Угрозы безопасности. Без мифов.

Насколько реальны пресловутые угрозы информационной (или компьютерной) безопасности для компаний разных размеров и в разных отраслях? Так ли они неизбежны, как кариес? Что происходит на практике?

О количественной и качественной оценке.

Чтобы давать какие-то оценки, надо иметь исходные данные о том, сколько происходит инцидентов, как они происходят. Таких данных по России нет. Кое что есть у Центрального Банка по нашей банковской системе. Они собирают отчеты по инцидентам ИБ в специальной форме. Однако, более-менее разумные по форме отчеты, они начали собирать только в этом году. Раньше была полная фигня. Ну, а по содержанию, что банки подают, то и будем считать достоверной информацией. Разумеется, эти данные ЦБ никому не дает, даже в форме аналитических отчетов. По остальным отраслям, просто ничего нет.

Таким образом, говорить о количественной оценке не приходится. А значит, нет и качественной оценки. Как известно, количество переходит в качество, а не наоборот.  Но, ведь как-то надо оценивать. На практике используются три основных метода:

  1. Слухи, домыслы и личный опыт. Это называется «экспертная оценка». Это то, чем я занимаюсь постоянно. Я считаю, что я не вчера родился, и мой богатый жизненный опыт, а также профессиональные навыки, позволяют делать разумные оценки.

  2. Рекламно-аналитические статьи производителей и поставщиков различных технических средств защиты информации и всяких «оказывающих услуги», вроде меня. Возможно мы немного привираем. Трудно удержаться. Обычно привирают продавцы узко специальных штук. Они рассказывают о том, как невероятно возросло во всем мире число, например, DDoS атак, умалчивая о том, что для компаний именно вашей сферы бизнеса, такие атаки большая редкость.

  3. Аналитические отчеты американских или европейских независимых организаций. Они сделаны на основе «международных» данных и, как правило, учитывают сферы бизнеса и размеры компаний. Я здесь буду использовать данные из Verizon Data Breаch Investigations Report 2014. В этих отчетах не так уж просто разбираться и, при всей их интернациональности, они сильно ориентированы на американский и западноевропейский рынки. Это видно даже по таким забавным рекомендациям: блокировать на файрволах трафик на Восточную Европу, поскольку оттуда больше всего атак. Я бы сказал, что больше всего атак, если говорить о географии источников, это Китай, Южная Корея и Украина.

Еще следует понимать, что когда мы говорим об угрозах, мы имеем ввиду не обязательно угрозы атак на информационные активы. Мы имеем ввиду угрозы инцидентов (происшествий), которые могут случиться с активами. Инциденты не обязательно являются следствием атак. «Само сломалось» — тоже инцидент. Впрочем, в наше время, количество инцидентов, вызванных атаками, растет очень быстро.

Некоторые экспертные оценки общие для всех компаний.

Прежде всего, на мой взгляд, следует опасаться атак связанных с кражей денег. В целом по банковской системе, на мой экспертный взгляд, сумма денег, похищаемых ежемесячно «электронным способом» (кредитки, онлайн-банкинг, системы «клиент-банк»), превышает сумму, похищаемую «физическим способом» (нападение на инкассаторов, кража банкоматов и платежных терминалов). При этом электронным способом деньги крадутся не у банков, а у клиентов, и объектами атаки являются не корпоративные сети банков, а компьютеры и корпоративные сети клиентов. Я не знаю каковы объемы в целом по всем банкам, но уверен, что по одной только Москве это не менее миллиарда рублей в месяц. Эта сумма может показаться фантастической, но я уверен, что она еще больше. По данным Ассоциации участников MasterCard (раньше называлась «Ассоциация российских членов Европей») в 2012 году по всей России мошеннических операций по карточкам было на $2,5 миллиарда. Во-первых, с тех пор количество краж только выросло, причем значительно. Во-вторых, они считали только карточки и не учитывали кражи в системах «клиент-банк», которыми пользуются компании. Так что моя оценка скорее очень сильно занижена. В подтверждение неуклонного роста, вот вам картинка из отчета Verizon.

verizon

Как видите она не утешительная. Обратите внимание на бурный рост в категориях Hacking и Social. К этим категориям авторы отчета относят фишинг и различные способы кражи паролей доступа. Чем плохи эти категории? Тем, что это не хулиганство с рассылкой забавных вирусов в сети, которые потом автоматически распространяются и смешат автора. Это направленные человеческие действия. Здесь автоматика используется только на начальном этапе, для получения доступа к клиенту, а дальше начинает действовать вполне живой злодей (см. статью «Фишинг и трояны»). Не трудно догадаться, что этот бурный рост вызван запахом денег, возможно ваших :). Тот самый миллиард рублей в месяц — это хороший бизнес. Здесь давно существует разделение труда и высокая конкуренция. Правда, это преступный бизнес, и я никому не советую им заниматься. Даже при том, что защита этих денег от кражи — это бизнес гораздо менее доходный. Впрочем, если защита обходится во столько же, во сколько кража, то какая между ними разница?

Справедливости ради надо отметить, что электронные кражи не самая большая угроза вашим деньгам. За последний год гораздо больше денег «исчезло» со счетов различных компаний вместе с банками, у которых отозвали лицензию. Кроме того, огромные деньги теряются в ошибочных бизнес-проектах. Жизнь полна рисков. Но риски информационной безопасности, похоже, не хотят занимать последнее место в списке.

Следующей существенной проблемой является «собственная глупость». Это всевозможные ошибки персонала в работе с информацией или с компьютерами, в результате которых ценные данные оказываются уничтоженными или отправляются не туда, или из-за ошибочного изменения настроек перестает работать важный «бизнес-процесс», или, например, становится недоступен ваш веб-сайт. Я бы не сказал, что это приводит к существенным финансовым потерям, но нервы и рабочее время тратятся. Все тот же Verizon считает, что это 25% всех инцидентов с информационными активами, но только 2% инцидентов с подтвержденной оценкой убытков. Это потому, что рабочее время считается «условно бесплатным». Отдельно я бы выделил такую очень распространенную ошибку, как отправка конфиденциальной информации «не тому адресату». Ну очень часто она случается, благодаря «услужливости» Outlook в деле подстановки «правильного адреса» по первым буквам. От последней проблемы хорошо помогают системы DLP (Data Loose Prevention). Надо сказать, что и количество, и цена инцидентов, вызванных различными человеческими ошибками, растет вместе с ростом компании. В любой компании я бы рекомендовал иметь работающие процедуры резервного копирования и восстановления данных, а в компаниях численностью более 50 человек уже пора иметь документированные конфигурации и процедуры их изменения (Change management).

Последняя из тройки самых распространенных общих угроз – это вирусы, точнее вредоносное программное обеспечение. Те самые поганые программки, которые не столько наносят ущерб, сколько мелко вредят. Не так опасны вирусы, как их количество. В средней полосе России случаи смерти от укуса комара довольно редки, но «морилки комаров» продаются хорошо. Кроме того, характер вредоносных программ меняется. Вместо термина malware, в наши дни, появился термин crimeware. Строка из определения термина в Google: «old-school malware written for glory has given way to a new era of ‘crimeware’ designed for spamming, data theft, or extortion», «вредоносные программы старой школы, написанные для славы, уступили дорогу новой эре «преступного» ПО, предназначенного для рассылки спама, кражи данных, либо вымогательства»

Теперь рассмотрим угрозы применительно к компаниям разных сфер бизнеса. Здесь уже «экспертной оценки» мало. Будем опираться на буржуйскую статистику.

Разбивка угроз для разных сфер бизнеса.

Везде укажу только первую тройку угроз в порядке частоты.

Отели, рестораны, бары и т.п.
(NAICS Code 72)

  • проникновение в кассовые компьютеры,

  • DDoS атаки,

  • злонамеренные действия инсайдеров.

Call-центры, кредитные бюро, туроператоры, кадровые агентства и т.п.
(Administrative, NAICS Code 56)

  • ошибки персонала,

  • злонамеренные действия инсайдеров,

  • утеря ноутбуков (смартфонов).

Строительство, проектирование и т.п.
(NAICS Code 23)

  • шпионаж,

  • злонамеренные действия инсайдеров,

  • утеря ноутбуков (смартфонов).

Образовательная деятельность.
(NAICS Code 61)

  • ошибки персонала,

  • атаки на веб-приложения,

  • утеря ноутбуков (смартфонов).

Театры, музеи, клубы и т.п.
(NAICS Code 71)

  • DDoS атаки,

  • атаки на веб-приложения,

  • ошибки персонала.

Банки, финансовые компании
(NAICS Code 52)

  • DDoS атаки,

  • атаки на веб-приложения,

  • скиммеры

Здравоохранение
(NAICS Code 62)

  • утеря ноутбуков (смартфонов),

  • злонамеренные действия инсайдеров,

  • ошибки персонала,

Издательства, киностудии, звукозапись и т.п.
(NAICS Code 51)

  • атаки на веб-приложения

  • вредоносные программы

  • DDoS атаки,

Управляющие компании
(NAICS Code 55)

  • DDoS атаки

  • Шпионаж

  • атаки на веб-приложения

Производство
(NAICS Code 31, 32, 33)

  • Шпионаж

  • DDoS атаки

  • атаки на веб-приложения

Добыча полезных ископаемых
(NAICS Code 21)

  • Шпионаж

  • злонамеренные действия инсайдеров

  • утеря ноутбуков (смартфонов)

Профессиональные услуги: консалтинг, маркетинг, архитектура, дизайн и т.п.
(NAICS Code 54)

  • DDoS атаки

  • Шпионаж

  • атаки на веб-приложения

Аренда (квартир, автомобилей, смокингов …)
(NAICS Code 53)

  • злонамеренные действия инсайдеров

  • ошибки персонала

  • утеря ноутбуков (смартфонов

Розничная торговля
(NAICS Code 44, 45)

  • проникновение в кассовые компьютеры

  • DDoS атаки

  • атаки на веб-приложения

Оптовая торговля
(NAICS Code 42)

  • атаки на веб-приложения

  • вредоносные программы

  • ошибки персонала

Перевозки пассажиров и грузов
(NAICS Code 48, 49)

  • Шпионаж

  • злонамеренные действия инсайдеров

  • вредоносные программы

Генерация и распределение (электроэнергия, газ, вода)
(NAICS Code 22)

  • атаки на веб-приложения

  • вредоносные программы

  • DDoS атаки

Здесь в таблице указаны коды классификации NAICS Association.

Все эти данные взяты из отчета Verizon Data Breаch Investigations Report 2014.

Следует также делать поправки на страну, в которой мы живем. Например, 54% всех инцидентов, связанных со шпионажем, зарегистрировано в США, и только 3% в России. Тем не менее Россия занимает аж 4-е место вверху этого списка. И еще, Verizon считает, что 87% шпионских атак происходят от структур, связанных с государством, и лишь 11% от преступных групп. Есть о чем подумать :).

Заключение.

Определение модели угроз информационной безопасности дело тонкое. Формализм здесь не уместен. Надо уметь видеть риски в каждой конкретной компании. Технически, модель должна быть детализирована вниз до уровня отдельного важного информационного актива: компьютера, веб-приложения на веб-сервере, базы данных, даже отдельных таблиц в базе данных, если это необходимо. Надо понимать, что угрозы меняются со временем и довольно быстро, поэтому модель надо пересматривать регулярно, лучше раз в год. Чем точнее определена модель угроз и модель нарушителя (вероятные источники и методы реализации угроз), тем эффективнее будет защита и меньше затраты. Почему это важно? Специалист по безопасности должен постоянно «мониторить» появление новых способов реализации угроз и быстро соображать, касаются ли они угроз, относящихся к защищаемому активу. Скорость важна. Вспомним, как весной хакнули РЖД, воспользовавшись недавно выявленной уязвимостью OpenSSL. Конечно, РЖД все отрицало, но факт был налицо. Куче банков пришлось перевыпускать скомпрометированные кредитки своим клиентам.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s