, що вимагають діагностику безпеки:

  1. «Вагітні». Авторам ідей, архітекторам і розробникам ПЗ не слід чекати, доки вони стануть «вагітними» планами розробки своїх продуктів, а слід закладати в них безпеку ще до їхнього «зачаття». Провести технічну оцінку безпеки продукту на етапі PoC (Proof of Concept), MVP (Minimum Viable Product) і beta-version – це те ж саме, що УЗД плоду на 13-й, 22-й і 33-й тижнях вагітності. Must have.
  2. «Новонароджені та діти». Низька безпека вашого дітища може підірвати його успіх так само, як погане здоров'я дитини може зіпсувати йому життя або навіть забрати його. Наскільки часто водити дитя на діагностику, в основному, кожні батьки вирішують для себе, в міру своєї компетентності, тривожності або безпечності. Але є і зовнішні вимоги, без виконання яких не вийде віддати дитину в дитячий садочок, школу, басейн, літній табір. І про це окремий пункт.
  3. «Зовнішні вимоги». Так само, як в деяких випадках (надходження в освітню установу, на роботу, регулярні огляди) від нас вимагають ту чи іншу медичну довідку (наприклад, про флюорографію), існують вимоги державних органів, регуляторів і партнерів, які приписують проходити регулярні аудити безпеки. В тому числі, технічну оцінку і тестування на проникнення . У розвинених країнах (США, ЄС) для важливих галузей (енергетика, платіжні системи, та ж охорона здоров'я) ці вимоги закріплені законодавчо.
  4. «Епідемія». Так само, як у випадку вірусної епідемії у певній місцевості, у певних індустріях або типах організацій, існують підвищені загрози певних видів кібер-атак. Наприклад, практично всі сучасні державні конфлікти, суперечки та суперництва (Ізраїль та Палестина, Північна Корея та США, Китай та США, США та Росія, Великобританія та Росія, Україна та Росія, тощо) не обходяться без кібер-війн. Якщо ваші користувачі знаходяться в одній з цих країн, або ваш продукт певним чином пов'язаний з такими конфліктами, існує підвищена небезпека вашого залучення у кібер-війну. На відміну від традиційних війн, кібер-війни відбуваються непомітно, але при цьому сторони наносять один одному мільярдні збитки. Схожі війни, хоча і в меншому масштабі, відбуваються у висококонкурентних національних і міжнародних товарних ринках.
  5. «Рецидиви». Якщо ви хворіли на якусь легку хворобу часто або хоча б один раз на важку, ви будете приділяти увагу діагностиці саме цих захворювань. Так само, якщо ви раніше стикалися з інцидентами безпеки, викликаними певними уразливостями (слабкі паролі, відсутність резервування, тощо) або загрозами (злам веб-сайту, облікового запису соціальної мережі, крадіжка ноутбука, тощо), ви будете приділяти увагу та відстежувати саме ці негативні чинники. Хоча й є загальне правило «не можна вступити в одну воду двічі», поет-сатирик додає, що при цьому цілком можна вступати «в одне лайно багаторазово». І про це наступний пункт.
  6. «Профілактика». Так само, як корисно спостерігати, чим хворіли ваші батьки, друзі, знайомі та оточення, та вживати заходів обережності, корисно відстежувати, з якими проблемами безпеки стикаються інші організації. Завжди вигідніше вчитися на чужих помилках, ніж на своїх. Так само, як досвідчена та мудра людина проходить регулярні медичні обстеження, ковтає вітаміни взимку або робить щеплення перед подорожжю в Африку, потрібно вживати заходи безпеки та діагностувати технічні уразливості у потрібні моменти. Наприклад, коли створюється проект нової системи; коли планується велика зміна у мережевій інфраструктурі; коли звільняється співробітник, який мав доступ адміністратора; коли ви розумієте, що недбалість персоналу підвищилася; коли накопичуються дрібні проблеми безпеки (до того, як вони переростають у великі); коли планується IPO, ICO, злиття та поглинання компаній. Для безпеки вкрай важливо не упускати подібні моменти.
  7. «Психологічна допомога». У кінці-кінців, безпека, як і здоров'я, – це не тільки стан, але й відчуття. Іншими словами, крім об'єктивної безпеки, існує її суб'єктивна складова. Цілком природно, коли ви не впевнені у своєму фізичному або емоційному здоров'ї, ви проходите медичну діагностику або йдете до психолога. Так само, коли ви не впевнені у ваших системах або персоналі, ви проводите аудит або тестування на проникнення з метою виявлення технічних і соціотехнічних уразливостей.
Частина 3. Кібер-гігієна та діагностика

Для профілактики кібер-заражень і кібер-травм дуже важливо дотримуватися кібер-гігієни: користуватися легальним програмним забезпеченням, завантажувати його з надійних джерел, не переходити по ненадійних посиланнях, створювати довгі складні паролі, тощо. Чим більше цих правил, тим важче їх виконувати, і вони знижують зручність роботи. На допомогу приходять системи безпеки.

Сучасні імениті антивіруси Norton Symantec, McAfee, Kaspersky, тощо – це як би набір вітамінів, антибіотиків, шприців, тонометрів та ватно-марлевих пов'язок. Набір досить широкий, але не універсальний. Особливо коли мова йде про безпеку розробки програмного забезпечення. Користуючись аналогією, існують ще «виробники обладнання МРТ, УЗД і рентгенівських апаратів». Це сегмент спеціалізованої глибокої діагностики. У цьому сегменті працюємо ми і такі компанії як Qualys, Acunetix, Tenable, Rapid7, IBM, Veracode, тощо.

deep diagnostics Навіть найкраще обладнання в руках непрофесіоналів – це купа заліза. Ми – професіонали з діагностики та визначення способів «лікування» систем, а також зі «здорового способу життя» систем і організацій:

Крім сервісу діагностики, ми також виробляємо «діагностичні системи», які надаємо нашим користувачам безкоштовно. На жаль, люди часто більш схильні шукати просту та універсальну автоматичну діагностику, і таку ж універсальну «пігулку від усіх хвороб», ніж звертатися до професіоналів за точним діагнозом, і тим більше, ніж вести здоровий спосіб життя. Це справедливо по відношенню до здоров'я як систем, так і людей. Тому завдання наших безкоштовних сервісів – привернути увагу «пацієнтів», щоб показати складність проблем безпеки та розвінчати міф, що існує якась проста панацея від усіх проблем безпеки.

Зверніться до нас за професійною діагностикою та «лікуванням» ваших систем, мереж, персоналу та організації в цілому. Займіться цим сьогодні, адже неприємний сюрприз може трапитися в будь-який момент. Зробіть вибір:




Підпишіться на нас у соціальних мережах:


Хто ми, що робимо та що пропонуємо.

Про тести на проникнення.


Наші сертифікати:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI